KR100799556B1 - 과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법 - Google Patents

과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법 Download PDF

Info

Publication number
KR100799556B1
KR100799556B1 KR1020030097250A KR20030097250A KR100799556B1 KR 100799556 B1 KR100799556 B1 KR 100799556B1 KR 1020030097250 A KR1020030097250 A KR 1020030097250A KR 20030097250 A KR20030097250 A KR 20030097250A KR 100799556 B1 KR100799556 B1 KR 100799556B1
Authority
KR
South Korea
Prior art keywords
certificate
certificate revocation
revocation list
list
crl
Prior art date
Application number
KR1020030097250A
Other languages
English (en)
Other versions
KR20050066051A (ko
Inventor
노종혁
김태성
최대선
조상래
조영섭
진승헌
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030097250A priority Critical patent/KR100799556B1/ko
Publication of KR20050066051A publication Critical patent/KR20050066051A/ko
Application granted granted Critical
Publication of KR100799556B1 publication Critical patent/KR100799556B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 인증서 폐지 목록 (Certificate Revocation List; CRL) 처리 방법에 관한 것으로서, 보다 상세하게는 과거에 발행된 인증서 폐지 목록을 주기적으로 통합하여 발행하고 관리함으로써 과거의 인증서 상태 정보를 제공하고 인증서 폐지 목록 관리에 따른 부담을 줄일 수 있게 하며, 인증서 효력 정지에 따른 문제점을 해결할 수 있는 인증서 폐지 목록 처리 방법에 관한 것이다.
본 발명에 따른 인증서 폐지 목록 처리 방법은 인증서 폐지 목록 처리 방법에 있어서, 폐지된 인증서들의 목록을 가지는 인증서 폐지 목록을 발행하는 과정; 및 소정의 주기로 해당 주기 내에 발행되었던 인증서 폐지 목록을 통합한 내용을 가지는 통합 인증서 폐지 목록을 발행하는 과정을 포함한다.
본 발명은 과거에 발행된 CRL들을 통합하여 관리하는 방법을 제공함으로써 인증기관 또는 디렉토리 서버의 부담을 줄일 수 있는 효과를 가진다.

Description

과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법{Management method of Certificate Revocation List(CRL) for providing the past state information of CRL}
도 1은 종래의 인증서 폐지 목록 처리 방법을 도식적으로 보이는 것이다.
도 2는 본 발명에 따른 인증서 폐지 목록 처리 방법을 도식적으로 보이는 것이다.
도 3은 본 발명에 따른 통합 CRL의 예를 보이는 것이다.
도 4는 본 발명에 따른 확장 필드의 예를 보이는 것이다.
본 발명은 인증서 폐지 목록 (Certificate Revocation List) 처리 방법에 관한 것으로서, 보다 상세하게는 과거에 발행된 인증서 폐지 목록을 주기적으로 통합하여 발행하고 관리함으로써 과거의 인증서 상태 정보를 제공하고 인증서 폐지 목록 관리에 따른 부담을 줄일 수 있게 하며, 인증서 효력 정지에 따른 문제점을 해결할 수 있는 인증서 폐지 목록 처리 방법에 관한 것이다.
인터넷에 기반을 둔 많은 서비스들이 공개키 암호 방식에 기반을 둔 보안 서 비스를 제공하고 있다. 공개키 암호 방식은 주로 개인키를 이용한 서명과 공개키를 이용한 암호화에 의해 이루어진다. 이를 이용하여 인증, 무결성, 부인봉쇄 등의 서비스를 제공할 수 있다.
공개키에 기반을 둔 보안 서비스는 사용자의 공개키가 정당한 사용자에게 속해있다는 확신을 갖는 것을 필요로 한다. 사용자의 공개키를 보장하는 기반 구조가 없으면 공개키에 기반을 둔 보안 서비스는 제대로 효력을 발휘할 수 없다.
공개키 기반 구조는 사용자의 공개키를 안전하고 신뢰성 있게 공표하는 수단으로 인증서를 사용한다. 인증서는 사용자의 이름과 공개키를 포함하며, 인증서에 포함된 정보가 합법적임을 증명하기 위하여 인증기관(Certification Authority)의 개인키를 사용하여 생성한 전자 서명이 첨부되어 있다.
모든 사용자는 상대방의 인증서를 인증기관에 요구할 수 있으며, 인증기관의 공개키를 이용하여 상대방의 인증서를 검증함으로써 인증서에 포함된 공개키가 상대방의 것임을 확인할 수 있다.
인증기관에서 인증서를 발행할 때에는 인증서에 만료일(expiration date)을 표기함으로써 인증서의 유효기간을 제한하고 있다. 그러나 인증서의 유효기간이 만료되기 전에 개인키의 손실, 인증서 소유자의 정보 변경 등 다양한 이유로 소유자 또는 인증기관에 의해 인증서가 폐지될 수 있다. 그러므로 인증서를 사용하기 전에 반드시 인증서의 상태가 유효한지 확인하는 절차가 필요하며, 인증기관은 인증서의 유효성을 판단할 수 있는 정보를 제공하여야 한다.
이러한 인증서 상태 정보를 제공하기 위하여 주기적으로 폐지된 인증서들의 목록을 가지는 인증서 폐지목록(Certificate Revocation List ; CRL)을 발행하는 방법이 가장 많이 사용되고 있다.
CRL을 이용하는 방법들은 근본적으로 CRL 크기가 증가함에 따라 통신 부담이 증가된다는 문제와 CRL이 주기적으로 갱신되기 때문에 인증서 상태 정보를 실시간으로 제공하지 못한다는 문제 등을 가지고 있다.
이를 해결하고 인증서의 최신 상태 정보를 제공하기 위하여, Delta-CRL, CRL DP(Distribution Points), CRS, CRT, OCSP 등 다양한 방법들이 제안되고 있다.
그러나 인증서의 검증은 현재의 인증서 상태 정보 획득만으로 부족한 경우가 존재한다. 즉, 과거에 서명된 문서에 대한 서명 검증이 필요한 경우에는 문서가 서명된 시점의 인증서 상태 정보가 필요하며, 이에 따라 인증기관은 검증자가 요구하는 시점의 인증서 상태 정보를 제공할 수 있어야 한다.
하지만 현재 구축되어 있는 인증기관들은 현재의 인증서 상태 정보 제공에만 관심을 갖고 있을 뿐, 과거의 상태 정보는 제공하지 않고 있다. 인증기관이 과거의 인증서 상태 정보를 제공하기 위해서는 과거에 발행한 모든 CRL을 저장해 두어야 한다. 하지만 발행한 CRL들은 모두 저장하기에는 부담이 따르며, CRL들 사이에 중복된 정보가 너무 많으므로 효율적인 방법이 아니다.
한편, 인증서의 소유자는 특정 기간 동안 인증서를 사용하지 않기 위해 인증서의 효력을 정지(CertificateHold)시킬 수 있다. 이에 대비하기 위하여 종래의 폐지목록 처리 방법들에서는 폐지목록에 효력 정지된 인증서의 일련번호와 정지된 시간을 표현한다.
그렇지만, 종래의 폐지목록 처리 방법들에서는 효력이 정지되었던 인증서가 다시 효력을 회복하는 경우에는 폐지목록에서 효력 정지되었던 인증서 목록을 제거할 뿐 효력을 회복한 시간은 폐지목록에 표현하지는 않는다. 또한, 효력정지 기간이 너무 짧아서 CRL의 발행 주기 사이에 인증서가 효력정지 되었다가 복구된 경우 이 정보를 CRL에 표현할 수 없다. 이러한 방식은 부인 봉쇄 서비스를 제공하는 공개키 암호화 기반의 보안 서비스에 대해 중대한 문제점을 초래하게 된다.
본 발명은 상기의 문제점들을 해결하기 위하여 고안된 것으로서 과거의 인증서 상태 정보를 제공하기 위하여 과거에 발행된 CRL을 통합하여 관리하고 발급함으로써 인증기관 또는 디렉토리 서버의 부담을 줄일 수 있는 개선된 CRL 처리 방법을 제공하는 것에 있다.
본 발명의 다른 목적은 인증서 효력 정지로 인하여 발생되는 문제점을 해결하는 개선된 CRL 처리 방법을 제공하는 것을 그 목적으로 한다.
상기의 목적을 달성하는 본 발명에 따른 인증서 폐지목록 처리 방법은
인증서 폐지 목록 처리 방법에 있어서,
폐지된 인증서들의 목록을 가지는 인증서 폐지 목록을 발행하는 과정; 및
소정의 주기로 해당 주기 내에 발행되었던 인증서 폐지 목록을 통합한 내용을 가지는 통합 인증서 폐지 목록을 발행하는 과정을 포함하는 것을 특징으로 한다.
여기서, 통합 인증서 폐지 목록은 효력 정지되었던 인증서의 번호, 효력 정지의 개시 시간, 그리고 효력 정지의 종료 시간을 나타내는 확장 필드를 포함하는 것이 바람직하다.
본 발명의 특징에 따르면 과거에 발행된 인증서 폐지목록을 통합하여 관리함으로써 인증기관이 사용자가 요구하는 과거 시간의 인증서 상태 정보를 제공할 수 있으며, 기존의 인증서 폐지목록 관리에 따른 부담을 줄일 수 있게 한다.
본 발명의 다른 특징에 따르면, 기존의 CRL에 효력 정지된 인증서에 관한 정보를 저장할 수 있는 확장필드를 추가함으로써, 인증서의 효력 정지 기간을 정확하게 인지할 수 있게 한다.
상기한 본 발명의 특징 및 효과들은 첨부된 도면을 참조하여 설명되는 실시예들로부터 명백하고 용이하게 이해될 것이다.
이하 첨부된 도면들을 참조하여 본 발명의 특징 및 효과들을 상세히 설명하기로 한다. 한편, 첨부된 도면들을 참조함에 있어서, 동일한 참조번호는 동일한 부재를 나타내는 것이 이해되어야 한다.
도 1은 종래의 인증서 폐지 목록 처리 방법을 도식적으로 보이는 것이다.
종래의 CRL 처리 방법에 있어서, CRL은 주기적으로, 예를 들면 하루 2차례, 발행된다. 어떤 발행 시점 t에서 발행되는 CRLt는 그 이전의 발행 시점 t-1에서 발행된 CRLt-1과 t-1과 t사이에 폐지된 인증서들의 목록을 가지게 된다. 그리고 폐지된 인증서들의 목록 중 인증서의 기간이 만료된 인증서들은 CRLt에서 삭제된다.
발행된 CRL들은 디렉토리에 게시되며, 인증서 검증 모듈에 의해 액세스된다. 위에서 언급하였듯이, 가장 최근에 발행한 CRL에는 만료된 인증서의 폐지 정보가 포함되지 않는다. 그러므로 과거의 인증서 상태 정보를 제공하기 위해서 디렉토리 서버는 과거에 발행된 모든 CRL들을 관리하여야 한다. 그렇지만, 시간이 경과할수록 디렉토리에 게시되는 CRL들의 개수는 증가하기 마련이기 때문에 발행한 모든 CRL들을 저장 관리하는 것은 부담이 될 수밖에 없다.
도 2는 본 발명에 따른 인증서 폐지 목록 처리 방법을 도식적으로 보이는 것이다.
본 발명에 따른 통합 CRL은 주기적으로 발행되며, 예를 들어 6개월, 주기 내에 발행된 CRL들을 통합한 내용을 가진다. 특히, 기존의 CRL과는 다르게, 먼저 발행된 통합 CRL의 내용은 담고 있지 않다.
이러한 통합 CRL의 크기는 기존의 CRL의 크기보다는 상대적으로 크다. 하지만, 주기 내에 발행된 기존의 CRL들은 중복된 정보를 많이 포함하고 있으므로, 과거의 인증서 상태 정보를 제공하기 위하여 기존의 CRL들을 모두 저장하는 것 보다 통합된 CRL을 저장하는 것이 관리 부담을 크게 줄일 수 있다.
도 3은 본 발명에 따른 통합 CRL의 구조를 보이는 것이다.
도 3에 있어서, 통합 CRL은 from 시간부터 to 시간 사이에 폐지된 인증서들의 목록을 포함하고 있다. 곧, from 시간에 발행된 기존의 CRL부터 to 시간에 발행한 CRL까지의 폐지 정보를 통합하여 저장하고 있다. revokedCertificates는 폐지된 인증서들의 일련번호와 폐지 시간을 포함하고 있다.
한편, 기존의 CRL로는 해결하지 못하는 인증서 효력정지로 인한 문제를 해결하기 위하여 통합 CRL에는 invalidCertivicates라는 항목이 있다. invalidCertificates는 from 시간과 to 시간 사이에 효력 정지되었던 인증서의 일련번호와 효력정지 시간, 효력정지 회복시간을 나타낸다.
본 발명에서는 인증서의 효력 정지로 인하여 발생하는 문제점을 기존의 CRL에서도 해결하기 위하여, 기존의 CRL에 확장 필드를 추가한다.
도 4는 본 발명에 따른 확장 필드의 예를 보이는 것이다.
인증서가 효력정지에서 복구된 후에 발행되는 CRL의 확장 필드(crlExtensions)에 도 4에 도시되는 바와 같은 invalidCertificates 확장필드를 삽입한다.
도 4에 도시된 invalidCertificates 확장 필드는 다수의 정보를 표현하기 위해 SEQUENCE OF SEQUENCE 형태로 구성된다.
userCertificate는 효력정지의 경험이 있는 인증서의 일련번호를 표현하고, fromInvalid는 효력 정지가 시작된 시간을 표현하며, toInvalid는 효력 정지가 끝나는 시간을 표현한다.
상술한 바와 같이 본 발명은 과거에 발행된 CRL들을 통합하여 관리하는 방법을 제공함으로써 인증기관 또는 디렉토리 서버의 부담을 줄일 수 있는 효과를 가진다. 또한 통합 CRL에는 효력 정지되었던 인증서의 정보를 포함함으로써 인정서 효력정지로 인한 문제점을 해결할 수 있다.
한편, 본 발명에 따른 CRL 처리 방법에 의하면, 기존의 CRL에 효력 정지된 인증서에 관한 정보를 저장할 수 있는 확장필드를 추가함으로써, 기존의 CRL에서도 인증서 효력정지로 인한 문제점을 해결할 수 있다.

Claims (3)

  1. 인증서 폐지 목록 처리 방법에 있어서,
    폐지된 인증서들의 목록을 가지는 인증서 폐지 목록을 발행하는 과정; 및
    소정의 주기로 해당 주기 내에 발행되었던 인증서 폐지 목록을 통합한 내용을 가지는 통합 인증서 폐지 목록을 발행하는 과정을 포함하는 인증서 폐지 목록 처리 방법.
  2. 제1항에 있어서, 상기 통합 인증서 폐지 목록은
    상기 소정의 주기 내에 효력 정지되었던 인증서의 번호, 효력 정지의 개시 시간, 그리고 효력 정지의 종료 시간을 나타내는 정보를 포함하는 것을 특징으로 하는 인증서 폐지 목록 처리 방법.
  3. 폐지된 인증서의 목록을 가지는 인증서 폐지 목록의 처리 방법에 있어서,
    소정의 주기로 해당 주기 내에 폐지된 인증서들의 목록을 작성하는 과정;
    상기 소정의 주기 내에 효력 정지되었던 인증서에 대하여 인증서의 번호, 효력 정지 개시 시간, 그리고 효력 정지의 종료 시간을 나타내는 정보를 작성하는 과정; 및
    상기 폐지된 인증서들의 목록 및 상기 효력 정지되었던 인증서들에 관한 정보를 가지는 통합 인증서 폐지 목록을 발행하는 과정을 포함하며,
    여기서, 상기 통합 인증서 폐지 목록 발행 과정은 상기 인증서 폐지 목록의 확장필드를 이용하여 효력 정지되었던 인증서에 대한 정보를 포함시킨 통합 인증서 폐지 목록을 발행하는 것을 특징으로 하는 인증서 폐지 목록 처리 방법.
KR1020030097250A 2003-12-26 2003-12-26 과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법 KR100799556B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030097250A KR100799556B1 (ko) 2003-12-26 2003-12-26 과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030097250A KR100799556B1 (ko) 2003-12-26 2003-12-26 과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법

Publications (2)

Publication Number Publication Date
KR20050066051A KR20050066051A (ko) 2005-06-30
KR100799556B1 true KR100799556B1 (ko) 2008-01-31

Family

ID=37257176

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030097250A KR100799556B1 (ko) 2003-12-26 2003-12-26 과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법

Country Status (1)

Country Link
KR (1) KR100799556B1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6044462A (en) 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation
US6301658B1 (en) 1998-09-09 2001-10-09 Secure Computing Corporation Method and system for authenticating digital certificates issued by an authentication hierarchy
KR20030018946A (ko) * 2001-08-31 2003-03-06 주식회사 아이에이시큐리티 인증 및 권한 인가 서비스 시스템
KR20040028071A (ko) * 2002-09-28 2004-04-03 주식회사 케이티 인증기관 환경에서의 인증서 검증 서비스 장치 및 그 방법
KR20050006418A (ko) * 2003-07-08 2005-01-17 삼성전자주식회사 애드 혹 망에서 분산 인증서 관리 방법 및 그 시스템

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6044462A (en) 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation
US6301658B1 (en) 1998-09-09 2001-10-09 Secure Computing Corporation Method and system for authenticating digital certificates issued by an authentication hierarchy
KR20030018946A (ko) * 2001-08-31 2003-03-06 주식회사 아이에이시큐리티 인증 및 권한 인가 서비스 시스템
KR20040028071A (ko) * 2002-09-28 2004-04-03 주식회사 케이티 인증기관 환경에서의 인증서 검증 서비스 장치 및 그 방법
KR20050006418A (ko) * 2003-07-08 2005-01-17 삼성전자주식회사 애드 혹 망에서 분산 인증서 관리 방법 및 그 시스템

Also Published As

Publication number Publication date
KR20050066051A (ko) 2005-06-30

Similar Documents

Publication Publication Date Title
CA2502480C (en) Certificate renewal in a certificate authority infrastructure
AU2003259136B2 (en) A remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
CA2328645C (en) A method and a system for certificate revocation list consolidation and access
AU2011226741B2 (en) Method and system for sharing encrypted content
US7058619B2 (en) Method, system and computer program product for facilitating digital certificate state change notification
CN101373500B (zh) 一种电子文档使用权的管理方法
JP2008041016A (ja) ドキュメント管理装置及びプログラム
KR100844436B1 (ko) 지역적인 공개키 기반 구조를 갖는 지역분포형 로컬 씨에이시스템
WO2004032416A1 (en) Public key cryptography and a framework therefor
CN116167017A (zh) 一种基于区块链技术的鞋类原创设计ai数字版权管理系统
KR100760028B1 (ko) 전자서명 인증서의 장기검증방법 및 시스템
KR100799556B1 (ko) 과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법
Konashevych Data insertion in blockchain for legal purposes. How to sign contracts using blockchain
JP2000242169A (ja) 公開鍵証明証の有効性確認方法および装置と公開鍵証明証の有効性確認プログラムを記録した記録媒体
JP2002132996A (ja) 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム
JP2004056635A (ja) 証明書失効リストの更新装置、システム及び方法
JP3628642B2 (ja) 公開鍵証明書が以前にサスペンドされたか否か指示するシステム
CN114500051B (zh) 一种基于区块链的证书管理方法及系统
Konashevych Emercoin Blockchain Anchoring as a Way of Singing Contracts.
Afshar Digital Certificates (Public Key Infrastructure)
CN1428736A (zh) 电子鉴权系统
CN117544314A (zh) 基于区块链的分布式数字身份生命周期管理系统及方法
KR100776692B1 (ko) 전자문서 내용증명 시스템의 내용증명서 갱신 방법 및 그갱신된 내용증명서의 검증 방법
CN116055066A (zh) 一种基于区块链和预言机的ca系统
KR20100064872A (ko) 인증서유효목록 기반 검증 시스템 및 그 운영 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
S901 Examination by remand of revocation
GRNO Decision to grant (after opposition)
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20121206

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20131209

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20141229

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee