KR101022788B1 - Apparatus and method of data preservating in public key infrastructure based on group - Google Patents
Apparatus and method of data preservating in public key infrastructure based on group Download PDFInfo
- Publication number
- KR101022788B1 KR101022788B1 KR1020040005723A KR20040005723A KR101022788B1 KR 101022788 B1 KR101022788 B1 KR 101022788B1 KR 1020040005723 A KR1020040005723 A KR 1020040005723A KR 20040005723 A KR20040005723 A KR 20040005723A KR 101022788 B1 KR101022788 B1 KR 101022788B1
- Authority
- KR
- South Korea
- Prior art keywords
- group
- data
- subscriber
- pki
- public key
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 230000005540 biological transmission Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 2
- 238000013478 data encryption standard Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 그룹기반 PKI의 데이터 보안 장치 및 방법에 관한 것이다. The present invention relates to a data security apparatus and method for group-based PKI.
본 발명에 의하면 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 상기 가입자 인증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하고, 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화한 후, 상기 추출된 가입자 공개키를 이용하여 상기 생성된 세션키를 암호화하여, 암호화된 데이터 및 세션키를 상기 가입자에게 제공하도록 한다.According to the present invention, after performing the subscriber authentication using the PKI-based authentication information received from the subscribers subscribed to the group, extracting the public key, retrieves the data required from the subscriber, and decrypts the retrieved data with the group's private key. And generating a session key for providing the data to the subscriber, encrypting the decrypted data, encrypting the generated session key using the extracted subscriber public key, and encrypting the encrypted data and session key. To be provided to the subscriber.
이때, 상기 데이터는 암호화되어 개인키와 함께 저장서버에 저장되어 그룹간의 가입자사이에 공유되도록 한다.At this time, the data is encrypted and stored in the storage server with the private key to be shared between the subscribers between the groups.
본 발명에 의하면, 다수의 가입자의 가입과 탈퇴가 자유로운 환경에서 그룹 내에서만 기밀성을 유지한 채 관리되는 자료에 대한 보안을 수행할 수 있다.According to the present invention, it is possible to perform security on data managed while maintaining confidentiality only within a group in an environment where a plurality of subscribers are free to join and leave.
PKI, 공개키, 세션키, 보안, 데이터 공유PKI, public key, session key, security, data sharing
Description
도 1은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 장치의 구조를 나타낸 블록도이다.1 is a block diagram showing the structure of a data security device of a group-based PKI according to an embodiment of the present invention.
도 2는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 신규 가입자의 그룹 참여 방법의 동작 순서도이다.2 is a flowchart illustrating a method of joining a group of new subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.
도 3은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 가입자의 그룹 탈퇴 방법의 동작 순서도이다.3 is a flowchart illustrating a method of leaving a group of subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.
도 4는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 전송 방법의 동작 순서도이다.4 is an operation flowchart of a data transmission method in a data security method of a group-based PKI according to an embodiment of the present invention.
도 5는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 수신 방법의 동작 순서도이다.5 is an operation flowchart of a data receiving method in a data security method of a group-based PKI according to an embodiment of the present invention.
본 발명은 그룹기반 PKI(Public Key Infrastructure) 보안 장치 및 방법에 관한 것으로, 특히 다수의 주체가 그룹으로 자료 공유를 하는 환경에서의 보안 요 구를 만족시키는 그룹기반의 PKI의 데이터 보안 장치 및 방법에 관한 것이다.The present invention relates to a group-based public key infrastructure (PKI) security device and method, and more particularly, to a group-based PKI data security device and method that satisfies the security requirements in an environment where multiple subjects share data in groups. It is about.
PKI 기술은 인증, 전자서명, 기밀성 유지 등의 다양한 보안 분야에 널리 사용되고 있으나 기본적으로 거래 주체간의 1:1의 관계에서 구동되고 있다.PKI technology is widely used in various security fields such as authentication, digital signature, and confidentiality, but it is basically operated in a 1: 1 relationship between trading partners.
즉, 가입과 탈퇴가 자유로운 인터넷 기반의 클럽과 같이 임의의 참여자가 그룹을 이루고 공통된 자료를 기밀성을 유지한 상태에서 보안을 하기 위한 구성은 일반적적인 PKI 환경에서 사용되지는 않는다.In other words, for Internet-based clubs that are free to join and unsubscribe, configurations for securing a group of random participants and keeping common data confidential are not used in a typical PKI environment.
종래의 그룹 기반의 환경에서의 보안 방법은 대칭키 방식의 암호화를 수행하여 그룹 전체가 동일한 키를 공유하는 방법과, 비밀공유 기법이 있다.Conventional security methods in group-based environments include a method in which the entire group shares the same key by performing symmetric key encryption and a secret sharing technique.
첫 번째, 대칭키 방식은 키를 그룹원간에 분배하여 공유하기에 어려움이 있으며, 특히 해당 그룹에 속하지 않는 사용자에게 해당 그룹의 키가 노출되지 않도록 관리하는데 어려움이 있다.First, the symmetric key method is difficult to share by sharing the key among the group members, and in particular, it is difficult to manage to prevent the key of the group from being exposed to users who do not belong to the group.
또한, 해당 그룹에 가입과 탈퇴가 빈번하게 일어나는 인터넷 클럽의 경우, 탈퇴자가 해당 그룹의 공유키를 알고 있기 때문에 관리상의 문제가 발생한다.In addition, in the case of an Internet club that frequently joins and withdraws from the group, a management problem occurs because the withdrawal person knows the shared key of the group.
두 번째 비밀공유 기법은 기밀성을 위해 암호화를 수행할 경우, 그룹의 여러 참여자가 비밀을 나누어 가진 후에, 일정한 인원 이상이 암호화된 비밀에 접근하고자 할 때, 자신이 가진 비밀키들의 조합을 이용하여 복호화를 하는 기법이다.In the second secret sharing scheme, if encryption is performed for confidentiality, after a group of participants share a secret, when a certain number of persons want to access the encrypted secret, it decrypts it using a combination of secret keys that it owns. This is a technique.
그러나 상기한 비밀 공유 기법은 전자 투표와 같은 분야에 적용되며, 그룹 기반의 환경에서 최종적으로 암복호화의 주체가 개인이 되는 서비스에서는 적용이 적합하지 않다.However, the above-mentioned secret sharing technique is applied to fields such as electronic voting, and is not suitable for a service in which a subject of encryption and decryption becomes an individual in a group-based environment.
상기한 문제를 해결하기 위해서, 본 발명은 그룹 기반의 환경에서 PKI를 이용하여 보안서비스를 제공할 수 있도록 하는 그룹기반의 PKI의 데이터 보안장치 및 방법을 제공함에 그 목적이 있다. In order to solve the above problem, an object of the present invention is to provide a data security device and method of a group-based PKI to provide a security service using a PKI in a group-based environment.
본 발명의 하나의 특징에 따른 그룹기반 PKI의 데이터 보안 장치는,Data security device of a group-based PKI according to an aspect of the present invention,
다수의 가입자를 포함하는 그룹 내의 보안을 위한 PKI의 보안장치에 있어서,In the security device of the PKI for security in a group containing a plurality of subscribers,
상기 다수의 가입자 및 그룹에 인증을 위한 공개키 인증서를 발행하는 인증센터; 상기 인증센터가 발행하는 공개키 인증서를 저장하는 디렉토리 서버; 및 상기 공개키 인증서를 발행받은 다수의 가입자의 신상정보와, 가입자의 DN(Distinguish Name), 상기 가입자의 가입 그룹정보 및 그룹 내에 공유되는 데이터를 암호화하여 저장하고, 저장된 데이터를 상기 가입자의 요청에 따라 해당 가입자의 공개키로 암호화하여 제공하는 저장서버를 포함한다.An authentication center for issuing a public key certificate for authentication to the plurality of subscribers and groups; A directory server for storing a public key certificate issued by the authentication center; And encrypting and storing the personal information of the plurality of subscribers who have been issued the public key certificate, the Distinguish Name (DN) of the subscriber, the subscription group information of the subscriber, and the data shared within the group, and storing the stored data in the request of the subscriber. Accordingly, the storage server encrypts and provides a subscriber's public key.
상기 저장서버는, 가입자정보와, 해당 가입자의 DN 및 가입 그룹 정보를 저장하는 가입자 데이터베이스와, 그룹에 대한 정보와, 가상적으로 설정된 그룹 관리자의 DN 및 그룹의 공개키 및 개인키를 저장하는 그룹관리 데이터베이스를 포함한다.The storage server includes a subscriber database for storing subscriber information, a subscriber database for storing a subscriber's DN and subscription group information, group information, a group manager virtually configured with a group manager's DN, and a group's public and private keys. Include a database.
본 발명의 하나의 특징에 따른 그룹기반의 PKI의 데이터 보안방법은,Data security method of a group-based PKI according to an aspect of the present invention,
PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 가입자가 상기 저장서버에 데이터를 저장하 는 방법에 있어서, (a) 상기 그룹에 가입된 가입자 단말이 상기 가입자가 속한 그룹의 DN(Distinguish Name)을 이용하여 해당 그룹의 인증서를 수신하고, 그룹 인증서의 공개키를 추출하는 단계; (b) 상기 데이터 전송을 위한 세션키를 생성하고, 생성된 세션키를 이용하여 데이터를 암호화하는 단계; (c) 상기 (a) 단계에서 추출한 그룹 인증서의 공개키를 이용하여 상기 (b) 단계에서 생성한 세션키를 암호화하는 단계; 및 (d) 상기 (b) 단계에서 암호화한 데이터와 상기 (c) 단계에서 암호화한 세션키를 상기 저장서버로 전송하여 저장하는 단계를 포함한다.In a system including an authentication center for the security of a public key infrastructure (PKI), and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers, the subscriber may send data to the storage server. A storing method comprising: (a) a subscriber station subscribed to the group, receiving a certificate of a corresponding group using a DN (Distinguish Name) of the group to which the subscriber belongs, and extracting a public key of the group certificate; (b) generating a session key for the data transmission and encrypting the data using the generated session key; (c) encrypting the session key generated in step (b) using the public key of the group certificate extracted in step (a); And (d) transmitting the data encrypted in the step (b) and the session key encrypted in the step (c) to the storage server for storage.
상기 (a)단계에서, 상기 그룹의 가입자가 그룹의 인증서를 수신하는 단계는, 상기 그룹의 DN 검색 요청을 상기 저장서버로 하고, 상기 저장서버로부터 해당 그룹의 DN값을 수신하는 단계; 및 상기 수신된 그룹 DN 값을 이용하여 상기 디렉토리 서버로부터 해당 그룹의 인증서를 수신하는 단계를 포함한다.In the step (a), receiving the group's certificate by the subscriber of the group, the DN search request of the group as the storage server, and receiving the DN value of the group from the storage server; And receiving a certificate of a corresponding group from the directory server by using the received group DN value.
상기 (a) 단계의 그룹 인증서에서 공개키는, 상기 그룹에 대하여 가상으로 생성되는 그룹관리자의 공개키인 것을 특징으로 한다. In the group certificate of step (a), the public key is a public key of a group manager virtually generated for the group.
본 발명의 또 다른 특징에 따른 그룹기반 PKI의 데이터 보안방법은,Data security method of the group-based PKI according to another aspect of the present invention,
PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 저장서버가 가입자에게 공유되는 데이터를 제공하는 방법에 있어서, (a) 상기 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 상기 가입자 인증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하는 단계; (b) 상기 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화하는 단계; (c) 상기 (a) 단계에서 추출된 가입자 공개키를 이용하여 상기 (b) 단계에서 생성된 세션키를 암호화하는 단계; 및 (d) 상기 암호화된 데이터 및 세션키를 상기 가입자에게 전송하는 단계를 포함한다.Data stored by the storage server to a subscriber in a system including an authentication center for security of a public key infrastructure (PKI) and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers. A method for providing a method comprising the steps of: (a) performing subscriber authentication using a PKI-based authentication information received from a subscriber subscribed to the group, extracting a public key, and then retrieving data required from the subscriber; (b) decrypting the retrieved data with a private key of a group, generating a session key for providing the corresponding data to the subscriber, and then encrypting the decrypted data; (c) encrypting the session key generated in step (b) using the subscriber public key extracted in step (a); And (d) transmitting the encrypted data and the session key to the subscriber.
상기 (b) 단계에서, 상기 그룹의 개인키를 이용하여 데이터의 복호화는, 상기 그룹의 개인키를 이용하여 해당 데이터의 세션키를 복호화하는 단계; 및 상기 복호화된 세션키를 이용하여 상기 데이터를 복호화하는 단계를 포함한다.In the step (b), decrypting data using the private key of the group comprises: decrypting a session key of the corresponding data using the private key of the group; And decrypting the data using the decrypted session key.
상기 (d) 단계이후, 상기 암호화된 데이터 및 세션키를 수신한 가입자 단말이 자신의 개인키를 이용하여 상기 세션키를 복호화하는 단계; 및 상기 복호화된 세션키를 이용하여 상기 데이터를 복호화하고 해당 데이터를 이용하는 단계를 포함한다.After the step (d), the subscriber station receiving the encrypted data and the session key decrypts the session key using its private key; And decrypting the data by using the decrypted session key and using the corresponding data.
이때, 상기 그룹에 가입은, 상기 인증센터로부터 개인 인증서를 발급받은 가입자 단말이 가입자 신청 정보 및 PKI 기반 인증정보를 상기 저장서버로 전송하여 상기 저장서버에 등록 및 가입자 정보를 저장하여 상기 그룹에 가입하는 단계를 포함하는 것을 특징으로 한다.In this case, in the joining of the group, a subscriber station having received a personal certificate from the authentication center transmits subscriber application information and PKI-based authentication information to the storage server to register and store subscriber information in the storage server to join the group. Characterized in that it comprises a step.
그리고, 상기 그룹에 가입한 가입자의 해당 그룹을 탈퇴는, 상기 저장서버로 탈퇴 요청 및 PKI 기반 인증정보를 전송하는 단계; 및 상기 저장서버가 상기 탈퇴를 요청한 가입자의 인증을 수행하고, 해당 가입자의 정보를 삭제하는 단계를 포함한다. And, withdrawing the corresponding group of subscribers joining the group, transmitting the withdrawal request and PKI based authentication information to the storage server; And performing, by the storage server, authentication of the subscriber who requested the withdrawal, and deleting information of the subscriber.
상기 가입자 신청정보는, 상기 가입자의 성명, 주소, 주민등록번호를 포함하는 신상정보를 포함하는 것을 특징으로 한다.The subscriber application information is characterized by including personal information including the name, address, resident registration number of the subscriber.
본 발명의 하나의 특징에 따른 기록매체는,A recording medium according to one aspect of the present invention,
PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 가입자가 상기 저장서버에 데이터를 저장하는 기능을 포함하는 프로그램을 저장하는 기록매체에 있어서, (a) 상기 그룹에 가입된 가입자 단말이 상기 가입자가 속한 그룹의 DN(Distinguish Name)을 이용하여 해당 그룹의 인증서를 수신하여, 그룹 인증서의 공개키를 추출하는 기능; (b) 상기 데이터 전송을 위한 세션키를 생성하고, 생성된 세션키를 이용하여 데이터를 암호화하는 기능; (c) 상기 (a) 단계에서 추출한 그룹 인증서의 공개키를 이용하여 상기 (b)단계에서 생성한 세션키를 암호화하는 기능; 및 (d) 상기 (b) 단계에서 암호화한 데이터와 상기 (c) 단계에서 암호화한 세션키를 상기 저장서버로 전송하여 저장하는 기능을 포함한다.In a system including an authentication center for the security of a public key infrastructure (PKI), and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers, the subscriber may send data to the storage server. A recording medium storing a program including a function of storing, (a) a subscriber station subscribed to the group receives a certificate of a corresponding group using a DN (Distinguish Name) of the group to which the subscriber belongs, Extracting the public key of the; (b) generating a session key for data transmission and encrypting data using the generated session key; (c) encrypting the session key generated in step (b) using the public key of the group certificate extracted in step (a); And (d) transmitting the data encrypted in step (b) and the session key encrypted in step (c) to the storage server for storage.
본 발명의 또 다른 특징에 따른 기록매체는, According to another aspect of the present invention,
PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 저장서버가 가입자에게 공유되는 데이터를 제공하는 기능을 포함하는 프로그램을 저장하는 기록매체에 있어서, (a) 상기 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 상기 가입자 인 증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하는 기능; (b) 상기 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화하는 기능; (c) 상기 (a) 단계에서 추출된 가입자 공개키를 이용하여 상기 (b) 단계에서 생성된 세션키를 암호화하는 기능; 및 (d) 상기 암호화된 데이터 및 세션키를 상기 가입자에게 전송하는 기능을 포함한다.Data stored by the storage server to a subscriber in a system including an authentication center for security of a public key infrastructure (PKI) and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers. A recording medium storing a program including a function for providing a service, comprising: (a) performing the subscriber authentication using the PKI-based authentication information received from the subscribers subscribed to the group and extracting the public key; Retrieving data required from subscribers; (b) decrypting the retrieved data with a private key of a group, generating a session key for providing the corresponding data to the subscriber, and then encrypting the decrypted data; (c) encrypting the session key generated in step (b) using the subscriber public key extracted in step (a); And (d) transmitting the encrypted data and session key to the subscriber.
아래에서는 첨부한 도면을 참고로 하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 첨부된 도면은 본 발명을 명확하게 설명하기 위해 본 발명의 설명과 관계없는 부분은 생략하였으며, 동일 또는 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the accompanying drawings, parts irrelevant to the description of the present invention are omitted in order to clearly describe the present invention, and the same or similar parts are denoted by the same reference numerals.
도 1은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 장치의 구조를 나타낸 블록도이다.1 is a block diagram showing the structure of a data security device of a group-based PKI according to an embodiment of the present invention.
도 1을 참조하면, 그룹 기반의 PKI의 보안 장치는 CA(Certificate Authority)(310), DS(Directory Server)(320) 및 저장서버(330)를 포함하며, 다수의 가입자 A, B, C(100)가 인터넷(200)을 통해 연결된다.Referring to FIG. 1, a security device of a group-based PKI includes a certificate authority (CA) 310, a directory server (DS) 320, and a
CA(310)는 가입자(100) 및 그룹의 가상 그룹 관리자에게 공개키 인증서를 발행하는 인증 센터이고, DS(320)는 CA(310)가 발행하는 공개키 인증서를 저장 및 게시하는 디렉토리 서버로, PKI 시스템 운영에 필요한 암복호화 기능을 포함한 장치 이다.The CA 310 is a certification center that issues public key certificates to
그리고 저장서버(330)는 가입자 DB(DataBase)(331) 및 그룹관리 DB(332)를 포함한다.The
가입자 DB(331)는 일반적인 응용 프로그램 상에서 이용할 수 있는 가입자 정보를 가지고 있으며, 가입자의 DN(Distinguish Name)과 가입 그룹 정보를 저장한다. 이를 이용하여 가입된 그룹의 자료를 수신 받을 때 가입자 자신을 인증 받을 수 있으며, DN을 통해 가입자 자신만이 가지고 있는 공개키를 이용하여 복호화할 수 있는 공유 자료를 자신의 인증서에 포함된 공개키를 서버가 이용할 수 있도록 하여 암호화된 상태에서 전송받을 수 있도록 하는데 이용한다.The subscriber DB 331 has subscriber information available on a general application program, and stores a subscriber's DN (Distinguish Name) and subscription group information. By using this, subscribers can be authenticated when receiving the data of the subscribed group, and the public key included in their certificate can be shared data that can be decrypted using the public key that only the subscriber owns through the DN. It is used to make the server available to receive it in encrypted state.
그룹관리 DB(332)는 그룹에 대한 일반적인 정보와 함께 가상적으로 설정된 그룹 관리자의 DN 및 그룹의 공개키를 저장하고 있다. 그룹 관리자의 DN을 이용하여 가입자가 저장서버(330)로 공유 자료를 전송할 때 그룹 관리자의 공개키로만 복호화할 수 있는 암호화된 자료를 전송할 수 있다.The group management DB 332 stores the group manager's DN and the group's public key that are virtually set together with general information about the group. When the subscriber transmits the shared data to the
또한, 저장서버(330)에 저장되어 있는 암호화된 자료를 그룹의 가입자가 요청할 때, 이를 복호화하기 위한 가상의 그룹 관리자의 공개키를 보관하여 암호화된 자료를 복호화하는데 이용한다.In addition, when the subscriber of the group requests the encrypted data stored in the
이때, 저장서버(330)가 공개키 및 그룹관리자의 인증서를 안전하게 보관하기 위해서는, 네트워크 보안, 호스트 보안, 접근 통제 등의 이미 공지된 기술을 이용한다.In this case, in order to securely store the public key and the certificate of the group manager, the
상기 CA(310), DS(320) 및 저장서버(330)는 인터넷(200)을 통해 가입자(100) 와 연결되고, 인터넷(200)은 IPSec(Internet Protocol Security protocol)과 같이 망 자체에서 기밀성을 제공해 주지 않는 일반적인 공개망이다.The CA 310, the DS 320, and the
상기한 본 발명의 실시 예에 따른 그룹기반 PKI의 보안장치에서 개인 가입자는 인증서를 발급받지 않은 상태에서는 보안 서비스를 받을 수 없다. 즉, 가입자가 새로운 그룹에 가입을 하기 위해서는 인증서를 발급받고, 공개키가 생성되어야 하며 이를 처리할 수 있는 PKI 기반 소프트웨어가 구비되어 있어야 한다.In the security device of the group-based PKI according to the embodiment of the present invention, the individual subscriber cannot receive the security service without obtaining a certificate. In other words, in order for a subscriber to join a new group, a certificate must be issued, a public key must be generated, and PKI-based software must be provided to handle this.
또한, 상기한 본 발명의 실시 예에 따른 그룹기반 PKI의 보안장치에서 신규 가입자의 그룹참여, 탈퇴 및 자료 송수신은 다음과 같이 수행한다.In addition, in the security device of the group-based PKI according to the embodiment of the present invention, group participation, withdrawal and data transmission and reception of new subscribers are performed as follows.
도 2는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 신규 가입자의 그룹 참여 방법의 동작 순서도이다.2 is a flowchart illustrating a method of joining a group of new subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.
도 2를 참조하면, 그룹에 참여를 원하는 신규 가입자(100)가 있으면, 해당 가입자(100)가 인증서를 발급받은 사용자인지를 판단한다(S201).Referring to FIG. 2, if there is a
상기 단계 S201의 판단결과, 가입자(100)가 인증서를 발급받지 않았다, CA(310) 및 DS(320)와의 통신을 수행하여 인증서를 발급받는다(S202). 이때, 인증서 발급은 CA(310)가 PKI 기반의 운영 원칙에 준용하여 인증서를 발급한 후, DS(320)에 발급된 인증서가 게시함으로써 수행 된다. As a result of the determination of step S201, the
또한, 발급된 인증서에 포함된 공개키와 대응하는 개인키는 가입자(100)의 단말에 안전하게 보관된다.In addition, the private key corresponding to the public key included in the issued certificate is securely stored in the terminal of the
인증서가 발급된 사용자이면, 그룹에 가입하기 위한 가입 신청을 하고(S203), 일반 가입자 신청 정보와, PKI 기반의 인증 정보를 저장서버(330)로 송신한다(S204).If the certificate is issued to the user, the subscription application for joining the group (S203), and the general subscriber application information and PKI-based authentication information to the storage server 330 (S204).
저장서버(330)는 수신된 일반 가입자 신청정보와 PKI 기반의 인증정보를 가입자 DB(331)에 저장하고(S205), 가입자(100)는 그룹의 신규 가입자로 등록된다.The
이때, PKI 기반의 인증 절차는 저장서버(330)가 인증을 위한 요구(Challenge)를 주어 가입자(100)가 자신만이 가진 개인키로 응답(Response)을 주는 방식을 기반으로 하는 엄밀한 절차를 거치며, 널리 알려진 공지 기술이므로 상세한 설명을 생략한다.At this time, the PKI-based authentication process goes through a rigorous procedure based on a method in which the
상기의 과정을 거쳐 등록한 가입자(100)가 해당 그룹에서 탈퇴를 하기 위해서는 다음의 과정을 수행한다.In order to withdraw from the group, the
도 3은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 가입자의 그룹 탈퇴 방법의 동작 순서도이다.3 is a flowchart illustrating a method of leaving a group of subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.
도 3을 참조하면, 그룹의 가입자(100)가 탈퇴 요청을 하면(S301), 가입자(100)의 단말은 탈퇴 요청 정보와, PKI 기반 인증 정보를 저장서버(330)로 송신한다(S302).Referring to FIG. 3, when the
저장서버(330)는 PKI 기반의 인증정보를 이용하여 해당 가입자(100) 인증을 DS(320)와의 통신을 통해 수행하고(S303), 탈퇴 요청 정보에 의해 해당 가입자 정보 항목을 삭제한다(S304). 이때, 가입자정보 항목 삭제는 가입자(100)의 가입자 정보는 물론, 가입자(100)가 속한 그룹과, DN 항목도 삭제한다.The
상기한 가입 및 탈퇴를 수행하는 그룹에서의 자료송수신은 다음과 같이 수행된다. Data transmission and reception in the group performing the above joining and withdrawing are performed as follows.
도 4는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 전송 방법의 동작 순서도이다.4 is an operation flowchart of a data transmission method in a data security method of a group-based PKI according to an embodiment of the present invention.
도 4를 참조하면, 그룹에 구성원인 가입자(100)가 그룹 구성원과 공유하고자 하는 자료를 저장서버(330)로 송신하여 저장하기 위해서, 가입자(100)는 우선 자신이 속한 그룹의 DN 검색을 저장서버(330)로 요청하고(S401), 저장서버(330)는 해당 가입자(100)가 속한 그룹을 찾아낸 후(S402), 해당 그룹의 DN값을 가입자(100)에게 전송한다.Referring to FIG. 4, in order to transmit and store data to be shared with a group member by a
가입자(100)는 그룹 DN을 이용하여 DS(320)에 그룹 인증서를 요청하여 수신하고(S403), 수신된 그룹 인증서로부터 가상의 그룹 관리자의 공개키를 추출한다(S404).The
가입자(100)는 자료의 암호화를 위해서 세션키를 생성하고, 생성된 세션키를 이용하여 자료를 대칭키 암호화한 후(S405), 세션키를 단계 S404에서 추출한 공개키로 비대칭키 암호화한다(S406).The
그리고 가입자(100)가 암호화한 자료 및 세션키정보를 저장서버(330)로 전송하여(S407), 저장한다(S408).The
이때, 상기 단계 S405의 세션키의 개념을 도입하여 대칭키 암호화를 하지 않고, 그룹 관리자의 공개키를 이용하여 직접적으로 비대칭키 암호화하는 방법을 사용할 수도 있으나, 대칭키 암/복호화와 비대칭키 암/복호화의 성능은 현저히 차이가 나므로 시스템의 효율성을 이용하여 일반적으로 세션키 개념을 도입한다.At this time, the concept of the session key of step S405 may be introduced to perform asymmetric key encryption using a public key of a group manager without symmetric key encryption, but symmetric key encryption / decryption and asymmetric key encryption / Since the performance of decryption is remarkably different, the concept of session key is generally introduced using the efficiency of the system.
또한, 상기 대칭키 암호기법은 DES(Data Encryption Standard), 3DES, AES(Advanced Encryption Standard), SEED 등의 암호기법이 있고, 비대칭키 암호기법으로는 RSA(Rivest Shamir Adleman), ECC(Elliptic Curve Cyptosystem; 타원곡선암호 시스템) 등이 있다.In addition, the symmetric key encryption method includes encryption techniques such as DES (Data Encryption Standard), 3DES, AES (Advanced Encryption Standard), SEED, etc.Asymmetric key encryption techniques include RSA (Rivest Shamir Adleman) and ECC (Elliptic Curve Cyptosystem). Elliptic curve cryptographic system).
상기와 같이 저장서버(330)에 저장된 자료를 가입자(100)가 수신하기 위해서는 다음의 동작을 수행한다.In order to receive the data stored in the
도 5는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 수신 방법의 동작 순서도이다.5 is an operation flowchart of a data receiving method in a data security method of a group-based PKI according to an embodiment of the present invention.
도 5를 참조하면, 저장서버(300)에 저장된 그룹의 공유 데이터를 수신하고 싶은 가입자(100)는 자신의 단말에 저장된 PKI 기반 인증정보를 저장서버(330)로 전송하여(S501), 가입자 인증을 받는다(S502).Referring to FIG. 5, the
이때, 상기 단계 S502의 가입자 인증은 저장서버(330)가 가입자(100)로부터 수신한 PKI 기반 인증정보를 이용하여 DS(320)로부터 가입자 인증서를 확인받고, 그룹관리 DB(332)에서 해당 가입자(100)가 속한 그룹의 구성원임을 확인하는 절차를 수행한다.At this time, the subscriber authentication of the step S502 is the
가입자 인증을 마치면, 가입자(100)는 저장서버(330)에 저장된 그룹 내의 파일을 검색하고, 다운로드를 원하는 자료를 요청한다(S503).After the subscriber authentication is completed, the
저장서버(330)는 가입자(100)로부터의 다운로드 요청에 따라, 해당 자료를 가상의 그룹 관리자의 개인키를 이용하여 복호화하고(S504), 가입자(100)의 인증서를 DS(320)로부터 검색하여 수신한다(S505).The
이때, 상기 단계 S504의 자료를 복호화하는 과정은 상기 도 4에서 자료를 송 신할 때 암호화 한 방법과 반대 방식으로 그룹 관리자의 개인키를 이용하여 해당 자료의 세션키를 복호화하고, 복호화한 세션키를 이용하여 해당 자료를 복호화한다.At this time, the process of decrypting the data of step S504 is to decrypt the session key of the corresponding data using the private key of the group manager in a manner opposite to the method of encryption when transmitting the data in FIG. To decrypt the data.
저장서버(330)는 DS(320)로부터 수신한 가입자(100)의 인증서에서 가입자(100)의 공개키를 추출하고(S506), 새로운 세션키를 생성하여 단계 S504에서 복호화한 자료를 암호화한 후, 세션키를 단계 S506에서 추출한 가입자(100)의 공개키로 암호화한다(S507).The
이후로, 저장서버(330)는 암호화한 자료와 세션키를 가입자(100)자에게 전송하고(S508), 가입자(100)는 자신의 단말에 저장된 개인키를 이용하여 세션키를 복호화하고, 복호화된 세션키를 이용하여 자료를 복호화하여 이용한다(S509).Thereafter, the
본 발명의 실시 예에 따른 그룹기반 PKI의 보안방법은 프로그램으로 구현되어 컴퓨터로 판독 가능한 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.The security method of a group-based PKI according to an embodiment of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form.
또한, 본 발명은 어떤 그룹에 속한 가입자들 간에 기밀성을 유지하면서 자료들을 공유하는 방법을 제시하는 것으로, 단일한 그룹에 제한하여 실시 예를 설명하였으나, 한 명의 가입자가 여러 그룹에 가입하는 형태의 서비스로도 적용이 가능하다.In addition, the present invention proposes a method of sharing data while maintaining confidentiality among subscribers belonging to a group, and the embodiment has been described in a limited way to a single group, but a service in which one subscriber joins several groups Also applicable.
이는 하나 이상의 그룹에 속한 가입자들은 각 그룹별 개별 관계의 단순한 확장이며 특별한 시스템 구성상의 변형이 필요한 것이 아니라 단순한 데이터베이스 관리 차원에서 이루어질 수 있는 내용이므로 본 발명에서 상세한 기술은 생략하기 로 한다.This is because the subscribers belonging to one or more groups are simple extensions of individual relationships for each group and are not required for special system configuration but can be made in terms of simple database management.
이상에서 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였지만 본 발명은 이에 한정되는 것은 아니며, 그 외에 다양한 변경이나 변형이 가능하다.Although a preferred embodiment of the present invention has been described in detail above, the present invention is not limited thereto, and various other changes and modifications are possible.
이상에서 설명한 바와 같이, 본 발명에 따른 그룹기반 PKI의 보안 장치 및 방법은 다수의 가입자의 가입과 탈퇴가 자유로운 환경에서 그룹 내에서만 기밀성을 유지한 채 관리되는 자료에 대한 보안을 수행할 수 있는 효과가 있다.As described above, the security apparatus and method of the group-based PKI according to the present invention can secure the data managed while maintaining confidentiality only in the group in an environment in which a plurality of subscribers are free to join and leave. There is.
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040005723A KR101022788B1 (en) | 2004-01-29 | 2004-01-29 | Apparatus and method of data preservating in public key infrastructure based on group |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020040005723A KR101022788B1 (en) | 2004-01-29 | 2004-01-29 | Apparatus and method of data preservating in public key infrastructure based on group |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050078326A KR20050078326A (en) | 2005-08-05 |
KR101022788B1 true KR101022788B1 (en) | 2011-03-17 |
Family
ID=37265495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040005723A KR101022788B1 (en) | 2004-01-29 | 2004-01-29 | Apparatus and method of data preservating in public key infrastructure based on group |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101022788B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100667213B1 (en) * | 2004-12-21 | 2007-01-12 | 한국전자통신연구원 | Method for Generating Session Keys for Low-Power Mobile Devices |
KR100823260B1 (en) * | 2006-01-19 | 2008-04-17 | 삼성전자주식회사 | Method and apparatus for transmitting content to the device which do not join domain |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6324645B1 (en) | 1998-08-11 | 2001-11-27 | Verisign, Inc. | Risk management for public key management infrastructure using digital certificates |
US20020107814A1 (en) | 1995-10-24 | 2002-08-08 | Silvio Micali | Certificate revocation system |
US20020166049A1 (en) | 2000-12-22 | 2002-11-07 | Sinn Richard P. | Obtaining and maintaining real time certificate status |
KR20020088522A (en) * | 2001-05-18 | 2002-11-29 | 김영제 | Secret sharing method between authorized persons using public key cryptography |
-
2004
- 2004-01-29 KR KR1020040005723A patent/KR101022788B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020107814A1 (en) | 1995-10-24 | 2002-08-08 | Silvio Micali | Certificate revocation system |
US6324645B1 (en) | 1998-08-11 | 2001-11-27 | Verisign, Inc. | Risk management for public key management infrastructure using digital certificates |
US20020166049A1 (en) | 2000-12-22 | 2002-11-07 | Sinn Richard P. | Obtaining and maintaining real time certificate status |
KR20020088522A (en) * | 2001-05-18 | 2002-11-29 | 김영제 | Secret sharing method between authorized persons using public key cryptography |
Also Published As
Publication number | Publication date |
---|---|
KR20050078326A (en) | 2005-08-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
JP4659749B2 (en) | Identity-based cryptographic messaging system | |
US7865936B2 (en) | System and method for controlling access to multiple public networks and for controlling access to multiple private networks | |
US20190294811A1 (en) | System and a method for management of confidential data | |
US8762741B2 (en) | Privacy-preserving communication | |
US7395549B1 (en) | Method and apparatus for providing a key distribution center without storing long-term server secrets | |
US20070242830A1 (en) | Anonymous Certificates with Anonymous Certificate Show | |
US20080031459A1 (en) | Systems and Methods for Identity-Based Secure Communications | |
KR20070089628A (en) | Encrypted communication system, communication status management server, encrypted communication method, and communication status management method | |
CN105812349B (en) | A kind of unsymmetrical key distribution of identity-based information and message encryption method | |
US12034862B2 (en) | Anonymous broadcast method, key exchange method, anonymous broadcast system, key exchange system, communication device, and program | |
CN106790037A (en) | The instant communication method and system of a kind of User space encryption | |
US20090154710A1 (en) | Method for the Secure Deposition of Digital Data, Associated Method for Recovering Digital Data, Associated Devices for Implementing Methods, and System Comprising Said Devices | |
US20070038862A1 (en) | Method and system for controlling the disclosure time of information | |
KR101241864B1 (en) | System for User-Centric Identity management and method thereof | |
US20070098156A1 (en) | Digital rights management | |
TW201233113A (en) | Method for providing social network service using privacy homomorphism cryptography | |
KR20040097016A (en) | Method and System of Web Storage Service with Cipher | |
Saxena et al. | A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology | |
KR20060078768A (en) | System and method for key recovery using distributed registration of private key | |
KR101022788B1 (en) | Apparatus and method of data preservating in public key infrastructure based on group | |
KR101165350B1 (en) | An Authentication Method of Device Member In Ubiquitous Computing Network | |
CN112035820B (en) | Data analysis method used in Kerberos encryption environment | |
JP2005086428A (en) | Method of obtaining authentication and performing crypto communication, authenticating system and authenticating method | |
JPH11187008A (en) | Delivering method for cryptographic key |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140303 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150812 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160308 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20170412 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20180308 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20190416 Year of fee payment: 9 |