KR100506700B1 - 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한시스템 - Google Patents
공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한시스템 Download PDFInfo
- Publication number
- KR100506700B1 KR100506700B1 KR10-2000-0036113A KR20000036113A KR100506700B1 KR 100506700 B1 KR100506700 B1 KR 100506700B1 KR 20000036113 A KR20000036113 A KR 20000036113A KR 100506700 B1 KR100506700 B1 KR 100506700B1
- Authority
- KR
- South Korea
- Prior art keywords
- webmail
- private key
- user
- server
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000012795 verification Methods 0.000 claims description 18
- 238000007726 management method Methods 0.000 description 26
- 230000006870 function Effects 0.000 description 5
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 4
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 4
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 4
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 102000027307 Mimecan Human genes 0.000 description 1
- 108091013859 Mimecan Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/60—Business processes related to postal services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Human Resources & Organizations (AREA)
- General Business, Economics & Management (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Economics (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 인터넷 서비스 및 시스템에 있어서, 특히 공개키(public key) 기반의 보안 웹메일 서비스에서 인터넷사용자들(특히, 메일사용자들)이 손쉽게 개인키를 관리하며, 또한 보다 편리하게 보안 웹메일 서비스를 이용할 수 있도록 한 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한 시스템에 관한 것으로, 사용자 컴퓨터에서 특정 메일사용자의 암호키들(개인키와 공개키)을 생성하는 단계와; 상기 메일사용자가 그 생성된 암호키들을 웹메일 서버에 전달하고, 그 암호키들을 보관할 관리 방식을 결정하는 단계와; 상기 웹메일 서버가 그 결정된 관리 방식에 따라, 상기 암호키들 중 하나를 기반으로 하여 생성된 전자인증서와 상기 전달된 또하나의 암호키를 보관하는 단계와; 필요에 따라, 상기 메일사용자가 그 보관된 전자인증서와 암호키를 상기 웹메일 서버로부터 전달받아 상기 생성되었던 원래 암호키들을 획득하는 단계와; 상기 메일사용자가 그 획득한 암호키들을 사용하여 원하는 여러 메일 메시지들을 작성하는 단계를 포함하여 이루어지는 공개키 기반 보안 웹메일 서비스 제공 방법과 그를 위한 시스템을 제공한다.
Description
본 발명은 인터넷 서비스 및 시스템에 관한 것으로, 특히 공개키(public key) 기반의 보안 웹메일 서비스에서 메일사용자들이 손쉽게 개인키를 관리하며, 또한 그에 따라 보다 편리하게 보안 웹메일 서비스를 이용할 수 있도록 한 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한 시스템에 관한 것이다.
인터넷(internet)은 전세계의 네트워크를 연결하는 매체이다.
인터넷사용자는 인터넷에 연결된 다른 사용자에게 소식을 전하는데 있어, 일반적으로 이메일(e-mail)을 사용한다.
이메일은 표현방식으로 다목적 인터넷 메일 확장(Multipurpose Internet Mail Extension ; 이하, MIME 라 약칭함) 형식을 사용한다. 이 MIME은 다양한 목적으로 사용되도록 확장된 메일 형식으로, 인터넷 메일을 통하여 여러 다양한 종류의 파일들이 전송되도록 개발되었다.
이러한 MIME 형식은 하이퍼텍스트 전송 프로토콜(HTTP : HyperText Transfer Protocol)을 비롯한 여러 프로토콜에서 사용되며, MIME은 전송되는 정보의 내용(송신자의 인적사항을 포함)을 그대로 읽을 수 있거나 또는 간단한 인코딩(encoding)만으로 정보를 복원할 수 있는 메일 포맷이므로, 안전하지 못하다.
또한 이메일은 전송 프로토콜로서 단순 메일 전송 프로토콜(Simple Mail Transfer Protocol ; 이하, SMTP 라 약칭함)을 사용한다. 이 SMTP는 메일 서버간에 형성된 전송로 중에서 노출이 가장 많은 곳에서 사용되며 또한 전송되는 메일 메시지에 대해 어떠한 처리도 하지 않은 상태로 전송하기 때문에, 전송되는 메일 정보가 유출될 가능성이 높다.
또한 이메일은 수신 프로토콜로서 포스트 오피스 프로토콜 버전.3(Post Office Protocol v.3 ; 이하, POP3 라 약칭함)을 가장 많이 사용한다. 이 POP3도 SMTP와 마찬가지로 메일 정보를 그대로 노출시키는 문제가 있다.
이와 같이 현재 사용되고 있는 이메일은 보안상 커다란 문제가 있기 때문에, 중요한 공문서나 계약서와 같은 문서를 전달하는데는 어려움이 많다.
이에 따라 보안/MIME(Secure/MIME ; 이하, S/MIME 라 약칭함) 형식의 메일 포맷을 사용하여 메일 메시지를 작성하고, 그 작성된 메일 메시지에 대해 암호화 및 전자서명을 추가한 보안 메일이 생겨났다. 그러나 메일사용자가 자신의 컴퓨터가 아닌 다른 곳에 위치한 컴퓨터를 사용할 경우에는 그 보안 메일을 작성할 수 없다는 단점이 있다. 다시 말해서 보안 메일은 메일사용자에게 이동성을 보장해 주지 못한다는 것이다.
이에 비해 웹메일은 특정 메일 프로그램을 실행시키지 않고도 인터넷 브라우저(browser)가 내장된 컴퓨터만 있으면 그 인터넷 브라우저의 구동을 통해 웹에 접속하고, 접속된 그 웹 상에서 바로 자신의 POP3 메일박스를 확인할 수 있다(물론 POP3 메일박스에서 수신된 메일 메시지를 확인한 후 답장을 보낼 수도 있으며, 그 웹 상에서 파일 덧붙인 편지를 보낼 수도 있다). 따라서 메일사용자에게 이동성을 보장해 준다. 그러나 이러한 웹메일은 암호화 지원이 없을 뿐만 아니라 여러 사람이 하나의 컴퓨터를 공유하는 경우가 대다수이므로 보안이 취약하다는 단점이 있다.
결국 상기한 전자 메일의 단점을 보완하고자, 보안 메일과 웹메일의 장점들을 고루 채용한 보안 웹메일이 생겨났다.
이 보안 웹메일은 전자인증서(digital certificate)를 이용한 공개키 관리구조로서 공개키 인프라구조(Public Key Infrastructure ; 이하, PKI 라 약칭함)를 사용하므로 가장 보안성이 우수하다.
이러한 PKI 기반의 보안 웹메일을 구축하는데는 개인키(Private key)의 관리가 중요하다. 그러나 웹메일의 이동성 보장 특성을 갖는 보안 웹메일의 사용자는 고정된 위치의 컴퓨터에서 자신의 개인키를 관리하는데 어려움이 많다.
결국 기존의 PKI 기반의 보안 웹메일은 메일사용자의 공개키(Public key) 및 개인키(Private key)를 사용하는데 있어서 투명성을 제공해 주지 못하고 있다. 이에 대해 다시 설명하면, 하나의 예로써 전송되는 메일 메시지는 메일사용자와 서버 사이에 사용되는 채널 기반의 보안 프로토콜인 보안 소켓 계층(SSL : Secure Sockets Layer) 프로토콜로 먼저 세션 암호화(Session encryption)되고, 서버는 그 암호화된 메일 메시지를 다시 복호화한 뒤 메일사용자 대신에 자체적으로 메일사용자의 공개키를 사용하여 암호화한다. 따라서 메일 유출의 가능성을 드러내고 있다.
