KR101152381B1 - Certificate revocation list distribution and application method in downloadable conditional access system - Google Patents
Certificate revocation list distribution and application method in downloadable conditional access system Download PDFInfo
- Publication number
- KR101152381B1 KR101152381B1 KR1020090133202A KR20090133202A KR101152381B1 KR 101152381 B1 KR101152381 B1 KR 101152381B1 KR 1020090133202 A KR1020090133202 A KR 1020090133202A KR 20090133202 A KR20090133202 A KR 20090133202A KR 101152381 B1 KR101152381 B1 KR 101152381B1
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- subscriber station
- crl
- server
- authentication server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Abstract
본 발명은 인증기관 서버가 가입자 단말의 SM, TP의 인증서의 유효성을 검사하기 위해 사용되는 CRL을 가입자 단말 인증 서버로 배포하기 위한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법에 관한 것으로, 더욱 상세하게는 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송함으로써 가입자 단말 인증 서버가 가입자 단말의 X.509 인증서 유효성을 확인할 수 있도록 하여 DCAS시스템의 보안성을 높이며, SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 하여 인증서 유효성 확인에 대한 신뢰성을 강화하고, 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 하여 인증기관 서버의 시간당 처리 부하를 감소시키는 효과가 있다.The present invention relates to a method for distributing and applying a CRL in a downloadable CA system for distributing a CRL used by a certification authority server to validate a certificate of SM and TP of a subscriber terminal to a subscriber terminal authentication server. For example, by transmitting a CRL through secure communication based on mutual authentication protocol between a certification authority server (TA) and a DCAS subscriber station authentication server (LKS), the subscriber station authentication server enables the subscriber station authentication server to check the validity of the X.509 certificate of the subscriber station. Increase the security of the system and reduce the complexity of the mutual authentication and key exchange steps in traditional secure communication methods and securely verify certificates by requiring mutual communication authentication using SSL standard security protocols and later validating certificates. To increase the credibility of certificate validation, By separating the steps of the certificate server transmitting the certificate information to the certificate authority server and the certificate server transmitting the CRL to the subscriber terminal certificate server, the certification authority server separates and performs each step. Has the effect of reducing
DCAS, XCAS, CRL, 인증서, 가입자 단말, 인증 서버, 유효성, 배포 DCAS, XCAS, CRL, Certificate, Subscriber Terminal, Authentication Server, Validity, Distribution
Description
본 발명은 인증기관 서버가 가입자 단말의 SM, TP의 인증서의 유효성을 검사하기 위해 사용되는 CRL을 가입자 단말 인증 서버로 배포하기 위한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법에 관한 것으로, 특히 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송하고, SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 하며, 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 하고, 인증기관 서버가 복수 개의 가입자 단말 인증 서버에 대해 해당 가입자 단말 인증 서버가 요청한 가입자 단말의 인증서에 대한 CRL을 배포하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법에 관한 것이다.The present invention relates to a method for distributing and applying a CRL in a downloadable CA system for distributing a CRL used by a certification authority server to validate a certificate of SM and TP of a subscriber terminal to a subscriber terminal authentication server. Transmit CRL through secure communication based on mutual authentication protocol between Authority Server (TA) and DCAS Subscriber Terminal Authentication Server (LKS), perform mutual authentication on communication using SSL standard security protocol, and then verify certificate validity. By separating the subscriber terminal authentication server transmitting the certificate information to the certification authority server and the certification authority server transmitting the CRL to the subscriber terminal authentication server, the certification authority server separates and performs each step. Requested by the corresponding subscriber station authentication server for a plurality of subscriber station authentication servers The present invention relates to a CRL distribution and application method in a downloadable CA system for distributing a CRL for a subscriber station certificate.
제한수신시스템(CAS: Conditional Access System)은 방송 프로그램에 암호를 삽입하여 시청이 허가된 가입자들에 대해서만 유료 방송 프로그램을 시청할 수 있는 권한을 부여해주는 시스템이다. 현재 디지털 케이블 방송에서는 유료 방송 서비스를 제공하기 위해서 PCMCIA 카드 형태의 케이블카드를 이용하고 있다. 그러나, 케이블카드를 보안모듈을 사용함으로써 제한수신시스템의 결함 및 케이블카드를 재발급하는 과정에 일정 시간과 추가적인 비용이 소요된다는 문제점이 있었다. 이러한 단점을 극복하고자, 최근 양방향 케이블 통신 네트워크를 기반으로 CAS 클라이언트 소프트웨어를 다운로드하는 방법을 사용하여 CAS 클라이언트 모듈 교체가 가능한 제한수신시스템 (DCAS: Downloadable Conditional Access System) 기술 개발이 이슈가 되고 있다. DCAS 기술이란 종래와 같이 CAS 사업자가 PCMCIA 카드에 선정된 CAS 소프트웨어를 설치하여 유료방송 서비스를 제공하는 것이 아니라, 셋탑박스(set-top box)에 상기 CAS 소프트웨어가 설치될 수 있는 보안모듈(SM: Secure Micro)을 탑재하여 양방향 케이블 통신 네트워크를 통해 CAS 소프트웨어의 결함이 발생하거나 상기 CAS 소프트웨어의 버전 업데이트와 같은 상황에서 용이하게 CAS 소프트웨어를 갱신할 수 있도록 하는 기술이다. Conditional Access System (CAS) is a system that inserts a password into a broadcast program and grants the right to watch a paid broadcast program only to subscribers who are allowed to watch. Digital cable broadcasting is currently using a cable card in the form of a PCMCIA card to provide a pay broadcast service. However, there is a problem that the cable card using the security module takes a certain amount of time and additional costs in the process of re-issuing the defective card and the cable card. In order to overcome this drawback, the development of a downloadable conditional access system (DCAS) technology capable of replacing a CAS client module using a method of downloading CAS client software based on a bidirectional cable communication network has become an issue. The DCAS technology does not provide a pay broadcasting service by installing CAS software selected by a PC operator on a PCMCIA card as in the related art. Instead, a security module (SM) capable of installing the CAS software in a set-top box is provided. Secure Micro) is a technology that allows CAS software to be easily updated in a situation such as a defect of CAS software or a version update of the CAS software through a bidirectional cable communication network.
DCAS 기술에서는 양방향 케이블 통신 네트워크를 통해 보안모듈에 CAS 소프트웨어를 다운로드시키는 방법을 사용하기 때문에 일반적으로 IP 네트워크에서 흔히 발생할 수 있는 보안위협에 취약할 수 있다. 이를 해결하기 위해 보안모듈에 CAS 소프트웨어를 다운로드하기전 DCAS 헤드엔드의 가입자 단말 인증 서버(LKS: Local Key Server)와 가입자단말의 보안모듈 사이의 X.509 기반의 인증, 키 교환, 암복호화 등의 보안 메커니즘이 적용되어 있다.The DCAS technology uses a method of downloading CAS software to a security module via a two-way cable communication network, so that it is generally vulnerable to security threats that can commonly occur in IP networks. In order to solve this problem, X.509-based authentication, key exchange, encryption and decryption between the DCAS headend's local terminal server (LKS) and the subscriber station's security module before downloading CAS software to the security module. Security mechanism is applied.
현재 DCAS 기술에서는 가입자 단말을 인증하기 위해 LKS는 가입자의 X.509 인증서 사본을 인증기관(TA: Trust Authority)을 통해 전달 받는다. 하지만 LKS는 인증기관(TA)이 발급한 X.509 인증서의 유효성을 판단할 수 있는 메커니즘이 부재한 상황이다.In the current DCAS technology, to authenticate the subscriber terminal, LKS receives a copy of the subscriber's X.509 certificate through a trust authority (TA). However, LKS lacks a mechanism for determining the validity of X.509 certificates issued by a certification authority (TA).
따라서 DCAS 환경에서 LKS가 가입자 단말이 가지고 있는 X.509 인증서의 유효성을 판단할 수 있는 CRL(Certificate Revocation List) 정보를 제공받기 위한 방법이 요구되고 있다. 또한, 이를 사용하여 인증기관(TA)은 발급한 X.509 사용 실태 정보를 수집하여 가입자 단말의 대한 불법 사용 여부를 검사하고, 관리하기 위한 방법 또한 요구되고 있다.Therefore, in the DCAS environment, a method is required for LKS to receive CRL (Certificate Revocation List) information that can determine the validity of the X.509 certificate of the subscriber station. In addition, there is also a demand for a method for collecting and using X.509 usage information issued by a certification authority (TA) to inspect and manage illegal use of a subscriber station.
전술한 문제점을 개선하기 위한 본 발명 실시예의 목적은 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송함으로써 가입자 단말 인증 서버가 가입자 단말의 X.509 인증서 유효성을 확인할 수 있도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.An object of the embodiment of the present invention for improving the above-mentioned problems is to transmit a CRL through secure communication based on mutual authentication protocol between a certification authority server (TA) and a DCAS subscriber station authentication server (LKS). It provides a way of distributing and applying CRLs in a downloadable CA system that can validate X.509 certificates.
본 발명 실시예의 다른 목적은 SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.Another object of the embodiments of the present invention is to perform mutual authentication on communication using SSL standard security protocol and then to verify certificate validity, thereby reducing the complexity of the mutual authentication and key exchange step in the existing secure communication method and securely verifying the certificate. One downloadable CA system provides a way to distribute and apply CRLs.
본 발명 실시예의 또 다른 목적은 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.Another object of the embodiment of the present invention is to separate the steps of the subscriber terminal authentication server transmitting the certificate information to the certification authority server and the certification authority server transmitting the CRL to the subscriber terminal authentication server, so that the certification authority server separates each step. It is to provide a method of distributing and applying CRL in a downloadable CA system.
본 발명 실시예의 또 다른 목적은 인증기관 서버가 복수 개의 가입자 단말 인증 서버에 대해 해당 가입자 단말 인증 서버가 요청한 가입자 단말의 인증서에 대한 CRL을 배포함으로써 인증기관 서버가 전송요청에 대해 해당 가입자 단말 인증 서버에 대한 CRL만 전송하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.Another object of the embodiment of the present invention is that the certification authority server distributes the CRL for the certificate of the subscriber station requested by the subscriber station authentication server to the plurality of subscriber station authentication servers, so that the certification authority server responds to the transmission request for the subscriber station authentication server. It provides a method of distributing and applying CRLs in a downloadable CA system that only transmits CRLs.
상기한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템(DCAS: Downloadable Conditional Access Sytem)에서 CRL 배포 및 적용 방법은 가입자 단말의 보안 모듈을 인증하기 위한 가입자 단말 인증 서버(LKS: Local Key Server)가 가입자 단말 등록과정을 통해 가입자 단말의 SM(Secure Micro)과 TP(Transport Processor)가 탑재한 X.509 인증서 정보를 수집하는 단계, 가입자 단말 인증 서버(LKS)가 X.509 인증서 발급 및 관리를 담당하는 인증기관 서버(TA: Trust Authority)로 자신이 관리하고 있는 가입자 단말의 SM과 TP의 X.509 인증서 정보를 전달하는 단계, 상기 인증기관 서버(TA)가 상기 가입자 단말 인증 서버(LKS)가 관리하고 있는 가입자 단말의 SM과 TP 인증서의 CRL정보를 전달하는 단계, 상기 가입자 단말 인증 서버가 상기 인증기관 서버로부터 수신한 CRL 정보를 사용하여 가입자 단말의 유효성을 확인하는 단계를 포함한다.In order to achieve the above object, a CRL distribution and application method in a downloadable conditional access system (DCAS) according to an embodiment of the present invention provides a subscriber station authentication server (LKS) for authenticating a security module of a subscriber station. : Local Key Server collects X.509 certificate information loaded by Secure Micro (SM) and Transport Processor (TP) of subscriber station through subscriber station registration process, and subscriber station authentication server (LKS) Delivering X.509 certificate information of SM and TP of a subscriber station managed by the certification authority server (TA) that is responsible for certificate issuance and management, and the certification authority server (TA) transmits the subscriber station. Transmitting CRL information of the SM and the TP certificate of the subscriber station managed by the authentication server (LKS), and the CRL information received from the certification authority server by the subscriber station authentication server. Using a step to verify the validity of the subscriber terminal.
상기 가입자 단말 인증 서버가 가입자 단말 등록 과정을 통해 가입자 단말의 SM과 TP가 탑재한 X.509 인증서 정보를 수집하는 단계는 가입자 단말과 가입자 단말 인증 서버의 상호 보안 통신을 통해 상기 가입자 단말의 SM, TP의 고유번호나 상기 SM, TP 인증서 정보가 상기 가입자 단말 인증 서버에 존재하지 않을 경우 상기 가입자 단말을 등록하는 단계, 가입자 단말이 가지고 있는 X.509 인증서 정보를 가입자 단말 인증 서버의 데이터베이스에 저장하는 단계를 포함한다.The subscriber terminal authentication server collecting the X.509 certificate information loaded by the SM and the TP of the subscriber station through the subscriber station registration process, the SM of the subscriber station through the mutual security communication between the subscriber station and the subscriber station authentication server; Registering the subscriber station if the unique number of the TP or the SM and TP certificate information does not exist in the subscriber station authentication server, and storing the X.509 certificate information of the subscriber station in a database of the subscriber station authentication server Steps.
상기 가입자 단말 인증 서버가 인증기관 서버에게 자신이 관리하고 있는 가입자 단말의 SM과 TP의 X.509 인증서 정보를 전달하는 단계는, 인증기관 서버가 가입자 단말 인증 서버가 관리하고 있는 가입자 단말의 SM과 TP 인증서 정보를 수집하기 위해 상기 가입자 단말 인증 서버와 SSL 보안 접속을 시도하는 단계, 상기 인증기관 서버가 인증서 정보 요청 메시지(CertInfo_Request)를 사용하여 상기 가입자 단말 인증 서버에 등록되어 있는 SM, TP의 인증서 리스트를 요청하는 단계, 상기 가입자 단말 인증 서버가 상기 인증기관 서버로부터 상기 인증서 정보 요청 메시지(CertInfo_Request)를 수신한 후 상기 가입자 단말 인증 서버 자신이 가지고 있는 SM과 TP 인증서 내에 포함된 고유 아이디 정보를 추출하고 인증서 정보 응답 메시지(CertInfo_Response)를 생성하여 상기 인증기관 서버로 전송하는 단계, 상기 가입자 단말 인증 서버가 자신이 관리하는 가입자 단말의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계를 포함한다.The subscriber station authentication server may transmit the SM of the subscriber station managed by the subscriber station authentication server and the X.509 certificate information of the TP to the certification authority server, wherein the certification authority server includes the SM of the subscriber station managed by the subscriber station authentication server. Attempting an SSL secured connection with the subscriber station authentication server to collect TP certificate information, The certificate authority server certificate of the SM, TP registered in the subscriber station authentication server using a certificate information request message (CertInfo_Request) Requesting a list, and after receiving the certificate information request message (CertInfo_Request) from the certificate authority server, the subscriber station authentication server extracts unique ID information included in the SM and TP certificate of the subscriber station authentication server itself. And generate a certificate information response message (CertInfo_Response) Transmitting to the management server, and terminating the SSL secure access connection when all of the X.509 certificate information of the subscriber station managed by the subscriber station authentication server is completed.
상기 인증기관 서버가 가입자 단말 인증 서버가 관리하고 있는 가입자 단말의 SM과 TP 인증서의 CRL정보를 전달하는 단계는, 상기 가입자 단말 인증 서버가 자신이 관리하고 있는 가입자 단말의 SM과 TP 인증서의 유효성 정보를 수집하기 위해 상기 인증기관 서버와 SSL 보안 접속을 시도하는 단계, 상기 가입자 단말 인증 서버가 CRL 요청 메시지(CRL_Request)를 사용하여 자신이 등록한 SM, TP의 인증서의 CRL을 상기 인증기관 서버로 요청하는 단계, 상기 인증기관 서버가 상기 가입자 단말 인증 서버로부터 CRL 요청 메시지(CRL_Request)를 수신한 후 해당 가입자 단말 인증 서버의 SM과 TP 인증서 CRL이 포함된 CRL 응답 메시지(CRL_Response)를 생 성하여 가입자 단말 인증 서버로 전송하는 단계, 상기 인증기관 서버가 상기 가입자 단말 인증 서버가 관리하는 가입자 단말의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계를 포함한다.The certification authority server may transmit the CRL information of the SM and TP certificate of the subscriber station managed by the subscriber station authentication server, the validity information of the SM and TP certificate of the subscriber station managed by the subscriber station authentication server. Attempting an SSL secured connection with the certification authority server to collect the data, the subscriber station authentication server requests the certification authority server for the CRL of the certificate of the SM, TP registered by the subscriber station authentication server using the CRL request message (CRL_Request). Step, the certification authority server receives the CRL request message (CRL_Request) from the subscriber station authentication server and generates a CRL response message (CRL_Response) including the SM and TP certificate CRL of the subscriber station authentication server to authenticate the subscriber station. Transmitting to a server, wherein the certification authority server manages all of the subscriber terminals managed by the subscriber terminal authentication server. If the X.509 certificate information transfer is completed, a step that terminates the SSL secure connection.
상기 가입자 단말 인증 서버가 상기 인증기관 서버로부터 수신한 CRL 정보를 사용하여 가입자 단말의 유효성을 확인하는 단계는, 상기 가입자 단말이 상기 가입자 단말 인증 서버로 인증을 요청하는 단계, 상기 가입자 단말 인증 서버가 상기 가입자 단말의 SM과 TP 인증서 CRL를 사용하여 해당 가입자 단말의 유효성을 확인하는 단계를 포함한다.The step of checking the validity of the subscriber station by using the CRL information received from the certification authority server, the subscriber station authentication server, the subscriber terminal requesting authentication to the subscriber station authentication server, the subscriber station authentication server And checking the validity of the subscriber station using the SM and the TP certificate CRL of the subscriber station.
본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송함으로써 가입자 단말 인증 서버가 가입자 단말의 X.509 인증서 유효성을 확인할 수 있도록 하여 DCAS시스템의 보안성을 높이는 효과가 있다.The CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention transmits the CRL through secure communication based on mutual authentication protocol between the certification authority server (TA) and the DCAS subscriber station authentication server (LKS). The server can verify the validity of the X.509 certificate of the subscriber station, thereby enhancing the security of the DCAS system.
본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 하여 인증서 유효성 확인에 대한 신뢰성을 강화하는 효과가 있다.The CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention performs mutual authentication in communication using SSL standard security protocol, and then verifies certificate validity, thereby mutual authentication and key exchange in the existing secure communication method. This reduces the complexity of the steps and ensures that the certificate can be verified securely, thereby enhancing the credibility of the certificate validation.
본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 하여 인증기관 서버의 시간당 처리 부하를 감소시키는 효과가 있다.The CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention separates the steps of the subscriber terminal authentication server transmitting certificate information to the certification authority server and the certification authority server transmitting the CRL to the subscriber terminal authentication server. By doing so, the certification authority server separates each step, thereby reducing the processing load per hour of the certification authority server.
본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 인증기관 서버가 복수 개의 가입자 단말 인증 서버에 대해 해당 가입자 단말 인증 서버가 요청한 가입자 단말의 인증서에 대한 CRL을 배포함으로써 인증 기관 서버가 전송요청에 대해 해당 가입자 단말 인증 서버에 대한 CRL만 전송하도록 하여 인증기관 서버의 시간당 처리 속도를 높이고 복수 개의 가입자 단말 인증 서버에 대한 관리가 원활하게 되는 효과가 있다.CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention, the certification authority server by distributing the CRL for the certificate of the subscriber station requested by the subscriber station authentication server to the plurality of subscriber station authentication server By transmitting only the CRL for the subscriber terminal authentication server for the transmission request, it is possible to increase the processing speed per hour of the certification authority server and smoothly manage the plurality of subscriber terminal authentication servers.
상기한 바와 같은 본 발명을 첨부된 도면들과 실시예들을 통해 상세히 설명하도록 한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템(DCAS: Downloadable Conditional Access Sytem)에서 CRL 배포 및 적용 방법의 데이터 흐름도로서, 상기 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 가입자 단말(300)의 보안 모듈을 인증하기 위한 가입자 단말 인증 서버(200, LKS: Local Key Server)가 가입자 단말 등록과정을 통해 가입자 단말(300)의 SM(Secure Micro)과 TP(Transport Processor)가 탑재한 X.509 인증서 정보를 수집하는 단계(410), 가입자 단말 인증 서버(200, LKS)가 X.509 인증서 발급 및 관리를 담당하는 인증기관 서버(100, TA: Trust Authority)로 자신이 관리하고 있는 가입자 단말(300)의 SM과 TP의 X.509 인증서 정보를 전달하는 단계(420), 상기 인증기관 서버(100, TA)가 상기 가입자 단말 인증 서버(200, LKS)가 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서의 CRL정보를 전달하는 단계(430), 상기 가입자 단말 인증 서버(200, LKS)가 상기 인증기관 서버(100, TA)로부터 수신한 CRL 정보를 사용하여 가입자 단말의 유효성을 확인하는 단계(440)를 포함한다.1 is a data flow diagram of a CRL distribution and application method in a downloadable conditional access system (DCAS) according to an embodiment of the present invention, wherein the CRL distribution and application method in the downloadable conditional access system is a subscriber station. The subscriber terminal authentication server 200 (Local Key Server (LKS)) for authenticating the security module of the 300 is installed by the secure micro (SM) and the transport processor (TP) of the
상기 X.509 인증서는 X.509 프로토콜(Protocol) 기반으로 생성한 인증서를 의미하며 상기 인증기관 서버(100, TA)의 승인 과정을 통해 발급된다. 또한, 상기 X.509 인증서는 인증서 버전(Version), 인증서 고유 일련번호, 발급기관 이름, 유효기간, 암호화 알고리즘 식별자 등을 포함할 수 있다.The X.509 certificate refers to a certificate generated based on the X.509 protocol and is issued through an approval process of the certification authority server 100 (TA). The X.509 certificate may also include a certificate version, a certificate unique serial number, an issuer name, an expiration date, an encryption algorithm identifier, and the like.
또한, 상기 가입자 단말(300)의 SM(Secure Micro)은 DCAS 프로토콜을 기반으로 상호 인증을 통해 DCAS헤드엔드 서버와 안전한 통신 채널을 형성하고 이를 통해 다운로드 받은 제한 수신 소프트웨어(CAS)를 안전하게 저장하고 구동할 수 있는 환경을 제공해준다. 상기 TP(Transport Processor)는 수신된 방송 신호의 스크램블링 여부와 가입자의 시청권한에 따라 해당 신호를 디스크램블링 하는 기능을 담당하며, 여러 CAS 사업자의 제한수신 시스템을 지원할 수 있도록 복수의 디스크램블링 알고리즘을 내장하고 있다.In addition, the SM (Secure Micro) of the
상기 가입자 단말 인증 서버(200)가 가입자 단말 등록 과정을 통해 가입자 단말(300)의 SM과 TP가 탑재한 X.509 인증서 정보를 수집하는 단계(410)는 가입자 단말(300)과 가입자 단말 인증 서버(200)의 상호 보안 통신을 통해 상기 가입자 단말(300)의 SM, TP의 고유번호나 상기 SM, TP 인증서 정보가 상기 가입자 단말 인증 서버(200)에 존재하지 않을 경우 상기 가입자 단말(300)을 등록하는 단계, 가입자 단말(300)이 가지고 있는 X.509 인증서 정보를 가입자 단말 인증 서버(200)의 데이터베이스에 저장하는 단계를 포함한다(411).In
이렇게 등록된 가입자 단말(300)의 SM 및 TP의 인증서는 상기 인증기관 서버(100)에서 발급하며, 상기 인증서가 유효성을 상실하는 경우는 해당 인증서 소유자의 전자서명키가 손상되거나 누설된 경우, 혹은 인증서 발급자의 전자 서명키가 손상되거나 누설된 경우, 인증서 소유자의 명칭 또는 기타 정보가 변경된 경우, 더 이상 지정된 목적으로 인증서를 사용하지 않는 경우, 인증서의 효력 정지가 발생한 경우, 유효기간이 만료된 경우 또는 인증서가 더 이상 유효하지 않은 기타 상황이 발생한 경우등으로 구분한다. 상기 인증서를 발급한 인증기관 서버(100)는 이러한 인증서의 유효성과 관련한 사항을 상기 인증서를 사용하는 서버와 미리 약속한 리스트의 형태로 관리하는데 이것이 CRL(Certificate Revocation List)이다.The certificate of the SM and TP of the registered
상기 가입자 단말 인증 서버(200)가 인증기관 서버(100)에게 자신이 관리하고 있는 가입자 단말(300)의 SM과 TP의 X.509 인증서 정보를 전달하는 단계(420)는, 인증기관 서버(100)가 가입자 단말 인증 서버(200)가 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서 정보를 수집하기 위해 상기 가입자 단말 인증 서버(200)와 SSL 보안 접속을 시도하는 단계(421), 상기 인증기관 서버(100)가 인증서 정보 요청 메시지(CertInfo_Request)를 사용하여 상기 가입자 단말 인증 서버(200)에 등록되어 있는 SM, TP의 인증서 리스트를 요청하는 단계(422), 상기 가입자 단말 인증 서버(200)가 상기 인증기관 서버(100)로부터 상기 인증서 정보 요청 메시지(CertInfo_Request)를 수신한 후 상기 가입자 단말 인증 서버(200) 자신이 가지고 있는 SM과 TP 인증서 내에 포함된 고유 아이디(Device_ID) 정보를 추출하고 인증서 정보 응답 메시지(CertInfo_Response)를 생성하여 상기 인증기관 서버(100)로 전송하는 단계(423), 상기 가입자 단말 인증 서버(200)가 자신이 관리하는 가입자 단말의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계(424)를 포함한다.In
이와 같이, SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성 확인을 하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 한다.As such, by performing mutual authentication on the communication using SSL standard security protocol and then validating the certificate, it reduces the complexity of the mutual authentication and key exchange step in the existing secure communication method and securely verifies the certificate.
상기 인증기관 서버(100)가 가입자 단말 인증 서버(200)가 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서의 CRL정보를 전달하는 단계(430)는, 상기 가입자 단말 인증 서버(200)가 자신이 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서의 유효성 정보를 수집하기 위해 상기 인증기관 서버(100)와 SSL 보안 접속을 시도하는 단계(431), 상기 가입자 단말 인증 서버(200)가 CRL 요청 메시지(CRL_Request)를 사용하여 자신이 등록한 SM, TP의 인증서의 CRL을 상기 인증기관 서버(100)로 요청하는 단계(432), 상기 인증기관 서버(100)가 상기 가입자 단말 인증 서버(200)로부터 CRL 응답 메시지(CRL_Request)를 수신한 후 해당 가입자 단 말 인증 서버(200)의 SM과 TP 인증서 CRL이 포함된 CRL 응답 메시지(CRL_Response)를 생성하여 상기 가입자 단말 인증 서버(200)로 전송하는 단계(433), 상기 인증기관 서버(100)가 상기 가입자 단말 인증 서버(200)가 관리하는 가입자 단말(300)의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계(434)를 포함한다.In step 430, when the certification authority server 100 transmits the CRL information of the SM and the TP certificate of the
상기 인증기관 서버(100)가 상기 가입자 단말 인증 서버(200)로 CRL을 전송하는 단계(430)를 상기 가입자 단말 인증 서버(200)가 상기 인증기관 서버(100)로 인증서 정보를 전송하는 단계(420)와 분리하여 수행하도록 구성하여 상기 인증기관 서버(100)의 시간당 처리 부하를 감소시킬 수 있다.Transmitting the CRL to the certification authority server 100 by the certification authority server 100 in step 430 of transmitting the CRL to the subscriber station authentication server 200 (step 430). It can be configured to be performed separately from 420 to reduce the processing load per hour of the certification authority server 100.
상기 가입자 단말 인증 서버(200)가 상기 인증기관 서버(100)로부터 수신한 CRL 정보를 사용하여 가입자 단말(300)의 유효성을 확인하는 단계(440)는, 상기 가입자 단말(300)이 상기 가입자 단말 인증 서버(200)로 인증을 요청하는 단계, 상기 가입자 단말 인증 서버(200)가 상기 가입자 단말(300)의 SM과 TP 인증서 CRL를 사용하여 해당 가입자 단말(300)의 유효성을 확인하는 단계(441)를 포함한다.In
이와 같이, 상기 인증기관 서버(100)와 상기 DCAS 가입자 단말 인증 서버(200)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송하고, 이후 가입자 단말(300)이 DCAS헤드엔드에 접속을 요청한 경우 상기 DCAS헤드엔드에 포함된 가입자 단말 인증 서버(200)가 상기 가입자 단말(300)의 X.509 인증서 유효성을 확인할 수 있도록 하여 다운로드 가능한 제한수신시스템(DCAS)의 보안성을 높일 수 있다.As such, when the CRL is transmitted through the secure communication based on the mutual authentication protocol between the certification authority server 100 and the DCAS subscriber
또한, 상기 인증기관 서버(100)는 복수 개의 가입자 단말 인증 서버(200)에 대해 해당 가입자 단말 인증 서버(200)가 요청한 가입자 단말(300)의 인증서에 대한 CRL을 배포함으로써 상기 인증기관 서버(100)가 전송요청에 대해 해당 가입자 단말 인증 서버(200)에 대한 CRL만 전송하도록 하여 인증기관 서버(100)의 시간당 처리 속도를 높이고 복수 개의 가입자 단말 인증 서버(200)에 대한 관리를 원활하게 할 수 있다.In addition, the certification authority server 100 by distributing the CRL for the certificate of the
본 발명의 일 실시예에 따른 인증기관 서버와 가입자 단말 인증 서버 사이에 송,수신되는 메시지에 대한 규약 및 절차에 관한 통신 메커니즘을 CRL 배포 프로토콜이라 정의하며, 상기 CRL 배포 프로토콜 메시지는 도 2 내지 도 4에 상세히 기술하기로 한다.According to an embodiment of the present invention, a communication mechanism regarding a protocol and a procedure for a message transmitted and received between an authentication authority server and a subscriber station authentication server is defined as a CRL distribution protocol, and the CRL distribution protocol message is illustrated in FIGS. It will be described in detail in 4.
도 2는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 형식이다. 상기 프로토콜 메시지 형식은 프로토콜 식별자, 메시지 종류, 메시지 길이, 메시지 내용을 포함한다. 상기 메시지 종류는 인증서 고유 정보 요청, 인증서 고유 정보 제공, 인증서 CRL 정보 요청, 인증서 CRL 정보 제공으로 분류되며, 상기 메시지 종류의 설명은 도 3에 기술하기로 한다.2 is a protocol message format of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention. The protocol message format includes a protocol identifier, message type, message length, and message content. The message type is classified into a certificate specific information request, a certificate specific information provision, a certificate CRL information request, and a certificate CRL information provision. A description of the message type will be described with reference to FIG. 3.
도 3은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 종류로서, 상기 메시지 종류는 인증기관 서버가 가입자 단말 인증 서버에 등록된 가입자 단말의 인증서 장치(Device) 정보를 요청하기 위한 메시지인 인증서 정보 요청 메시지(31, CertInfo_Request), 가입자 단말 인증 서버가 인증기관 서버로 자신에게 등록된 가입자 단말의 인증서 장치(Device) 정보를 제공하기 위한 메시지인 인증서 정보 응답 메시지(32, CertInfo_Response), 가입자 단말 인증 서버가 인증기관 서버로 자신에게 등록된 가입자 단말의 인증서 CRL 정보를 요청하기 위한 메시지인 CRL 요청 메시지(33, CRL_Request), 인증기관 서버가 가입자 단말 인증 서버에 등록된 가입자 단말의 인증서 CRL 정보를 해당 가입자 단말 인증 서버로 제공하기 위한 메시지인 CRL 응답 메시지(34, CRL_Response)로 구분한다. 상기 메시지 종류에 따른 프로토콜 메시지의 내용 및 설명은 도 4에서 설명하기로 한다.3 is a protocol message type of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention, wherein the message type is a certificate device of a subscriber station in which a certification authority server is registered in a subscriber station authentication server (Device) The certificate information request message 31 (CertInfo_Request), which is a message for requesting information, and the certificate information response message, which is a message for the subscriber station authentication server to provide the certificate device information of the subscriber station registered to the certificate server. (32, CertInfo_Response), the CRL request message (33, CRL_Request), which is a message for requesting the certificate CRL information of the subscriber station registered to the subscriber authority server by the certificate authority server, and the certificate authority server registered with the subscriber station certificate server. For providing the certificate CRL information of the subscriber station to the subscriber station authentication server The message is divided into a CRL response message 34 (CRL_Response). Details and descriptions of the protocol message according to the message type will be described with reference to FIG. 4.
도 4는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 내용 및 설명이다. 도시한 인증서 정보 요청 메시지(42, CertInfo_Request), 인증서 정보 응답 메시지(41, CertInfo_Response), CRL 요청 메시지(43, CRL_Request), CRL 응답 메시지(44, CRL_Response)에서 Cert_Type은 인증서 타입을 지칭한다. SM일 경우 1이고 TP일 경우 0이다. Cert_Count는 인증서 정보의 갯수를 의미하며, Device_ID는 SM 또는 TP의 고유번호를 의미한다. Revoke_Reason(45)은 인증서의 폐지 이유이며, 상기 인증서 폐지 이유는 해당 인증서 소유자의 전자서명키가 손상되거나 누설된 경우, 혹은 인증서 발급자의 전자 서명키가 손상되거나 누설된 경우, 인증서 소유자의 명칭 또 는 기타 정보가 변경된 경우, 더 이상 지정된 목적으로 인증서를 사용하지 않는 경우, 인증서의 효력 정지가 발생한 경우, 유효기간이 만료된 경우 또는 인증서가 더 이상 유효하지 않은 기타 상황이 발생한 경우 등으로 구분한다. 4 is a protocol message content and description of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention. In the illustrated certificate information request message 42 (CertInfo_Request), certificate information response message 41 (CertInfo_Response), CRL request message 43 (CRL_Request), and CRL response message 44 (CRL_Response), Cert_Type refers to a certificate type. 1 for SM and 0 for TP. Cert_Count means the number of certificate information, and Device_ID means the unique number of the SM or TP. Revoke_Reason (45) is the reason for revocation of the certificate, and the reason for revocation of the certificate is the name or name of the certificate holder when the certificate owner's digital signature key is damaged or leaked, or the certificate issuer's digital signature key is damaged or leaked. When other information is changed, when the certificate is no longer used for the specified purpose, when the certificate is suspended, when the validity period has expired, or when other circumstances occur where the certificate is no longer valid.
이상에서는 본 발명에 따른 바람직한 실시예들에 대하여 도시하고 또한 설명하였다. 그러나 본 발명은 상술한 실시예에 한정되지 아니하며, 특허 청구의 범위에서 첨부하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다. In the above described and illustrated with respect to preferred embodiments according to the present invention. However, the present invention is not limited to the above-described embodiments, and various changes and modifications may be made by those skilled in the art without departing from the scope of the present invention. .
도 1은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 데이터 흐름도.1 is a data flow diagram of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.
도 2는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 형식.2 is a protocol message format of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.
도 3은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 종류.3 is a protocol message type of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.
도 4는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 내용 및 설명.4 is a protocol message content and description of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.
** 도면의 주요 부분에 대한 부호의 설명 **DESCRIPTION OF REFERENCE NUMERALS
100: 인증기관 서버 200: 가입자 단말 인증 서버100: certification authority server 200: subscriber terminal authentication server
300: 가입자 단말 300: subscriber station
Claims (8)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090133202A KR101152381B1 (en) | 2009-12-29 | 2009-12-29 | Certificate revocation list distribution and application method in downloadable conditional access system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090133202A KR101152381B1 (en) | 2009-12-29 | 2009-12-29 | Certificate revocation list distribution and application method in downloadable conditional access system |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110076474A KR20110076474A (en) | 2011-07-06 |
KR101152381B1 true KR101152381B1 (en) | 2012-06-05 |
Family
ID=44916370
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090133202A KR101152381B1 (en) | 2009-12-29 | 2009-12-29 | Certificate revocation list distribution and application method in downloadable conditional access system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101152381B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114598549B (en) * | 2022-03-25 | 2023-07-07 | 杭州迪普科技股份有限公司 | Customer SSL certificate verification method and device |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7225164B1 (en) | 2000-02-15 | 2007-05-29 | Sony Corporation | Method and apparatus for implementing revocation in broadcast networks |
-
2009
- 2009-12-29 KR KR1020090133202A patent/KR101152381B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7225164B1 (en) | 2000-02-15 | 2007-05-29 | Sony Corporation | Method and apparatus for implementing revocation in broadcast networks |
Non-Patent Citations (2)
Title |
---|
논문(IEEE-TRAN. ON COMSUMER ELECTRONICS, 2008) |
카탈로그(RFC3280,2002) |
Also Published As
Publication number | Publication date |
---|---|
KR20110076474A (en) | 2011-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10749846B2 (en) | Secure content access authorization | |
US8924731B2 (en) | Secure signing method, secure authentication method and IPTV system | |
KR100936885B1 (en) | Method and apparatus for mutual authentification in downloadable conditional access system | |
KR100724935B1 (en) | Apparatus and method of interlock between entities for protecting contents, and the system thereof | |
KR100945650B1 (en) | Digital cable system and method for protection of secure micro program | |
KR100925329B1 (en) | Method and apparatus of mutual authentication and key distribution for downloadable conditional access system in digital cable broadcasting network | |
KR101063685B1 (en) | Method for single-sign-on when using a set-top box | |
JP2008547312A (en) | Multimedia access device registration system and method | |
US20080152150A1 (en) | Information Distribution System | |
WO2007032593A1 (en) | Inter-entity coupling method, apparatus and system for service protection | |
KR101152381B1 (en) | Certificate revocation list distribution and application method in downloadable conditional access system | |
JP5538618B2 (en) | Method and apparatus for providing service through advertisement viewing using DRM | |
KR101255987B1 (en) | Paring method between SM and TP in downloadable conditional access system, Setopbox and Authentication device using this | |
KR20120072030A (en) | The apparatus and method for remote authentication | |
KR101163820B1 (en) | Apparatus and method for terminal authentication in downloadable conditional access system | |
CN101453324A (en) | Method and equipment for validating permission | |
KR101238195B1 (en) | System and method for intercepting illegality reproduction in eXchangeable Conditional Access System | |
JP2003069559A (en) | Content protection system | |
JP2003209542A (en) | Digital broadcasting device, digital broadcasting method, digital broadcasting receiver, digital broadcasting receiving method and digital broadcasting receiving system | |
KR101248828B1 (en) | System and method for allocating unique identification to CAS client in eXchangeable Conditional Access System | |
KR101110679B1 (en) | Certificate distribution method on dcas system and system thereof | |
CN116094730A (en) | Vehicle ECU digital certificate application method and system | |
KR20110139414A (en) | Downloadable conditional access host authentication and contents transmission method using certificate | |
KR20170099473A (en) | The Content Protection Management System and Method for UHD Terrestrial Broadcasting | |
KR20100066723A (en) | Apparautus and method for monitoring message of downloadable conditional access system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150521 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20160520 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20170518 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20180521 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20190521 Year of fee payment: 8 |