KR100419484B1 - 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법 - Google Patents

공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법 Download PDF

Info

Publication number
KR100419484B1
KR100419484B1 KR10-2001-0055190A KR20010055190A KR100419484B1 KR 100419484 B1 KR100419484 B1 KR 100419484B1 KR 20010055190 A KR20010055190 A KR 20010055190A KR 100419484 B1 KR100419484 B1 KR 100419484B1
Authority
KR
South Korea
Prior art keywords
certificate
verification
server
verification server
validation
Prior art date
Application number
KR10-2001-0055190A
Other languages
English (en)
Other versions
KR20030021778A (ko
Inventor
조영섭
최대선
진승헌
조상래
이정현
김희선
김태성
노종혁
정교일
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR10-2001-0055190A priority Critical patent/KR100419484B1/ko
Priority to JP2001388299A priority patent/JP2003087242A/ja
Publication of KR20030021778A publication Critical patent/KR20030021778A/ko
Application granted granted Critical
Publication of KR100419484B1 publication Critical patent/KR100419484B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 공개키 기반구조에서 인증서 유효성의 검증에 관한 것으로, 특히 유무선 환경의 공개키 기반구조에서 클라이언트가 수신 받은 인증서의 유효성을 검증서버에 요청하고, 검증서버는 요청 받은 인증서의 도메인을 검사하여 검증서버 에 자신이 속해 있는 도메인일 경우 인증서 검증 작업을 실시하며, 검증서버에 등록되어 있는 외부 도메인일 경우에는 외부의 도메인을 처리하는 다른 검증서버로 인증작업을 라우팅하므로써 인증서 검증에 대한 클라이언트의 부하를 줄이고 검증서버가 처리하는 도메인뿐만 아니라 외부의 도메인 사이에서 효과적인 연동을 하여 인증서의 유효성을 검증하는 것이다.
본 발명은 공개키 기반구조를 가지는 유무선 인터넷 상에서 인증서의 유효성 여부를 검증서버를 구성하여 처리하고, 신뢰 서버 목록과 라우팅 서버 목록을 설정하여 검증서버가 처리하는 도메인일 경우에는 직접 처리하고 외부 도메인일 경우에는 라우팅하여 해당 신뢰 도메인의 인증서의 유효성 검증을 처리하는 검증서버로 송신하여 신뢰관계가 있는 인증서의 유효성 검증에 상호 연동이 가능하다.

Description

공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치 및 방법{An efficient certificate validation system and method using validation authority in PKI}
본 발명은 공개키 기반구조(Public Key Infrastructure)에서 인증서 유효성의 검증에 관한 것으로, 특히 유무선 환경의 공개키 기반구조에서 클라이언트가 수신 받은 인증서의 유효성을 검증서버에 요청하고, 검증서버는 요청받은 인증서의 도메인을 검사하여 검증서버에서 직접 처리하는 도메인일 경우 인증작업을 실시하며, 검증서버에 등록되어 있는 외부의 도메인일 경우에는 외부의 도메인을 처리하는 검증서버로 인증작업을 라우팅하므로써 인증서 검증에 대한 클라이언트의 부하를 줄이고 검증서버가 처리하는 도메인뿐만 아니라 외부의 도메인 사이에서 효과적인 연동을 하여 인증서의 유효성을 검증할 수 있는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치 및 방법에 관한 것이다.
공개키 기반 구조는 공개키 암호 방식을 사용하는 암호 시스템에서 사용자의공개키를 안전하고 신뢰성 있게 공표하여, 사용자가 공개키 인증서를 이용하여 전자상거래에서의 기밀성, 무결성, 인증, 부인봉쇄 기능을 제공 받게 하는 정보보호 기반구조이다.
공개키 기반 구조는 공개키에 대한 인증서를 발급하는 인증기관, 사용자에게 인증서 발급 요청을 등록하고 신원 확인 기능을 수행하는 등록기관, 그리고 인터넷 상의 다양한 사용자와 응용이 인증기관에서 발급한 인증서를 쉽게 검색할 수 있도록 인증서를 저장 관리하는 디렉토리 서버 등으로 구성된다.
현재 공개키 기반 구조를 기반으로 전자상거래의 안전성을 확보하려는 연구가 많이 진행되었고 전자상거래의 정보보호 기반구조로 활용되고 있으며 보다 다양한 응용 서비스를 지원하기 위한 연구가 활발히 진행되고 있다.
한국특허 출원번호 10-2000-0065370 "이중전자 서명을 사용한 인증 확인 대행 서비스 제공시스템"은 무선단말기에서 무선단말기 간의 엔드투엔드(end-to-end : EtoE) 메시지 보안과 공개키 기반의 송신자 인증 서비스를 제공하기 위한 것으로, 제한된 용량의 무선단말기에서 수행하기 어려운 인증서 검증작업을 대행해주는 이중 전자 서명을 사용한 인증 확인 대행 서비스 제공 시스템이다. 무선망 환경의 단말기는 제한된 용량을 가지고 있기 때문에 인증서의 유효성 검증 작업을 수행하는 것이 매우 어려운데 이를 대행해주는 기능을 수행한다. 해당 특허의 인증 확인 대행 시스템에서는 메시지 송신자가 보낸 인증서에 대한 인증서 폐기목록 검사 및 유효성 검사를 대행해줌으로써 수신 무선단말기에서는 별도의 인증서 폐기목록 검사 등 송신자 인증서의 유효성 확인 절차 없이 인증서를 바로 사용할 수 있도록 하였다. 무선 단말기를 통해 메시지를 송수신하는 무선망 환경에서 공개키 기반의 인증 보안 서비스를 필요로 하는 모든 응용 서비스 제공에 활용 가능하다.
선행특허는 무선환경만을 대상으로 검증기능을 이관하는 것이며 무선망에서의 시스템 효율이 대상이 된다.
또한, Prandini, M이 IEEE Computer Security Applicaton Conference 에 1999년 15권 1호, PP. 276~281에 발표한 "Efficient certificate status handling within PKIs: an application to public administration services"에 발표한 선행논문에 따르면 공개키 기반 구조가 정보보호 기반 구조로 활용됨에 따라 인증서의 유효성을 검증하는 것에 많은 관심과 연구가 진행되고 있다. 인증서 유효성 검증 방식의 대표적인 것은 인증서 폐기목록(Certification Revocation List), OCSP(Online Certificate Status Protocol) 이다. 선행논문은 웹 환경에서의 적절한 인증의 상태 검증 방식으로 인증서 폐기목록과 OCSP를 활용한 공개키 기반구조 모델을 제시하고 검증기술을 이용한 시스템의 구성에 관한 것이다.
현재 대부분의 공개키 기반 구조에서는 인증서 유효여부에 대한 검증은 클라이언트가 인증서 폐기목록을 사용하여 수행하고 있다. 인증서 폐기목록은 일정 주기마다 인증기관에서 갱신을 하며, 각 인증기관마다 root 인증서에 대한 하나의 인증서 폐기목록을 유지하며 root 인증서가 폐기될 때까지 인증서 폐기목록은 축적된다. 이로 인해 인증서 폐기목록은 데이터 크기에 대한 오버헤드가 문제가 되고 있고 실시간으로 인증서의 상태 검증은 불가능 하다. 이러한 문제를 해결하기 위하여 CRL DP, Delta CRL, CRT, OCSP 등이 제안되었다.
이러한 인증서 유효 여부 검증 방법 중 크기 문제뿐만 아니라 적시성을 제공하는 방법으로 OCSP가 있다. 현재 IETF PKIX 워킹그룹에서 버전 2가 진행중인 상태이며, 실시간 인증서 검증 서비스인 ORS(Online Revocation Status) 뿐만 아니라 인증 경로 구축을 위한 DPD(Delegated Path Discovery), 인증 경로 검증을 위한 DPV(Delegated Path Validation)를 제공하고 있다.
그러나, 이러한 OCSP는 인증서 검증에 관련된 기반 기술임에는 틀림없지만 실제 적용을 위한 메커니즘을 제시하고 있지 않으며, 클라이언트가 검증하고자 하는 인증서의 도메인이 외부의 도메인일 경우, 외부 도메인에 속한 검증 서버들에게 인증서의 검증을 직접 요청하고 응답을 신뢰해야 한다는 클라이언트의 부담이 문제점이 된다.
본 발명은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 공개키 기반구조를 가지는 유무선 인터넷 상에서 인증서의 유효성 검증을 검증서버를 구성하여 처리하고, 신뢰 도메인 목록과 라우팅할 도메인 목록을 설정하여 검증서버가 처리하는 도메인일 경우에는 직접 처리하고 외부 도메인일 경우에는 라우팅하여 해당 신뢰 도메인의 유효성 검증을 처리하는 검증서버로 송신하여 신뢰관계가 있는 인증서의 유효성 검증에 상호 연동을 제공하여 클라이언트의 부담을 줄이는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치 및 방법을 그 목적으로 한다.
도 1은 본 발명의 공개키 기반구조에서 인증서의 유효성을 검증하는 장치의 개략도.
도 2는 본 발명에 따른 검증서버1, 2의 구성을 개략적으로 도시한 도면.
도 3은 본 발명의 검증서버 1에서의 인증서의 유효성 검증의 라우팅을 위한 라우팅 서버 목록 및 신뢰 서버 목록 등록의 동작 순서도.
도 4는 본 발명의 검증서버 1에서 클라이언트 2로부터 인증서의 유효성 검증 요청이 입력되었을 때 검증서버 1에서 자체 처리하거나 다른 검증서버 2로 라우팅하는 동작의 순서도.
도 5는 검증서버 2에서 접근허용 도메인 목록을 등록하는 순서도.
도 6은 인증서의 유효성 검증요청을 검증서버 2에서 처리하여 검증서버 1로 송신하는 순서도.
도 7은 검증서버 2로부터 인증서의 유효성의 검증 결과를 수신 받아 검증서버 1에서 처리하여 클라이언트 2로 송신하는 동작 순서도.
<도면의 주요 부분에 대한 설명>
26, 27 : 클라이언트 1, 2 28, 29 : 검증서버 1, 2
30, 37 : 통신모듈 31 : 검증요청분석모듈
32 : 저장모듈 33 : 비교모듈
34 : 검증처리모듈 35 : 오류처리모듈
36 : 응답생성모듈
상술한 바와 같은 목적을 달성하기 위한 본 발명은,공개키 기반 구조에 있어서 검증요청 수단으로부터 인증서의 유효성 검증 요청을 수신하면 신뢰도메인 여부를 판단하고, 라우팅서버 목록을 비교 판단하여 인증서의 유효성 검증을 수행하는 검증처리 수단 1과, 검증처리 수단 1로부터 인증서의 유효성 검증 요청을 수신하면 접근허용 서버목록과 비교 판단하여 인증서의 유효성 검증을 수행하는 검증처리수단 2; 를 포함한다.
또한, 본 발명의 신뢰도메인 여부를 판단하는 것은 인증서의 발급을 신뢰도메인에서 하였으면 인증서의 유효성 검증 작업을 검증처리수단 1에서 처리하고, 인증서의 발급을 신뢰도메인에서 하지 않았으면, 라우팅 서버목록과 비교하여 해당하면 인증서의 유효성 검증을 검증처리 수단 2로 요청하는 것을 특징으로 한다.
또한, 본 발명은 접근허용 서버 목록과 비교 판단하는 것은, 검증처리수단 1에서 인증서의 유효성 검증을 요청하면 검증처리 수단 1이 접근허용 서버 목록에 해당하면 인증서의 유효성 검증 작업을 처리하며, 검증처리수단 1이 접근허용 서버 목록에 해당하지 않으면 에러 처리하는 것을 특징으로 한다.
또한, 본 발명은 클라이언트로부터 인증서의 유효성 검증 요청을 수신하는 단계, 검증서버 1에서 인증서의 발급기관이 신뢰도메인 여부를 판단하는 단계, 신뢰도메인이면 인증서의 유효성 검증 작업을 수행후 응답을 클라이언트로 송신하는 단계, 인증서의 발급기관이 신뢰도메인이 아니면, 라우팅 서버 목록과 비교하여 해당하면 검증서버 2로 인증서의 유효성의 검증을 요청하는 단계, 라우팅 서버 목록과 비교하여 해당하지 않는 경우 오류 응답을 클라이언트로 송신하는 단계를 포함한다.
또한, 라우팅 서버 목록과 비교하여 해당하면 검증서버 2로 인증서의 유효성의 검증을 요청하면, 검증서버 2는 검증서버 1이 접근 허용 서버 목록에 해당하면 인증서의 유효성 검증 작업을 수행하여 검증서버 1로 응답을 송신하며, 검증서버 1이 접근허용 서버 목록에 해당하지 않으면 오류응답처리하여 검증서버 1로 송신하는 것을 포함한다.
또한, 검증서버 1로 응답을 송신하면, 검증서버 2가 신뢰 서버 목록에 해당하면 응답을 클라이언트로 송신하는 단계, 검증서버 2가 신뢰서버 목록에 해당하지 않으면 클라이언트로 에러값을 송신하는 것을 특징으로 한다.
또한, 본 발명은 인증서의 유효성을 검증하는 데 있어서, 클라이언트에서 입력되는 인증서의 유효성 검증 요청 결과를 송수신하는 통신모듈과, 통신모듈에서 입력되는 인증서의 유효성 검증 요청을 분석하는 검증요청분석 모듈, 검증요청분석 모듈의 결과와 저장모듈의 정보를 비교 판단하는 비교모듈, 비교모듈의 결과에 따라 검증 요청을 처리하는 검증처리모듈, 요청을 처리한 결과로 응답을 생성하는 응답생성모듈을 포함한다.
이하, 본 발명에 따른 실시 예를 첨부한 도면을 참조하여 상세히 설명하면 다음과 같다.
도 1은 본 발명의 공개키 기반구조에서 인증서의 유효성을 검증하는 장치의 개략도로 설명하면 다음과 같다.
구성은 공개키 기반 구조에서 인증서를 사용하는 클라이언트 1(26)과 클라이언트 2(27), 그리고 인증서의 유효성을 검증해주는 검증서버 1(28)과 검증서버 2(29)로 이루어 진다.
클라이언트 1(26)의 인증서의 도메인은 검증서버 2(29)의 신뢰 도메인이어서 클라이언트 1(26)의 인증서에 대한 유효성을 검증서버 2(29)가 검증할 수 있으며, 클라이언트 2(27)의 인증서의 도메인은 검증서버 1(28)의 신뢰 도메인이어서 클라이언트2(27)의 인증서에 대한 유효성을 검증서버 1(28)이 검증할 수 있다.
한편, 검증서버 1(28)이 인증서의 유효성을 검증할 때, 검증서버 1(28)에서 검증작업을 실시하지 못하는 인증서, 즉 검증서버 1(28)에서 신뢰하는 도메인이 아닌 외부의 도메인인 인증서에 대하여는 검증작업을 수행할 수 있는 다른 검증서버 2(29)로 검증작업을 요청을 한다.
검증서버 1(28)은 다른 검증서버 2(29)로 인증서의 유효성에 대한 검증작업을 요청하기 위해서는 라우팅 서버 목록의 등록, 신뢰 서버 목록의 등록이 필요하며, 검증서버 2(29)에서 검증 요청에 대한 작업의 수행 여부를 판단하기 위해 접근허용 서버의 목록을 등록하는 작업이 요구된다.
클라이언트 2(27)에서 클라이언트 1(26)의 인증서에 대한 유효성을 검증하려면, 클라이언트 2(27)는 검증작업을 처리하는 검증서버 1(28)로 인증서의 유효성 검증 요청 메시지를 송신하고 검증서버 1(28)에서 요청받은 인증서의 도메인을 검사하여 검증서버 1(28)에서 직접 처리하는 도메인일 경우 검증작업을 실시하며, 검증서버 1(28)에 등록되어 외부의 도메인일 경우에는 외부의 도메인를 처리하는 검증서버 2(29)로 검증작업을 라우팅할 수 있어서 검증서버 1(28)에서 처리하는 도메인뿐만 아니라 외부의 도메인도 효과적인 연동을 하여 인증서의 유효성을 검증할 수 있다.
한편, 도 2는 본 발명에 따른 인증서의 유효성 검증작업을 처리하는 검증서버 1, 2(28, 29)의 구성을 개략적으로 도시한 것으로 설명하면 다음과 같다.
구성은 송신과 수신을 담당하는 통신모듈(30, 37)과, 인증서의 유효성의 검증 요청을 분석하는 검증요청분석모듈(31)과 정보를 저장하고 있는 저장모듈(32)에서 데이터를 읽어와서 비교 판단하는 비교모듈(33)과 비교모듈(33)에서 오류 발생 결과를 수신하였을 경우 오류를 처리하는 오류처리모듈(35)과 검증 요청을 처리하는 검증 처리 모듈(34)과 응답을 생성하는 응답생성 모듈(36)과 결과를 클라이언트나 검증서버로 송신하는 통신모듈(37) 등으로 이루어진다.
도 3은 검증서버 1(28)에서의 인증서의 유효성 검증의 라우팅을 위한 라우팅 서버 목록 및 신뢰 서버 목록 등록의 동작 순서도로 설명하면 다음과 같다.
먼저 인증서의 유효성의 검증을 검증서버 1(28)에서 처리하지 못하는 경우 다른 검증 서버 2(29)에게 라우팅할 수 있도록 라우팅 서버 목록을 저장 모듈에 등록한다(스템 S40, S41).
다음 단계로 검증서버 1(28)은 신뢰 서버 목록을 작성하여 저장모듈(32)에 저장을 한다(스텝 S42, S43).
도 4는 본 발명의 검증서버 1(28)에서 클라이언트 2(27)로부터 인증서의 유효성 검증 요청이 입력되었을 때 검증서버 1(28)에서 자체 처리하거나 다른 검증서버 2(29)로 라우팅하는 동작의 순서도로 설명하면 다음과 같다.
클라이언트 2(27)로부터 인증서의 유효성을 검증하는 요청이 수신되면 검증요청분석모듈(31)에서는 검증이 요청된 인증서의 도메인을 파악하고 검증서버 1(28)에서 직접 처리할 수 있는 도메인인지 여부를 판단한다(스텝 S50, S51, S52).
클라이언트 2(27)가 검증을 요청한 인증서의 도메인이 검증서버 1(28)에서 신뢰하는 도메인과 일치할 경우에는 클라이언트 2(27)에서 송신한 인증서의 유효성을 검증작업을 수행하고 검증 응답 메시지를 생성한 후 통신모듈(30. 37)에서 클라이언트 2(27)에게 검증 응답 메시지을 전달한다(스텝S53, S54, S55).
한편, 클라이언트 2(27)가 검증을 요청한 인증서의 도메인이 검증서버 1(28)에서 신뢰하는 도메인과 일치하지 않을 경우에는 다른 검증서버 2(29)에서 처리할 수 있는 인증서인지를 판단하기 위해 저장모듈(32)에 기저장된 라우팅 서버 목록을 읽어와서 라우팅 서버 목록과 검증 요청 대상인 인증서의 도메인을 비교하여, 라우팅 서버 목록과 일치하지 않는 경우에는 오류처리모듈(35)에서 응답 생성 모듈(36)로 에러를 출력하여 클라이언트 2(27)에 전달한다(S56, S57, S60).
클라이언트 2(27)가 요청한 인증서의 도메인이 라우팅 서버 목록과 일치할 경우에는 다른 검증서버 2(29)로 인증서의 유효성 검증을 요청한다(스텝 S58, S59).
도 5는 검증서버 2(29)에서 다른 검증서버 1(28)로부터 인증서 검증 요청을 받았을 시에 검증 요청에 대한 작업을 수행할 것인지 거부할 것인지를 판단하기 위한 접근 허용 서버 목록을 저장하는 순서도이다.
검증서버 2(29)에서는 다른 검증서버 1(28)로부터 인증서 검증 요청을 수신시에 인증서의 유효성 검증작업을 실시할 것인지 거부할 것인지 선택하는데 사용하기 위해 접근허용 서버 목록을 기록 저장하며, 검증 요청시에 저장된 접근허용 서버 목록을 검색하여 인증서의 검증작업을 수행 또는 거부하는 것이다(스텝 S61, S62).
도 6은 검증서버 1(28)에서 요청한 인증서의 유효성 검증요청을 검증서버 2(29)에서 처리하여 결과를 검증서버 1(28)로 송신하는 순서도로 설명하면 다음과 같다.
검증서버 2(29)의 통신모듈(30)에서 검증서버 1(28)이 요청한 인증서의 유효성 검증 처리 요청을 송신하면 검증요청분석모듈(31)에서는 검증 요청에 대한 작업을 수행할 것인지 거부할 것인지를 판단하기 위해 저장모듈(32)에 저장된 접근허용 서버 목록을 읽어온다(스텝 S70, S71, S72).
인증서의 유효성 검증을 요청한 검증서버 1(28)과 접근허용 서버 목록을 비교하여 일치하지 않을 경우에는 오류처리모듈(35)에서 오류 처리를 하고 요청을 수행하지 않았다는 응답을 생성하고 통신모듈(30)에서 검증서버 1(28)로 전송한다(S73, S75, S76, S77).
한편, 인증서의 유효성 검증을 요청한 검증서버 1(28)과 접근허용 서버 목록을 비교하여 일치하면 인증서의 유효성 검증처리모듈(34)에서 유효성을 검증하고 응답생성 모듈(36)에서 응답 메시지를 생성한 후 통신모듈(37)을 통하여 검증서버 1(28)로 송신한다(S73, S74, S75, S77).
도 7은 검증서버 2(29)로부터 인증서의 유효성의 검증 결과를 수신 받아 검증서버 1(28)에서 처리하여 클라이언트 2(27)로 송신하는 동작 순서도로 설명하면 다음과 같다.
검증서버 2(29)로부터 인증서의 유효성의 검증 결과를 수신하면 검증 응답을 분석한 후 저장모듈(32)에 저장되어 있는 신뢰 서버 목록을 획득하여 검증을 응답한 검증응답 서버와 비교하여 일치하지 않을 경우에는 오류처리모듈(35)에서 오류 처리를 하고 응답 생성 모듈(36)에서 요청을 수행하지 못했다는 응답을 생성하고 통신모듈(37)에서 클라이언트 2(27)로 송신한다(스텝 S80, S81, S82, S83, S85, S86).
한편, 검증을 응답한 검증응답 서버와 신뢰 서버 목록이 일치할 경우에는 응답생성모듈(36)에서 결과값을 통신모듈(37)로 전송하여 클라이언트 2(27)로 송신한다(S84, S86).
이상과 같이, 본 발명은 공개키 기반구조에서 검증서버를 이용하여 인증서의 유효성을 검증하는 것에 관한 것으로, 클라이언트에서 인증서의 유효성 검증을 검증서버에 요청하고, 검증서버는 검증 요청 대상인 인증서의 도메인을 검사하여 검증서버에서 직접 처리하는 도메인일 경우 인증작업을 실시하며, 검증서버에서 등록되어 있는 외부의 도메인일 경우에는 외부의 도메인을 처리하는 검증서버로 인증작업을 라우팅 함으로써 인증서 검증에 대한 클라이언트의 부하를 줄이고 검증서버가 처리하는 도메인 뿐만 아니라 외부의 도메인 사이에서 효과적인 연동을 하여 인증서의 유효성을 검증할 수 있다.
이상과 같이, 본 발명은 공개키 기반 구조에서 상호연동을 위한 검증서버 간의 신뢰관계 관리 방법은 인증서 유효성 검증을 서버가 수행하고 검증서버 간의 신뢰관계 관리를 집중된 통제하에 수행하여 줌으로써 검증에 대한 클라이언트의 부담을 줄이면서 신뢰 도메인이 다른 여러 체계의 공개키 기반 구조의 상호 연동성을 보장해 줄 수 있는 효과가 있다.

Claims (8)

  1. 공개키 기반 구조에 있어서.
    검증요청 수단으로부터 인증서의 유효성 검증 요청을 수신하면 신뢰도메인 여부를 판단하고, 라우팅서버 목록을 비교 판단하여 상기 인증서의 유효성 검증을 수행하는 제 1 검증서버;
    상기 제 1 검증서버로부터 상기 인증서의 유효성 검증 요청을 수신하면 접근허용 서버목록과 비교 판단하여 상기 인증서의 유효성 검증을 수행하는 제 2 검증서버; 를 포함하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치.
  2. 제 1항에 있어서, 상기 제 1 검증서버는,
    상기 신뢰도메인 여부를 판단 결과, 상기 인증서의 발급이 신뢰도메인에서 이루어진 경우 상기 인증서의 유효성 검증 작업을 처리하고,
    상기 인증서의 발급이 신뢰도메인에서 이루어지지 않았을 경우, 상기 라우팅 서버 목록과 비교하여 해당하면 상기 인증서의 유효성 검증을 상기 제 2 검증서버로 요청하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치.
  3. 제 1항에 있어서, 상기 제 2 검증서버는,
    상기 제 1 검증서버에서 인증서의 유효성 검증을 요청하면 상기 제 1 검증서버가 접근허용 서버 목록에 해당하면 상기 인증서의 유효성 검증 작업을 처리하며,
    상기 제 1 검증서버가 접근허용 서버 목록에 해당하지 않으면 상기 제 1 검증서버로 에러를 송신하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치.
  4. 제 1항에 있어서, 상기 제 1 검증서버는,
    클라이언트에서 입력되는 인증서의 유효성 검증 요청 결과를 송수신하는 통신모듈과;
    상기 통신모듈에서 입력되는 인증서의 유효성 검증 요청을 분석하는 검증요청분석 모듈과;
    상기 검증요청분석 모듈의 결과와 저장모듈의 정보를 비교 판단하는 비교모듈과;
    상기 비교모듈의 결과에 따라 검증 요청을 처리하는 검증처리모듈과,
    상기 요청을 처리한 결과로 응답을 생성하는 응답생성모듈을 포함하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치.
  5. 제 1항에 있어서, 상기 제 2 검증서버는,
    상기 제 1검증서버에서 입력되는 인증서의 유효성 검증 요청 결과를 송수신하는 통신모듈과;
    상기 통신모듈에서 입력되는 인증서의 유효성 검증 요청을 분석하는 검증요청분석 모듈과;
    상기 검증요청분석 모듈의 결과와 저장모듈의 정보를 비교 판단하는 비교모듈과;
    상기 비교모듈의 결과에 따라 검증 요청을 처리하는 검증처리모듈과,
    상기 요청을 처리한 결과로 응답을 생성하는 응답생성모듈을 포함하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 장치.
  6. 클라이언트로부터 인증서의 유효성 검증 요청을 수신하는 단계와;
    검증서버 1에서 상기 인증서의 발급기관이 신뢰도메인 여부를 판단하는 단계;
    신뢰도메인이면 인증서의 유효성 검증 작업을 수행후 응답을 클라이언트로 송신하는 단계;
    상기 인증서의 발급기관이 신뢰도메인이 아니면, 라우팅 서버 목록과 비교하여 해당하면 검증서버 2로 상기 인증서의 유효성 검증을 요청하는 단계;
    상기 검증서버 2는 상기 검증서버 1을 상기 라우팅 서버 목록과 비교하여 해당하지 않는 경우 오류 응답을 상기 검증서버 1로 송신하는 단계를 포함하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 방법.
  7. 제 6항에 있어서, 상기 인증서의 유효성 검증을 요청하는 단계는,
    상기 검증서버 2는 상기 검증서버 1이 접근 허용 서버 목록에 해당하면 상기 인증서의 유효성 검증 작업을 수행하여 상기 검증서버 1로 응답을 송신하며,
    상기 검증서버 1이 상기 접근허용 서버 목록에 해당하지 않으면 오류처리하여 오류응답을 검증서버 1로 송신하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 방법.
  8. 제 7항에 있어서, 상기 인증서의 유효성 검증 작업을 수행하여 상기 검증서버 1로 응답을 송신하면,
    상기 검증서버 2가 신뢰 서버 목록에 해당하면 상기 응답을 클라이언트로 송신하고;
    상기 검증서버 2가 신뢰서버 목록에 해당하지 않으면 상기 클라이언트로 에러값을 송신하는 것을 특징으로 하는 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성 검증 방법.
KR10-2001-0055190A 2001-09-07 2001-09-07 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법 KR100419484B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR10-2001-0055190A KR100419484B1 (ko) 2001-09-07 2001-09-07 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법
JP2001388299A JP2003087242A (ja) 2001-09-07 2001-12-20 公開キーインフラストラクチャにおける検証サーバを用いた認証書の有効性検証システム及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0055190A KR100419484B1 (ko) 2001-09-07 2001-09-07 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20030021778A KR20030021778A (ko) 2003-03-15
KR100419484B1 true KR100419484B1 (ko) 2004-02-19

Family

ID=19714052

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0055190A KR100419484B1 (ko) 2001-09-07 2001-09-07 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법

Country Status (2)

Country Link
JP (1) JP2003087242A (ko)
KR (1) KR100419484B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230009535A (ko) 2021-07-09 2023-01-17 주식회사 에잇바이트 신원증명 인증 서비스공급자 단말 및 그 동작 방법

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100642979B1 (ko) * 2004-07-21 2006-11-10 소프트포럼 주식회사 서명속성을 이용한 전자서명 및 그 검증방법과 이를실행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체
JP4833745B2 (ja) 2006-06-12 2011-12-07 株式会社日立製作所 センサノードのデータ保護方法、センサノードを配布するための計算機システム及びセンサノード
CN101998360B (zh) 2009-08-11 2015-05-20 中兴通讯股份有限公司 建立身份管理信任的方法及身份提供方和业务提供方
CN106572066B (zh) 2015-10-10 2019-11-22 西安西电捷通无线网络通信股份有限公司 一种实体身份有效性验证方法及其装置
CN106572063B (zh) * 2015-10-10 2019-10-29 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
CN106572064B (zh) 2015-10-10 2019-10-29 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
CN106572065B (zh) 2015-10-10 2019-11-22 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5761309A (en) * 1994-08-30 1998-06-02 Kokusai Denshin Denwa Co., Ltd. Authentication system
JPH10215245A (ja) * 1997-01-29 1998-08-11 Nippon Telegr & Teleph Corp <Ntt> 公開鍵認証方法
KR20000024217A (ko) * 2000-01-29 2000-05-06 장승욱 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법
KR100317448B1 (ko) * 1999-06-17 2001-12-24 김지윤 부가적인 키관리를 필요로 하지 않는 분산 인증 서버

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5761309A (en) * 1994-08-30 1998-06-02 Kokusai Denshin Denwa Co., Ltd. Authentication system
JPH10215245A (ja) * 1997-01-29 1998-08-11 Nippon Telegr & Teleph Corp <Ntt> 公開鍵認証方法
KR100317448B1 (ko) * 1999-06-17 2001-12-24 김지윤 부가적인 키관리를 필요로 하지 않는 분산 인증 서버
KR20000024217A (ko) * 2000-01-29 2000-05-06 장승욱 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230009535A (ko) 2021-07-09 2023-01-17 주식회사 에잇바이트 신원증명 인증 서비스공급자 단말 및 그 동작 방법

Also Published As

Publication number Publication date
KR20030021778A (ko) 2003-03-15
JP2003087242A (ja) 2003-03-20

Similar Documents

Publication Publication Date Title
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US8340283B2 (en) Method and system for a PKI-based delegation process
US7444509B2 (en) Method and system for certification path processing
AU2003259136B2 (en) A remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US7478236B2 (en) Method of validating certificate by certificate validation server using certificate policies and certificate policy mapping in public key infrastructure
US7698736B2 (en) Secure delegation using public key authentication
US8195933B2 (en) Method and system for computing digital certificate trust paths using transitive closures
US8515066B2 (en) Method, apparatus and program for establishing encrypted communication channel between apparatuses
US20060206433A1 (en) Secure and authenticated delivery of data from an automated meter reading system
JP5215289B2 (ja) 分散式の委任および検証のための方法、装置、およびシステム
GB2357227A (en) Communication security protocol using attribute certificates to prove the attributes or authorisations of communicating parties
CN109981287A (zh) 一种代码签名方法及其存储介质
KR100419484B1 (ko) 공개키 기반구조에서 검증서버를 이용한 인증서의 유효성검증 장치 및 방법
Ozcelik et al. Cryptorevocate: A cryptographic accumulator based distributed certificate revocation list
Jøsang et al. PKI seeks a trusting relationship
EP1959607B1 (en) A method and system for authenticating the identity
Berger A Scalable Architecture for Public Key Distribution Acting in Concert with Secure DNS
Kumar Model driven security analysis of IDaaS protocols
Boeyen et al. Liberty trust models guidelines
Satizábal et al. Building a Virtual Hierarchy for Managing Trust Relationships in a Hybrid Architecture.
CN117675217A (zh) 一种跨域信任管理平台
Boeyen et al. Trust models guidelines
CN117081734A (zh) 一种面向工业互联网设备可信接入的跨域认证方法
Satizabal et al. WAP PKI and certification path validation
Batarfi Certificate validation in untrusted domains

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130205

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140123

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee