KR100758790B1 - The aparatus and method for batch processing about authentication by RA - Google Patents
The aparatus and method for batch processing about authentication by RA Download PDFInfo
- Publication number
- KR100758790B1 KR100758790B1 KR1020010039153A KR20010039153A KR100758790B1 KR 100758790 B1 KR100758790 B1 KR 100758790B1 KR 1020010039153 A KR1020010039153 A KR 1020010039153A KR 20010039153 A KR20010039153 A KR 20010039153A KR 100758790 B1 KR100758790 B1 KR 100758790B1
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- batch processing
- task
- request
- batch
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
1. 청구범위에 기재된 발명이 속한 기술분야1. TECHNICAL FIELD OF THE INVENTION
본 발명은 인증서 관련업무의 일괄처리 지원장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.The present invention relates to an apparatus for supporting batch processing of a certificate related task, a method thereof, and a computer-readable recording medium having recorded thereon a program for realizing the method.
2. 발명이 해결하려고 하는 기술적 과제2. The technical problem to be solved by the invention
본 발명은, RA 시스템을 기반으로 가입자 관리 시스템과 CA 시스템을 연동시켜 인증서 관련업무를 일괄적으로 처리할 수 있도록 지원하기 위한 인증서 관련업무의 일괄처리 지원장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공함.The present invention provides a batch processing apparatus and method for supporting a certificate related task for supporting a certificate processing task by interworking a subscriber management system and a CA system based on an RA system, and to realize the method. Provides a computer-readable recording medium for recording the program.
3. 발명의 해결방법의 요지 3. Summary of Solution to Invention
본 발명은, 인증서 관련업무의 일괄처리 기능을 수행하기 위해서, 외부의 CA 시스템에서 관리되는 가입자 정보와 인증서 정보 중 인증체계상 RA 시스템에 속하는 가입자들의 가입자 정보와 인증서 정보를 상기 RA 시스템으로 가져와 저장/관리하기 위한 CA와 연동된 DB 관리 수단; 외부의 가입자 관리 시스템의 인터페이싱 수단으로부터의 인증서 관련업무의 일괄처리 요청에 따라, 상기 RA 시스템 자체의 인증서 관련업무 일괄처리를 위한 데이터베이스를 검색하여 해당 정보를 추출하여 상기 CA 시스템과의 통신을 통하여 해당 인증서 관련업무를 일괄처리한 후에, 그 결과를 상기 가입자 관리 시스템으로 전달하기 위한 인증서 관련업무 일괄처리 수단; 및 상기 인증서 관련업무 일괄처리 수단에서의 인증서 관련업무의 일괄처리 과정을 기록하여 관리하기 위한 RA 자체 로그관리 수단을 포함함.The present invention, the subscriber information and certificate information of the subscribers belonging to the RA system in the authentication system of the subscriber information and certificate information managed by an external CA system to carry out the batch processing function of the certificate-related tasks, bring to the RA system DB management means linked with CA for managing / managing ; According to a request for batch processing of certificate related tasks from an interfacing means of an external subscriber management system, the database is searched for a batch of certificate related tasks for the RA system itself, and the corresponding information is extracted to communicate with the CA system. A certificate related task batch means for delivering a result of the certificate related task to the subscriber management system after batch processing the certificate related task; And RA self-log management means for recording and managing the batch process of certificate related tasks in the certificate related task batch processing means.
4. 발명의 중요한 용도4. Important uses of the invention
본 발명은 인증서 시스템 등에 이용됨.
The invention is used in certificate systems and the like.
일괄처리, 인증서, 가입자 관리 시스템, RA 시스템, CA 시스템Batch, certificate, subscriber management system, RA system, CA system
Description
도 1 은 본 발명이 적용되는 RA 기반의 인증서 관련업무의 일괄처리 지원 시스템의 구성 예시도.Figure 1 is an exemplary configuration of a batch processing support system of RA-based certificate-related tasks to which the present invention is applied.
도 2 는 본 발명에 따른 RA 기반의 인증서 관련업무의 일괄처리 지원장치의 일실시예 구성도.Figure 2 is a configuration diagram of an embodiment of a batch processing support device for RA-based certificate-related work according to the present invention.
도 3 은 본 발명에 따른 RA 기반의 인증서 관련업무의 일괄처리 지원을 위한 DB 관리 방식에 대한 일실시예 설명도.3 is a diagram illustrating an embodiment of a DB management method for supporting batch processing of RA-based certificate related tasks according to the present invention.
도 4a 는 본 발명에 따른 RA 시스템으로 인증서 발급인가 요청을 일괄적으로 전송하는 과정에 대한 일실시예 흐름도.Figure 4a is a flow diagram of an embodiment for a process of collectively sending a certificate issuance authorization request to the RA system according to the present invention.
도 4b 는 본 발명에 따른 RA 시스템이 인증서 발급인가 요청을 일괄적으로 처리하는 과정에 대한 일실시예 흐름도.Figure 4b is a flow diagram of an embodiment of the process of the batch processing the certificate issuance authorization request in the RA system according to the present invention.
도 4c 는 본 발명에 따른 RA 시스템이 가입자 인증서 발급에 필요한 정보를 가입자 관리시스템으로 전달하는 과정에 대한 일실시예 흐름도.Figure 4c is a flow diagram of an embodiment of a process for delivering information necessary for issuing a subscriber certificate to the subscriber management system by the RA system according to the present invention.
도 5a 는 본 발명에 따른 RA 시스템으로 인증서 폐기와 관련한 요청을 일괄적으로 전송하는 과정에 대한 일실시예 흐름도. 5A is a flow diagram of an embodiment of a process for collectively sending a request relating to certificate revocation to an RA system according to the present invention;
도 5b 는 본 발명에 따른 RA 시스템이 인증서 폐기 요청을 일괄적으로 처리하는 과정에 대한 일실시예 흐름도.5b is a flow diagram of an embodiment of a process for a certificate revocation request batch by a RA system according to the present invention;
도 6a 는 본 발명에 따른 RA 시스템으로 인증서 재발급 요청을 일괄적으로 전송하는 과정에 대한 일실시예 흐름도.Figure 6a is an embodiment flow diagram for a process of collectively sending a certificate reissue request to the RA system according to the present invention.
도 6b 는 본 발명에 따른 RA 시스템이 인증서 재발급 요청을 일괄적으로 처리하는 과정에 대한 일실시예 흐름도.
Figure 6b is an embodiment flow diagram for the process of the batch processing the certificate reissue request by the RA system according to the present invention.
* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings
101 : 응용 시스템 102 : 가입자 관리 시스템101: application system 102: subscriber management system
103 : CA 시스템 104 : X.500 디렉토리 서버103: CA System 104: X.500 Directory Server
105 : RA 시스템 106,108 : 사용자 DB105: RA system 106,108: user DB
107,109 : 인증서 DB 109 : 인증서 DB107,109: Certificate DB 109: Certificate DB
110 : 인증서 발급인가 요청 DB 111 : 인증서 폐기 요청 DB110: certificate issue request DB 111: certificate revocation request DB
112 : 인증서 재발급 요청 DB 21 : 가입자 관리 모듈112: certificate reissue request DB 21: Subscriber Management Module
22 : 인터페이스 모듈 23 : RA 기본 모듈22: interface module 23: RA base module
24 : CA와 연동된 DB 관리 모듈 25 : 인증서 관련업무 일관처리 모듈24: DB management module interworking with CA 25: Certificate related task processing module
26 : RA 자체 로그관리 모듈
26: RA self log management module
본 발명은 인증서 관련업무의 일괄처리 지원장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.The present invention relates to an apparatus for supporting batch processing of certificate related tasks, a method thereof, and a computer-readable recording medium having recorded thereon a program for realizing the method.
본 발명은 PKI(Public Key Infrastructure) 기술 분야에 포함되며, 국내에서 1999년 7월에 발효된 전자서명법과 관련된다. PKI와 전자서명법에 근거한 사설 혹은 공인 인증기관의 인증서 관련업무 처리방식을 분석하면, CA(Certification Authority) 운영자가 하위 운영 기관인 RA(Registration Authority) 운영자를 등록/인증서 발급 업무와 CA 시스템 운영에 필요한 제반의 업무를 수행하며, RA 운영자는 응용 서비스 사용자들에 대한 대면 확인 과정을 통해 사용자들의 인증서 발급과 관련된 제반의 업무를 건별로 수행하도록 되어 있다. The present invention is included in the public key infrastructure (PKI) technology field, and is related to the digital signature law that entered into force in July 1999 in Korea. When analyzing the process of certificate-related work of private or accredited certification authorities based on PKI and digital signature law, the certification authority (CA) operator is responsible for the registration / certificate issuance and the operation of the CA system. The RA operator is required to perform all the tasks related to issuing users' certificates through face-to-face verification of application service users.