또한 보안 웹메일은 메일 프로그램에서 메일 메시지를 작성할 때 S/MIME 형식의 메일 포맷을 사용한다. 즉 S/MIME 형식으로 여러 개의 첨부파일이 포함된 메일 메시지를 전자서명하고 전송한다.
그에 따라 메일사용자는 보안 웹메일을 통해 수신한 메일 메시지를 서명 확인한 뒤 읽어볼 수 있다. 이 때 메일사용자는 메일 본문과 함께 전송된 첨부파일까지 모두 받아본 후에 서명 확인을 거쳐 읽어볼 수 있다는 부담이 있다. 즉 메일사용자가 수신된 메일 메시지의 본문만을 읽고자 하더라도 반드시 첨부파일까지 받은 뒤에야 비로소 서명 확인을 거쳐 본문을 읽어 볼 수 있다는 것이다.
본 발명의 목적은 상기한 점들을 감안하여 안출한 것으로, 기본적으로 이동성이 보장되고 또한 PKI를 기반으로 하여 메일 보안성이 보장되는 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한 시스템을 제공하는데 있다.
본 발명의 또다른 목적은, 보안성 보장을 기본으로 하고 그에 덧붙여 PKI 기반의 보안 웹메일을 구축하는데 있어 중요한 개인키(Private key) 및 전자인증서를 메일사용자들이 손쉽게 관리하도록 해주는 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한 시스템을 제공하는데 있다.
본 발명의 또다른 목적은, 보다 효율적으로 보안 웹메일 서비스를 제공하며, 특히 여러 첨부파일이 포함된 메일 메시지에 대해 부분적인 서명 확인을 실시하여 선택적 메일 확인이 가능한 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한 시스템을 제공하는데 있다.
상기한 목적을 달성하기 위한 본 발명에 따른 공개키 기반 보안 웹메일 서비스 제공 방법의 특징은, 사용자 컴퓨터에서 특정 메일사용자의 암호키들을 생성하는 단계와; 상기 메일사용자가 상기 생성된 암호키들을 웹메일 서버에 전달하고, 그 암호키들을 보관할 관리 방식을 결정하는 단계와; 상기 웹메일 서버가 상기 결정된 관리 방식에 따라, 상기 암호키들 중 하나를 기반으로 하여 생성된 전자인증서와 상기 전달된 또하나의 암호키를 보관하는 단계와; 필요에 따라, 상기 메일사용자가 상기 보관된 전자인증서와 암호키를 상기 웹메일 서버로부터 전달받아 상기 생성되었던 원래 암호키들을 획득하는 단계와; 상기 메일사용자가 상기 획득한 암호키들을 사용하여 원하는 여러 메일 메시지들을 작성하는 단계를 포함하여 이루어진다.
바람직하게는, 상기 메일 메시지 작성 단계 이후에 상기 작성된 메일 메시지를 송신하는 단계와, 상기 송신된 메일 메시지에 대해 부분적으로 전자서명을 확인하는 단계와, 상기 송신된 메일 메시지에서 상기 전자서명 확인된 부분만을 수신하는 단계가 더 포함된다.
또한 상기 메일 메시지 작성 단계는, 상기 메일 사용자가 전자서명된 메일 메시지를 작성하고자 할 경우에, 상기 획득한 암호키를 사용하여 미리 작성된 메일 메시지에 전자서명 한다.
특히, 상기 전자인증서와 상기 암호키의 보관 단계 이후에 상기 메일사용자가 상기 보관된 전자인증서를 사용하고자 할 경우에는, 상기 메일사용자가 상기 웹메일 서버에 접속한 후 상기 전자인증서를 생성한 인증 서버로부터 제공되는 전자인증서 취소 리스트를 통해 사용할 전자인증서의 등록 취소 여부를 먼저 확인한다.
상기한 목적을 달성하기 위한 본 발명에 따른 공개키 기반 보안 웹메일 서비스 시스템의 특징은, 웹을 통해 전송된 임의의 메일사용자의 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성하는 인증기관의 인증 서버와; 상기 인증 서버로부터 생성된 전자인증서를 발급 받아 보관하며, 웹을 통해 전송된 상기 메일사용자의 암호화된 개인키를 보관하는 웹메일 서버와; 상기 메일사용자의 개인키와 공개키를 생성하기 위한 보안 웹메일 제어모듈을 상기 웹메일 서버로부터 다운로드 받으며, 상기 웹메일 서버에 보관된 전자인증서와 상기 암호화된 개인키를 전달받아 상기 제어모듈을 통해 생성되었던 상기 메일사용자의 개인키와 공개키를 획득하는 상기 메일사용자의 사용자 컴퓨터로 구성된다.
바람직하게 상기 웹메일 서버는 상기 메일사용자의 암호화된 개인키와 그 개인키의 암호화에 사용된 암호문장을 상기 메일사용자의 위탁을 받아 보관하는데, 상기 암호문장은 상기 웹메일 서버에서 미리 제공한 공개키로 암호화된 후 그 웹메일 서버에 전송되어 보관된다.
또한, 상기 사용자 컴퓨터는 상기 웹메일 서버로부터 암호화된 개인키와 그 개인키의 암호화에 사용된 암호문장을 전달받고, 상기 보안 웹메일 제어모듈에 상기 전달받은 암호문장을 입력하여 상기 메일사용자의 개인키를 획득하며, 그 사용자 컴퓨터는 상기 메일사용자가 상기 획득한 개인키와 공개키를 사용하여 여러 메일 메시지를 생성하도록 웹환경을 제공한다.
특히, 상기 사용자 컴퓨터는 상기 다운로드된 보안 웹메일 제어모듈을 통해 생성된 상기 메일사용자의 개인키를 암호화하여 저장하고 또한 상기 개인키의 암호화에 사용된 암호문장을 저장하기 위한 데이터베이스를 내부에 구비한다.
이하, 본 발명의 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한 시스템에 대한 바람직한 일 실시 예를 첨부된 도면을 참조하여 설명한다.
본 발명에서는 안전한 PKI 기반의 보안 웹메일을 제공한다. 즉, 인터넷사용자(특히, 메일사용자)가 변조되지 않은 암호키(공개키 및 개인키)를 사용하여 직접 사용자 컴퓨터에서 암호화 및 전자서명을 수행한다. 그에 따라 웹메일 서버가 암호화 및 전자서명에 개입하는 것을 원천적으로 차단한다. 결국 본 발명에서는 암호화된 메일 메시지가 사용자 컴퓨터에서 전송되는 순간부터 해당 수신측 메일사용자가 수신하여 자신의 컴퓨터를 통해 해당 메일 메시지를 읽기 전까지 완벽한 기밀성이 보장된다.
또한 본 발명은 PKI 기반 보안 웹메일에서의 개인키 관리 기술을 제공한다. 특히 본 발명에서는 메일사용자가 PKI 기반에서의 개인키를 서버에 위탁하여 관리한다.
또한 본 발명에서는 보안 웹메일을 통해 수신된 메일 메시지의 본문에 대한 전자서명을 확인하여 읽어볼 수 있다. 즉 첨부파일을 포함한 메일 메시지를 전부 받은 뒤에 서명 확인을 거치던 기존과 달리 메일 본문에 대해서만 부분적으로 서명 확인을 실시하여 선택적으로 메일 본문만을 읽어볼 수 있다.
다음은 본 발명의 공개키 기반 보안 웹메일 서비스 시스템에 대해 상세히 설명한다.
도 1은 본 발명에 따른 보안 웹메일 서비스를 위한 시스템 구성을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 시스템은 인터넷사용자(특히, 메일사용자)의 사용자 컴퓨터(10)와, 사용자 컴퓨터(10)와 암호화된 메일 메시지를 주고받는 웹메일 서버(20)와, 웹메일 서버(30)를 통해 인증 서비스를 제공하는 인증 서버(30)로 구성된다.
사용자 컴퓨터(10)에는 인터넷을 통해 웹메일 서버(20)로 접속하기 위한 브라우저(browser)(11)가 내장된다.
메일사용자는 사용자 컴퓨터(10)에 내장된 브라우저(11)를 구동시키고, 구동된 브라우저에서 미리 알고있는 고유자원 위치자(URL : Uniform Resource Locator)를 사용하여 웹메일 서버(20)로 접근한다.
웹메일 서버(20)는 메일사용자에게 웹환경의 인터페이스를 제공하는데, 다시 말하자면, 메일사용자가 서버(20)로의 접근 시도가 있을 경우에, 그 메일사용자의 사용자 컴퓨터(10)로 메일 송수신을 위한 웹 페이지를 인터페이스시킨다. 이는 메일사용자가 보안 웹메일 사이트에 접속된다는 것을 의미한다.
본 발명의 웹메일 서버(20)는 메일사용자의 사이트 접속이 성공됨에 따라 보안 웹메일 제어모듈(12)을 그 메일사용자의 사용자 컴퓨터(10)로 다운로드(download)시킨다.
메일사용자는 다운로드된 보안 웹메일 제어모듈(12)을 통해 공개키 및 개인키를 생성하고, 그 생성된 공개키와 개인키를 인증기관의 인증 서버(30)에 등록한다. 즉 메일사용자는 개인키와 공개키를 전송하여 전자인증서 등록을 인증 서버(30)에 신청한다.
인증 서버(30)는 메일사용자로부터 전송된 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성한다.
이후 메일사용자는 메일 메시지 전송을 위한 전자인증서를 발급 받으며, 자신의 개인키와 그 개인키를 암호화하기 위한 암호문장(passphrase)과 함께 상기에서 발급 받은 전자인증서를 자신의 저장장소에 보관하거나, 그 개인키와 암호문장과 함께 위탁하여 보관한다.
본 발명에서는 다음의 세 가지 경우로 나누어 전자인증서를 등록하고, 개인키와 암호문장(passphrase)을 위탁 보관한다.
첫 번째, 메일사용자가 전자인증서 등록만을 요청한 경우이다. 이 경우에는 인증 서버(30)가 메일사용자로부터 전송된 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성한 후 그 생성된 전자인증서를 보관한다. 또한 이 경우에 그 메일사용자는 자신의 개인키와 암호문장을 디스켓이나 그 밖의 안전한 저장장소에 보관한다.
두 번째, 메일사용자가 전자인증서 등록과 함께 개인키의 위탁 보관을 요청한 경우이다. 이 경우에도 인증 서버(30)는 메일사용자로부터 전송된 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성한 후 그 생성된 전자인증서를 보관한다. 또한 이 경우에는 메일사용자가 암호문장으로 자신의 개인키를 암호화한 후 웹메일 서버(20)에 위탁 보관한다. 특히 이 때는 암호화된 개인키를 웹메일 서버(20)에 위탁하여 보관하므로 그 웹메일 서버(20)의 신뢰성이 요구된다.
세 번째, 메일사용자가 전자인증서 등록과 함께 암호문장 및 그 암호문장으로 암호화된 자신의 개인키의 위탁 보관을 요청한 경우이다. 이 경우에도 인증 서버(30)는 메일사용자로부터 전송된 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성한 후 그 생성된 전자인증서를 보관하며, 또한 이 경우에는 메일사용자가 암호문장으로 자신의 개인키를 암호화한 후 웹메일 서버(20)에 위탁 보관하고 동시에 그 개인키 암호화에 사용한 암호문장을 그 웹메일 서버(20)에 위탁 보관한다. 이 때 암호문장은 웹메일 서버(20)에서 미리 제공된 공개키로 암호화된 후 웹메일 서버(20)에 전송되어 보관된다.
마지막 세 번째 경우는, 웹메일 서버(20)를 관리하는 운영자와 타 서버를 관리하는 운영자들 간의 협의에 의해 모든 보안 정보가 노출될 가능성이 있으므로, 메일사용자의 입장에서는 보안성이 떨어진다. 그러나 이 경우는 추후에 메일사용자가 암호문장을 잊어버렸을 경우에 그 암호문장을 알아내는데 적합하며, 또한 키 위탁이 필요할 때 가장 적합하다.
메일사용자는 상기 세 가지 경우 중에서 하나의 경우를 선택하여, 전자인증서의 등록 후 그 전자인증서를 발급 받으며, 또한 자신의 개인키와 그 개인키를 암호화하기 위한 암호문장(passphrase)을 보관 또는 위탁한다.
이후 메일사용자는 보관 또는 위탁된 개인키 및/또는 암호문장을 사용자 컴퓨터(10)로 다운로드되어 내장된 보안 웹메일 제어모듈(12)을 통해 웹메일 서버(20)로부터 제공받고, 결국 자신의 공개키와 개인키를 획득한다. 이후 메일사용자는 획득한 공개키와 개인키를 사용하여 자신의 사용자 컴퓨터(10)에서 다양한 메일 메시지를 생성한다.
여기서, 만약 메일사용자가 사용자 컴퓨터(10)에서 암호화된 메일 메시지를 작성하고자 한다면, 그 메일사용자는 보안 웹메일 제어모듈(12)을 통해 웹메일 서버(20)로부터 전자인증서를 다운로드(download)받아 메일 메시지에 대한 암호화를 실시한다.
다음 메일사용자가 전자서명된 메일 메시지를 작성하고자 한다면, 그 메일사용자는 보안 웹메일 제어모듈(12)에 암호문장을 입력하여 암호화된 개인키를 복호화하고, 그 복호화에 의한 개인키를 사용하여 작성된 메일 메시지에 대해 전자서명을 한다.
다음 메일 메시지를 작성하는데 개인키가 필요할 때나 메일 메시지를 읽는데 개인키가 필요할 때, 우선 메일사용자는 자신이 보관하고 있던 암호화된 개인키를 얻거나, 또는 그 메일사용자는 웹메일 서버(20)로부터 암호화된 개인키를 얻는다. 이후 그 메일사용자는 보안 웹메일 제어모듈(12)에 암호문장을 입력하여 암호화된 개인키를 복호화하고, 그 복호화에 의한 개인키를 개인키 메모리에 로드하여 사용한다. 그러나 개인키를 메모리에 계속 로드해서 사용하는 경우에는 메모리 덤프로 개인키가 누출될 가능성이 있다. 따라서 필요할 때만 개인키를 복호화한 후 메모리에 로드하여 사용하고, 다 사용한 후에는 로드된 복호화 개인키를 곧바로 지운다.
그런데, 상기에서 메일사용자가 전자인증서를 사용하고자 할 때는, 먼저 웹메일 서버(20)에 접속한 후 인증 서버(30)로부터 제공되는 전자인증서 취소 리스트(CRL : Certificate Revocation List)를 통해 사용할 전자인증서가 등록 취소된 것이 아닌지를 확인한다.
다음 메일사용자가 수신된 암호화된 메일 메시지를 읽기 위해서는 송신측의 보안 웹메일 제어모듈(미도시)을 통해 암호화된 메일 메시지를 복호화하여 확인한다. 이 때 메일 메시지 확인을 위한 복호화에는 미리 복호화하여 개인키 메모리에 로드해 둔 자신의 개인키를 사용한다. 이 때도 개인키를 메모리에 계속 로드해서 사용하면 개인키가 누출될 가능성이 있으므로, 필요할 때만 개인키를 복호화한 후 메모리에 로드하여 사용하고 다 사용한 후에는 로드된 복호화 개인키를 곧바로 지운다.
또한 전자서명된 메일 메시지를 읽기 위해서는 그 메일 메시지와 함께 전송된 송신측의 전자인증서를 통해 전자서명을 확인(검증)한다. 그러면 메일 메시지 전체를 읽을 수 있다.
그런데 다른 예로써, 전자서명된 메일 메시지에 첨부파일이 있는 경우에는 메일 메시지의 전자서명을 확인하여 메일 메시지 전체를 읽을 수 있으며, 이후에 메일 사용자가 그 첨부파일을 선택(click)하면 해당 첨부파일에 대한 개별적인 전자서명 확인이 다시 이루어진다.
다시 말하자면, 본 발명에서는 송신측에서 메일 메시지에 대한 전자서명을 실시할 때, 메일 본문에 대한 전자서명이 이루어지고 또한 그 메일 메시지에 첨부된 파일에 대한 개별적인 전자서명이 별도로 이루어지도록 하여, 메일 메시지 전체에 대한 전자서명 확인, 메일 본문에 대한 전자서명 확인과 첨부파일에 대한 전자서명 확인이 개별적으로 이루어지도록 한다. 그에 따라 선택적으로 첨부파일에 대한 전자서명 확인(검증)이 실시되어 그 첨부파일을 다운로드한다.
다음은 상기에서 설명된 시스템 구성을 토대로 하여, 본 발명의 공개키 기반 보안 웹메일 서비스 제공 절차를 보다 상세히 설명한다.
도 2a는 본 발명에 따른 보안 웹메일 서비스를 위한 키 관리 절차를 나타낸 플로우챠트로, 여기서 키 관리는 전자인증서의 생성/보관, 개인키와 암호문장의 위탁 보관을 의미한다.
도 2a를 참조하여 키 관리 절차를 설명하면, 먼저 메일사용자가 자신의 사용자 컴퓨터(10)에 내장된 브라우저(11)를 사용하여 웹메일 서버(20)에 접속하면, 그 웹메일 서버(20)는 보안 웹메일 제어모듈(12)을 그 메일사용자의 사용자 컴퓨터(10)로 다운로드(download)시킨다.
메일사용자는 다운로드된 보안 웹메일 제어모듈(12)을 통해 공개키 및 개인키를 생성한다(S10). 여기서 메일사용자는 공개키와 개인키가 생성될 때 다음에 설명될 세 가지 키 관리 방식 중 하나를 선택하여 결정해 둔다.
이후 메일사용자는 그 생성된 공개키와 개인키를 인증기관의 인증 서버(30)에 등록하기 위한 전자인증서 등록 요청과 개인키 및/또는 암호문장의 위탁 보관을 위한 키 위탁 요청을 포함한 요청 메시지를 작성한다(S20). 여기서 전자인증서 등록/키 위탁 요청 메시지는 인증기관의 인증 서버(30)에게 메일사용자의 공개키를 기반으로 전자인증서를 만들어 줄 것을 요청하는 메시지이며 또한 웹메일 서버(20)와 연동하는 키 관리 데이터베이스(미도시)에 메일사용자의 암호문장 및 그 암호문장으로 암호화된 개인키의 위탁 보관을 요청하는 메시지로써, 다음 표 1과 같은 내용을 포함한다.
| 사용자 정보 <NL>공개키 <NL>암호화된 개인키(옵션) <NL>암호문장(옵션) <NL> |
여기서, <NL>은 줄 바꿈 기호(Newline character)
A. 만약 메일사용자가 상기한 표 1의 내용을 포함하는 요청 메시지를 사용하여 전자인증서 등록만을 요청한 경우에는, 인증 서버(30)가 메일사용자로부터 전송된 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성한 후 그 생성된 전자인증서를 보관한다(S30, S60). 또한 메일사용자는 암호문장을 사용하여 개인키를 암호화한 후 그 암호문장과 암호화된 자신의 개인키를 디스켓이나 사용자 컴퓨터(10) 내부의 키 관리 데이터베이스(미도시)와 같은 저장장소에 보관한다(S70, S80).
B. 만약 메일사용자가 상기한 표 1의 내용을 포함하는 요청 메시지를 사용하여 전자인증서 등록과 개인키 위탁 보관을 요청한 경우에는, 일단 인증 서버(30)가 메일사용자로부터 전송된 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성한 후 그 생성된 전자인증서를 보관한다(S40, S60). 또한 메일사용자는 암호문장을 사용하여 개인키를 암호화한 후 그 암호화된 자신의 개인키를 웹메일 서버(20)에 전송하여 그 웹메일 서버(20)의 키 관리 데이터베이스(미도시)에 위탁 보관한다(S70,S90).
C. 만약 메일사용자가 상기한 표 1의 내용을 포함하는 요청 메시지를 사용하여 전자인증서 등록과 함께 개인키와 암호문장 위탁 보관을 요청한 경우에는, 일단 인증 서버(30)가 메일사용자로부터 전송된 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성한 후 그 생성된 전자인증서를 보관한다(S50, S60). 또한 메일사용자는 암호문장을 사용하여 개인키를 암호화한 후 그 암호화된 자신의 개인키와 암호문장을 웹메일 서버(20)에 전송하여 그 웹메일 서버(20)의 키 관리 데이터베이스(미도시)에 위탁 보관한다(S70,S100). 특히 암호문장은 웹메일 서버(20)에서 미리 제공된 공개키로 암호화된 후 웹메일 서버(20)에 전송되어 보관된다.
이후 메일사용자는 상기 세 가지 키 관리 방식(A, B, C) 중에서 하나를 선택하여 전자인증서의 등록 후 그 전자인증서를 발급 받으며, 자신의 개인키와 그 개인키를 암호화하기 위한 암호문장(passphrase)과 함께 상기에서 발급 받은 전자인증서를 자신의 저장장소에 보관하거나, 그 개인키와 암호문장과 함께 웹메일 서버(20)에 위탁하여 보관한다. 다음은 전자인증서 발급 및 키 관리 절차에 대해 상세히 설명한다.
도 2b는 본 발명에 따른 보안 웹메일 서비스를 위한 전자인증서 발급 및 키 관리 절차를 나타낸 플로우챠트로써, 메일사용자가 상기한 표 1의 내용을 포함하는 요청 메시지를 사용하여 전자인증서 등록과 함께 개인키와 암호문장 위탁 보관을 요청한 경우에 대한 것이다.
도 2b를 참조하면, 우선 메일사용자는 상기한 도 2a에서 설명된 키 관리의 세 가지 방식 중에서 하나를 선택하여 전자인증서 등록을 요청한다. 이 때는 선택적으로 개인키 및/또는 암호문장의 위탁 보관을 요청하며, 그 요청을 위한 메시지 내용은 표 1과 같이 작성된다.
특히 본 발명에서는 작성된 요청 메시지 내용이 제3자에게 노출되지 않도록, 그 요청 메시지 내용을 포함한 다음 표 2와 같은 요청 메일을 작성하고(S110), 다시 그 요청 메일을 웹메일 서버(20)에서 미리 제공된 공개키로 암호화한 후 웹메일 서버(20)에 전송한다(S120,S130).
| From : 보안 웹메일 제어모듈To : 웹메일 서버Subject : 전자인증서 요청 메시지Content-Type : text/plain 전자인증서 요청 메시지 첨부파일 : certreq.xcqContent-Type : application/x-certreq; name : certreq.xcqContent-Transfer-Encoding : base64Content-Disposition : attachment; filename : certreq.xcq 내용 : 요청 메시지 |
이후 웹메일 서버(20)는 전송 받은 요청 메일을 복호화하고(S140), 다음 웹메일 서버(20)는 인증기관의 인증 서버(30)에 그 메일사용자의 공개키와 사용자 정보를 제공하여 전자인증서 발급을 요청한다(S150).
이후 웹메일 서버(20)는 인증 서버(30)로부터 전자인증서를 발급 받아 저장 보관하며, 또한 요청 메시지에 포함되었던 메일사용자의 암호화된 개인키와 암호문장(passphrase)을 저장 보관한다(S160).
다음 메일사용자는 사용자 컴퓨터(10)로 다운로드되어 내장된 보안 웹메일 제어모듈(12)을 통해 웹메일 서버(20)에 보관 또는 위탁된 개인키 및 암호문장을 웹메일 서버(20)로부터 제공받으며, 또한 그 웹메일 서버(20)로부터 전자인증서를 발급 받는다(S170).
결국 메일사용자는 자신의 공개키와 개인키를 획득하게 되며, 그 획득한 공개키와 개인키를 사용하여 자신의 사용자 컴퓨터(10)에서 다양한 메일 메시지를 생성한다. 또한 발급 받은 전자인증서를 사용하여 암호화 메일을 작성한다.
다음 도 2c는 본 발명에 따른 보안 웹메일 서비스를 위한 전자인증서 갱신 절차를 나타낸 플로우챠트로써, 이는 상기한 도 2a 및 도 2b의 절차와 거의 유사하다. 단지 초기에 메일사용자에 의해 선택된 키 관리 방식이 그대로 유지된다.
도 2c를 참조하면, 메일사용자는 웹메일 서버(20)로부터 다운로드된 보안 웹메일 제어모듈(12)을 통해 새로운 공개키와 개인키를 생성한다(S200).
이후 메일사용자는 이미 결정해 둔 키 관리 방식을 그대로 유지한 상태에서, 새롭게 생성된 공개키와 개인키를 인증기관의 인증 서버(30)에 갱신 등록하기 위한 전자인증서 갱신 등록 요청과 새로운 개인키 및/또는 암호문장의 위탁 보관을 위한 키 위탁 요청을 포함한 갱신 요청 메시지를 작성한다(S210). 여기서 갱신 요청 메시지는 인증기관의 인증 서버(30)에게 메일사용자의 새로운 공개키를 기반으로 전자인증서를 다시 만들어 줄 것을 요청하는 메시지이며 또한 웹메일 서버(20)와 연동하는 키 관리 데이터베이스(미도시)에 메일사용자의 암호문장 및 그 암호문장으로 암호화된 새로운 개인키의 위탁 보관을 요청하는 메시지로써, 다음 표 3과 같은 내용을 포함한다.
| 공개키 <NL>암호화된 개인키(옵션) <NL>암호문장(옵션) <NL> |
표 3에서 알 수 있듯이, 그 메일사용자의 사용자 정보는 이미 초기에 등록되어 있으므로, 갱신 요청 메시지에는 공개키 값, 암호화된 개인키 값, 암호문장 값만이 포함된다.
다음에는 작성된 갱신 요청 메시지 내용을 포함하는 다음 표 4와 같은 갱신 요청 메일을 작성한다(S220).
| From : 보안 웹메일 제어모듈To : 웹메일 서버Subject : 전자인증서 갱신 요청 메시지Content-Type : text/plain 전자인증서 갱신 요청 메시지 첨부파일 : certreq.xcqContent-Type : application/x-certreq; name : certreq.xcqContent-Transfer-Encoding : base64Content-Disposition : attachment; filename : certreq.xcq 내용 : 갱신 요청 메시지 |
그 작성된 상기 표 4의 갱신 요청 메일은 기존에 생성되었던 메일사용자의 개인키로 전자서명되고(S230), 다시 웹메일 서버(20)에서 미리 제공된 공개키로 암호화되어 웹메일 서버(20)로 전송된다(S240,S250).
이후 웹메일 서버(20)는 전송 받은 갱신 요청 메일을 복호화하고(S260), 다음 웹메일 서버(20)는 인증기관의 인증 서버(30)에 그 메일사용자의 새로운 공개키를 제공하여 전자인증서 재발급을 요청한다(S270).
이후 웹메일 서버(20)는 인증 서버(30)로부터 새로운 전자인증서를 발급 받아 저장 보관하며, 또한 갱신 요청 메시지에 포함되었던 메일사용자의 암호화된 개인키와 암호문장(passphrase)을 갱신 저장 보관한다(S280).
다음 메일사용자는 사용자 컴퓨터(10)로 다운로드되어 내장된 보안 웹메일 제어모듈(12)을 통해 웹메일 서버(20)에 보관 또는 위탁된 개인키 및 암호문장을 웹메일 서버(20)로부터 제공받으며, 또한 그 웹메일 서버(20)로부터 전자인증서를 발급 받는다(S290).
결국 메일사용자는 자신의 갱신된 공개키와 개인키를 획득하게 되며, 그 획득한 공개키와 개인키를 사용하여 자신의 사용자 컴퓨터(10)에서 다양한 메일 메시지를 생성한다. 또한 발급 받은 전자인증서를 사용하여 암호화 메일을 작성한다.
특히 메일사용자가 전자서명된 메일 메시지를 작성하고자 한다면, 그 메일사용자는 보안 웹메일 제어모듈(12)에 암호문장을 입력하여 암호화된 개인키를 복호화하고, 그 복호화에 의한 개인키를 사용하여 작성된 메일 메시지에 대해 전자서명을 한다. 또한 암호화된 수신 메일을 읽을 때도 그 개인키가 필요하다.
그런데 메일사용자는 자신의 공개키/개인키 또는 갱신된 공개키/개인키를 획득함에 있어, 상기에서 이미 설명된 키 관리 방식에 따라 서로 다르게 획득한다.
첫 번째, 메일사용자가 전자인증서 등록만을 요청한 경우에는 사용자 컴퓨터(10)의 키 관리 데이터베이스(미도시)에 암호문장으로 암호화되어 저장된 개인키를 암호문자 입력으로 복호화함으로써 그 개인키를 획득한다. 이 때는 보안 웹메일 제어모듈(12)에 암호문장을 입력하여 암호화된 개인키를 복호화한다.
두 번째, 메일사용자가 전자인증서 등록과 함께 개인키의 위탁 보관을 요청한 경우에 그 메일사용자는 웹메일 서버(30)로부터 암호화된 개인키를 얻은 후 보안 웹메일 제어모듈(12)에 암호문장을 입력하여 암호화된 개인키를 복호화함으로써 그 개인키를 획득한다.
세 번째, 메일사용자가 전자인증서 등록과 함께 암호문장 및 그 암호문장으로 암호화된 자신의 개인키의 위탁 보관을 요청한 경우에는, 메일사용자가 전자인증서 등록과 함께 개인키만의 위탁 보관을 요청한 경우와 동일한 방식으로 개인키를 획득한다. 단지 이 세 번째 경우에는 추후에 메일사용자가 암호문장을 잊어버렸을 경우에 보안이 유지된 채널을 통해 그 암호문장을 다시 알아낼 수 있다.
다음은 본 발명의 보안 웹메일 서비스를 실시함에 있어, 전자서명된 메일 메시지에 대한 부분적인 전자서명 확인 절차에 대해 설명한다.
그런데 부분적 전자서명 확인 절차의 설명에 앞서 도 3을 참조하여, 전자서명된 메일 메시지 포맷에 대해 설명한다.
도 3은 본 발명의 보안 웹메일 서비스에서 부분적 전자서명 확인 절차를 설명하기 위한 전자서명된 메일 메시지 포맷을 나타낸 도면으로, n개의 첨부파일이 포함된 메일 메시지 포맷을 나타낸 것이다.
본 발명의 메일 메시지는 기본적으로 MIME 형식의 메일 포맷을 사용한다. 하나의 MIME 형식 메일 포맷의 한 예를 아래 표 5에 나타내었다.
| Received: by soft.co.kr(?.?.?/?.?.?) id forumDate: Mon, 26 Jul 1999 15:10:11Message-Id: <199907261510.forum@soft.co.kr>From: 홍길동Subject: today's newsContent-type: text‥‥▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶성 명 : 홍길동우편번호 : 123-456주 소 : 서울시 영등포구 여의도동 78-90전화번호 : 02-123-4567이메일 주소 : hanson@soft.co.kr근 무 처 : (주)소프트포럼▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶▶ |
도 3에서 각 블록(100∼300)은 상기 표 5에서의 "Content-Type"이 멀티파트(multipart)인 MIME 형식의 메일 포맷에서 경계(boundary)로 구분되는 것과 동일하다.
먼저 메인 메시지 블록(100)은 메일사용자가 메일 본문을 기입하는 블록이며, 수신측 메일사용자에게 송신되었을 때 그 메일 본문이 포함되는 블록이다. 특히 메인 메시지 블록(100)은 메인 메시지(110)와 메인 메시지 서명 값(120)으로 나뉜다.
메인 메시지(110)에는 메일사용자가 기입한 메일 본문과 첨부된 여러 파일들의 전자서명 값들이 들어 있다. 따라서 도 3과 같이 첨부파일이 n개라면 메인 메시지에 포함된 첨부파일에 대한 전자서명 값도 n개이다.
수신측 메일사용자는 처음에 메인 메시지 블록(100)이 다운로드됨에 따라 메일 본문에 대한 전자서명을 확인하며, 메인 메시지(110)에 메일 본문과 함께 포함된 각 첨부파일에 대한 전자서명 값은 이후에 다운로드될 각 첨부파일 블록(200∼300)들에 대해 개별적인 전자서명 확인을 위한 것이다.
본 발명에서는 수신측 메일사용자가 메일 메시지를 수신한 뒤 그 내용을 확인할 때, 도 3의 모든 블록을 포함한 전자서명된 메일 메시지 전체 중에서 첨부파일이 생략된 메인 메시지 블록(100)만을 내려 받아 부분적으로 전자서명을 확인한다.
다음 전체 메일 메시지(100∼300)가 n개의 첨부파일을 포함한다면, 첨부파일 블록(200,300) 또한 n개가 된다.
각 첨부파일 블록(200,300)은 첨부파일 본문(210,310)과 첨부파일 서명 값(220,320)으로 나뉜다.
첨부파일 본문(210,310)에는 말 그대로 첨부된 하나의 파일이 들어 있으며, 각 첨부파일 블록(200,300)마다 각 첨부파일 본문에 대한 전자서명 값(220,320)이 들어 있다.
만약 수신측 메일사용자가 n번째 첨부파일을 다운로드(download)하면, n번째 첨부파일 블록(300)의 첨부파일 본문(310)과 그 첨부파일 본문에 대한 전자서명 값(320)을 얻는다. 따라서 이 때 수신측 메일사용자는 일단 메인 메시지 블록(100)에 포함된 n번째 첨부파일 서명 값과 다운로드된 n번째 첨부파일 블록(30)의 첨부파일 서명 값(320)을 먼저 비교하여 해당 첨부파일이 적절히 왔는지를 확인한 후 n번째 첨부파일 본문(310)과 그 첨부파일 본문의 전자서명 값(320)을 통해 전자서명을 확인한다.
다음 도 4는 본 발명에 따른 보안 웹메일 서비스에서 부분적 전자서명 확인 절차를 나타낸 플로우챠트이다.
도 3을 참조하면, 송신측 메일사용자는 첨부파일이 포함된 메일 메시지를 자신의 개인키로 전자서명한 뒤 송신한다(S300).
수신측 메일사용자는 전체 메일 메시지 중에서 일단 도 3에 도시된 메인 메시지 블록(100)을 수신한다(S310). 더욱 상세하게, 메일 프로그램의 구동에 따라 수신측 사용자 컴퓨터(10)의 브라우저(11) 화면에 디스플레이되는 메일 목록에서 수신측 메일사용자가 원하는 하나의 메일을 선택(click)하면, 첨부파일이 포함된 전체 메일 메시지 대신에 메인 메시지 블록만이 수신된다.
이후 수신측 메일사용자는 수신된 메인 메시지 블록에서 메인 메시지에 대해 전자서명을 확인한다(S320). 여기서 메인 메시지에 대한 전자서명 확인은 메일 메시지 전체에 대한 전자서명 확인과 동일하게 해쉬함수 알고리즘(Hash function algorithm)으로 실시된다.
실제 전자서명 확인은 다음 수학식 1 내지 수학식 3의 제1메시지해쉬값과 제2메시지해쉬값이 동일한지 검증하여 메인 메시지의 전자서명을 확인한다.
여기서 H는 해쉬함수를 나타내며, 제1메시지해쉬값은 메인 메시지(110)를 해쉬함수로 전자서명하여 얻은 값이다.
메인 메시지 블록(100)에서 메인 메시지(110)는 메일 본문과 여러 첨부파일 서명 값으로 구성되므로, 다음 수학식 2와 같이 나타낸다.
다음 제2메시지해쉬값은 수신된 메인 메시지 서명 값(120)을 송신측에서 미리 알려준 공개키로 복호화하여 얻은 값으로, 수학식 3과 같다.
이렇게 수학식 1 내지 수학식 3의 제1메시지해쉬값과 제2메시지해쉬값이 동일한지 검증하여 메인 메시지의 전자서명을 확인한다.
이후 수신측 메일사용자는 메일 메시지에 포함된 첨부파일을 수신하고, 그 첨부파일에 대한 전자서명을 확인한다(S330,S340).
만약 수신측 메일사용자가 n번째 첨부파일을 선택(click)하여 다운로드(download)하면, n번째 첨부파일 블록(300)의 첨부파일 본문(310)과 그 첨부파일 본문에 대한 전자서명 값(320)을 얻는다. 따라서 이 때 수신측 메일사용자는 n번째 첨부파일 본문(310)과 그 첨부파일 본문의 전자서명 값(320)을 통해 전자서명을 확인한다.
실제 첨부파일에 대한 전자서명 확인은 다음 수학식 4 내지 수학식 5의 제3메시지해쉬값과 제4메시지해쉬값이 동일한지 검증하여 첨부파일의 전자서명을 확인한다.
여기서 H는 해쉬함수를 나타내며, 제3메시지해쉬값은 첨부파일 본문(310)을 해쉬함수로 전자서명하여 얻은 값이다.
다음 제4메시지해쉬값은 첨부파일 서명 값(320)을 송신측에서 미리 알려준 공개키로 복호화하여 얻은 값으로, 수학식 5와 같다.
이렇게 수학식 4 내지 수학식 5의 제3메시지해쉬값과 제4메시지해쉬값이 동일한지 검증하여 첨부파일의 전자서명을 확인한다.
상기한 도 4의 절차를 통해 수신측 메일사용자는 첨부파일을 처음에 모두 다운로드 받지 않고도 메일 메시지 전체에 대한 전자서명 확인이 가능하며, 이후의 첨부파일에 대한 개별적인 서명확인도 가능하다.
지금까지 설명된 본 발명의 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한 시스템을 사용할 경우에는 다음의 여러 효과가 있다.
첫 째, 본 발명에 의한 보안 웹메일 서비스는 S/MIME 형식의 메일 포맷을 사용하는 기존 보안 메일의 보안성과, 기존 웹메일의 이동성 및 편리성을 동시에 제공한다.
둘 째, PKI 기반의 보안 웹메일을 구축하는데 있어 중요한 개인키(Private key) 관리 및 전자인증서 관리에 융통성을 주어, 메일사용자의 키 관리에 대한 어려움을 덜어준다. 특히 본 발명에서는 메일사용자가 자신의 암호문장(passphrase) 및 개인키를 선택적으로 위탁하여 관리할 수 있으므로, 추후에 메일사용자가 암호문장을 잊어버렸을 경우에 그 암호문장을 획득하는데 유용하며, 또한 필요에 따라 개인키 획득이 필요한 경우에 유용하다.
세 째, 여러 첨부파일이 포함된 메일 메시지에 대해 메일 본문과 첨부파일의 각각에 대한 부분적인 서명 확인을 실시하여 선택적 메일 확인이 가능하므로, 첨부파일은 나중에 받고 먼저 메일 본문만을 읽고자 할 때 첨부파일을 포함한 메일 메시지 전체에 대해 전자서명을 확인을 하던 기존에 비해 많은 시간이 절약된다.
이상 설명한 내용을 통해 당업자라면 본 발명의 기술 사상을 일탈하지 아니하는 범위에서 다양한 변경 및 수정이 가능함을 알 수 있을 것이다.
따라서, 본 발명의 기술적 범위는 실시 예에 기재된 내용으로 한정하는 것이 아니라 특허 청구 범위에 의해서 정해져야 한다.
도 1은 본 발명에 따른 보안 웹메일 서비스를 위한 시스템 구성을 나타낸 도면.
도 2a는 본 발명에 따른 보안 웹메일 서비스를 위한 키 관리 절차를 나타낸 플로우챠트.
도 2b는 본 발명에 따른 보안 웹메일 서비스를 위한 전자인증서 발급 및 키 관리 절차를 나타낸 플로우챠트.
도 2c는 본 발명에 따른 보안 웹메일 서비스를 위한 전자인증서 갱신 절차를 나타낸 플로우챠트.
도 3은 본 발명의 보안 웹메일 서비스에서 부분적 전자서명 확인 절차를 설명하기 위한 전자서명된 메일 메시지 포맷을 나타낸 도면.
도 4는 본 발명에 따른 보안 웹메일 서비스에서 부분적 전자서명 확인 절차를 나타낸 플로우챠트.
*도면의 주요 부분에 대한 부호의 설명*
10 : 사용자 컴퓨터 11 : 브라우저
12 : 보안 웹메일 제어모듈(Secure Web-mail Control module)
20 : 웹메일 서버(web-mail server)
30 : 인증 서버(CA : Certificate Authority server)
40 : 데이터베이스(database)
Claims (10)
- 사용자 컴퓨터를 통해 특정 메일사용자의 공개키 및 개인키를 생성하고, 상기 생성된 공개키 및 개인키를 인증 기관의 인증서버에 등록하여 전자인증서 및 암호문장을 취득하도록 요청하는 웹메일 서버의 제1운영 단계와,상기 개인키 및 상기 취득한 전자인증서 그리고, 암호문장에 대한 관리 방식을 결정하도록 요청하는 웹메일 서버의 제2운영 단계와;상기 결정된 관리 방식에 따라, 상기 공개키를 기반으로 하여 생성된 전자인증서를 상기 메일사용자로부터 받은 개인키와 함께 보관하는 웹메일 서버의 제3운영 단계와;메일사용자에 의한 메일 작성의 요청이 발생될 경우 상기 보관된 전자인증서와 개인키를 상기 메일사용자에게 제공하여 상기 생성되었던 원래 공개키 및 개인키를 획득하도록 하여 상기 획득한 공개키 및 개인키로 원하는 여러 메일 메시지들을 작성하고, 상기 메일 메시지 중 메인 메시지 블록에 대한 전자서명을 수행함과 동시에 적어도 하나 이상의 첨부 파일 각각에 대하여 전자서명을 각각 수행한 후 송신하도록 요청하는 웹메일 서버의 제4운영 단계; 그리고,상기 송신된 메일 메시지에 대한 수신측 메일사용자의 수신이 발생될 경우 메일 메시지 전체 중에서 첨부파일이 생략된 메인 메시지 블록만을 수신측 메일사용자에게 제공하여 그 메인 메시지 블록에 대한 전자서명의 확인이 이루어진 후 각 첨부파일에 대한 부분적인 전자서명의 확인이 수행될 수 있도록 하는 웹메일 서버의 제5운영 단계:가 포함되어 수행됨을 특징으로 하는 공개키 기반 보안 웹메일 서비스 제공 방법.
- 삭제
- 삭제
- 제 1 항에 있어서, 상기 전자인증서와 상기 개인키의 보관 단계 이후에 상기 메일사용자가 상기 보관된 전자인증서를 사용하고자 할 경우에는, 상기 메일사용자가 상기 웹메일 서버에 접속한 후 상기 전자인증서를 생성한 인증 서버로부터 제공되는 전자인증서 취소 리스트를 통해 사용할 전자인증서의 등록 취소 여부를 먼저 확인하는 것을 특징으로 하는 공개키 기반 보안 웹메일 서비스 제공 방법.
- 웹을 통해 전송된 임의의 메일사용자의 공개키를 자신의 비밀키로 서명하여 전자인증서를 생성하는 인증기관의 인증 서버와;상기 인증 서버로부터 생성된 전자인증서를 발급 받아 보관하며, 웹을 통해 전송된 상기 메일사용자의 암호화된 개인키를 보관하는 웹메일 서버와;상기 메일사용자의 개인키와 공개키를 생성하기 위한 보안 웹메일 제어모듈을 상기 웹메일 서버로부터 다운로드 받으며, 상기 웹메일 서버에 보관된 전자인증서와 상기 암호화된 개인키를 전달받아 상기 제어모듈을 통해 생성되었던 상기 메일사용자의 개인키와 공개키를 획득하는 상기 메일사용자의 사용자 컴퓨터로 구성되는 것을 특징으로 하는 공개키 기반 보안 웹메일 서비스 시스템.
- 제 5 항에 있어서, 상기 웹메일 서버는 상기 메일사용자의 암호화된 개인키와 그 개인키의 암호화에 사용된 암호문장을 상기 메일사용자의 위탁을 받아 보관하는 것을 특징으로 하는 공개키 기반 보안 웹메일 서비스 시스템.
- 제 6 항에 있어서, 상기 암호문장은 상기 웹메일 서버에서 미리 제공한 공개키로 암호화된 후 그 웹메일 서버에 전송되어 보관되는 것을 특징으로 하는 공개키 기반 보안 웹메일 서비스 시스템.
- 제 5 항에 있어서, 상기 사용자 컴퓨터는 상기 웹메일 서버로부터 암호화된 개인키와 그 개인키의 암호화에 사용된 암호문장을 전달받고, 상기 보안 웹메일 제어모듈에 상기 전달받은 암호문장을 입력하여 상기 메일사용자의 개인키를 획득하는 것을 특징으로 하는 공개키 기반 보안 웹메일 서비스 시스템.
- 제 5 항에 있어서, 상기 사용자 컴퓨터는, 상기 메일사용자가 상기 획득한 개인키와 공개키를 사용하여 여러 메일 메시지를 생성하도록, 웹환경을 제공하는 것을 특징으로 하는 공개키 기반 보안 웹메일 서비스 시스템.
- 제 5 항에 있어서, 상기 사용자 컴퓨터는 상기 다운로드된 보안 웹메일 제어모듈을 통해 생성된 상기 메일사용자의 개인키를 암호화하여 저장하고 또한 상기 개인키의 암호화에 사용된 암호문장을 저장하기 위한 데이터베이스를 내부에 구비하는 것을 특징으로 하는 공개키 기반 보안 웹메일 서비스 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2000-0036113A KR100506700B1 (ko) | 2000-06-28 | 2000-06-28 | 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2000-0036113A KR100506700B1 (ko) | 2000-06-28 | 2000-06-28 | 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한시스템 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20020001412A KR20020001412A (ko) | 2002-01-09 |
| KR100506700B1 true KR100506700B1 (ko) | 2005-08-09 |
Family
ID=19674546
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR10-2000-0036113A KR100506700B1 (ko) | 2000-06-28 | 2000-06-28 | 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR100506700B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170141976A (ko) * | 2016-06-16 | 2017-12-27 | 주식회사 티모넷 | 전자 서명 서비스 시스템 및 방법 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010000734A (ko) * | 2000-10-16 | 2001-01-05 | 허영국 | 암호화프로그램 및 암호화 메일 서비스 |
| KR20080047130A (ko) * | 2006-11-24 | 2008-05-28 | 삼성전자주식회사 | 스팸 데이터 차단 방법 및 그 장치, 스팸 데이터 차단을위한 데이터 송신 방법 및 그 장치 |
| KR101350896B1 (ko) * | 2008-11-06 | 2014-01-14 | 에스케이플래닛 주식회사 | 인증서 기반의 보안 이메일 서비스 시스템 및 방법 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5684951A (en) * | 1996-03-20 | 1997-11-04 | Synopsys, Inc. | Method and system for user authorization over a multi-user computer system |
| US5748735A (en) * | 1994-07-18 | 1998-05-05 | Bell Atlantic Network Services, Inc. | Securing E-mail communications and encrypted file storage using yaksha split private key asymmetric cryptography |
| KR20000024217A (ko) * | 2000-01-29 | 2000-05-06 | 장승욱 | 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법 |
| KR20000031497A (ko) * | 1998-11-06 | 2000-06-05 | 정선종 | 웹 브라우져와 씨지아이 프로그램 사이의 통신 보안 지원 시스템 |
| KR20010025938A (ko) * | 1999-09-01 | 2001-04-06 | 장민근 | 인터넷에서 암호화·인증기술을 이용한 보안메일시스템 |
-
2000
- 2000-06-28 KR KR10-2000-0036113A patent/KR100506700B1/ko active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5748735A (en) * | 1994-07-18 | 1998-05-05 | Bell Atlantic Network Services, Inc. | Securing E-mail communications and encrypted file storage using yaksha split private key asymmetric cryptography |
| US5684951A (en) * | 1996-03-20 | 1997-11-04 | Synopsys, Inc. | Method and system for user authorization over a multi-user computer system |
| KR20000031497A (ko) * | 1998-11-06 | 2000-06-05 | 정선종 | 웹 브라우져와 씨지아이 프로그램 사이의 통신 보안 지원 시스템 |
| KR20010025938A (ko) * | 1999-09-01 | 2001-04-06 | 장민근 | 인터넷에서 암호화·인증기술을 이용한 보안메일시스템 |
| KR20000024217A (ko) * | 2000-01-29 | 2000-05-06 | 장승욱 | 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20170141976A (ko) * | 2016-06-16 | 2017-12-27 | 주식회사 티모넷 | 전자 서명 서비스 시스템 및 방법 |
| KR101863953B1 (ko) * | 2016-06-16 | 2018-06-29 | 주식회사 티모넷 | 전자 서명 서비스 시스템 및 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20020001412A (ko) | 2002-01-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6807277B1 (en) | Secure messaging system with return receipts | |
| US6092201A (en) | Method and apparatus for extending secure communication operations via a shared list | |
| US8489877B2 (en) | System, method and computer product for sending encrypted messages to recipients where the sender does not possess the credentials of the recipient | |
| JP4964213B2 (ja) | 識別ベースの暗号化システム | |
| JP4711933B2 (ja) | エンコードされたメッセージの処理のための多段階システムおよびその方法 | |
| JP4800686B2 (ja) | 電子名刺交換システム及び方法 | |
| US8156190B2 (en) | Generating PKI email accounts on a web-based email system | |
| JP5204090B2 (ja) | 通信ネットワーク、電子メール登録サーバ、ネットワーク装置、方法、およびコンピュータプログラム | |
| JP4601470B2 (ja) | 電子メール転送方法及び装置 | |
| CA2456839C (en) | System and method for processing encoded messages | |
| US8166299B2 (en) | Secure messaging | |
| US7971061B2 (en) | E-mail system and method having certified opt-in capabilities | |
| EP1993267B1 (en) | Contact information retrieval system and communication system using the same | |
| JP2006514478A (ja) | オンライン/オフライン復号システム | |
| JP4235824B2 (ja) | 暗号化装置 | |
| JP2005534049A (ja) | S/mime暗号化データの配信及び受信のためのシステム、方法、及びコンピュータ製品 | |
| US20070288746A1 (en) | Method of providing key containers | |
| US20070022292A1 (en) | Receiving encrypted emails via a web-based email system | |
| JP2001237872A (ja) | メール装置 | |
| KR100506700B1 (ko) | 공개키 기반 보안 웹메일 서비스 제공 방법 및 그를 위한시스템 | |
| Chadwick et al. | Secure role based messaging | |
| Easttom | SSL/TLS | |
| US20050138367A1 (en) | System and method for storing user credentials on a server copyright notice | |
| KR20010047385A (ko) | 인증기관 시스템의 사용자용 공개키 인증서 생성 방법 | |
| JPH10105058A (ja) | データ保証システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment | ||
| J201 | Request for trial against refusal decision | ||
| B601 | Maintenance of original decision after re-examination before a trial | ||
| J301 | Trial decision |
Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20031208 Effective date: 20050531 |
|
| S901 | Examination by remand of revocation | ||
| GRNO | Decision to grant (after opposition) | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20130711 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20140702 Year of fee payment: 10 |
|
| FPAY | Annual fee payment |
Payment date: 20150701 Year of fee payment: 11 |
|
| FPAY | Annual fee payment |
Payment date: 20160704 Year of fee payment: 12 |
|
| FPAY | Annual fee payment |
Payment date: 20170703 Year of fee payment: 13 |
|
| FPAY | Annual fee payment |
Payment date: 20180702 Year of fee payment: 14 |