KR101022788B1 - Apparatus and method of data preservating in public key infrastructure based on group - Google Patents

Apparatus and method of data preservating in public key infrastructure based on group Download PDF

Info

Publication number
KR101022788B1
KR101022788B1 KR1020040005723A KR20040005723A KR101022788B1 KR 101022788 B1 KR101022788 B1 KR 101022788B1 KR 1020040005723 A KR1020040005723 A KR 1020040005723A KR 20040005723 A KR20040005723 A KR 20040005723A KR 101022788 B1 KR101022788 B1 KR 101022788B1
Authority
KR
South Korea
Prior art keywords
group
data
subscriber
pki
public key
Prior art date
Application number
KR1020040005723A
Other languages
Korean (ko)
Other versions
KR20050078326A (en
Inventor
양성현
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040005723A priority Critical patent/KR101022788B1/en
Publication of KR20050078326A publication Critical patent/KR20050078326A/en
Application granted granted Critical
Publication of KR101022788B1 publication Critical patent/KR101022788B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 그룹기반 PKI의 데이터 보안 장치 및 방법에 관한 것이다. The present invention relates to a data security apparatus and method for group-based PKI.

본 발명에 의하면 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 상기 가입자 인증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하고, 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화한 후, 상기 추출된 가입자 공개키를 이용하여 상기 생성된 세션키를 암호화하여, 암호화된 데이터 및 세션키를 상기 가입자에게 제공하도록 한다.According to the present invention, after performing the subscriber authentication using the PKI-based authentication information received from the subscribers subscribed to the group, extracting the public key, retrieves the data required from the subscriber, and decrypts the retrieved data with the group's private key. And generating a session key for providing the data to the subscriber, encrypting the decrypted data, encrypting the generated session key using the extracted subscriber public key, and encrypting the encrypted data and session key. To be provided to the subscriber.

이때, 상기 데이터는 암호화되어 개인키와 함께 저장서버에 저장되어 그룹간의 가입자사이에 공유되도록 한다.At this time, the data is encrypted and stored in the storage server with the private key to be shared between the subscribers between the groups.

본 발명에 의하면, 다수의 가입자의 가입과 탈퇴가 자유로운 환경에서 그룹 내에서만 기밀성을 유지한 채 관리되는 자료에 대한 보안을 수행할 수 있다.According to the present invention, it is possible to perform security on data managed while maintaining confidentiality only within a group in an environment where a plurality of subscribers are free to join and leave.

PKI, 공개키, 세션키, 보안, 데이터 공유PKI, public key, session key, security, data sharing

Description

그룹기반 공개키 기반 구조의 데이터 보안 장치 및 방법{Apparatus and method of data preservating in public key infrastructure based on group}Apparatus and method of data preservating in public key infrastructure based on group}

도 1은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 장치의 구조를 나타낸 블록도이다.1 is a block diagram showing the structure of a data security device of a group-based PKI according to an embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 신규 가입자의 그룹 참여 방법의 동작 순서도이다.2 is a flowchart illustrating a method of joining a group of new subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 가입자의 그룹 탈퇴 방법의 동작 순서도이다.3 is a flowchart illustrating a method of leaving a group of subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 전송 방법의 동작 순서도이다.4 is an operation flowchart of a data transmission method in a data security method of a group-based PKI according to an embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 수신 방법의 동작 순서도이다.5 is an operation flowchart of a data receiving method in a data security method of a group-based PKI according to an embodiment of the present invention.

본 발명은 그룹기반 PKI(Public Key Infrastructure) 보안 장치 및 방법에 관한 것으로, 특히 다수의 주체가 그룹으로 자료 공유를 하는 환경에서의 보안 요 구를 만족시키는 그룹기반의 PKI의 데이터 보안 장치 및 방법에 관한 것이다.The present invention relates to a group-based public key infrastructure (PKI) security device and method, and more particularly, to a group-based PKI data security device and method that satisfies the security requirements in an environment where multiple subjects share data in groups. It is about.

PKI 기술은 인증, 전자서명, 기밀성 유지 등의 다양한 보안 분야에 널리 사용되고 있으나 기본적으로 거래 주체간의 1:1의 관계에서 구동되고 있다.PKI technology is widely used in various security fields such as authentication, digital signature, and confidentiality, but it is basically operated in a 1: 1 relationship between trading partners.

즉, 가입과 탈퇴가 자유로운 인터넷 기반의 클럽과 같이 임의의 참여자가 그룹을 이루고 공통된 자료를 기밀성을 유지한 상태에서 보안을 하기 위한 구성은 일반적적인 PKI 환경에서 사용되지는 않는다.In other words, for Internet-based clubs that are free to join and unsubscribe, configurations for securing a group of random participants and keeping common data confidential are not used in a typical PKI environment.

종래의 그룹 기반의 환경에서의 보안 방법은 대칭키 방식의 암호화를 수행하여 그룹 전체가 동일한 키를 공유하는 방법과, 비밀공유 기법이 있다.Conventional security methods in group-based environments include a method in which the entire group shares the same key by performing symmetric key encryption and a secret sharing technique.

첫 번째, 대칭키 방식은 키를 그룹원간에 분배하여 공유하기에 어려움이 있으며, 특히 해당 그룹에 속하지 않는 사용자에게 해당 그룹의 키가 노출되지 않도록 관리하는데 어려움이 있다.First, the symmetric key method is difficult to share by sharing the key among the group members, and in particular, it is difficult to manage to prevent the key of the group from being exposed to users who do not belong to the group.

또한, 해당 그룹에 가입과 탈퇴가 빈번하게 일어나는 인터넷 클럽의 경우, 탈퇴자가 해당 그룹의 공유키를 알고 있기 때문에 관리상의 문제가 발생한다.In addition, in the case of an Internet club that frequently joins and withdraws from the group, a management problem occurs because the withdrawal person knows the shared key of the group.

두 번째 비밀공유 기법은 기밀성을 위해 암호화를 수행할 경우, 그룹의 여러 참여자가 비밀을 나누어 가진 후에, 일정한 인원 이상이 암호화된 비밀에 접근하고자 할 때, 자신이 가진 비밀키들의 조합을 이용하여 복호화를 하는 기법이다.In the second secret sharing scheme, if encryption is performed for confidentiality, after a group of participants share a secret, when a certain number of persons want to access the encrypted secret, it decrypts it using a combination of secret keys that it owns. This is a technique.

그러나 상기한 비밀 공유 기법은 전자 투표와 같은 분야에 적용되며, 그룹 기반의 환경에서 최종적으로 암복호화의 주체가 개인이 되는 서비스에서는 적용이 적합하지 않다.However, the above-mentioned secret sharing technique is applied to fields such as electronic voting, and is not suitable for a service in which a subject of encryption and decryption becomes an individual in a group-based environment.

상기한 문제를 해결하기 위해서, 본 발명은 그룹 기반의 환경에서 PKI를 이용하여 보안서비스를 제공할 수 있도록 하는 그룹기반의 PKI의 데이터 보안장치 및 방법을 제공함에 그 목적이 있다. In order to solve the above problem, an object of the present invention is to provide a data security device and method of a group-based PKI to provide a security service using a PKI in a group-based environment.

본 발명의 하나의 특징에 따른 그룹기반 PKI의 데이터 보안 장치는,Data security device of a group-based PKI according to an aspect of the present invention,

다수의 가입자를 포함하는 그룹 내의 보안을 위한 PKI의 보안장치에 있어서,In the security device of the PKI for security in a group containing a plurality of subscribers,

상기 다수의 가입자 및 그룹에 인증을 위한 공개키 인증서를 발행하는 인증센터; 상기 인증센터가 발행하는 공개키 인증서를 저장하는 디렉토리 서버; 및 상기 공개키 인증서를 발행받은 다수의 가입자의 신상정보와, 가입자의 DN(Distinguish Name), 상기 가입자의 가입 그룹정보 및 그룹 내에 공유되는 데이터를 암호화하여 저장하고, 저장된 데이터를 상기 가입자의 요청에 따라 해당 가입자의 공개키로 암호화하여 제공하는 저장서버를 포함한다.An authentication center for issuing a public key certificate for authentication to the plurality of subscribers and groups; A directory server for storing a public key certificate issued by the authentication center; And encrypting and storing the personal information of the plurality of subscribers who have been issued the public key certificate, the Distinguish Name (DN) of the subscriber, the subscription group information of the subscriber, and the data shared within the group, and storing the stored data in the request of the subscriber. Accordingly, the storage server encrypts and provides a subscriber's public key.

상기 저장서버는, 가입자정보와, 해당 가입자의 DN 및 가입 그룹 정보를 저장하는 가입자 데이터베이스와, 그룹에 대한 정보와, 가상적으로 설정된 그룹 관리자의 DN 및 그룹의 공개키 및 개인키를 저장하는 그룹관리 데이터베이스를 포함한다.The storage server includes a subscriber database for storing subscriber information, a subscriber database for storing a subscriber's DN and subscription group information, group information, a group manager virtually configured with a group manager's DN, and a group's public and private keys. Include a database.

본 발명의 하나의 특징에 따른 그룹기반의 PKI의 데이터 보안방법은,Data security method of a group-based PKI according to an aspect of the present invention,

PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 가입자가 상기 저장서버에 데이터를 저장하 는 방법에 있어서, (a) 상기 그룹에 가입된 가입자 단말이 상기 가입자가 속한 그룹의 DN(Distinguish Name)을 이용하여 해당 그룹의 인증서를 수신하고, 그룹 인증서의 공개키를 추출하는 단계; (b) 상기 데이터 전송을 위한 세션키를 생성하고, 생성된 세션키를 이용하여 데이터를 암호화하는 단계; (c) 상기 (a) 단계에서 추출한 그룹 인증서의 공개키를 이용하여 상기 (b) 단계에서 생성한 세션키를 암호화하는 단계; 및 (d) 상기 (b) 단계에서 암호화한 데이터와 상기 (c) 단계에서 암호화한 세션키를 상기 저장서버로 전송하여 저장하는 단계를 포함한다.In a system including an authentication center for the security of a public key infrastructure (PKI), and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers, the subscriber may send data to the storage server. A storing method comprising: (a) a subscriber station subscribed to the group, receiving a certificate of a corresponding group using a DN (Distinguish Name) of the group to which the subscriber belongs, and extracting a public key of the group certificate; (b) generating a session key for the data transmission and encrypting the data using the generated session key; (c) encrypting the session key generated in step (b) using the public key of the group certificate extracted in step (a); And (d) transmitting the data encrypted in the step (b) and the session key encrypted in the step (c) to the storage server for storage.

상기 (a)단계에서, 상기 그룹의 가입자가 그룹의 인증서를 수신하는 단계는, 상기 그룹의 DN 검색 요청을 상기 저장서버로 하고, 상기 저장서버로부터 해당 그룹의 DN값을 수신하는 단계; 및 상기 수신된 그룹 DN 값을 이용하여 상기 디렉토리 서버로부터 해당 그룹의 인증서를 수신하는 단계를 포함한다.In the step (a), receiving the group's certificate by the subscriber of the group, the DN search request of the group as the storage server, and receiving the DN value of the group from the storage server; And receiving a certificate of a corresponding group from the directory server by using the received group DN value.

상기 (a) 단계의 그룹 인증서에서 공개키는, 상기 그룹에 대하여 가상으로 생성되는 그룹관리자의 공개키인 것을 특징으로 한다. In the group certificate of step (a), the public key is a public key of a group manager virtually generated for the group.

본 발명의 또 다른 특징에 따른 그룹기반 PKI의 데이터 보안방법은,Data security method of the group-based PKI according to another aspect of the present invention,

PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 저장서버가 가입자에게 공유되는 데이터를 제공하는 방법에 있어서, (a) 상기 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 상기 가입자 인증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하는 단계; (b) 상기 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화하는 단계; (c) 상기 (a) 단계에서 추출된 가입자 공개키를 이용하여 상기 (b) 단계에서 생성된 세션키를 암호화하는 단계; 및 (d) 상기 암호화된 데이터 및 세션키를 상기 가입자에게 전송하는 단계를 포함한다.Data stored by the storage server to a subscriber in a system including an authentication center for security of a public key infrastructure (PKI) and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers. A method for providing a method comprising the steps of: (a) performing subscriber authentication using a PKI-based authentication information received from a subscriber subscribed to the group, extracting a public key, and then retrieving data required from the subscriber; (b) decrypting the retrieved data with a private key of a group, generating a session key for providing the corresponding data to the subscriber, and then encrypting the decrypted data; (c) encrypting the session key generated in step (b) using the subscriber public key extracted in step (a); And (d) transmitting the encrypted data and the session key to the subscriber.

상기 (b) 단계에서, 상기 그룹의 개인키를 이용하여 데이터의 복호화는, 상기 그룹의 개인키를 이용하여 해당 데이터의 세션키를 복호화하는 단계; 및 상기 복호화된 세션키를 이용하여 상기 데이터를 복호화하는 단계를 포함한다.In the step (b), decrypting data using the private key of the group comprises: decrypting a session key of the corresponding data using the private key of the group; And decrypting the data using the decrypted session key.

상기 (d) 단계이후, 상기 암호화된 데이터 및 세션키를 수신한 가입자 단말이 자신의 개인키를 이용하여 상기 세션키를 복호화하는 단계; 및 상기 복호화된 세션키를 이용하여 상기 데이터를 복호화하고 해당 데이터를 이용하는 단계를 포함한다.After the step (d), the subscriber station receiving the encrypted data and the session key decrypts the session key using its private key; And decrypting the data by using the decrypted session key and using the corresponding data.

이때, 상기 그룹에 가입은, 상기 인증센터로부터 개인 인증서를 발급받은 가입자 단말이 가입자 신청 정보 및 PKI 기반 인증정보를 상기 저장서버로 전송하여 상기 저장서버에 등록 및 가입자 정보를 저장하여 상기 그룹에 가입하는 단계를 포함하는 것을 특징으로 한다.In this case, in the joining of the group, a subscriber station having received a personal certificate from the authentication center transmits subscriber application information and PKI-based authentication information to the storage server to register and store subscriber information in the storage server to join the group. Characterized in that it comprises a step.

그리고, 상기 그룹에 가입한 가입자의 해당 그룹을 탈퇴는, 상기 저장서버로 탈퇴 요청 및 PKI 기반 인증정보를 전송하는 단계; 및 상기 저장서버가 상기 탈퇴를 요청한 가입자의 인증을 수행하고, 해당 가입자의 정보를 삭제하는 단계를 포함한다. And, withdrawing the corresponding group of subscribers joining the group, transmitting the withdrawal request and PKI based authentication information to the storage server; And performing, by the storage server, authentication of the subscriber who requested the withdrawal, and deleting information of the subscriber.                     

상기 가입자 신청정보는, 상기 가입자의 성명, 주소, 주민등록번호를 포함하는 신상정보를 포함하는 것을 특징으로 한다.The subscriber application information is characterized by including personal information including the name, address, resident registration number of the subscriber.

본 발명의 하나의 특징에 따른 기록매체는,A recording medium according to one aspect of the present invention,

PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 가입자가 상기 저장서버에 데이터를 저장하는 기능을 포함하는 프로그램을 저장하는 기록매체에 있어서, (a) 상기 그룹에 가입된 가입자 단말이 상기 가입자가 속한 그룹의 DN(Distinguish Name)을 이용하여 해당 그룹의 인증서를 수신하여, 그룹 인증서의 공개키를 추출하는 기능; (b) 상기 데이터 전송을 위한 세션키를 생성하고, 생성된 세션키를 이용하여 데이터를 암호화하는 기능; (c) 상기 (a) 단계에서 추출한 그룹 인증서의 공개키를 이용하여 상기 (b)단계에서 생성한 세션키를 암호화하는 기능; 및 (d) 상기 (b) 단계에서 암호화한 데이터와 상기 (c) 단계에서 암호화한 세션키를 상기 저장서버로 전송하여 저장하는 기능을 포함한다.In a system including an authentication center for the security of a public key infrastructure (PKI), and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers, the subscriber may send data to the storage server. A recording medium storing a program including a function of storing, (a) a subscriber station subscribed to the group receives a certificate of a corresponding group using a DN (Distinguish Name) of the group to which the subscriber belongs, Extracting the public key of the; (b) generating a session key for data transmission and encrypting data using the generated session key; (c) encrypting the session key generated in step (b) using the public key of the group certificate extracted in step (a); And (d) transmitting the data encrypted in step (b) and the session key encrypted in step (c) to the storage server for storage.

본 발명의 또 다른 특징에 따른 기록매체는, According to another aspect of the present invention,

PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 저장서버가 가입자에게 공유되는 데이터를 제공하는 기능을 포함하는 프로그램을 저장하는 기록매체에 있어서, (a) 상기 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 상기 가입자 인 증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하는 기능; (b) 상기 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화하는 기능; (c) 상기 (a) 단계에서 추출된 가입자 공개키를 이용하여 상기 (b) 단계에서 생성된 세션키를 암호화하는 기능; 및 (d) 상기 암호화된 데이터 및 세션키를 상기 가입자에게 전송하는 기능을 포함한다.Data stored by the storage server to a subscriber in a system including an authentication center for security of a public key infrastructure (PKI) and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers. A recording medium storing a program including a function for providing a service, comprising: (a) performing the subscriber authentication using the PKI-based authentication information received from the subscribers subscribed to the group and extracting the public key; Retrieving data required from subscribers; (b) decrypting the retrieved data with a private key of a group, generating a session key for providing the corresponding data to the subscriber, and then encrypting the decrypted data; (c) encrypting the session key generated in step (b) using the subscriber public key extracted in step (a); And (d) transmitting the encrypted data and session key to the subscriber.

아래에서는 첨부한 도면을 참고로 하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 첨부된 도면은 본 발명을 명확하게 설명하기 위해 본 발명의 설명과 관계없는 부분은 생략하였으며, 동일 또는 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the accompanying drawings, parts irrelevant to the description of the present invention are omitted in order to clearly describe the present invention, and the same or similar parts are denoted by the same reference numerals.

도 1은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 장치의 구조를 나타낸 블록도이다.1 is a block diagram showing the structure of a data security device of a group-based PKI according to an embodiment of the present invention.

도 1을 참조하면, 그룹 기반의 PKI의 보안 장치는 CA(Certificate Authority)(310), DS(Directory Server)(320) 및 저장서버(330)를 포함하며, 다수의 가입자 A, B, C(100)가 인터넷(200)을 통해 연결된다.Referring to FIG. 1, a security device of a group-based PKI includes a certificate authority (CA) 310, a directory server (DS) 320, and a storage server 330, and includes a plurality of subscribers A, B, and C ( 100 is connected via the Internet 200.

CA(310)는 가입자(100) 및 그룹의 가상 그룹 관리자에게 공개키 인증서를 발행하는 인증 센터이고, DS(320)는 CA(310)가 발행하는 공개키 인증서를 저장 및 게시하는 디렉토리 서버로, PKI 시스템 운영에 필요한 암복호화 기능을 포함한 장치 이다.The CA 310 is a certification center that issues public key certificates to subscribers 100 and the group's virtual group managers, and the DS 320 is a directory server that stores and publishes public key certificates issued by the CA 310. It is a device that includes encryption / decryption function for PKI system operation.

그리고 저장서버(330)는 가입자 DB(DataBase)(331) 및 그룹관리 DB(332)를 포함한다.The storage server 330 includes a subscriber DB (DataBase) 331 and a group management DB 332.

가입자 DB(331)는 일반적인 응용 프로그램 상에서 이용할 수 있는 가입자 정보를 가지고 있으며, 가입자의 DN(Distinguish Name)과 가입 그룹 정보를 저장한다. 이를 이용하여 가입된 그룹의 자료를 수신 받을 때 가입자 자신을 인증 받을 수 있으며, DN을 통해 가입자 자신만이 가지고 있는 공개키를 이용하여 복호화할 수 있는 공유 자료를 자신의 인증서에 포함된 공개키를 서버가 이용할 수 있도록 하여 암호화된 상태에서 전송받을 수 있도록 하는데 이용한다.The subscriber DB 331 has subscriber information available on a general application program, and stores a subscriber's DN (Distinguish Name) and subscription group information. By using this, subscribers can be authenticated when receiving the data of the subscribed group, and the public key included in their certificate can be shared data that can be decrypted using the public key that only the subscriber owns through the DN. It is used to make the server available to receive it in encrypted state.

그룹관리 DB(332)는 그룹에 대한 일반적인 정보와 함께 가상적으로 설정된 그룹 관리자의 DN 및 그룹의 공개키를 저장하고 있다. 그룹 관리자의 DN을 이용하여 가입자가 저장서버(330)로 공유 자료를 전송할 때 그룹 관리자의 공개키로만 복호화할 수 있는 암호화된 자료를 전송할 수 있다.The group management DB 332 stores the group manager's DN and the group's public key that are virtually set together with general information about the group. When the subscriber transmits the shared data to the storage server 330 by using the DN of the group manager, the encrypted data that can be decrypted only by the public key of the group manager may be transmitted.

또한, 저장서버(330)에 저장되어 있는 암호화된 자료를 그룹의 가입자가 요청할 때, 이를 복호화하기 위한 가상의 그룹 관리자의 공개키를 보관하여 암호화된 자료를 복호화하는데 이용한다.In addition, when the subscriber of the group requests the encrypted data stored in the storage server 330, the public key of the virtual group manager for decrypting the data is stored and used to decrypt the encrypted data.

이때, 저장서버(330)가 공개키 및 그룹관리자의 인증서를 안전하게 보관하기 위해서는, 네트워크 보안, 호스트 보안, 접근 통제 등의 이미 공지된 기술을 이용한다.In this case, in order to securely store the public key and the certificate of the group manager, the storage server 330 uses already known technologies such as network security, host security, and access control.

상기 CA(310), DS(320) 및 저장서버(330)는 인터넷(200)을 통해 가입자(100) 와 연결되고, 인터넷(200)은 IPSec(Internet Protocol Security protocol)과 같이 망 자체에서 기밀성을 제공해 주지 않는 일반적인 공개망이다.The CA 310, the DS 320, and the storage server 330 are connected to the subscriber 100 through the Internet 200, and the Internet 200 has confidentiality in the network itself, such as the Internet Protocol Security protocol (IPSec). It is a general public network that does not provide.

상기한 본 발명의 실시 예에 따른 그룹기반 PKI의 보안장치에서 개인 가입자는 인증서를 발급받지 않은 상태에서는 보안 서비스를 받을 수 없다. 즉, 가입자가 새로운 그룹에 가입을 하기 위해서는 인증서를 발급받고, 공개키가 생성되어야 하며 이를 처리할 수 있는 PKI 기반 소프트웨어가 구비되어 있어야 한다.In the security device of the group-based PKI according to the embodiment of the present invention, the individual subscriber cannot receive the security service without obtaining a certificate. In other words, in order for a subscriber to join a new group, a certificate must be issued, a public key must be generated, and PKI-based software must be provided to handle this.

또한, 상기한 본 발명의 실시 예에 따른 그룹기반 PKI의 보안장치에서 신규 가입자의 그룹참여, 탈퇴 및 자료 송수신은 다음과 같이 수행한다.In addition, in the security device of the group-based PKI according to the embodiment of the present invention, group participation, withdrawal and data transmission and reception of new subscribers are performed as follows.

도 2는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 신규 가입자의 그룹 참여 방법의 동작 순서도이다.2 is a flowchart illustrating a method of joining a group of new subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.

도 2를 참조하면, 그룹에 참여를 원하는 신규 가입자(100)가 있으면, 해당 가입자(100)가 인증서를 발급받은 사용자인지를 판단한다(S201).Referring to FIG. 2, if there is a new subscriber 100 who wants to participate in the group, it is determined whether the corresponding subscriber 100 has been issued a certificate (S201).

상기 단계 S201의 판단결과, 가입자(100)가 인증서를 발급받지 않았다, CA(310) 및 DS(320)와의 통신을 수행하여 인증서를 발급받는다(S202). 이때, 인증서 발급은 CA(310)가 PKI 기반의 운영 원칙에 준용하여 인증서를 발급한 후, DS(320)에 발급된 인증서가 게시함으로써 수행 된다. As a result of the determination of step S201, the subscriber 100 has not been issued a certificate, and performs communication with the CA 310 and the DS 320 to obtain a certificate (S202). In this case, the certificate issuance is performed by the CA 310 issuing the certificate in accordance with the PKI-based operating principle, and then issued by the certificate issued to the DS (320).

또한, 발급된 인증서에 포함된 공개키와 대응하는 개인키는 가입자(100)의 단말에 안전하게 보관된다.In addition, the private key corresponding to the public key included in the issued certificate is securely stored in the terminal of the subscriber 100.

인증서가 발급된 사용자이면, 그룹에 가입하기 위한 가입 신청을 하고(S203), 일반 가입자 신청 정보와, PKI 기반의 인증 정보를 저장서버(330)로 송신한다(S204).If the certificate is issued to the user, the subscription application for joining the group (S203), and the general subscriber application information and PKI-based authentication information to the storage server 330 (S204).

저장서버(330)는 수신된 일반 가입자 신청정보와 PKI 기반의 인증정보를 가입자 DB(331)에 저장하고(S205), 가입자(100)는 그룹의 신규 가입자로 등록된다.The storage server 330 stores the received general subscriber application information and PKI based authentication information in the subscriber DB 331 (S205), and the subscriber 100 is registered as a new subscriber of the group.

이때, PKI 기반의 인증 절차는 저장서버(330)가 인증을 위한 요구(Challenge)를 주어 가입자(100)가 자신만이 가진 개인키로 응답(Response)을 주는 방식을 기반으로 하는 엄밀한 절차를 거치며, 널리 알려진 공지 기술이므로 상세한 설명을 생략한다.At this time, the PKI-based authentication process goes through a rigorous procedure based on a method in which the storage server 330 gives a challenge for authentication, and the subscriber 100 gives a response with its own private key. Since it is a well-known technique well-known description is omitted.

상기의 과정을 거쳐 등록한 가입자(100)가 해당 그룹에서 탈퇴를 하기 위해서는 다음의 과정을 수행한다.In order to withdraw from the group, the subscriber 100 registered through the above process performs the following process.

도 3은 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 가입자의 그룹 탈퇴 방법의 동작 순서도이다.3 is a flowchart illustrating a method of leaving a group of subscribers in a data security method of a group-based PKI according to an embodiment of the present invention.

도 3을 참조하면, 그룹의 가입자(100)가 탈퇴 요청을 하면(S301), 가입자(100)의 단말은 탈퇴 요청 정보와, PKI 기반 인증 정보를 저장서버(330)로 송신한다(S302).Referring to FIG. 3, when the subscriber 100 of the group makes a request for withdrawal (S301), the terminal of the subscriber 100 transmits withdrawal request information and PKI-based authentication information to the storage server 330 (S302).

저장서버(330)는 PKI 기반의 인증정보를 이용하여 해당 가입자(100) 인증을 DS(320)와의 통신을 통해 수행하고(S303), 탈퇴 요청 정보에 의해 해당 가입자 정보 항목을 삭제한다(S304). 이때, 가입자정보 항목 삭제는 가입자(100)의 가입자 정보는 물론, 가입자(100)가 속한 그룹과, DN 항목도 삭제한다.The storage server 330 performs authentication of the corresponding subscriber 100 through communication with the DS 320 using the PKI-based authentication information (S303), and deletes the corresponding subscriber information item by the withdrawal request information (S304). . At this time, deleting the subscriber information item deletes not only the subscriber information of the subscriber 100 but also the group to which the subscriber 100 belongs and the DN item.

상기한 가입 및 탈퇴를 수행하는 그룹에서의 자료송수신은 다음과 같이 수행된다. Data transmission and reception in the group performing the above joining and withdrawing are performed as follows.                     

도 4는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 전송 방법의 동작 순서도이다.4 is an operation flowchart of a data transmission method in a data security method of a group-based PKI according to an embodiment of the present invention.

도 4를 참조하면, 그룹에 구성원인 가입자(100)가 그룹 구성원과 공유하고자 하는 자료를 저장서버(330)로 송신하여 저장하기 위해서, 가입자(100)는 우선 자신이 속한 그룹의 DN 검색을 저장서버(330)로 요청하고(S401), 저장서버(330)는 해당 가입자(100)가 속한 그룹을 찾아낸 후(S402), 해당 그룹의 DN값을 가입자(100)에게 전송한다.Referring to FIG. 4, in order to transmit and store data to be shared with a group member by a member 100 who is a member of the group to the storage server 330, the subscriber 100 first stores a DN search of the group to which the member belongs. After the request to the server 330 (S401), the storage server 330 finds a group to which the subscriber 100 belongs (S402), and transmits the DN value of the group to the subscriber 100.

가입자(100)는 그룹 DN을 이용하여 DS(320)에 그룹 인증서를 요청하여 수신하고(S403), 수신된 그룹 인증서로부터 가상의 그룹 관리자의 공개키를 추출한다(S404).The subscriber 100 requests and receives a group certificate from the DS 320 using the group DN (S403), and extracts the public key of the virtual group manager from the received group certificate (S404).

가입자(100)는 자료의 암호화를 위해서 세션키를 생성하고, 생성된 세션키를 이용하여 자료를 대칭키 암호화한 후(S405), 세션키를 단계 S404에서 추출한 공개키로 비대칭키 암호화한다(S406).The subscriber 100 generates a session key for data encryption, encrypts the data using the generated session key (S405), and then encrypts the session key with the public key extracted in step S404 (S406). .

그리고 가입자(100)가 암호화한 자료 및 세션키정보를 저장서버(330)로 전송하여(S407), 저장한다(S408).The subscriber 100 transmits the encrypted data and the session key information to the storage server 330 (S407) and stores the data (S408).

이때, 상기 단계 S405의 세션키의 개념을 도입하여 대칭키 암호화를 하지 않고, 그룹 관리자의 공개키를 이용하여 직접적으로 비대칭키 암호화하는 방법을 사용할 수도 있으나, 대칭키 암/복호화와 비대칭키 암/복호화의 성능은 현저히 차이가 나므로 시스템의 효율성을 이용하여 일반적으로 세션키 개념을 도입한다.At this time, the concept of the session key of step S405 may be introduced to perform asymmetric key encryption using a public key of a group manager without symmetric key encryption, but symmetric key encryption / decryption and asymmetric key encryption / Since the performance of decryption is remarkably different, the concept of session key is generally introduced using the efficiency of the system.

또한, 상기 대칭키 암호기법은 DES(Data Encryption Standard), 3DES, AES(Advanced Encryption Standard), SEED 등의 암호기법이 있고, 비대칭키 암호기법으로는 RSA(Rivest Shamir Adleman), ECC(Elliptic Curve Cyptosystem; 타원곡선암호 시스템) 등이 있다.In addition, the symmetric key encryption method includes encryption techniques such as DES (Data Encryption Standard), 3DES, AES (Advanced Encryption Standard), SEED, etc.Asymmetric key encryption techniques include RSA (Rivest Shamir Adleman) and ECC (Elliptic Curve Cyptosystem). Elliptic curve cryptographic system).

상기와 같이 저장서버(330)에 저장된 자료를 가입자(100)가 수신하기 위해서는 다음의 동작을 수행한다.In order to receive the data stored in the storage server 330 as described above, the subscriber 100 performs the following operations.

도 5는 본 발명의 실시 예에 따른 그룹기반 PKI의 데이터 보안 방법에서의 자료 수신 방법의 동작 순서도이다.5 is an operation flowchart of a data receiving method in a data security method of a group-based PKI according to an embodiment of the present invention.

도 5를 참조하면, 저장서버(300)에 저장된 그룹의 공유 데이터를 수신하고 싶은 가입자(100)는 자신의 단말에 저장된 PKI 기반 인증정보를 저장서버(330)로 전송하여(S501), 가입자 인증을 받는다(S502).Referring to FIG. 5, the subscriber 100 who wants to receive shared data of a group stored in the storage server 300 transmits PKI-based authentication information stored in his terminal to the storage server 330 (S501). (S502).

이때, 상기 단계 S502의 가입자 인증은 저장서버(330)가 가입자(100)로부터 수신한 PKI 기반 인증정보를 이용하여 DS(320)로부터 가입자 인증서를 확인받고, 그룹관리 DB(332)에서 해당 가입자(100)가 속한 그룹의 구성원임을 확인하는 절차를 수행한다.At this time, the subscriber authentication of the step S502 is the storage server 330 is confirmed by the subscriber certificate from the DS 320 using the PKI-based authentication information received from the subscriber 100, the corresponding subscriber (from the group management DB 332) Perform the procedure to confirm that 100) is a member of the group to which it belongs.

가입자 인증을 마치면, 가입자(100)는 저장서버(330)에 저장된 그룹 내의 파일을 검색하고, 다운로드를 원하는 자료를 요청한다(S503).After the subscriber authentication is completed, the subscriber 100 searches for files in the group stored in the storage server 330 and requests data to be downloaded (S503).

저장서버(330)는 가입자(100)로부터의 다운로드 요청에 따라, 해당 자료를 가상의 그룹 관리자의 개인키를 이용하여 복호화하고(S504), 가입자(100)의 인증서를 DS(320)로부터 검색하여 수신한다(S505).The storage server 330 decrypts the data using the private key of the virtual group manager according to the download request from the subscriber 100 (S504), and retrieves the certificate of the subscriber 100 from the DS 320. It receives (S505).

이때, 상기 단계 S504의 자료를 복호화하는 과정은 상기 도 4에서 자료를 송 신할 때 암호화 한 방법과 반대 방식으로 그룹 관리자의 개인키를 이용하여 해당 자료의 세션키를 복호화하고, 복호화한 세션키를 이용하여 해당 자료를 복호화한다.At this time, the process of decrypting the data of step S504 is to decrypt the session key of the corresponding data using the private key of the group manager in a manner opposite to the method of encryption when transmitting the data in FIG. To decrypt the data.

저장서버(330)는 DS(320)로부터 수신한 가입자(100)의 인증서에서 가입자(100)의 공개키를 추출하고(S506), 새로운 세션키를 생성하여 단계 S504에서 복호화한 자료를 암호화한 후, 세션키를 단계 S506에서 추출한 가입자(100)의 공개키로 암호화한다(S507).The storage server 330 extracts the public key of the subscriber 100 from the certificate of the subscriber 100 received from the DS 320 (S506), generates a new session key, and encrypts the data decrypted in step S504. The session key is encrypted with the public key of the subscriber 100 extracted in step S506 (S507).

이후로, 저장서버(330)는 암호화한 자료와 세션키를 가입자(100)자에게 전송하고(S508), 가입자(100)는 자신의 단말에 저장된 개인키를 이용하여 세션키를 복호화하고, 복호화된 세션키를 이용하여 자료를 복호화하여 이용한다(S509).Thereafter, the storage server 330 transmits the encrypted data and the session key to the subscriber 100 (S508), and the subscriber 100 decrypts the session key using the private key stored in its terminal. The decrypted data is used using the obtained session key (S509).

본 발명의 실시 예에 따른 그룹기반 PKI의 보안방법은 프로그램으로 구현되어 컴퓨터로 판독 가능한 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.The security method of a group-based PKI according to an embodiment of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form.

또한, 본 발명은 어떤 그룹에 속한 가입자들 간에 기밀성을 유지하면서 자료들을 공유하는 방법을 제시하는 것으로, 단일한 그룹에 제한하여 실시 예를 설명하였으나, 한 명의 가입자가 여러 그룹에 가입하는 형태의 서비스로도 적용이 가능하다.In addition, the present invention proposes a method of sharing data while maintaining confidentiality among subscribers belonging to a group, and the embodiment has been described in a limited way to a single group, but a service in which one subscriber joins several groups Also applicable.

이는 하나 이상의 그룹에 속한 가입자들은 각 그룹별 개별 관계의 단순한 확장이며 특별한 시스템 구성상의 변형이 필요한 것이 아니라 단순한 데이터베이스 관리 차원에서 이루어질 수 있는 내용이므로 본 발명에서 상세한 기술은 생략하기 로 한다.This is because the subscribers belonging to one or more groups are simple extensions of individual relationships for each group and are not required for special system configuration but can be made in terms of simple database management.

이상에서 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였지만 본 발명은 이에 한정되는 것은 아니며, 그 외에 다양한 변경이나 변형이 가능하다.Although a preferred embodiment of the present invention has been described in detail above, the present invention is not limited thereto, and various other changes and modifications are possible.

이상에서 설명한 바와 같이, 본 발명에 따른 그룹기반 PKI의 보안 장치 및 방법은 다수의 가입자의 가입과 탈퇴가 자유로운 환경에서 그룹 내에서만 기밀성을 유지한 채 관리되는 자료에 대한 보안을 수행할 수 있는 효과가 있다.As described above, the security apparatus and method of the group-based PKI according to the present invention can secure the data managed while maintaining confidentiality only in the group in an environment in which a plurality of subscribers are free to join and leave. There is.

Claims (13)

다수의 가입자를 포함하는 그룹 내의 보안을 위한 PKI의 보안장치에 있어서,In the security device of the PKI for security in a group containing a plurality of subscribers, 상기 다수의 가입자 및 그룹에 인증을 위한 공개키 인증서를 발행하는 인증센터;An authentication center for issuing a public key certificate for authentication to the plurality of subscribers and groups; 상기 인증센터가 발행하는 공개키 인증서를 저장하는 디렉토리 서버; 및A directory server for storing a public key certificate issued by the authentication center; And 상기 공개키 인증서를 발행받은 다수의 가입자정보와, 가입자의 DN(Distinguish Name), 상기 가입자의 가입 그룹정보 및 그룹 내에 공유되는 데이터를 암호화하여 저장하고, 저장된 데이터를 상기 가입자의 요청에 따라 해당 가입자의 공개키로 암호화하여 제공하는 저장서버Encrypts and stores a plurality of subscriber information that has been issued the public key certificate, a subscriber's DN (Distinguish Name), the subscriber's subscription group information, and data shared within the group, and stores the stored data according to the subscriber's request. Storage server encrypted with public key of 를 포함하는 그룹 기반 PKI의 데이터 보안장치.Group-based PKI data security device including a. 제 1항에 있어서,The method of claim 1, 상기 저장서버는,The storage server, 상기 다수의 가입자정보, 상기 가입자의 DN 및 상기 가입자의 가입 그룹 정보를 저장하는 가입자 데이터베이스와,A subscriber database for storing the plurality of subscriber information, the subscriber's DN, and the subscriber's subscription group information; 가상적으로 설정된 그룹 관리자의 DN 및 그룹의 공개키를 저장하는 그룹관리 데이터베이스Group management database that stores the group manager's DN and the group's public key. 를 포함하는 그룹기반 PKI의 데이터 보안장치.Data security device of the group-based PKI including. PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 가입자가 상기 저장서버에 데이터를 저장하는 방법에 있어서,In a system including an authentication center for the security of a public key infrastructure (PKI), and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers, the subscriber may send data to the storage server. In the method of storage, (a) 상기 그룹에 가입된 가입자 단말이 상기 가입자가 속한 그룹의 DN(Distinguish Name)을 이용하여 해당 그룹의 인증서를 수신하고, 그룹 인증서의 공개키를 추출하는 단계;(a) receiving, by a subscriber station joined to the group, a certificate of a corresponding group using a DN (Distinguish Name) of the group to which the subscriber belongs, and extracting a public key of the group certificate; (b) 상기 데이터를 전송하기 위한 세션키를 생성하고, 생성된 세션키를 이용하여 상기 데이터를 암호화하는 단계; (b) generating a session key for transmitting the data and encrypting the data using the generated session key; (c) 상기 (a) 단계에서 추출한 그룹 인증서의 공개키를 이용하여 상기 (b) 단계에서 생성한 세션키를 암호화하는 단계; 및(c) encrypting the session key generated in step (b) using the public key of the group certificate extracted in step (a); And (d) 상기 (b) 단계에서 암호화한 데이터와 상기 (c) 단계에서 암호화한 세션키를 상기 저장서버로 전송하여 저장하는 단계(d) transmitting the data encrypted in the step (b) and the session key encrypted in the step (c) to the storage server for storage. 를 포함하는 그룹기반 PKI의 데이터 보안방법.Data security method of group-based PKI comprising a. 제 3항에 있어서,The method of claim 3, wherein 상기 (a)단계에서,In step (a), 상기 그룹에 가입된 가입자 단말이 상기 그룹의 인증서를 수신하는 단계는,Receiving a certificate of the group by the subscriber station joined to the group, 상기 그룹의 DN 검색 요청을 상기 저장서버로 하고, 상기 저장서버로부터 그룹의 DN값을 수신하는 단계; 및Making a DN search request of the group as the storage server and receiving a DN value of the group from the storage server; And 상기 수신된 그룹 DN 값을 이용하여 상기 디렉토리 서버로부터 상기 그룹의 인증서를 수신하는 단계Receiving the group's certificate from the directory server using the received group DN value 를 포함하는 그룹기반 PKI의 데이터 보안방법.Data security method of group-based PKI comprising a. 제 3항에 있어서,The method of claim 3, wherein 상기 (a) 단계의 그룹 인증서에서 공개키는,In the group certificate of step (a), the public key is 상기 그룹에 대하여 가상으로 생성되는 그룹관리자의 공개키인 것을 특징으로 하는 그룹기반 PKI의 데이터 보안방법.Data security method of a group-based PKI, characterized in that the public key of the group manager virtually generated for the group. PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 저장서버가 가입자에게 공유되는 데이터를 제공하는 방법에 있어서,Data stored by the storage server to a subscriber in a system including an authentication center for security of a public key infrastructure (PKI) and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers. In the method for providing, (a) 상기 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 가입자 인증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하는 단계;(a) performing subscriber authentication using a PKI-based authentication information received from a subscriber subscribed to the group, extracting a public key, and retrieving data required from the subscriber; (b) 상기 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화하는 단계;(b) decrypting the retrieved data with a private key of a group, generating a session key for providing the corresponding data to the subscriber, and then encrypting the decrypted data; (c) 상기 (a) 단계에서 추출된 가입자 공개키를 이용하여 상기 (b) 단계에서 생성된 세션키를 암호화하는 단계; 및(c) encrypting the session key generated in step (b) using the subscriber public key extracted in step (a); And (d) 상기 암호화된 데이터 및 세션키를 상기 가입자에게 전송하는 단계(d) transmitting the encrypted data and the session key to the subscriber 를 포함하는 그룹기반 PKI의 데이터 보안 방법.Data security method of group-based PKI comprising a. 제 6항에 있어서,The method of claim 6, 상기 (b) 단계에서,In step (b), 상기 그룹의 개인키를 이용한 데이터의 복호화는,Decryption of data using the private key of the group, 상기 그룹의 개인키를 이용하여 해당 데이터의 세션키를 복호화하는 단계; 및Decrypting a session key of the corresponding data using the group's private key; And 상기 복호화된 세션키를 이용하여 상기 데이터를 복호화하는 단계Decrypting the data using the decrypted session key 를 포함하는 그룹기반 PKI의 데이터 보안 방법.Data security method of group-based PKI comprising a. 제 6항에 있어서,The method of claim 6, 상기 (d) 단계이후,After step (d), 상기 암호화된 데이터 및 세션키를 수신한 가입자 단말이 자신의 개인키를 이용하여 상기 세션키를 복호화하는 단계; 및Decrypting, by the subscriber terminal receiving the encrypted data and the session key, the session key using its private key; And 상기 복호화된 세션키를 이용하여 상기 데이터를 복호화하고 해당 데이터를 이용하는 단계Decrypting the data using the decrypted session key and using the corresponding data 를 포함하는 그룹기반 PKI의 데이터 보안 방법.Data security method of group-based PKI comprising a. 제 3항 또는 제 6항에 있어서, The method according to claim 3 or 6, wherein 상기 그룹에 가입은,Join the group, 상기 인증센터로부터 개인 인증서를 발급받은 가입자 단말이 가입자 신청 정보 및 PKI 기반 인증정보를 상기 저장서버로 전송하여 상기 저장서버에 등록 및 가입자 정보를 저장하여 상기 그룹에 가입하는 단계를 포함하는 것을 특징으로 하는 그룹기반 PKI의 데이터 보안방법.And a subscriber station having received a personal certificate from the authentication center to transmit subscriber application information and PKI-based authentication information to the storage server to register and store subscriber information in the storage server to join the group. Data security method of group based PKI. 제 3항 또는 제 6항에 있어서,The method according to claim 3 or 6, wherein 상기 그룹에 가입한 가입자가 해당 그룹을 탈퇴는,A subscriber who has joined the group leaves the group, 상기 저장서버로 탈퇴 요청 및 PKI 기반 인증정보를 전송하는 단계; 및Transmitting a withdrawal request and PKI-based authentication information to the storage server; And 상기 저장서버가 상기 탈퇴를 요청한 가입자의 인증을 수행하고, 해당 가입자의 정보를 삭제하는 단계The storage server performing authentication of the subscriber who requested the withdrawal and deleting information of the subscriber; 를 포함하는 그룹기반 PKI의 데이터 보안방법.Data security method of group-based PKI comprising a. 제 9항에 있어서,The method of claim 9, 상기 가입자 신청 정보는,The subscriber application information, 상기 가입자의 성명, 주소, 주민등록번호를 포함하는 신상정보를 포함하는 것을 특징으로 하는 그룹기반 PKI의 데이터 보안방법.Data security method of a group-based PKI comprising the personal information including the name, address, social security number of the subscriber. PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 가입자가 상기 저장서버에 데이터를 저장하는 기능을 포함하는 프로그램을 저장하는 기록매체에 있어서,In a system including an authentication center for the security of a public key infrastructure (PKI), and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers, the subscriber may send data to the storage server. In the recording medium for storing a program comprising a function for storing, (a) 상기 그룹에 가입된 가입자 단말이 상기 가입자 단말이 속한 그룹의 DN(Distinguish Name)을 이용하여 해당 그룹의 인증서를 수신하여, 그룹 인증서의 공개키를 추출하는 기능;(a) a function of extracting a public key of a group certificate by a subscriber station subscribed to the group to receive a certificate of the group by using a Distinguish Name (DN) of the group to which the subscriber station belongs; (b) 상기 데이터를 전송하기 위한 세션키를 생성하고, 생성된 세션키를 이용하여 데이터를 암호화하는 기능; (b) generating a session key for transmitting the data and encrypting the data using the generated session key; (c) 상기 (a) 기능에서 추출한 그룹 인증서의 공개키를 이용하여 상기 (b) 기능에서 생성한 세션키를 암호화하는 기능; 및(c) encrypting the session key generated in the function (b) using the public key of the group certificate extracted in the function (a); And (d) 상기 (b) 기능에서 암호화한 데이터와 상기 (c) 기능에서 암호화한 세션키를 상기 저장서버로 전송하여 저장하는 기능(d) transmitting and storing the data encrypted in the function (b) and the session key encrypted in the function (c) to the storage server; 을 포함하는 프로그램을 저장하는 기록매체.Recording medium for storing a program comprising a. PKI(Public Key Infrastructure)의 보안을 위한 인증센터와, 디렉토리 서버 및 다수의 가입자를 포함하는 그룹 내의 데이터를 보안을 유지하여 공유하기 위한 저장서버를 포함하는 시스템에서 상기 저장서버가 가입자에게 공유되는 데이터를 제공하는 기능을 포함하는 프로그램을 저장하는 기록매체에 있어서,Data stored by the storage server to a subscriber in a system including an authentication center for security of a public key infrastructure (PKI) and a storage server for securely sharing data in a group including a directory server and a plurality of subscribers. In the recording medium for storing a program comprising a function for providing a, (a) 상기 그룹에 가입된 가입자로부터 수신되는 PKI 기반의 인증정보를 이용하여 가입자 인증을 수행하고 공개키를 추출한 후, 상기 가입자로부터 요구되는 데이터를 검색하는 기능;(a) performing subscriber authentication using the PKI-based authentication information received from the subscribers subscribed to the group, extracting a public key, and retrieving data required from the subscribers; (b) 상기 검색된 데이터를 그룹의 개인키로 복호화하고, 상기 가입자에게 해당 데이터 제공을 위한 세션키를 생성한 후, 상기 복호화된 데이터를 암호화하는 기능;(b) decrypting the retrieved data with a private key of a group, generating a session key for providing the corresponding data to the subscriber, and then encrypting the decrypted data; (c) 상기 (a) 기능에서 추출된 가입자 공개키를 이용하여 상기 (b) 기능에서 생성된 세션키를 암호화하는 기능; 및(c) encrypting the session key generated in function (b) using the subscriber public key extracted in function (a); And (d) 상기 암호화된 데이터 및 세션키를 상기 가입자에게 전송하는 기능(d) transmitting the encrypted data and the session key to the subscriber; 을 포함하는 프로그램을 저장하는 기록매체.Recording medium for storing a program comprising a.
KR1020040005723A 2004-01-29 2004-01-29 Apparatus and method of data preservating in public key infrastructure based on group KR101022788B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040005723A KR101022788B1 (en) 2004-01-29 2004-01-29 Apparatus and method of data preservating in public key infrastructure based on group

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040005723A KR101022788B1 (en) 2004-01-29 2004-01-29 Apparatus and method of data preservating in public key infrastructure based on group

Publications (2)

Publication Number Publication Date
KR20050078326A KR20050078326A (en) 2005-08-05
KR101022788B1 true KR101022788B1 (en) 2011-03-17

Family

ID=37265495

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040005723A KR101022788B1 (en) 2004-01-29 2004-01-29 Apparatus and method of data preservating in public key infrastructure based on group

Country Status (1)

Country Link
KR (1) KR101022788B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100667213B1 (en) * 2004-12-21 2007-01-12 한국전자통신연구원 Method for Generating Session Keys for Low-Power Mobile Devices
KR100823260B1 (en) * 2006-01-19 2008-04-17 삼성전자주식회사 Method and apparatus for transmitting content to the device which do not join domain

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6324645B1 (en) 1998-08-11 2001-11-27 Verisign, Inc. Risk management for public key management infrastructure using digital certificates
US20020107814A1 (en) 1995-10-24 2002-08-08 Silvio Micali Certificate revocation system
US20020166049A1 (en) 2000-12-22 2002-11-07 Sinn Richard P. Obtaining and maintaining real time certificate status
KR20020088522A (en) * 2001-05-18 2002-11-29 김영제 Secret sharing method between authorized persons using public key cryptography

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020107814A1 (en) 1995-10-24 2002-08-08 Silvio Micali Certificate revocation system
US6324645B1 (en) 1998-08-11 2001-11-27 Verisign, Inc. Risk management for public key management infrastructure using digital certificates
US20020166049A1 (en) 2000-12-22 2002-11-07 Sinn Richard P. Obtaining and maintaining real time certificate status
KR20020088522A (en) * 2001-05-18 2002-11-29 김영제 Secret sharing method between authorized persons using public key cryptography

Also Published As

Publication number Publication date
KR20050078326A (en) 2005-08-05

Similar Documents

Publication Publication Date Title
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
JP4659749B2 (en) Identity-based cryptographic messaging system
US7865936B2 (en) System and method for controlling access to multiple public networks and for controlling access to multiple private networks
US20190294811A1 (en) System and a method for management of confidential data
US8762741B2 (en) Privacy-preserving communication
US7395549B1 (en) Method and apparatus for providing a key distribution center without storing long-term server secrets
US20070242830A1 (en) Anonymous Certificates with Anonymous Certificate Show
US20080031459A1 (en) Systems and Methods for Identity-Based Secure Communications
KR20070089628A (en) Encrypted communication system, communication status management server, encrypted communication method, and communication status management method
CN105812349B (en) A kind of unsymmetrical key distribution of identity-based information and message encryption method
US12034862B2 (en) Anonymous broadcast method, key exchange method, anonymous broadcast system, key exchange system, communication device, and program
CN106790037A (en) The instant communication method and system of a kind of User space encryption
US20090154710A1 (en) Method for the Secure Deposition of Digital Data, Associated Method for Recovering Digital Data, Associated Devices for Implementing Methods, and System Comprising Said Devices
US20070038862A1 (en) Method and system for controlling the disclosure time of information
KR101241864B1 (en) System for User-Centric Identity management and method thereof
US20070098156A1 (en) Digital rights management
TW201233113A (en) Method for providing social network service using privacy homomorphism cryptography
KR20040097016A (en) Method and System of Web Storage Service with Cipher
Saxena et al. A Lightweight and Efficient Scheme for e-Health Care System using Blockchain Technology
KR20060078768A (en) System and method for key recovery using distributed registration of private key
KR101022788B1 (en) Apparatus and method of data preservating in public key infrastructure based on group
KR101165350B1 (en) An Authentication Method of Device Member In Ubiquitous Computing Network
CN112035820B (en) Data analysis method used in Kerberos encryption environment
JP2005086428A (en) Method of obtaining authentication and performing crypto communication, authenticating system and authenticating method
JPH11187008A (en) Delivering method for cryptographic key

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140303

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20150812

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160308

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170412

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180308

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20190416

Year of fee payment: 9