그러나, 현재 상기의 업무 처리 방식은 잠재적인 문제점이 있다. 우선, 사용자 인증서 발급을 위한 대면 확인 절차가 현실적으로 불가능하다는 점이다. 더불어, 인증서 관련업무와 응용 서비스별 가입자 관리 시스템을 이원화하여 관리함으로써, 이들간의 특정정보 불일치로 인해 서비스 제공 측면에서의 잠재적인 오류 발생 요소가 포함되어 있다. However, there is a potential problem with the above method of processing the present. First of all, the face-to-face verification procedure for issuing a user certificate is practically impossible. In addition, by managing the certificate-related tasks and subscriber management system for each application service by dualizing them, potential error occurrence factors in terms of service provision are included due to inconsistency between specific information.
또한, PKI 기반의 보안 서비스를 제공하는 일련의 단계에서 상대적으로 서비스 지체가 발생하는 구간이 CA 시스템과 RA 시스템간에, RA 시스템과 가입자간에 발생하는 인증서 관련업무이다. 더욱이 이러한 서비스 지연 현상은 PKI와 같은 공인인증 인프라를 채택한 경우에 더욱 심각하다. 따라서, 본 발명에서는 RA 영역에 서의 인증서 관련업무를 효율적으로 처리할 수 있는 메커니즘을 제공하고자 한다.
In addition, in the sequence of providing PKI-based security services, a section where service delay occurs relatively is a certificate related task that occurs between CA system and RA system and between RA system and subscriber. Moreover, such service delays are even more severe when adopting a certified certification infrastructure such as PKI. Accordingly, the present invention is to provide a mechanism that can efficiently handle the certificate-related tasks in the RA area.
본 발명은, 상기한 바와 같은 문제점을 해결하기 위하여 제안된 것으로, RA 시스템을 기반으로 가입자 관리 시스템과 CA 시스템을 연동시켜 인증서 관련업무를 일괄적으로 처리할 수 있도록 지원하기 위한 인증서 관련업무의 일괄처리 지원장치 및 그 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
The present invention has been proposed to solve the above problems, a batch of certificate-related tasks to support the collective management of certificate-related tasks by interworking subscriber management system and CA system based on the RA system It is an object of the present invention to provide a processing support apparatus and a method thereof and a computer-readable recording medium having recorded thereon a program for realizing the method.
상기 목적을 달성하기 위한 본 발명의 장치는, 인증서 관련업무의 일괄처리 지원장치에 있어서, 인증서 관련업무의 일괄처리 기능을 수행하기 위해서, 외부의 CA 시스템에서 관리되는 가입자 정보와 인증서 정보 중 인증체계상 RA 시스템에 속하는 가입자들의 가입자 정보와 인증서 정보를 상기 RA 시스템으로 가져와 저장/관리하기 위한 CA와 연동된 DB 관리 수단; 외부의 가입자 관리 시스템의 인터페이싱 수단으로부터의 인증서 관련업무의 일괄처리 요청에 따라, 상기 RA 시스템 자체의 인증서 관련업무 일괄처리를 위한 데이터베이스를 검색하여 해당 정보를 추출하여 상기 CA 시스템과의 통신을 통하여 해당 인증서 관련업무를 일괄처리한 후에, 그 결과를 상기 가입자 관리 시스템으로 전달하기 위한 인증서 관련업무 일괄처리 수단; 및 상기 인증서 관련업무 일괄처리 수단에서의 인증서 관련업무의 일괄처리 과 정을 기록하여 관리하기 위한 RA 자체 로그관리 수단을 포함하는 것을 특징으로 한다.The apparatus of the present invention for achieving the above object is, in the batch processing support apparatus for certificate-related tasks, in order to perform the batch processing function of the certificate-related tasks, the authentication system of subscriber information and certificate information managed by an external CA system DB management means interworking with CA for importing and storing / managing subscriber information and certificate information of subscribers belonging to the RA system to the RA system ; According to a request for batch processing of certificate related tasks from an interfacing means of an external subscriber management system, the database is searched for a batch of certificate related tasks for the RA system itself, and the corresponding information is extracted to communicate with the CA system. A certificate related task batch means for delivering a result of the certificate related task to the subscriber management system after batch processing the certificate related task; And RA self-log management means for recording and managing the batch process of the certificate related task in the certificate related task batch processing means.
한편, 본 발명의 방법은, 인증서 관련업무의 일괄처리 지원장치에 적용되는 인증서 발급인가 업무의 일괄처리 방법에 있어서, RA 시스템이 가입자 관리 시스템으로부터의 인증서 발급인가 요청을 일괄적으로 접수하는 제 1 단계; 상기 RA 시스템이 자체의 인증서 발급인가 데이터베이스를 검색하여 인증서 발급인가를 위한 정보를 추출한 후에 CA 시스템과의 통신을 통하여 해당 인증서 발급인가 업무를 일괄처리하는 제 2 단계; 및 상기 인증서 발급인가 업무의 일괄처리 결과를 저장하고, 상기 가입자 관리 시스템으로 전달하는 제 3 단계를 포함하는 것을 특징으로 한다.On the other hand, the method of the present invention, in the batch issuing method of certificate issuance authorization work applied to the batch processing support device for certificate-related work, the RA system is the first to receive a request for authorization issuance from the subscriber management system collectively; step; A second step of the RA system searching for its own certificate issuance authorization database and extracting information for issuing a certificate issuance, and collectively processing the certificate issuance authorization task through communication with a CA system; And a third step of storing a batch processing result of the certificate issuance authorization task and transferring the result to the subscriber management system.
또한, 본 발명의 다른 방법은, 인증서 관련업무의 일괄처리 지원장치에 적용되는 인증서 폐기 업무의 일괄처리 방법에 있어서, RA 시스템이 가입자 관리 시스템으로부터의 인증서 폐기 요청을 일괄적으로 접수하는 제 1 단계; 상기 RA 시스템이 자체의 인증서 폐기 데이터베이스를 검색하여 인증서 폐기를 위한 정보를 추출한 후에 CA 시스템과의 통신을 통하여 해당 인증서 폐기 업무를 일괄처리하는 제 2 단계; 및 상기 인증서 폐기 업무의 일괄처리 결과를 저장하는 제 3 단계를 포함하는 것을 특징으로 한다.In addition, another method of the present invention is a batch processing method of a certificate revocation task applied to a batch processing support apparatus for certificate related services, wherein the RA system collectively receives a certificate revocation request from a subscriber management system. ; A second step of the RA system searching for its own certificate revocation database and extracting information for revocation of a certificate, and collectively processing a corresponding certificate revocation task through communication with a CA system; And a third step of storing a batch processing result of the certificate revocation task.
또한, 본 발명의 또 다른 방법은, 인증서 관련업무의 일괄처리 지원장치에 적용되는 인증서 재발급 업무의 일괄처리 방법에 있어서, RA 시스템이 가입자 관리 시스템으로부터의 인증서 재발급 요청을 일괄적으로 접수하는 제 1 단계; 상기 RA 시스템이 자체의 인증서 재발급 데이터베이스를 검색하여 인증서 재발급을 위한 정 보를 추출한 후에 CA 시스템과의 통신을 통하여 해당 인증서 재발급 업무를 일괄처리하는 제 2 단계; 및 상기 인증서 재발급 업무의 일괄처리 결과를 저장하고, 상기 가입자 관리 시스템으로 전달하는 제 3 단계를 포함하는 것을 특징으로 한다.Further, another method of the present invention is a batch processing method of a certificate reissue task applied to a batch processing support apparatus for certificate related tasks, wherein the RA system collectively receives a certificate reissue request from a subscriber management system. step; A second step of the RA system searching for its own certificate reissue database to extract information for certificate reissue, and collectively processing the certificate reissue task through communication with the CA system; And a third step of storing a batch processing result of the certificate re-issuance task and delivering the result to the subscriber management system.
한편, 본 발명은, 프로세서를 구비한 인증서 관련업무의 일괄처리 지원장치에, RA 시스템이 가입자 관리 시스템으로부터의 인증서 발급인가 요청을 일괄적으로 접수하는 제 1 기능; 상기 RA 시스템이 자체의 인증서 발급인가 데이터베이스를 검색하여 인증서 발급인가를 위한 정보를 추출한 후에 CA 시스템과의 통신을 통하여 해당 인증서 발급인가 업무를 일괄처리하는 제 2 기능; 및 상기 인증서 발급인가 업무의 일괄처리 결과를 저장하고, 상기 가입자 관리 시스템으로 전달하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention provides a batch processing support apparatus for a certificate-related task having a processor, comprising: a first function for the RA system to collectively receive a certificate issuance authorization request from a subscriber management system; A second function of the RA system searching for its certificate issuance authorization database and extracting information for issuing the certificate issuance, and collectively processing the certificate issuance authorization task through communication with the CA system; And a computer readable recording medium storing a program for realizing a third function of storing a batch processing result of the certificate issuance authorization task and transferring the result to the subscriber management system.
또한, 본 발명은, 프로세서를 구비한 인증서 관련업무의 일괄처리 지원장치에, RA 시스템이 가입자 관리 시스템으로부터의 인증서 폐기 요청을 일괄적으로 접수하는 제 1 기능; 상기 RA 시스템이 자체의 인증서 폐기 데이터베이스를 검색하여 인증서 폐기를 위한 정보를 추출한 후에 CA 시스템과의 통신을 통하여 해당 인증서 폐기 업무를 일괄처리하는 제 2 기능; 및 상기 인증서 폐기 업무의 일괄처리 결과를 저장하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In addition, the present invention provides a batch processing support apparatus for a certificate related task including a processor, comprising: a first function for the RA system to collectively receive a certificate revocation request from a subscriber management system; A second function of the RA system searching for its own certificate revocation database and extracting information for revocation of a certificate, and collectively processing a corresponding certificate revocation task through communication with a CA system; And a computer readable recording medium having recorded thereon a program for realizing a third function of storing the batch processing result of the certificate revocation task.
또한, 본 발명은, 프로세서를 구비한 인증서 관련업무의 일괄처리 지원장치에, RA 시스템이 가입자 관리 시스템으로부터의 인증서 재발급 요청을 일괄적으로 접수하는 제 1 기능; 상기 RA 시스템이 자체의 인증서 재발급 데이터베이스를 검색하여 인증서 재발급을 위한 정보를 추출한 후에 CA 시스템과의 통신을 통하여 해당 인증서 재발급 업무를 일괄처리하는 제 2 기능; 및 상기 인증서 재발급 업무의 일괄처리 결과를 저장하고, 상기 가입자 관리 시스템으로 전달하는 제 3 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.The present invention also provides a batch processing support apparatus for a certificate related task including a processor, comprising: a first function for the RA system to collectively receive a certificate reissue request from a subscriber management system; A second function of the RA system searching for its own certificate reissue database and extracting information for certificate reissue, and collectively processing a corresponding certificate reissue through communication with a CA system; And a computer-readable recording medium storing a program for realizing a third function of storing the batch processing result of the certificate reissue issuance and delivering it to the subscriber management system.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1 은 본 발명이 적용되는 RA 기반의 인증서 관련업무의 일괄처리 지원 시스템의 구성 예시도이다.1 is an exemplary configuration of a batch processing support system for RA-based certificate-related business to which the present invention is applied.
도 1 에 도시된 바와 같이, 본 발명은 서비스 운영 센터와 공인(사설) 인증기관, 응용 서비스 사용자를 포함하고, 이들은 TCP/IP 환경에서 동작되도록 구성되어 있다. As shown in Fig. 1, the present invention includes a service operation center, a public (private) certification authority, and an application service user, and these are configured to operate in a TCP / IP environment.
서비스 운영 센터는 PKI 기반의 보안 서비스가 내재되고, 응용 서비스를 제공하는 응용 시스템(101), 응용 시스템의 가입자 관리 및 운영자 관리를 전적으로 수행하는 가입자 관리 시스템(102), CA 시스템(103)의 하위 기관으로 CA 시스템에서 정의한 인증업무준칙에 의거하여 사용자들의 인증서 발급 업무를 수행하는 RA 시스템(105), CA 시스템(103)에서 관리하는 사용자 정보중 인증 체계상 RA 시스템(105)에 소속하는 사용자 정보들을 추출하여 RA 시스템에서 자체 관리하는 사용자 DB(108), CA 시스템(103)에서 관리하는 인증서 정보중 인증 체계상 RA 시스 템(105)에 소속되는 사용자들의 인증서 정보들을 추출하여 RA 시스템에서 자체 관리하는 인증서 DB(109), RA 시스템(105)에서 응용 서비스의 가입자 관리 시스템과 연동하여 인증서 관련업무를 일괄적으로 처리하기 위해 자체적으로 관리하는 인증서 폐기 요청 DB(111), 인증서 발급인가 요청 DB(110), 및 인증서 재발급 요청 DB(112)를 구비한다.The service operation center includes an
그리고, 공인 인증기관은, 사용자 인증서 발급을 비롯한 인증서 관련 제반 업무를 수행하는 기관 및 시스템인 CA 시스템(103), CA 시스템에서 게시한 인증서 및 인증서 폐기 목록을 관리하는 시스템인 X.500 디렉토리 서버(104), CA 시스템에서 관리하는 DB 테이블중 사용자 인증서 발급과 관련하여 CA시스템에서 관리하는 사용자 DB(106), CA 시스템에서 관리하는 DB 테이블중 사용자 인증서 발급시 CA 시스템에서 인증서 관련 정보를 추출하여 관리하는 인증서 DB(107)를 구비한다.In addition, an authorized certification authority is a
도 2 는 본 발명에 따른 RA 기반의 인증서 관련업무의 일괄처리 지원장치의 일실시예 구성도이다.Figure 2 is a configuration diagram of an embodiment of a batch processing support device for RA-based certificate-related tasks according to the present invention.
도 2 에 도시된 바와 같이, RA 기반의 일괄처리 지원 기능을 위한 모듈은 가입자 관리 시스템, RA 시스템, 및 CA 시스템을 구비하고, 상기 가입자 관리 시스템은 가입자 관리 모듈(21), 및 인터페이스 모듈(22)을 구비하며, RA 시스템은 RA 기본 모듈(23), CA와 연동된 DB 관리 모듈(24), 인증서 관련업무 일괄처리 모듈(25), RA 자체 로그관리 모듈(26)을 구비한다. 이 중 본 발명과 관련된 모듈은, 인터페이스 모듈(22), CA와 연동된 DB 관리 모듈(24), 인증서 관련업무 일괄처리 모듈(25), 및 RA 자체 로그관리 모듈(26)이다.
As shown in FIG. 2, a module for RA-based batch processing function includes a subscriber management system, a RA system, and a CA system, and the subscriber management system includes a
상기 CA와 연동된 DB 관리 모듈(24)은 CA 시스템에서 관리되는 DB들중 RA 시스템에서 인증서 관련업무의 일괄처리 기능과 관련하여 필요한 정보, 즉 인증서를 발급받는 가입자들의 정보를 저장 및 관리하는 사용자 DB(108)와 가입자들에게 발급한 인증서 정보를 저장 및 관리하는 인증서 DB(109)에서 인증체계상 RA 시스템에 소속되는 가입자들에 한하여 해당 가입자 정보와 인증서 정보를 RA 시스템으로 가져와 RA 시스템에서 해당 테이블들을 저장 및 관리할 수 있는 기능을 제공하는 장치이다.The
이때, CA 시스템으로부터 데이터를 가져오는 방법은 수동에 의한 데이터 접근 방법과 자동에 의한 데이터 접근 방법으로 나뉘어진다. 이에 대해서는 도 3 에서 상세히 후술하기로 한다.At this time, a method of obtaining data from the CA system is divided into a manual data access method and an automatic data access method. This will be described later in detail with reference to FIG. 3.
인터페이스 모듈(22)은 가입자 관리 시스템에게는 가입자들로부터 접수된 인증서 관련업무를 일괄적으로 처리해 줄 것을 RA 시스템에게 요청하는 수단을 제공하고, RA 시스템에게는 가입자 관리 시스템으로부터 해당 요청을 받아들이는 수단을 제공하여 향후 업무가 일괄처리될 수 있도록 하는 모듈이다.The
인증서 관련업무 일괄처리 모듈(25)은 RA 시스템에서 자체적으로 관리하는 각 서비스 요청 DB(인증서 발급인가 요청 DB, 인증서 폐기 요청 DB, 인증서 재발급 요청 DB)로부터 응용 서비스의 가입자 관리 시스템이 전송한 각 요청을 검색한 후, 관련 DB들로부터 필요한 정보를 추출하여, CA 시스템과의 안전한 통신을 통하여 해당 요청을 처리하고 그에 따른 결과를 응용 서비스의 가입자 관리 시스템에게 오프라인으로 전송해 주는 기능을 제공한다. The certificate related task batch module 25 transmits each request transmitted by the subscriber management system of the application service from each service request DB (certificate issue request DB, certificate revocation request DB, certificate reissue request DB) managed by the RA system itself. After searching, extract the necessary information from the relevant DBs, provides the function to process the request through secure communication with the CA system and to transmit the result to the subscriber management system of the application service offline.
RA 자체 로그관리 모듈(26)은 응용 서비스의 가입자 관리 시스템이 RA 시스템으로 임의의 요청을 보내고, RA 데몬 프로세서에서 해당 요청을 받아들여 로컬 DB에 기록하는 일련의 과정과 RA 시스템이 해당 요청을 검색하여 CA 시스템과의 통신을 통해 처리하는 일련의 과정을 로그 DB로 관리하는 기능을 제공한다.The RA self-
도 3 은 본 발명에 따른 RA 기반의 인증서 관련업무의 일괄처리 지원을 위한 DB 관리 방식에 대한 일실시예 설명도이다.3 is a diagram illustrating an embodiment of a DB management scheme for supporting batch processing of RA-based certificate related tasks according to the present invention.
도 3 에 도시된 바와 같이, CA시스템으로부터 RA 시스템에 필요한 데이터를 획득하는 방법은 자동에 의한 데이터 접근 방법과 수동에 의한 데이터 접근 방법으로 나누어진다.As shown in FIG. 3, a method for acquiring data required for an RA system from a CA system is divided into an automatic data access method and a manual data access method.
수동에 의한 데이터 접근 방법은 RA 운영자 개입을 통해 기존의 RA 시스템에서 자체적으로 관리하는 사용자 DB와 인증서 DB 내용에 상관없이, CA 시스템으로부터 인증체계상 RA 시스템에 속하는 데이터들을 모두 가져와 RA 시스템에서 관리되는 사용자 DB와 인증서 DB에 저장 및 관리하는 방법이다.Manual data access method manages RA system by bringing all data belonging to RA system in certification system from CA system regardless of user DB and certificate DB contents managed by existing RA system through RA operator intervention. It is a method of storing and managing in user DB and certificate DB.
그리고, 자동에 의한 데이터 접근 방법은 RA 운영자 개입을 배제시키고 일정 주기에 의해 인증체계상 RA 시스템에 속하는 데이터들중 신규 혹은 변동된 데이터들을 가져와 RA 시스템에서 관리되는 사용자 DB와 인증서 DB에 저장 및 관리하는 방법이다.The automatic data access method excludes RA operator intervention and imports new or changed data among the data belonging to the RA system in the authentication system at regular intervals, and stores and manages them in the user DB and certificate DB managed by the RA system. That's how.
도 4a 는 본 발명에 따른 RA 시스템으로 인증서 발급인가 요청을 일괄적으로 전송하는 과정에 대한 일실시예 흐름도이다.4A is a flowchart illustrating a process of collectively transmitting a certificate issuance authorization request to the RA system according to the present invention.
가입자 관리 시스템에서 구동하는 임의의 프로세서가 신규 서비스 가입 요청 DB을 검색하여(401) 신규 가입을 요청한 가입자 수 N을 추출하고 처리된 가입자 수 n을 0으로 설정한다(402). 산출된 가입자 수가 0보다 큰 경우, 순차적으로 인증서 발급에 필요한 가입자 신상 정보를 추출하고(403) 인증서 발급인가에 필요한 정보를 추출한다(404). 403 과정에서 추출된 신규 가입자 정보와 404 과정에서 추출된 인증서 발급인가에 필요한 정보를 가지고 인증서 발급인가 함수를 호출하여(405) 인증서 발급인가 패킷을 생성하여 RA 시스템에서 구동되는 인터페이스 데몬 프로세서로 전달한다(406). Any processor running in the subscriber management system retrieves a new service subscription request DB (401), extracts the number of subscribers N who requested a new subscription, and sets the processed subscriber number n to 0 (402). If the calculated number of subscribers is greater than 0, subscriber identity information necessary for certificate issuing is sequentially extracted (403), and information necessary for authorization of certificate is extracted (404). With the new subscriber information extracted in
그러면, RA 시스템에서 구동되는 인터페이스 데몬 프로세서에서는 인증서 발급인가 패킷을 수신한 후에(412) 해당 인증서 발급인가 요청 패킷의 구조를 검증한다(413). 해당 패킷이 정확한지를 판단하여(415) 정확하지 않으면, 즉 패킷에 오류가 있는 경우에는 해당 사항을 RA 시스템에서 관리하는 로그 관리 모듈을 통하여 로그 테이블에 기록한 후 가입자 관리 시스템에서 동작되는 인터페이스 모듈에 에러를 리턴한다(415,420). 한편, 해당 패킷이 정확하면 해당 요청을 인증서 발급인가 요청 DB에 삽입한다(416). 해당 삽입 작업이 성공하였는지를 판단하여(417) 실패하였으면 로그 DB에 오류를 기록하고(418), 해당 요청 접수의 결과값을 가입자 관리 시스템으로 전달한다(420). 한편, 삽입 작업이 성공이면 해당 요청 접수의 성공을 기록한 후에(419), 해당 요청 접수의 결과값을 가입자 관리 시스템으로 전달한다(420).Then, after receiving the certificate issuance authorization packet (412), the interface daemon processor running in the RA system verifies the structure of the certificate issuance authorization request packet (413). If the packet is determined to be correct (415), if it is not correct, that is, if there is an error in the packet, the error is recorded in the log table through the log management module managed by the RA system, and then an error occurs in the interface module operated in the subscriber management system. (415, 420). Meanwhile, if the packet is correct, the request is inserted into the certificate issuance authorization request DB (416). It is determined whether the corresponding insert operation is successful (417), if it fails, the error is recorded in the log DB (418), and the result of receiving the request is transmitted to the subscriber management system (420). On the other hand, if the insertion is successful, after recording the success of the request reception (419), and transmits the result value of the request reception to the subscriber management system (420).
가입자 관리 시스템에서는 RA 시스템으로부터 온 결과값(420)에 따라 그 결과값이 성공인지를 확인하여(407) 성공이면 다음 가입자의 인증서 발급인가 업무를 추출하기 위해서 "n"을 1증가시키고, 더이상 가입자가 없으면(여기서 마지막 가입자는 n-1번째 가입자이다), 즉 "N=n"이면(410) 해당 프로세스를 종료시킨다(411). 한편, 해당 요청이 RA 시스템에 성공적으로 접수되지 않았으면, 해당 요청을 재시도할 것인지를 확인하여(408), 재시도이면 인증서 발급인가 패킷 전송 과정(405)으로 진행한다. 한편, n이 N보다 작으면(410) 같아질 때까지 신규 가입의 정보를 추출하는 과정(403)부터 반복 수행한다.The subscriber management system checks whether the result is successful according to the
도 4b 는 본 발명에 따른 RA 시스템이 인증서 발급인가 요청을 일괄적으로 처리하는 과정에 대한 일실시예 흐름도로서, 도 4a 에 계속하여 RA 시스템이 가입자 관리 시스템으로부터 전달받은 인증서 발급인가 요청을 일괄적으로 처리하는 과정이 기술된다.FIG. 4B is a flowchart illustrating a process of collectively processing a certificate issuance authorization request by the RA system according to the present invention, and continuing with FIG. 4A is a batch of certificate issuance authorization requests received from the subscriber management system. The process of processing is described.
RA 운영자는 카드 암호와 전자서명 암호를 RA 시스템에 입력한 후 RA 프로그램에 로그인한다(422). 임시변수 n을 0으로 셋팅하고(423) 인증서 발급인가 요청으로부터 인증서 발급인가 요청 DB를 검색하여(421) 인증서 발급 요청건수가 있는지를 확인한다(N>0)(424). 인증인가 발급 요청 건수가 0보다 크지 않으면 종료시키고, N이 0보다 크면 인증서 발급인가 요청 DB로부터 n번째 인증서 발급인가 요청 데이터를 추출하고(426) 인증서 발급인가 요청데이터에 대한 전자서명을 수행하고(427) 인증서 발급인가 요청 패킷을 생성한다(428). The RA operator enters the card password and the digital signature password into the RA system and logs in to the RA program (422). The temporary variable n is set to 0 (423) and the certificate issuance request DB is searched from the certificate issuance authorization request (421) to check whether there are a number of certificate issuance requests (N> 0) (424). If the number of certificate issuance requests is not greater than zero, terminate the process. If N is greater than 0, extract the nth certificate issuance request data from the certificate issuance request DB (426), and perform an electronic signature on the certificate issuance request data (426). 427) Generate a certificate issuance authorization request packet (428).
이후, 상기 인증서 발급인가 요청 패킷을 CA 시스템으로 전달하면, CA 시스템은 인증서 발급인가 처리 결과를 저장하고 RA 시스템으로 알려준다(438,439).Thereafter, when the certificate issuance authorization request packet is transmitted to the CA system, the CA system stores the certificate issuance authorization processing result and informs the RA system (438, 439).
이후, 처리결과가 성공인지를 확인하여(429) 성공이면 해당 요청 데이터를 테이블에 저장하고(431) 인증서 발급 인가 요청 성공 DB에 기록한다(430). 한편, CA 시스템으로부터 온 처리 결과 값이 실패이면, 해당 요청 데이터를 테이블에 저장하고(432) 인증서 발급인가 요청 실패 DB에 기록한다(433). 인증서 발급 요청이 성공 또는 실패에 상관없이 로그테이블에 해당 요청 결과를 기록한다(434). 그리고, 기 처리건수 n을 1증가시키고(435), 인증서 발급인가 요청 건수 N과 비교하여(436), 같지 않으면 n번째 인증서 발급인가 요청 데이터 추출 과정(426)으로 진행하고, 기 처리건수 n이 N과 같으면 인증서 발급인가 레코드를 삭제한다(437). Thereafter, it is determined whether the processing result is successful (429), and if successful, the corresponding request data is stored in the table (431), and the certificate issuing authorization request success DB is recorded (430). On the other hand, if the processing result value from the CA system is a failure, the request data is stored in the table (432) and the certificate issuance or request failure DB (433). Regardless of whether the certificate issuance request succeeds or fails, the result of the request is recorded in the log table (434). Then, the number of previously processed n is increased by 1 (435), and compared with the number of certificate issuance authorization requests N (436), if not equal to the nth certificate issuance authorization request
도 4c 는 본 발명에 따른 RA 시스템이 가입자 인증서를 발급에 필요한 정보를 가입자 관리 시스템으로 전달하는 과정에 대한 일실시예 흐름도로서, RA 시스템에서 가입자 관리 시스템으로 가입자가 인증서를 발급받기 위해서 필요한 정보, 즉 참조번호와 인가번호를 전달하는 방식이 설명된다. 4C is a flowchart illustrating an example of a process of delivering information required for issuing a subscriber certificate to a subscriber management system by the RA system according to the present invention; information required for a subscriber to be issued a certificate from the RA system to the subscriber management system; That is, a method of transmitting a reference number and an authorization number will be described.
해당 기능은 본 발명에서 제시된 DB 관리 모듈에 의해 인증체계상 RA 시스템에 소속되는 최신의 가입자 정보가 RA 시스템에서 관리되는 사용자 테이블에 저장되어 있다는 전제가 된다.This function is based on the premise that the latest subscriber information belonging to the RA system is stored in the user table managed by the RA system by the DB management module presented in the present invention.
해당 조건(예: 기간)에 맞는 가입자 수 n을 구한다(442). 가입자가 없으면 종료하고, 가입자 수가 0보다 큰 경우에는(443) 가입자가 인증서를 발급받기 위해 필요한 정보, 즉 가입자 DN(Distinguished Name), 참조번호, 및 인가번호들을 추출하여(444) 가입자 관리 시스템과 사전에 정의된 파일명으로 저장한다(445). 생성된 파일을 임의의 파일전송방식을 이용하여 가입자 관리 시스템과 사전에 정의된 위치 로 전송한다(446).The number of subscribers n that meets the condition (eg, duration) is found (442). If there is no subscriber, the process is terminated. If the number of subscribers is greater than 0 (443), the subscriber needs to extract information necessary for issuing a certificate, that is, subscriber DN (Distinguished Name), reference number, and authorization number (444). The file name is stored as a predefined file name (445). The generated file is transferred to a subscriber management system and a predefined location using an arbitrary file transfer method (446).
인증서 발급 인가 정보가 가입자 관리 시스템으로 전달되면(448), 이 정보는 사전에 정의된 디펙토리에 해당 파일이 저장된다(449). 가입자에게 임의의 방식을 이용하여 인증서 발급인가 정보를 통보한다(450).If the certificate issuance authorization information is passed to the subscriber management system (448), this information is stored in the predefined directory (449). The subscriber is notified of certificate issuance authorization information by using any method (450).
이후의 단계에서는 응용 서비스별 가입자 관리 시스템의 프로세서 흐름에 의거하여 가입자들에게 해당 정보가 전달되도록 한다. In subsequent steps, the information is delivered to subscribers based on the processor flow of the subscriber management system for each application service.
도 5a 와 도 5b 는 본 발명에서 제시하고자 하는 인증서 폐기 요청과 관련된 인터페이스 장치/일괄처리 장치에 대한 일련의 처리 과정을 나타낸다. 가입자 관리 시스템에 의한 가입자 인증서 폐기 요청은 가입자가 서비스 해지/중지를 요청한 경우에 사용할 수 있는 기능이다. 실제로 서비스 해지/중지를 요청한 가입자가 자신의 인증서를 폐기하지 않는다면, 비정상적인 서비스가 제공될 수 있기 때문에 이러한 경우를 대비하기 위해 가입자 관리 시스템에서 인증서 폐기 업무를 대행으로 처리할 수 있는 장치가 필요하다.5A and 5B illustrate a series of processes for an interface device / batch processing device related to a certificate revocation request to be presented in the present invention. The subscriber certificate revocation request by the subscriber management system is a function that can be used when the subscriber requests service termination / stop. In fact, if the subscriber who requested the service cancellation / suspension does not revoke his / her certificate, an abnormal service may be provided, and thus, a device capable of handling the certificate revocation task in the subscriber management system is needed to prepare for such a case.
도 5a 는 본 발명에 따른 RA 시스템으로 인증서 폐기와 관련한 요청을 일괄적으로 전송하는 과정에 대한 일실시예 흐름도로서, 가입자 관리 시스템이 RA 시스템으로 인증서 폐기와 관련한 요청을 일괄적으로 전송하는 방법이 설명된다.FIG. 5A is a flowchart illustrating a process of collectively transmitting a request for certificate revocation to a RA system according to the present invention. The method for a subscriber management system to collectively transmit a request for certificate revocation to a RA system is provided. It is explained.
먼저, 가입자 관리 시스템에서 구동되는 프로세서가 인증서 폐기 요청 DB를 검색하여(501) 인증서 폐기 요청 가입자 수 N을 계산하고 처리된 건수 n을 0로 설정한다(502). 인증서 폐기 요청을 해야 하는 가입자의 DN을 인증서 폐기 요청 DB(501)에서 추출한다(503). 인증서 폐기 요청 DB에서 추출된 가입자의 DN을 가지 고 인증서 폐기 요청 함수를 호출한다(504). 인증서 폐기 요청 인터페이스 함수는 인증서 폐기 요청 패킷을 생성하여 RA 시스템에서 구동되는 인터페이스 데몬 프로세서로 전달한다(505).First, a processor running in the subscriber management system retrieves a certificate revocation request DB (501), calculates the number of certificate revocation request subscribers N, and sets the processed number n to 0 (502). The DN of the subscriber who should make the certificate revocation request is extracted from the certificate revocation request DB 501 (503). Calling the certificate revocation request function with the DN of the subscriber extracted from the certificate revocation request DB (504). The certificate revocation request interface function generates a certificate revocation request packet and delivers the certificate revocation request packet to an interface daemon processor running in the RA system (505).
RA 시스템에서 구동되는 데몬 프로세서는 인증서 폐기 요청 패킷을 수신한 후(512) 해당 인증서 폐기 요청 패킷의 구조를 검증한다(513). 검증 결과에 따라 해당 패킷이 정확한지를 확인하여(514) 오류가 있는 경우에는 해당 사항을 RA 시스템에서 구동되는 로그 관리 모듈을 통하여 로그 테이블에 해당 요청의 오류를 기록한 후 가입자 관리 시스템에서 동작하는 인증서 폐기 요청 인터페이스 함수에 에러를 리턴한다(515,520). 한편, 수신된 패킷이 정상적인 경우에는 해당 요청을 RA 시스템에서 자체적으로 관리하는 인증서 폐기 요청 DB에 삽입하며(516), 해당 요청을 인증서 폐기 요청 DB에 삽입하는 과정에서 오류가 발생하였는지를 확인하여(517) 오류가 발생하였으면 해당 사항을 로그 관리 모듈을 통하여 로그 테이블에 기록한 후(518) 가입자 관리 시스템에서 동작하는 인증서 폐기 요청 인터페이스 함수에 에러를 리턴한다(520).The daemon processor running in the RA system verifies the structure of the certificate revocation request packet after receiving the certificate revocation request packet (512) (513). If there is an error by checking whether the packet is correct according to the verification result (514), record the error of the request in the log table through the log management module driven by the RA system, and then revoke the certificate operated by the subscriber management system. Return an error to the request interface function (515, 520). Meanwhile, if the received packet is normal, the request is inserted into the certificate revocation request DB managed by the RA system itself (516), and it is checked whether an error has occurred in the process of inserting the request into the certificate revocation request DB (517). If an error occurs, the relevant information is recorded in the log table through the log management module (518), and an error is returned (520) to the certificate revocation request interface function operating in the subscriber management system.
한편, 상기 과정에서 오류가 발생하지 않았으면, 로그 관리 모듈을 통하여 로그 테이블에 해당 요청 접수의 성공 내용을 기록한 후(519) 가입자 관리 시스템에서 동작되는 인증서 폐기 요청 인터페이스 함수에 성공 내용을 리턴한다(520).On the other hand, if no error occurred in the above process, through the log management module records the success of the request received in the log table (519) and returns the success to the certificate revocation request interface function operated in the subscriber management system ( 520).
이후, 인증서 폐기 인터페이스 모듈에서는 RA 시스템으로부터 전달받은 결과 값이 성공인지를 확인하여(506) 성공이면 n을 1증가시키고(508), 인터페이스 모듈로부터 반환된 결과 값이 실패인 경우에는 해당 요청을 재시도할 것인지를 결정하 여(507) 재시도할 경우에는 상기 인증서 폐기 요청 함수 호출 과정(504)으로 진행하고, 재시도를 선택하지 않은 경우에는 처리건수 n을 1 증가시킨다(508). 이후, 인증서 폐기 요청을 보내야 하는 가입자 수를 체크하여(509) 처리해야 할 가입자가 남은 경우에는 n번째 인증서 폐기 요청 가입자의 DN을 데이터블에서 추출하는 과정(502)으로 진행하고, 그렇지 않은 경우에는 인증서 폐기 요청 처리를 위한 프로세서가 종료된다(510).Thereafter, the certificate revocation interface module checks whether the result value received from the RA system is successful (506). If the result is successful, n is incremented by 1 (508). If the result value returned from the interface module is unsuccessful, the request is repeated. If it is determined whether to retry (507), the process proceeds to the certificate revocation request
일반적으로 인증서를 폐기하기 위해서는 X.509에서 정의한 인증서 구조체 중 인증서 일렬 번호가 필요하다. 그러나, 일반 가입자 관리 시스템에서는 가입자의 DN을 정확히 알기도 어려울 뿐만 아니라 가입자의 인증서 일렬 번호를 알기는 더욱 불가능하다. 그래서, 본 발명에서는 이러한 문제점을 해결하기 위해 가입자 관리 시스템에서는 단지 가입자 DN 혹은 가입자 명만을 RA 시스템으로 전달하고, RA 시스템에서 전달받은 가입자 DN 혹은 가입자 명을 키로 하여 로컬 시스템에서 관리하는 사용자 DB과 인증서 DB을 연계하여 인증서 폐기를 요청한 가입자의 인증서 일렬 번호를 추출하여 인증서 폐기 요청을 대행하는 방법을 제안하였다.In general, to revoke a certificate, you need the certificate serial number in the certificate structure defined in X.509. However, in the general subscriber management system, it is not only difficult to know the subscriber's DN accurately, but also impossible to know the subscriber's certificate serial number. Thus, in the present invention, in order to solve this problem, in the subscriber management system, only the subscriber DN or subscriber name is delivered to the RA system, and the user DB and certificate managed in the local system using the subscriber DN or subscriber name received from the RA system as a key. We proposed a method of substituting the certificate revocation request by extracting the certificate serial number of the subscriber who requested the certificate revocation by linking the DB.
도 5b 는 본 발명에 따른 RA 시스템이 인증서 폐기 요청을 일괄적으로 처리하는 과정에 대한 일실시예 흐름도로서, RA 시스템이 가입자 관리 시스템으로부터 받은 인증서 폐기 요청을 일괄적으로 처리하는 과정이 설명된다.5B is a flowchart illustrating a process of collectively processing a certificate revocation request by the RA system according to the present invention, and illustrates a process of collectively processing a certificate revocation request received from the subscriber management system by the RA system.
RA 운영자는 카드 암호와 전자서명 암호를 입력한 후 RA 시스템으로 로그인한 후에(522) n을 0으로 셋팅한다(523). 인증서 폐기 요청 DB(521)를 검색하여 인증서 폐기 요청 건수 N을 계산한다(524). 인증서 폐기 요청 건수가 0보다 큰지를 확인하여(525) 작으면 종료하고, 크면 인증서 폐기 요청 DB에서 인증서 폐기를 요청한 가입자의 DN(혹은 가입자 명)을 추출한다(526). 추출된 가입자 DN을 키로 하여 인증서 DB(528)로부터 가입자의 인증서 일련번호 정보를 가져온다(527). 인증서 일련번호를 입력값으로 한 인증서 폐기 패킷을 생성하고 이에 대한 전자서명을 수행하여(529), 인증서 폐기 요청 패킷을 CA 시스템으로 전송한다.The RA operator enters the card password and the digital signature password and logs in to the RA system (522) and sets n to 0 (523). The certificate
CA 시스템은 해당 요청을 받아들여 인증서 폐기 처리를 수행하여 저장하고(539,540) 그에 따른 결과 값을 RA 시스템으로 전송한다.The CA system accepts the request, performs the certificate revocation process, stores it (539, 540), and transmits the result value to the RA system.
RA 시스템은 전송받은 결과 값이 성공인지를 확인하여(530) 실패인 경우에 해당 인증서 폐기 요청 데이터를 인증서 폐기 요청 실패 DB(533)에 저장한다(532). 한편, 결과 값이 성공인 경우에는 해당 인증서 폐기 요청 데이터를 인증서 폐기 요청 성공 DB(531)에 저장한다(534). 상기 과정에서 인증서 폐기 요청 실패/성공 DB에 저장한 후, 처리 상황을 로그 관리 모듈을 통하여 로그 테이블에 저장하여 관리한다(535). 이후, 기처리 건수 n을 1증가시키고(536) 처리되어야 할 요청이 남아 있는지를 확인하여(537) 남아 있는 경우에는 n번째 인증서 폐기 요청 가입자 DN을 가져오는 과정(526)으로 진행하고, 처리되어야 할 요청이 남지 않은 경우에는 인증서 폐기 요청 DB의 레코들를 삭제한 후 인증서 폐기 일괄처리 모듈을 종료한다(538).The RA system checks whether the received result value is successful (530) and stores the corresponding certificate revocation request data in the certificate revocation
상기의 일련의 과정에서 인증서 폐기 요청 실패 DB가 별도로 관리되는 이유는 운영자가 요청별로 해당 요청 처리가 실패된 이유에 대한 확인 과정을 거쳐 인증서 폐기를 수행할 수 있도록 하기 위해서이다. 본 발명에서는 이러한 처리 과정 에서 인증서 폐기가 성공되면 해당 요청은 인증서 폐기 요청 실패 DB에서 삭제되고 인증서 폐기 요청 성공 DB에 추가되며 각각의 처리 결과가 로그 테이블에 기록되는 장치를 마련하여 향후 RA 운영자에 의한 작업과 그에 대응한 CA 시스템에서 관리되는 관련 정보와 비교/검증될 수 있도록 하였다.The reason why the certificate revocation request failure DB is separately managed in the above-described process is to allow the operator to perform certificate revocation after confirming why the request processing failed for each request. In the present invention, if the certificate revocation is successful in such a process, the request is deleted from the certificate revocation request failure DB, added to the certificate revocation request success DB, and each processing result is provided in the log table to provide a device for future by the RA operator It can be compared and verified with the work and related information managed by the corresponding CA system.
도 6a 및 도 6b 는 본 발명에서 제시하고자 하는 인증서 재발급과 관련된 인터페이스 장치/일괄처리 장치에 대한 일련의 처리 과정을 나타낸다.6A and 6B illustrate a series of processes for an interface device / batch processing device related to certificate reissue is proposed in the present invention.
본 발명에서는 인증서 재발급이란 기존의 인증서를 폐기하고, 잔여 유효 기간 만큼 신규 인증서를 발급받아 사용할 수 있도록 가입자들에게 새로운 참조번호와 인가번호를 제공하는 복합적인 인증서 관련업무로서 제안되며, 이때 신규 인증서 발급을 통해 가입자가 사용하는 전자서명 키 쌍과 키 관리용 키 쌍은 이전에 사용되는 것들과는 달라지는 것으로 정의된다. In the present invention, the certificate reissue is proposed as a complex certificate related task that provides a new reference number and authorization number to subscribers so that the existing certificate can be discarded and a new certificate can be issued and used for the remaining valid period. Through this, the digital signature key pair and key management key pair used by the subscriber are defined as being different from those used previously.
실제 서비스 상황에서 이러한 인증서 재발급 업무는 빈번히 발생한다. 그 예로 가입자가 암호용 패스워드를 기억하지 못하는 경우에, 해당 패스워드는 임의의 시스템이나 매체에 물리적으로 저장되는 것이 아니므로 전자서명용 비밀키와 키 관리용 비밀키를 복호화할 수 없게 되어 해당 서비스를 사용할 수 없게 된다. 이러한 경우에 본 발명에서 제안되는 인증서 재발급 인터페이스 장치/일괄처리 장치를 통해 가입자 관리 시스템은 사용자들로부터 해당 민원 사항을 받아들여 가입자의 신분 확인 과정을 거쳐 해당 장치를 사용해 가입자들이 빠른 시간 내에 서비스를 사용할 수 있도록 하는 메커니즘을 확보하게 된다. In real service situations, this certificate re-issue is a frequent occurrence. For example, if the subscriber does not remember the password for the password, the password is not physically stored on any system or medium, so that the digital key and the key management secret key cannot be decrypted. It becomes impossible. In this case, through the certificate reissue interface device / batch device proposed in the present invention, the subscriber management system accepts the corresponding complaint from the users and through the identification process of the subscriber, the subscriber can use the service as soon as possible. You have a mechanism to make it work.
도 6a 는 본 발명에 따른 RA 시스템으로 인증서 재발급 요청을 일괄적으로 전송하는 과정에 대한 일실시예 흐름도로서, 가입자 관리 시스템에서 RA 시스템으로 인증서 재발급 요청이 일괄적으로 전송되는 방법이 기술된다. FIG. 6A is a flowchart illustrating a process of collectively transmitting a certificate reissue request to the RA system according to the present invention, and illustrates a method of collectively transmitting a certificate reissue request from the subscriber management system to the RA system.
먼저, 가입자 관리 시스템에서 구동되는 프로세서가 인증서 재발급 요청 DB(601)을 검색하여 인증서 재발급 요청 가입자 수 N을 산출하고, 처리된 가입자 수 n을 0으로 설정한다(602). 인증서 재발급을 요청한 가입자의 DN(혹은 가입자 명)을 해당 테이블에서 추출한 후에(603), 추출된 가입자의 DN을 입력값으로 인증서 재발급 요청 함수를 호출한다(604). 상기의 재발급 요청 인터페이스 함수에서 인증서 재발급 요청 패킷을 생성하여 RA 시스템에서 구동되는 인터페이스 데몬 프로세서로 전달한다(605).First, a processor running in the subscriber management system retrieves a certificate
RA 시스템에서 구동되는 데몬 프로세서는 인증서 재발급 요청 패킷을 수신한 후(611) 해당 인증서 재발급 패킷의 구조를 검증한다(612). 검증후 인증서 재발급 요청 패킷에 오류가 있는지를 확인하여(613) 오류가 있으면 해당 사항을 RA 시스템에서 구동되는 로그 관리 모듈을 통하여 로그 테이블에 해당 오류 내역을 기록한 후(614) 가입자 관리 시스템에서 동작되는 인증서 재발급 요청 인터페이스 함수로 에러를 리턴한다(619). 한편, 상기 확인 결과, 수신된 패킷이 정상적인 경우에는 해당 인증서 재발급 요청을 인증서 재발급 요청 DB에 삽입한다(615). 상기 삽인 과정에서 오류가 발생되었는지를 확인하여(616) 오류가 발생되었으면 로그 관리 모듈을 통하여 로그 테이블에 기록한 후(617) 가입자 관리 시스템에서 동작되는 인증서 폐기 요청 인터페이스 함수에 에러를 리턴한다(619). 한편, 상기 삽입 과정에서 오류가 발생되지 않았으면 로그 관리 모듈을 통하여 로그 테이블에 해당 요청 접수의 성공 내용을 기록한 후(618) 가입자 관리 시스템에서 동작하는 인증서 재발급 요청 인터페이스 함수에 성공을 리턴한다(619).The daemon processor running in the RA system verifies the structure of the certificate reissue packet after receiving the certificate reissue request packet (611) (612). After verification, it is checked whether there is an error in the certificate re-issuance request packet (613), and if there is an error, the corresponding information is recorded in the log table through the log management module driven in the RA system (614) and then operated in the subscriber management system. An error is returned to the certificate reissue request interface function (619). On the other hand, if the received packet is normal, as a result of the check, the certificate reissue request is inserted into the certificate reissue request DB (615). In
이후, 인증서 재발급 인터페이스 모듈에서는 RA 시스템으로부터 전달받은 결과 값이 성공인지를 확인하여(606) 성공이면 n을 1증가시키고(608) 실패이면 해당 요청을 재시도할 것인지를 결정하도록 하여(607) 재시도를 하는 경우에는 상기 가입자 DN을 입력값으로 인증서 재발급 함수를 호출하는 과정(604)으로 진행하고, 재시도를 선택하지 않은 경우에는 n을 1증가시킨다(608). 이후, 인증서 재발급 요청을 보내야 하는 가입자 수를 체크한다(609). 처리해야 할 가입자가 남은 경우에는 n번째 인증서 재발급 요청 가입자의 DN을 테이블에서 추출하는 과정(603)으로 진행하고, 처리해야 할 가입자가 남지 않은 경우에는 인증서 재발급 요청 처리를 위한 프로세서가 종료된다(610).Thereafter, the certificate reissue interface module checks whether the result value received from the RA system is successful (606) and increases n if it is successful (608), and determines whether to retry the request (607) if it fails. If an attempt is made, the process proceeds to a
앞서 기술한 것처럼 인증서 재발급 업무는 인증서 폐기와 인증서 발급인가가 복합적으로 포함된 인증서 관련업무이다. 따라서, 해당 업무 처리를 위해서는 X.509에서 정의한 인증서 구조체 중 인증서 일렬 번호가 필요하다. 그러나, 일반 가입자 관리 시스템에서는 가입자의 DN을 정확히 알기도 어려울 뿐만 아니라 가입자의 인증서 일렬 번호를 알기는 더욱 불가능하다. 이에 본 발명에서는 앞서 기술된 인증서 폐기 일괄처리 업무와 연계하여 가입자 관리 시스템에서는 단지 가입자 DN 혹은 가입자 명만을 RA 시스템으로 전달하고, RA 시스템에서 전달받은 가입자 DN 혹은 가입자 명을 키로 하여 로컬 시스템에서 관리하는 사용자 DB과 인증서 DB을 연계하여 인증서 재발급을 요청한 가입자의 인증서 일렬 번호를 추출하여 인증 서 폐기 요청을 대행하는 방식을 도입하였다.As described above, certificate reissue is a certificate related task that includes a combination of certificate revocation and certificate issuance. Therefore, the certificate serial number is required in the certificate structure defined in X.509 for the relevant business process. However, in the general subscriber management system, it is not only difficult to know the subscriber's DN accurately, but also impossible to know the subscriber's certificate serial number. Accordingly, in the present invention, in connection with the certificate revocation batch processing described above, the subscriber management system delivers only the subscriber DN or subscriber name to the RA system, and manages in the local system with the subscriber DN or subscriber name received from the RA system as a key. Introduced a method of extracting the certificate serial number of the subscriber who requested the certificate reissue by linking the user DB and the certificate DB and acting for the certificate revocation request.
도 6b 는 본 발명에 따른 RA 시스템이 인증서 재발급 요청을 일괄적으로 처리하는 과정에 대한 일실시예 흐름도로서, RA 시스템이 가입자 관리 시스템으로부터 전달받은 인증서 재발급 요청을 일괄적으로 처리하는 과정을 설명한다.6B is a flowchart illustrating a process of collectively processing a certificate reissue request by the RA system according to the present invention, and illustrates a process of collectively processing a certificate reissue request received from the subscriber management system by the RA system. .
RA 운영자가 카드 암호와 전자서명 암호를 입력한 후 RA 프로그램에 로그인한 후(621) n을 0으로 셋팅한다(622). 증서 재발급 요청 DB(620)를 검색하여 인증서 재발급 요청 건수를 계산한다(623). 해당 요청 건수가 0보다 큰지를 확인하여(624) 아니면 종료하고 0보다 크면 인증서 재발급 요청 DB(620)에서 인증서 재발급을 요청한 가입자의 DN(Distinguished Name)을 추출한다(625). RA 시스템이 관리하는 인증서 DB(627)에서 해당 가입자 DN을 키로 하여 가입자의 인증서 일렬 번호를 추출한다(626). 인증서 일련번호를 입력값으로 하여 인증서 재발급에 해당되는 패킷을 생성한 후에 이에 대한 전자서명을 수행하여(628) 인증서 재발급 패킷을 CA 시스템에서 수행되는 프로세서로 전달한다.After the RA operator inputs the card password and the digital signature password, the RA operator logs in to the RA program (621) and sets n to 0 (622). The certificate
CA 시스템은 인증서 재발급 요청을 받아들여 인증서 재발급 처리를 수행하여 저장하고(638 내지 641) 그에 따른 결과 값을 RA 시스템으로 전송한다. The CA system receives the certificate reissue request and performs certificate reissue process (638 to 641) and transmits the result value to the RA system.
RA 시스템에서 해당 결과값이 성공인지를 확인하여(630) 실패인 경우에는 해당 인증서 재발급 요청 데이터를 인증서 재발급 요청 실패 DB(632)에 저장한다(631). 한편, 결과 값이 성공인 경우에는 해당 인증서 재발급 요청 데이터를 인증서 재발급 요청 성공 DB(629)에 저장한다(633). 이후, 상기 처리 상황을 로그 관리 모듈을 통하여 로그 테이블에 기록하여 관리한다(634). 이후, 기 처리건수 n을 1증가시킨 후에(635) 처리되어야 될 요청이 남아 있는지를 확인하여(636) 남아 있는 경우에는 n번째 인증서 재발급 요청 가입자 DN을 가져오는 과정(617)으로 진행하고, 처리되어야 될 요청이 남지 않은 경우에는 인증서 재발급 요청 DB의 데이터를 삭제한 후 인증서 재발급 일괄처리 모듈은 종료된다(637). The RA system checks whether the result value is successful (630), and if it fails, stores the corresponding certificate reissue request data in the certificate reissue request failure DB 632 (631). On the other hand, if the result value is successful, the certificate reissue request data is stored in the certificate reissue request success DB 629 (S633). Thereafter, the processing status is recorded and managed in a log table through a log management module (634). Thereafter, after increasing the number n of processings (1) (635), it is checked whether there is a request to be processed (636), and if it remains, the process proceeds to a process (617) of obtaining the nth certificate reissue request subscriber DN. If there is no request to be left, the certificate reissue batch module is terminated after deleting the data of the certificate reissue request DB (637).
상기의 일련의 과정에서 인증서 재발급 요청 실패 DB을 별도로 관리하는 이유는 운영자의 요청별로 해당 요청 처리가 실패된 이유에 대한 확인 과정을 거쳐서 인증서 재발급이 수행될 수 있도록 하기 위해서이다. 본 발명에서는 이러한 처리 과정에서 인증서 재발급 업무가 성공하면, 해당 요청은 인증서 재발급 요청 실패 DB에서 삭제되고 인증서 재발급 요청 성공 DB에 추가되며 각각의 처리 결과가 로그 테이블에 기록되는 장치를 마련하여 향후 RA 운영자에 의한 작업과 그에 대응한 CA 시스템에 의해서 관리되는 관련 정보가 비교/검증될 수 있도록 하였다.The reason why the certificate reissue request failure DB is separately managed in the series of processes is to allow the certificate reissue to be performed after checking the reason for the failure of the request processing for each operator's request. In the present invention, if the certificate reissue task succeeds in this process, the request is deleted from the certificate reissue request failure DB, added to the certificate reissue request success DB, and the respective RA results are provided in the log table to provide a device for future RA operator The work performed by and the related information managed by the corresponding CA system can be compared / verified.
인증서 재발급 일괄처리 장치를 수행한 후, 가입자가 인증서를 발급받기 위해서 필요한 정보, 즉 참조번호와 인가번호의 전달 방식은 도 4c 에 나타난 일련의 과정들을 따르도록 한다.After performing the certificate reissue batch processing device, the information required for the subscriber to issue the certificate, that is, the reference number and the authorization number, is transmitted according to a series of processes shown in FIG. 4C.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드디스크, 광자기디스크 등)에 저장될 수 있다.The method of the present invention as described above may be implemented in a program and stored in a computer-readable recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.).
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식 을 가진 자에게 있어 명백할 것이다.
The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the art without departing from the technical spirit of the present invention. It will be apparent to those of ordinary skill.
상기한 바와 같은 본 발명은, 인증서 관련업무, 즉 인증서 발급인가, 인증서 폐기, 인증서 재발급 등의 서비스가 가입자들로부터 숨겨져 원할하게 처리될 수 있을 뿐만 아니라 서비스 지연 요소를 제거할 수 있는 효과가 있다.The present invention as described above, the service, such as certificate issuance, certificate issuance, certificate revocation, certificate reissue is not only hidden from subscribers can be handled smoothly, but also there is an effect that can eliminate the service delay factor.
또한, 본 발명은, RA 시스템 상에서의 일괄처리가 지원됨으로써 RA 시스템 운영자 개입에 따른 오류나 운영자 개입을 최소화함으로써 RA 시스템의 효율적인 운영을 보장할 수 있는 효과가 있다.In addition, the present invention has the effect of ensuring efficient operation of the RA system by minimizing errors or operator intervention due to RA system operator intervention by supporting batch processing on the RA system.
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010039153A KR100758790B1 (en) | 2001-06-30 | 2001-06-30 | The aparatus and method for batch processing about authentication by RA |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010039153A KR100758790B1 (en) | 2001-06-30 | 2001-06-30 | The aparatus and method for batch processing about authentication by RA |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20030003414A KR20030003414A (en) | 2003-01-10 |
KR100758790B1 true KR100758790B1 (en) | 2007-09-17 |
Family
ID=27712960
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020010039153A KR100758790B1 (en) | 2001-06-30 | 2001-06-30 | The aparatus and method for batch processing about authentication by RA |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100758790B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100432103B1 (en) * | 2001-08-31 | 2004-05-17 | 주식회사 안랩유비웨어 | An authentication and authorization service system |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000065037A (en) * | 1996-04-26 | 2000-11-06 | 쓰리콤 코포레이션 | Current-Controlled Oscillator with Voltage-Independent Capacitance |
KR20010008972A (en) * | 1999-07-06 | 2001-02-05 | 이형도 | Method for fabricating piezoelectric/electrostrictive actuator using adhesion process |
KR20010079161A (en) * | 2001-06-19 | 2001-08-22 | 김영진 | The equipment authentication and communication encryption key distribution method in a wireless local area network environments |
-
2001
- 2001-06-30 KR KR1020010039153A patent/KR100758790B1/en not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20000065037A (en) * | 1996-04-26 | 2000-11-06 | 쓰리콤 코포레이션 | Current-Controlled Oscillator with Voltage-Independent Capacitance |
KR20010008972A (en) * | 1999-07-06 | 2001-02-05 | 이형도 | Method for fabricating piezoelectric/electrostrictive actuator using adhesion process |
KR20010079161A (en) * | 2001-06-19 | 2001-08-22 | 김영진 | The equipment authentication and communication encryption key distribution method in a wireless local area network environments |
Also Published As
Publication number | Publication date |
---|---|
KR20030003414A (en) | 2003-01-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7904952B2 (en) | System and method for access control | |
US6275941B1 (en) | Security management method for network system | |
US8627417B2 (en) | Login administration method and server | |
US8832453B2 (en) | Token recycling | |
EP1654852B1 (en) | System and method for authenticating clients in a client-server environment | |
RU2458481C2 (en) | Method and system for trusted third party-based two-way object identification | |
US8838959B2 (en) | Method and apparatus for securely synchronizing password systems | |
EP1288765A1 (en) | Universal authentication mechanism | |
US8261336B2 (en) | System and method for making accessible a set of services to users | |
US20100077208A1 (en) | Certificate based authentication for online services | |
US7213262B1 (en) | Method and system for proving membership in a nested group using chains of credentials | |
JP2001197055A (en) | Device, method, and service system for proxy authentication and computer-readable recording medium | |
KR20040013668A (en) | Validation Method of Certificate Validation Server using Certificate Policy Table and Certificate Policy Mapping Table in PKI | |
WO2000042730A1 (en) | Seamless integration of application programs with security key infrastructure | |
WO2008155277A2 (en) | Secure distribution of a security token through a mobile telephony provider's infrastructure | |
CN101540757A (en) | Method and system for identifying network and identification equipment | |
CN102209046A (en) | Network resource integration system and method | |
CN105827621A (en) | Internet-based reservation platform login system and login method thereof | |
CN107819766B (en) | Security authentication method, system and computer readable storage medium | |
CN102970308A (en) | User authentication method and server | |
JP7099198B2 (en) | Management equipment, management systems and programs | |
US20140149738A1 (en) | Method for accessing a service of a service provider by providing anonymously an attribute or a set of attributes of a user | |
KR101803535B1 (en) | Single Sign-On Service Authentication Method Using One-Time-Token | |
KR100758790B1 (en) | The aparatus and method for batch processing about authentication by RA | |
JP2002073556A (en) | Authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20110901 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |