KR100760028B1 - Long-term verification method and system for certificate of the electronic signature - Google Patents

Long-term verification method and system for certificate of the electronic signature Download PDF

Info

Publication number
KR100760028B1
KR100760028B1 KR1020050112029A KR20050112029A KR100760028B1 KR 100760028 B1 KR100760028 B1 KR 100760028B1 KR 1020050112029 A KR1020050112029 A KR 1020050112029A KR 20050112029 A KR20050112029 A KR 20050112029A KR 100760028 B1 KR100760028 B1 KR 100760028B1
Authority
KR
South Korea
Prior art keywords
certificate
data
long
server
term verification
Prior art date
Application number
KR1020050112029A
Other languages
Korean (ko)
Other versions
KR20070054049A (en
Inventor
심재훈
강유경
Original Assignee
주식회사 드림시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 드림시큐리티 filed Critical 주식회사 드림시큐리티
Priority to KR1020050112029A priority Critical patent/KR100760028B1/en
Publication of KR20070054049A publication Critical patent/KR20070054049A/en
Application granted granted Critical
Publication of KR100760028B1 publication Critical patent/KR100760028B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

본 발명은 전자서명 당시의 인증서 상태를 확인할 수 있도록 함으로서 전자서명이 인증서의 유효 상태에서 생성되었는지 여부를 신뢰적으로 검증할 수 있는 인증서 장기검증방법에 관한 것이다. 본 발명의 장기검증방법은, 장기검증서버S(11)에서: 장기검증을 위한 인증서정보를 등록하고, 인증기관서버(18)로부터 상기 등록된 인증서에 대한 상태확인정보를 전송받아, 이에 전자서명을 수행하여 서명된 데이터를 생성하고, 이 데이터에 TSA서버(19)로부터 발급받은 타임스탬프 토큰을 추가함으로서 데이터의 유효성을 연장시켜, 저장하는 데이터 저장단계와; 클라이언트 시스템(20)에서: 장기검증서버S(11)에 접속하여 인증서정보와 시점정보를 함께 제공하여 데이터를 요청하고, 장기검증서버S(11)로부터 해당 데이터를 수신하면, 데이터 자체의 유효성을 검증한 후에, 데이터에 포함된 인증서 상태확인정보를 통해 검증대상이 되는 인증서의 유효성을 확인하는 검증단계로 이루어진다.The present invention relates to a long-term verification method for a certificate capable of reliably verifying whether a digital signature was generated in a valid state of a certificate by enabling the verification of the certificate status at the time of the digital signature. In the long-term verification method of the present invention, in the long-term verification server S (11): register the certificate information for the long-term verification, and receives the status confirmation information for the registered certificate from the certification authority server 18, the electronic signature A data storage step of generating signed data, extending the validity of the data by adding a timestamp token issued from the TSA server 19 to the data, and storing the signed data; In the client system 20: access the long-term verification server S (11) to provide the certificate information and time information together to request data, and when receiving the data from the long-term verification server S (11), validity of the data itself After verification, a verification step of verifying the validity of the certificate to be verified through the certificate status check information included in the data.

전자서명, 인증서, 장기검증, 인증기관, 타임스탬프 Digital signature, certificate, long-term verification, certification authority, time stamp

Description

전자서명 인증서의 장기검증방법 및 시스템 {Long-term verification method and system for certificate of the electronic signature}Long-term verification method and system for certificate of the electronic signature}

도 1은 종래 검증방법을 설명하기 위한 도면.1 is a view for explaining a conventional verification method.

도 2는 본 발명에 따른 장기검증을 수행하기 위한 시스템 구성도.2 is a system configuration for performing long-term verification according to the present invention.

도 3은 본 발명에 따른 장기검증의 흐름도.3 is a flow chart of long-term verification according to the present invention.

도 4는 도 3에서 사인된 데이터 자체에 대한 검증의 흐름도.4 is a flow chart of verification for the signed data itself in FIG.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10. 전자서명 인증서 장기검증시스템10. Digital Signature Certificate Long-term Verification System

11. 장기검증서버 12. 인증서등록모듈11. Long-term verification server 12. Certificate registration module

13. 인증서상태확인 발급수행모듈13. Module for issuing certificate status check

14. 전자서명모듈 15. 타임스탬프 토큰 발급수행모듈14. Digital Signature Module 15. Timestamp Token Issuance Module

16. 저장관리모듈 17. 서버측 데이터송수신모듈16. Storage management module 17. Server-side data transmission / reception module

18. 인증기관서버 19. TSA서버18. Certificate Authority Server 19. TSA Server

20. 클라이언트 시스템 21. 클라이언트측 데이터송수신모듈20. Client system 21. Client-side data transmission / reception module

22. 인증서유효성확인모듈22. Certificate Validation Module

본 발명은 전자서명 인증서의 장기검증에 관한 것으로, 보다 상세히는 전자서명 당시의 인증서 상태를 확인할 수 있도록 함으로서 과거 특정시점에 생성된 전자서명이 인증서의 유효 상태에서 생성되었는지 여부를 검증할 수 있는 인증서 장기검증방법 및 시스템에 관한 것이다.The present invention relates to a long-term verification of the digital signature certificate, and more specifically, to verify the status of the certificate at the time of the digital signature certificate that can verify whether the digital signature generated at a specific point in time in the past was generated in the valid state of the certificate It relates to a long-term verification method and system.

실생활의 활동들이 오프-라인에서 온-라인으로 많이 편입됨에 따라 은행, 증권, 쇼핑 등의 상품들이 전자적으로 거래되고 있으며, 이 전자거래에 사용되는 전자서명은 법률적 효력을 갖기에 이르러 있다. 한편 전자 데이터의 진정성은 전자서명에 의해 보장되지만, 전자서명된 데이터가 생성되고 오랜 시간이 지나면 그 유효성 내지 귀속성을 확인할 방법이 없어지는 경우가 있다.As real-life activities are incorporated from off-line to on-line, commodities such as banks, securities, and shopping are traded electronically, and the digital signatures used in these transactions are becoming legal. On the other hand, the authenticity of the electronic data is guaranteed by the electronic signature, but there is a case where there is no way to check the validity or attribution after the e-signed data is generated.

도 1은 현재 PKI(Public Key Infrastructure) 기반에서 일반적으로 수행되고 있는 전자서명된 데이터의 검증방법을 나타낸다. 순서적으로 보면, 전자서명된 전자문서(1)는 미리 전자서명을 수행한 서명인증서(2)를 통해 서명검증이 이루어진다. 서명검증이 정상일 경우, 서명인증서(2)와 발급기관의 인증서(3) 그리고 최상위기관의 인증서(4)까지의 인증서 체인(5)을 통해 인증서검증이 실행된다. 이 과정에서 각 인증서(2,3,4)는 해당 인증서를 발급한 인증기관(6)으로부터 OCSP(Online Certificate Status Protocol: 온라인 인증서 상태 프로토콜), CRL(Certificate Revocation List: 인증서 폐지목록) 또는 ARL(Authority Revocation List: 인증기관의 인증서 폐지목록) 등의 인증서 상태확인정보를 전송받아 그 유효성이 검증된다. 마지막 최상위기관의 인증서(4)에 대하여는 인증서 또는 공개키의 해쉬값으로 확인된다. 이 절차들이 모두 정상으로 진행되면 전자문서(1)는 검증시점에서 유효하게 확인된다.FIG. 1 illustrates a method for verifying digitally signed data that is generally performed based on a public key infrastructure (PKI). In order, the digitally signed electronic document 1 is signed by the signature certificate 2 which has previously performed the digital signature. If the signature verification is normal, the certificate verification is executed through the certificate chain (5) up to the signature certificate (2), the certificate of the issuer (3) and the certificate of the highest authority (4). In the process, each certificate (2, 3, 4) is issued from the Certificate Authority (6) that issued the certificate, Online Certificate Status Protocol (OCSP), Certificate Revocation List (CRL), or ARL ( Certificate Revocation List (Certificate Revocation List) is sent to verify its validity. The certificate (4) of the last top authority is confirmed by the hash value of the certificate or the public key. If all of these procedures are successful, the electronic document 1 is validated at the time of verification.

여기서 문제로 되는 것은, 상기 인증기관(6)에서는 과거의 특정일에 대한 인증서의 상태확인정보를 제공하지 못하는 경우가 있다는 것이다. 인증기관(6)에서 발급된 인증서는 이미 유효기간이 정해져 있으며, 인증서 체인(5)에서는 인증기관(6)에서 제공되는 OCSP, CRL 또는 ARL 정보를 받아 검증을 수행하는데, 예를 들어 유효기간이 경과한 인증서에 대해서는 인증기관(6)에서 확인해 줄 수가 없기 때문에 결국 전자서명된 전자문서의 검증은 불가능해 진다. 이로 인해 전자서명 당시에는 유효한 데이터이었음에도 불구하고, 후에 그 서명 당사자가 '그 서명일 이전에 개인키와 인증서를 분실하였고 인증기관(6)에 이를 신고하였기 때문에 자신은 전자거래의 책임이 없다'는 주장을 악의적으로 하더라도 이를 해결할 수 있는 증명 방법이 없게 된다. 근본적으로는 검증 자체가 과거 전자서명 당시의 인증서를 확인하는 것이 아니라, 검증시의 인증서 상태를 확인할 수 밖에 없기 때문이다.The problem here is that the certification authority 6 may not be able to provide the status check information of the certificate for a specific day in the past. The certificate issued by the certification authority 6 has a validity period already set, and the certificate chain 5 receives the OCSP, CRL or ARL information provided by the certification authority 6 and performs verification. Since the certification authority 6 cannot confirm the passed certificate, it becomes impossible to verify the digitally signed electronic document. Because of this, even though the data was valid at the time of the digital signature, it was later asserted that the signing party was `` not responsible for the electronic transaction because it lost its private key and certificate before the date of signature and reported it to the certification authority (6). '' Even if it is malicious, there is no proof way to solve it. Fundamentally, the verification itself does not check the certificate at the time of the digital signature, but it has no choice but to check the certificate status at the time of verification.

단순하게는 인증기관(6)에서 유효기간이 충분한 인증서를 발급하여 사용하는 것을 생각할 수 있겠으나 암호 알고리즘의 공격기술의 발달 등으로 문제로 인해 인증서의 유효기간을 무한정 늘리는 것은 현실적으로 불가능하다. 대안으로 강력하고 복잡한 키알고리즘과 키길이를 사용할 수 있겠으나 연산시간이나 메모리 사용량 증가 등의 문제가 존재한다. 따라서 전자서명의 장기검증을 기술적으로 해결하는 방법이 필요하게 되었다.It can be considered to simply issue and use a certificate having a sufficient validity period by the certification authority 6, but it is practically impossible to increase the validity period of the certificate indefinitely due to problems such as the development of the attack technique of the encryption algorithm. Alternatively, powerful and complex key algorithms and key lengths can be used, but there are problems such as increased computation time and memory usage. Therefore, there is a need for a technical solution to the long-term verification of digital signatures.

IETF(Internet Engineering Task Force: 국제 인터넷 기술 위원회)에서 전자서명 장기검증을 위하여 RFC3126을 통한 표준화 방안이 제시되어 있다. 이 방안은 타임스탬프 토큰(Time Stamp Token)기술과 인증서 검증정보를 유지 관리하는 기술을 포함한다. 개략적으로 설명하면 다음과 같다.The Internet Engineering Task Force (IETF) proposes standardization through RFC3126 for long-term verification of digital signatures. This approach includes Time Stamp Token technology and technology to maintain certificate verification information. If outlined as follows.

전자서명 생성자는 전자서명된 문서를 장기보관하기 위하여 해당 전자문서를 TSP(Trusted Service Provider: 신뢰된 서비스제공자)에게 전달한다. TSP는 전자문서의 서명검증을 한 후, TSA(Time Stamping Authority: 타임스탬핑 기관)로부터 전자문서에 대한 타임스탬프 토큰을 획득한다. 그 타임스탬프 토큰은 해당 전자문서의 해쉬값과 시간소스를 포함하며, TSA의 인증서 서명이 첨부된다. 결국 전자문서의 유효성 검증 가능기간은 TSA의 인증서 유효기간만큼 늘어날 수 있게 되는 것이다. 이 유효기간은 TSA의 인증서 만료전에 새로운 타임스탬프 토큰을 추가 생성함으로써 갱신될 수 있다. IETF RFC3126은 이와 같이 전자문서의 유효성 검증 가능기간을 적절하게 연장시키는 방법을 제시함으로써 전자서명의 장기검증에 위하여 유 용한 측면이 있다. The creator of the digital signature delivers the electronic document to the Trusted Service Provider (TSP) for long-term storage of the digital signature document. After verifying the signature of the electronic document, the TSP obtains a timestamp token for the electronic document from a time stamping authority (TSA). The timestamp token contains the hash value and time source of the electronic document, and is attached to the TSA's certificate signature. As a result, the validity period of the electronic document can be increased by the validity period of the TSA certificate. This expiration date can be renewed by creating a new timestamp token before the TSA's certificate expires. IETF RFC3126 provides useful methods for the long-term verification of digital signatures by suggesting how to properly extend the validity period of electronic documents.

이 방법에 의하면, 인증기관의 발급된 인증서가 유효기간 만료 또는 유효기간내 폐지 등의 경우에도 TSA의 인증서 유효기간 내라면 전자서명의 유효성 검증은 가능한 이점이 있다. 그러나 근본적으로는 검증 자체가 전자서명 당시의 인증서를 확인하는 것이 아니라, 검증시의 인증서 상태를 확인하는 정도에 머무르고 있는 한계가 있다. According to this method, validity of the digital signature is possible if the certificate issued by the certification authority is within the validity period of the TSA certificate even if the validity period expires or is revoked within the validity period. However, there is a limit that the verification itself does not check the certificate at the time of digital signature, but remains at the degree of checking the certificate status at the time of verification.

기술적으로, 여기에는 모든 전자서명된 데이터에 대해 개별적으로 TSA로부터 타임스탬프 토큰을 발급받아 저장하여야 하므로, 많은 양의 데이터를 관리하는 경우에는 처리 자체에 많은 리소스를 할당해야 하는 문제가 있다. 또한 서명된 데이터가 외부로 전달된 경우에는 그 전달된 데이터의 처리가 불가능한 문제가 있다. 이 경우 동일 데이터에 대한 검증결과가, 한편에서는 정상이지만 다른 한편에서는 검증오류로 판단될 가능성이 있다.Technically, there is a problem in that a large amount of data is allocated to the processing itself when managing a large amount of data, since a timestamp token must be separately issued and stored from the TSA for all digitally signed data. In addition, when the signed data is transmitted to the outside, there is a problem that the processed data cannot be processed. In this case, there is a possibility that the verification result for the same data is normal on the one hand but verification error on the other hand.

또 다른 문제로, IETF RFC3126은 권장된 특정 형식(소위 "SignedData")으로 서명된 데이터에 대해서만 적용이 가능하다는 것이다. 예를들어, 데이터의 헤쉬값에 개인키로 서명을 생성한 후 저장하고 연관된 인증서를 별도로 저장하는 경우가 있을 수 있으며, 이 경우 해당 인증서의 공개키로 서명검증을 한 후 인증서의 상태검증을 하게 되는데, 이러한 방법으로 서명된 데이터에 대해서는 IETF RFC3126이 지원하지 못하는 문제가 있다.Another problem is that IETF RFC3126 is only applicable to data signed in the recommended specific format (so-called "SignedData"). For example, there may be a case where a signature is generated and stored in the hash value of the data and then stored separately, and the associated certificate is separately stored.In this case, the signature is verified with the public key of the certificate and the certificate is verified. There is a problem that IETF RFC3126 does not support data signed in this way.

본 발명은 종래 기술의 문제점을 인식하고 이를 해결하기 위하여 창안된 것이다. 본 발명은 전자서명을 수행한 시점의 인증서 상태를 확인할 수 있도록 함으로써, 인증서의 유효기간 만료, 폐기, 사용중지 등에 관계없이, 과거 어느 시점에 전자서명된 데이터의 유효성에 대한 신뢰할 수 있는 검증이 이루어질 수 있는 방법을 제공하고자 하는 것이다.The present invention has been made to recognize and solve the problems of the prior art. According to the present invention, it is possible to check the status of a certificate at the time of performing an electronic signature, so that a reliable verification of the validity of the digitally signed data can be made at any point in time regardless of expiration, revocation, or suspension of the validity period of the certificate. It is intended to provide a way to do this.

본 발명에 따른 장기검증방법은 장기검증서버의 데이터 저장단계와, 클라이언트 시스템의 검증단계를 포함하여 이루어진다.The long-term verification method according to the present invention includes a data storage step of the long-term verification server and a verification step of the client system.

상기 장기검증서버에서는: 장기검증을 위한 인증서정보를 등록하고, 인증기관서버로부터 상기 등록된 인증서에 대한 상태확인정보를 전송받아, 이에 전자서명을 수행하여 서명된 데이터를 생성하고, 이 데이터에 TSA서버로부터 발급받은 타임스탬프 토큰을 추가함으로서 데이터의 검증가능기간을 연장시켜, 저장하는 데이터 저장단계를 수행한다.In the long-term verification server: Register the certificate information for the long-term verification, receive the status confirmation information for the registered certificate from the certification authority server, performs the digital signature on it to generate the signed data, TSA to this data By adding the timestamp token issued from the server, the verifiable period of data is extended to store the data.

그리고 상기 클라이언트 시스템에서는: 장기검증서버에 접속하여 인증서정보 와 시점정보를 함께 제공하여 데이터를 요청하고, 장기검증서버로부터 해당 데이터를 수신하면, 데이터 자체의 유효성을 검증한 후에, 데이터에 포함된 인증서 상태확인정보를 통해 요청된 시점에서의 인증서의 유효성을 확인하는 검증단계를 수행한다.And in the client system: access the long-term verification server to provide the certificate information and time information together to request data, and when receiving the data from the long-term verification server, after validating the data itself, the certificate included in the data Verification step to verify the validity of the certificate at the time requested by the status check information.

본 발명에 따르면, 전자서명을 수행한 시점의 인증서 상태를 확인할 수 있으며, 따라서 인증서의 유효기간 만료, 기간중의 폐기 또는 중지 등의 사유에 관계없이, 과거 어느 시점에 전자서명된 데이터의 유효성에 대한 신뢰할 수 있는 검증이 이루어질 수 있다.According to the present invention, it is possible to check the status of the certificate at the time of performing the digital signature, and therefore, regardless of the reason for expiration of the validity period of the certificate, revocation or suspension of the certificate, etc. Reliable verification can be done.

도 2를 참조하면, 본 발명에 따른 전자서명 장기검증시스템은 부호 10으로 나타낸다. 상기 장기검증시스템(10)은 장기검증을 위한 데이터를 저장 관리하는 장기검증서버(Long Term Validation Server: 이하 'LTVS'라 함)(11)와, 상기 데이터를 요청하고 확인하는 클라이언트 시스템(20)과, 상기 LTVS(11)에 장기검증에 필요한 사항을 제공하는 인증기관서버(18)와 TSA서버(19)를 포함한다. 그리고 상기 LTVS(11)와 클라이언트 시스템(20)은 각각의 기능을 수행하는 기능 모듈들(12~17, 21~22)을 포함한다.Referring to Figure 2, the digital signature long-term verification system according to the present invention is denoted by 10. The long-term verification system 10 is a long term validation server (hereinafter referred to as 'LTVS') 11 that stores and manages data for long-term verification, and a client system 20 that requests and confirms the data. And a certification authority server 18 and a TSA server 19 for providing the LTVS 11 with the necessary information for long-term verification. The LTVS 11 and the client system 20 include function modules 12 to 17 and 21 to 22 to perform respective functions.

상기 LTVS(11)는: 장기검증을 위한 인증서를 등록하는 인증서등록모듈(12)과, 인증기관서버(18)로부터 상기 등록된 인증서에 대한 상태확인정보를 전송받는 인증서상태확인 발급수행모듈(13)과, 상기 수신된 인증서 상태확인정보에 대하여 전자서명을 수행하여 사인드데이터를 생성하는 전자서명모듈(14)과, 생성된 사인드데이터에 대한 해쉬값에 대해 TSA서버(19)로부터 타임스탬프 토큰을 발급받아 이를 사인드데이터에 추가하는 타임스탬프 토큰 발급수행모듈(15)과, 상기 사인드데이터를 저장하는 저장관리모듈(16)과, 클라이언트 시스템(20)의 요청을 수신하고 그 결과를 전송하는 서버측 데이터송수신모듈(17)을 포함한다.The LTVS 11 includes: a certificate registration module 12 for registering a certificate for long-term verification, and a certificate status check issuing module 13 for receiving status check information on the registered certificate from a certification authority server 18. ), A digital signature module 14 for generating signed data by performing digital signature on the received certificate status check information, and a timestamp from the TSA server 19 for a hash value of the generated signed data. A timestamp token issuance execution module 15 for receiving a token and adding it to signed data, a storage management module 16 for storing the signed data, and a request from a client system 20 and receiving the result. Server side data transmission and reception module 17 for transmitting.

한편, 상기 클라이언트 시스템(20)은: 서버측 데이터송수신모듈(17)에 접속하고 인증서정보 및 시점정보를 제공하여 해당 데이터를 요청하는 클라이언트측 데이터송수신모듈(21)과, 수신된 사인드데이터 자체에 대하여 검증 확인한 후, 그 내부에 포함된 인증서 상태확인정보를 통해 검증대상이 되는 인증서의 유효성을 검사를 실시함으로써 요구된 특정시점에서의 인증서 상태를 확인 검증하는 인증서유효성확인모듈(22)을 포함한다.On the other hand, the client system 20 is connected to the server-side data transmission and reception module 17, the client-side data transmission and reception module 21 for requesting the corresponding data by providing certificate information and time information, and the received signed data itself After verifying and verifying, the certificate validity verification module 22 for verifying and verifying the status of the certificate at a specific point of time required by performing the validity of the certificate to be verified through the certificate status check information included therein. do.

도 3은 LTVS(11)의 정보저장 프로세스(25)와 클라이언트 시스템(20)의 검증 프로세스(26)를 하나의 흐름으로 나타낸 것이다.3 shows in one flow the information storage process 25 of the LTVS 11 and the verification process 26 of the client system 20.

먼저 LTVS(11)의 정보저장 프로세스(25)를 살펴보면 다음과 같다. LTVS(11)는 장기검증을 위한 인증서정보를 등록한다. 인증서정보의 등록은 자동으로 또는 관리자의 조작으로 이루어지며, 인증서등록모듈(12)에서 수행된다. 여기서 인증서 정보는 인증서 자체이거나 인증서 상태확인정보일 수 있다. 궁극적으로, 등록된 인증서 정보에서 파싱되는 값은 인증서 상태확인정보이기 때문이다.First, the information storage process 25 of the LTVS 11 is as follows. The LTVS 11 registers certificate information for long term verification. Registration of the certificate information is made automatically or by the operation of the administrator, it is performed in the certificate registration module (12). The certificate information may be the certificate itself or the certificate status check information. Ultimately, the value parsed from the registered certificate information is certificate status check information.

LTVS(11)는 인증기관서버(18)로부터 상기 등록된 인증서에 대한 상태확인정보, 예를들어 OCSP, CRL 또는 ARL 정보를 전송받는다. 인증서 상태확인정보의 수신은 필요에 따라 매일, 주기적으로 또는 특히 요청된 시점에 이루어지며, 인증서상태확인 발급수행모듈(13)에 의하여 수행된다.The LTVS 11 receives status confirmation information about the registered certificate, for example, OCSP, CRL or ARL information from the certification authority server 18. Receipt of the certificate status check information is made every day, periodically, or at a particular point in time, if necessary, and is performed by the certificate status check issuing execution module 13.

상기 수신된 인증서 상태확인정보를 전달받고, 그 정보에 대하여 전자서명을 수행하여, 서명된 데이터를 생성한다. 상기 전자서명은 전자서명모듈(14)에 의하여 이루어진다.The received certificate status confirmation information is received, and digital signature is performed on the information to generate signed data. The digital signature is made by the electronic signature module 14.

이와 같이 생성된 서명된 데이터에 대한 해쉬값에 대해 TSA서버(19)로부터 타임스탬프 토큰을 발급받아 이를 서명된 데이터에 추가한다. 이는 타임스탬프 토큰 발급수행모듈(15)에 의하여 수행된다. 이에 따라 데이터 검증 가능기간은 TSA의 인증서 유효기간만큼 연장된다. 타임스탬프 토큰을 발급받는 시기는 전자서명모듈(14)에서 수행된 서명인증서의 유효기간 만료시점(연장) 또는 이미 타임스탬프 토큰을 발급한 TSA의 서명인증서의 유효기간 만료시점(갱신)이다. 이와같은 방법으로 검증 가능기간이 연장되는 것은 IETF RFC3126 방식에 따른다. 다만, 알려진 다른 방법으로도 가능할 것이다. The timestamp token is issued from the TSA server 19 for the hash value of the generated signed data and added to the signed data. This is performed by the time stamp token issuing execution module 15. As a result, the data validity period is extended by the certificate validity period of the TSA. The time stamp is issued when the validity period of the signature certificate performed in the digital signature module 14 expires (extends) or the validity period expires (update) of the TSA's signature certificate that has already issued the timestamp token. The extension of the verifiable period in this way is in accordance with IETF RFC3126. However, other known methods may be possible.

이상의 모듈(13,14,15)에서 수행된 결과는 저장관리모듈(16)에 저장되고 관리된다. 상기 LTVS(11)는 구성면에서 이상의 모듈(12 내지 16) 이외에, 클라이언트 시스템(20)의 요청을 수신하고 그 결과는 전송하는 서버측 데이터송수신모듈(17)을 포함한다.The results performed in the above modules 13, 14 and 15 are stored and managed in the storage management module 16. The LTVS 11 includes, in addition to the above modules 12 to 16 in terms of configuration, a server-side data transmission / reception module 17 for receiving a request from the client system 20 and transmitting the result.

다음으로, 클라이언트 시스템(20)의 검증 프로세스(26)를 살펴보면 다음과 같다. 클라이언트 시스템(20)이 상기 LTVS(11)에 접속하여, 전자서명의 유효성 검증의 대상이 되는 인증서에 대해 과거의 특정시점에서의 유효여부 검증을 위한 근거자료를 요청한다. 요청시 전달되어야 하는 정보에는 인증서정보와 검증하고자 하는 특정시점에 관한 정보를 포함한다. 여기서 인증서정보는 인증서 자체, 인증서 식별자 또는 인증서 상태확인정보일 수 있다. Next, the verification process 26 of the client system 20 is as follows. The client system 20 connects to the LTVS 11 and requests evidence for validity verification at a specific point in time in the past for the certificate that is the subject of the digital signature validation. Information to be delivered upon request includes certificate information and information about the specific time point to be verified. The certificate information may be a certificate itself, a certificate identifier, or certificate status check information.

클라이언트 시스템(20)의 요청을 수신한 서버측 데이터송수신모듈(17)은 요청된 데이터를 저장관리모듈(16)에서 검색한 후에 클라이언트 시스템(20)에 전달한다. 데이터의 요청 및 수신은 클라이언트측 데이터송수신모듈(21)을 통하여 이루어진다.Upon receiving the request of the client system 20, the server-side data transmission / reception module 17 retrieves the requested data from the storage management module 16 and transmits the requested data to the client system 20. Request and reception of data is made through the client-side data transmission and reception module 21.

데이터를 수신한 클라이언트 시스템(20)은 그 서명된 데이터 자체에 대하여 검증 확인한 후, 그 내부에 포함된 인증서 상태확인정보 즉, OCSP, CRL 또는 ARL를 통해 요청된 시점에서의 인증서의 유효성을 검사를 실시함으로써 과거의 특정시점 에서의 인증서 상태를 확인 검증할 수 있게 된다. 이는 인증서유효성확인모듈(22)을 통하여 이루어진다.After receiving the data, the client system 20 verifies the signed data itself, and then verifies the validity of the certificate at the time requested by the certificate status information included therein, that is, OCSP, CRL, or ARL. By doing so, it is possible to verify and verify the status of the certificate at a specific point in the past. This is done through the certificate validity check module 22.

도 4를 참조하면, 서명된 데이터 자체에 대한 검증은 다음과 같이 수행된다. 우선, 서명인증서의 유효기간을 검토하여 서명한 인증서가 유효할 경우에는 서명된데이터 내부에 포함된 OCSP, CRL 또는 ARL를 통해 검증대상 인증서의 유효성을 확인하게 된다. 그 후 다시 검증대상 인증서의 특정 과거시점의 유효성을 검증하게 된다. 인증서에 대한 시점정보의 검증 및 유효성 확인은 굳이 순서에 관계없다. 만약 서명인증서의 유효기간이 경과하였을 경우에는 서명된 데이터에 포함된 타임스탬프 토큰을 추출하여 서명된 데이터와의 연관성을 일방향 해쉬함수를 이용하여 검증한 후, 타임스탬프 토큰을 발급한 TSA의 인증서에 대한 유효성을 검토한 후, 상기 검증대상 인증서의 유효성 및 시점정보에 대한 검증을 수행한다.Referring to FIG. 4, verification of the signed data itself is performed as follows. First, if the signed certificate is valid after reviewing the validity period of the signature certificate, the validity of the certificate to be verified is verified through OCSP, CRL or ARL included in the signed data. After that, the validity of the specific past time point of the certificate to be verified is verified again. Verification and validation of the timing information for the certificate does not matter in order. If the validity period of the signature certificate has elapsed, the timestamp token included in the signed data is extracted, the association with the signed data is verified using a one-way hash function, and the TSA certificate issuing the timestamp token. After reviewing the validity, the verification of the validity and time information of the certificate to be verified is performed.

본 발명은 전자서명을 수행한 시점의 인증서 상태를 확인할 수 있도록 함으로써, 인증서의 유효기간 만료, 폐기, 사용중지 등에 관계없이, 과거 어느 시점에 전자서명된 데이터의 유효성에 대한 신뢰할 수 있는 검증이 이루어질 수 있는 효과가 있다.According to the present invention, it is possible to check the status of a certificate at the time of performing an electronic signature, so that a reliable verification of the validity of the digitally signed data can be made at any point in time regardless of expiration, revocation, or suspension of the validity period of the certificate. It can be effective.

Claims (8)

삭제delete 장기검증서버(11)에서: 장기검증을 위한 인증서정보를 등록하고, 인증기관서버(18)로부터 상기 등록된 인증서에 대한 상태확인정보를 전송받아, 이에 전자서명을 수행하여 서명된 데이터를 생성하고, 이 데이터에 TSA서버(19)로부터 발급받은 타임스탬프 토큰을 추가함으로서 데이터의 검증가능기간을 연장시켜, 저장하는 데이터 저장단계와; 클라이언트 시스템(20)에서: 장기검증서버(11)에 접속하여 인증서정보와 시점정보를 함께 제공하여 데이터를 요청하고, 장기검증서버(11)로부터 해당 데이터를 수신하면, 데이터 자체의 유효성을 검증한 후에, 데이터에 포함된 인증서 상태확인정보를 통해 요청된 시점에서의 인증서의 유효성을 확인하는 검증단계로 이루어지며,In the long-term verification server 11: Register the certificate information for the long-term verification, receive the status confirmation information for the registered certificate from the certification authority server 18, and performs the digital signature to generate the signed data A data storage step of extending and validating the verifiable period of data by adding a time stamp token issued from the TSA server 19 to the data; In the client system 20: access the long-term verification server 11 to provide the certificate information and time information together to request data, and when receiving the data from the long-term verification server 11, the data itself is validated Later, a verification step of verifying the validity of the certificate at the time requested by the certificate status check information included in the data, 상기 클라이언트 시스템(20)에서 데이터 자체의 유효성 검증은, 서명인증서의 유효기간을 검토하여 서명한 인증서가 유효한지를 검토하고, 만약 서명인증서의 유효기간이 경과하였을 경우에는 서명된 데이터에 포함된 타임스탬프 토큰을 추출하여 서명된 데이터와의 연관성을 일방향 해쉬함수를 이용하여 검증한 후 타임스탬프 토큰을 발급한 TSA의 인증서에 대한 유효성을 검토하여 이루어지는 것을 특징으로 하는 전자서명 인증서의 장기검증방법.The client system 20 validates the data itself by reviewing the validity period of the signature certificate, checking whether the signed certificate is valid, and if the validity period of the signature certificate has elapsed, the timestamp included in the signed data. And extracting the token and verifying the association with the signed data using a one-way hash function, and then examining the validity of the TSA's certificate that issued the timestamp token. 제2항에 있어서,The method of claim 2, 상기 장기검증서버(11)에서의 인증서 등록은 인증서 자체이거나, 인증서에 대한 상태확인정보인 것을 특징으로 하는 전자서명 인증서의 장기검증방법.The certificate registration in the long-term verification server (11) is a certificate itself, or the long-term verification method of the digital signature certificate, characterized in that the status confirmation information for the certificate. 제2항에 있어서,The method of claim 2, 상기 장기검증서버S(11)에서 데이터의 유효성을 연장시키기 위한 방법으로 IETF RFC3126 방법이 적용되는 것을 특징으로 하는 전자서명 인증서의 장기검증방법.The long-term verification method of the digital signature certificate, characterized in that the IETF RFC3126 method is applied as a method for extending the validity of the data in the long-term verification server S (11). 제2항에 있어서,The method of claim 2, 상기 장기검증서버S(11)에서의 데이터 저장단계는 매일, 정기적으로 또는 요구된 특정시점에 수행되는 것을 특징으로 하는 전자서명 인증서의 장기검증방법.The long-term verification method of the digital signature certificate, characterized in that the data storage step in the long-term verification server S (11) is performed every day, periodically or at a specific point in time. 제2항에 있어서,The method of claim 2, 상기 클라이언트 시스템(20)에서 장기검증서버S(11)에 접속하여 데이터를 요청할 때에 제공되는 인증서정보는 인증서 자체이거나 인증서를 식별할 수 있는 식별자 또는 인증서에 대한 상태확인정보인 것을 특징으로 하는 전자서명 인증서의 장기검증방법.The certificate information provided when the client system 20 requests data by accessing the long-term verification server S 11 is an electronic signature, which is a certificate itself or an identifier for identifying a certificate or status confirmation information for a certificate. Long-term verification method of certificate. 장기검증을 위한 인증서정보를 등록하는 인증서등록모듈(12)과, 인증기관서 버(18)로부터 상기 등록된 인증서에 대한 상태확인정보를 전송받는 인증서상태확인 발급수행모듈(13)과, 상기 수신된 인증서 상태확인정보에 대하여 전자서명을 수행하여 서명된 데이터를 생성하는 전자서명모듈(14)과, 상기 서명된 데이터에 대한 해쉬값에 대해 TSA서버(19)로부터 타임스탬프 토큰을 발급받아 이를 데이터에 추가하는 타임스탬프 토큰 발급수행모듈(15)과, 상기 서명된 데이터를 저장하는 저장관리모듈(16)과, 클라이언트 시스템(20)의 요청을 수신하고 그 결과를 전송하는 서버측 데이터송수신모듈(17)을 포함하는 장기검증서버(11)와;Certificate registration module 12 for registering certificate information for long-term verification, certificate status confirmation issuing execution module 13 for receiving the status check information for the registered certificate from the certification authority server 18, and the reception The digital signature module 14 generates signed data by performing digital signature on the signed certificate status check information, and receives a timestamp token from the TSA server 19 for the hash value of the signed data. A timestamp token issuance execution module 15 to be added to the storage management module 16 for storing the signed data, and a server-side data transmission and reception module for receiving a request from the client system 20 and transmitting the result thereof ( A long term verification server 11 including 17); 서버측 데이터송수신모듈(17)에 접속하고 인증서정보 및 시점정보를 제공하여 해당 데이터를 요청하는 클라이언트측 데이터송수신모듈(21)과, 수신된 데이터 자체에 대한 유효성을 확인한 후, 그 내부에 포함된 인증서 상태확인정보를 통해 검증대상이 되는 인증서의 유효성을 검사를 실시함으로써 요청된 시점에서의 인증서 상태를 확인 검증하는 인증서유효성확인모듈(22)을 포함하는 클라이언트 시스템(20)으로 이루어진 것을 특징으로 하는 전자서명 인증서의 장기검증시스템.After accessing the server-side data transmission / reception module 17 and providing the certificate information and the timing information, the client-side data transmission / reception module 21 requesting the data and the validity of the received data itself are included and then included in the server-side data transmission / reception module 17. Characterized in that the client system 20 including a certificate validity check module 22 for verifying and verifying the certificate status at the time of the request by checking the validity of the certificate to be verified through the certificate status check information. Long-term verification system of digital signature certificate. 제7항에 있어서,The method of claim 7, wherein 상기 토큰 발급수행모듈(15)은 IETF RFC3126 방법을 수행하는 모듈인 것을 특징으로 하는 전자서명 인증서의 장기검증시스템.The token issuance execution module 15 is a long-term verification system of the digital signature certificate, characterized in that the module for performing the IETF RFC3126 method.
KR1020050112029A 2005-11-22 2005-11-22 Long-term verification method and system for certificate of the electronic signature KR100760028B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020050112029A KR100760028B1 (en) 2005-11-22 2005-11-22 Long-term verification method and system for certificate of the electronic signature

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050112029A KR100760028B1 (en) 2005-11-22 2005-11-22 Long-term verification method and system for certificate of the electronic signature

Publications (2)

Publication Number Publication Date
KR20070054049A KR20070054049A (en) 2007-05-28
KR100760028B1 true KR100760028B1 (en) 2007-09-18

Family

ID=38276038

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050112029A KR100760028B1 (en) 2005-11-22 2005-11-22 Long-term verification method and system for certificate of the electronic signature

Country Status (1)

Country Link
KR (1) KR100760028B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101504577B1 (en) * 2014-01-23 2015-03-20 상명대학교서울산학협력단 Long term validation method and system of electronic records
US11134380B2 (en) 2016-10-11 2021-09-28 Whitefox Defense Technologies, Inc. Systems and methods for cyber-physical vehicle management, detection and control
CA3040271A1 (en) 2016-10-11 2018-04-19 Whitefox Defense Technologies, Inc. Systems and methods for cyber-physical vehicle management, detection and control
WO2020051226A1 (en) * 2018-09-05 2020-03-12 Whitefox Defense Technologies, Inc. Integrated secure device manager systems and methods for cyber-physical vehicles

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010047752A (en) * 1999-11-23 2001-06-15 오길록 Method for certifying electrical document using digital signature and time stamp
KR20040001814A (en) * 2002-06-28 2004-01-07 주식회사 케이티 Method of Time Stamp Service Using Agency
JP2005094244A (en) 2003-09-16 2005-04-07 Nippon Telegr & Teleph Corp <Ntt> Time certificate extension method, time certificate apparatus, time certificate extension program, time certificate verification program for extension, and program recording medium

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010047752A (en) * 1999-11-23 2001-06-15 오길록 Method for certifying electrical document using digital signature and time stamp
KR20040001814A (en) * 2002-06-28 2004-01-07 주식회사 케이티 Method of Time Stamp Service Using Agency
JP2005094244A (en) 2003-09-16 2005-04-07 Nippon Telegr & Teleph Corp <Ntt> Time certificate extension method, time certificate apparatus, time certificate extension program, time certificate verification program for extension, and program recording medium

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
카달로그(전자서명 장기검증 기술, 2005.07.15, 제 2회 eDocument Lifecycle 관리 세미나)

Also Published As

Publication number Publication date
KR20070054049A (en) 2007-05-28

Similar Documents

Publication Publication Date Title
JP7093428B2 (en) Digital certificate management methods, devices, computer devices and computer programs
CN110268678B (en) PKI-based login method for authentication agent user and server using same
JP7109569B2 (en) Digital certificate verification method and its device, computer equipment and computer program
Myers et al. X. 509 Internet public key infrastructure online certificate status protocol-OCSP
US7930415B2 (en) Method and system for authentication when certification authority public and private keys expire
Myers et al. RFC2560: X. 509 Internet public key infrastructure online certificate status protocol-OCSP
CA2357792C (en) Method and device for performing secure transactions
US20050114666A1 (en) Blocked tree authorization and status systems
KR20090041365A (en) Biometric credential verification framework
BR102014030327B1 (en) METHOD IMPLEMENTED BY COMPUTER TO PREVENT SECURITY PROBLEMS IN THE USE OF DIGITAL CERTIFICATES IN CODE SIGNING; AND COMPUTER SYSTEM TO PREVENT SECURITY PROBLEMS IN THE USE OF DIGITAL CERTIFICATES IN CODE SIGNING
JP2003534677A (en) Public key validation service
CN105635070B (en) Anti-counterfeiting method and system for digital file
EP3966997B1 (en) Methods and devices for public key management using a blockchain
JP2023503607A (en) Method and device for automatic digital certificate verification
US20020144110A1 (en) Method and apparatus for constructing digital certificates
TWI666907B (en) Method and system for issuing proof- equipped certificates for certificate authority
KR20010040248A (en) Method and system for transient key digital time stamps
CN111651745B (en) Application authorization signature method based on password equipment
KR100760028B1 (en) Long-term verification method and system for certificate of the electronic signature
KR20020093680A (en) A Notarizing Device for Electronic Documents And The Method Using The Same
Reddy et al. Trust anchor management requirements
US20020144120A1 (en) Method and apparatus for constructing digital certificates
US10911243B1 (en) Time-based digital signature
WO2004012415A1 (en) Electronic sealing for electronic transactions
JP2008236248A (en) Electronic information authentication method, electronic information authentication device and electronic information authentication system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20120910

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20130905

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20140911

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20150907

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20170807

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20180905

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20190909

Year of fee payment: 13