KR101152381B1 - Certificate revocation list distribution and application method in downloadable conditional access system - Google Patents

Certificate revocation list distribution and application method in downloadable conditional access system Download PDF

Info

Publication number
KR101152381B1
KR101152381B1 KR1020090133202A KR20090133202A KR101152381B1 KR 101152381 B1 KR101152381 B1 KR 101152381B1 KR 1020090133202 A KR1020090133202 A KR 1020090133202A KR 20090133202 A KR20090133202 A KR 20090133202A KR 101152381 B1 KR101152381 B1 KR 101152381B1
Authority
KR
South Korea
Prior art keywords
certificate
subscriber station
crl
server
authentication server
Prior art date
Application number
KR1020090133202A
Other languages
Korean (ko)
Other versions
KR20110076474A (en
Inventor
최인석
강경태
Original Assignee
사단법인한국디지털케이블연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인한국디지털케이블연구원 filed Critical 사단법인한국디지털케이블연구원
Priority to KR1020090133202A priority Critical patent/KR101152381B1/en
Publication of KR20110076474A publication Critical patent/KR20110076474A/en
Application granted granted Critical
Publication of KR101152381B1 publication Critical patent/KR101152381B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Abstract

본 발명은 인증기관 서버가 가입자 단말의 SM, TP의 인증서의 유효성을 검사하기 위해 사용되는 CRL을 가입자 단말 인증 서버로 배포하기 위한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법에 관한 것으로, 더욱 상세하게는 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송함으로써 가입자 단말 인증 서버가 가입자 단말의 X.509 인증서 유효성을 확인할 수 있도록 하여 DCAS시스템의 보안성을 높이며, SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 하여 인증서 유효성 확인에 대한 신뢰성을 강화하고, 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 하여 인증기관 서버의 시간당 처리 부하를 감소시키는 효과가 있다.The present invention relates to a method for distributing and applying a CRL in a downloadable CA system for distributing a CRL used by a certification authority server to validate a certificate of SM and TP of a subscriber terminal to a subscriber terminal authentication server. For example, by transmitting a CRL through secure communication based on mutual authentication protocol between a certification authority server (TA) and a DCAS subscriber station authentication server (LKS), the subscriber station authentication server enables the subscriber station authentication server to check the validity of the X.509 certificate of the subscriber station. Increase the security of the system and reduce the complexity of the mutual authentication and key exchange steps in traditional secure communication methods and securely verify certificates by requiring mutual communication authentication using SSL standard security protocols and later validating certificates. To increase the credibility of certificate validation, By separating the steps of the certificate server transmitting the certificate information to the certificate authority server and the certificate server transmitting the CRL to the subscriber terminal certificate server, the certification authority server separates and performs each step. Has the effect of reducing

DCAS, XCAS, CRL, 인증서, 가입자 단말, 인증 서버, 유효성, 배포 DCAS, XCAS, CRL, Certificate, Subscriber Terminal, Authentication Server, Validity, Distribution

Description

다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법{CERTIFICATE REVOCATION LIST DISTRIBUTION AND APPLICATION METHOD IN DOWNLOADABLE CONDITIONAL ACCESS SYSTEM}How to distribute and apply CRL in downloadable CA system {CERTIFICATE REVOCATION LIST DISTRIBUTION AND APPLICATION METHOD IN DOWNLOADABLE CONDITIONAL ACCESS SYSTEM}

본 발명은 인증기관 서버가 가입자 단말의 SM, TP의 인증서의 유효성을 검사하기 위해 사용되는 CRL을 가입자 단말 인증 서버로 배포하기 위한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법에 관한 것으로, 특히 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송하고, SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 하며, 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 하고, 인증기관 서버가 복수 개의 가입자 단말 인증 서버에 대해 해당 가입자 단말 인증 서버가 요청한 가입자 단말의 인증서에 대한 CRL을 배포하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법에 관한 것이다.The present invention relates to a method for distributing and applying a CRL in a downloadable CA system for distributing a CRL used by a certification authority server to validate a certificate of SM and TP of a subscriber terminal to a subscriber terminal authentication server. Transmit CRL through secure communication based on mutual authentication protocol between Authority Server (TA) and DCAS Subscriber Terminal Authentication Server (LKS), perform mutual authentication on communication using SSL standard security protocol, and then verify certificate validity. By separating the subscriber terminal authentication server transmitting the certificate information to the certification authority server and the certification authority server transmitting the CRL to the subscriber terminal authentication server, the certification authority server separates and performs each step. Requested by the corresponding subscriber station authentication server for a plurality of subscriber station authentication servers The present invention relates to a CRL distribution and application method in a downloadable CA system for distributing a CRL for a subscriber station certificate.

제한수신시스템(CAS: Conditional Access System)은 방송 프로그램에 암호를 삽입하여 시청이 허가된 가입자들에 대해서만 유료 방송 프로그램을 시청할 수 있는 권한을 부여해주는 시스템이다. 현재 디지털 케이블 방송에서는 유료 방송 서비스를 제공하기 위해서 PCMCIA 카드 형태의 케이블카드를 이용하고 있다. 그러나, 케이블카드를 보안모듈을 사용함으로써 제한수신시스템의 결함 및 케이블카드를 재발급하는 과정에 일정 시간과 추가적인 비용이 소요된다는 문제점이 있었다. 이러한 단점을 극복하고자, 최근 양방향 케이블 통신 네트워크를 기반으로 CAS 클라이언트 소프트웨어를 다운로드하는 방법을 사용하여 CAS 클라이언트 모듈 교체가 가능한 제한수신시스템 (DCAS: Downloadable Conditional Access System) 기술 개발이 이슈가 되고 있다. DCAS 기술이란 종래와 같이 CAS 사업자가 PCMCIA 카드에 선정된 CAS 소프트웨어를 설치하여 유료방송 서비스를 제공하는 것이 아니라, 셋탑박스(set-top box)에 상기 CAS 소프트웨어가 설치될 수 있는 보안모듈(SM: Secure Micro)을 탑재하여 양방향 케이블 통신 네트워크를 통해 CAS 소프트웨어의 결함이 발생하거나 상기 CAS 소프트웨어의 버전 업데이트와 같은 상황에서 용이하게 CAS 소프트웨어를 갱신할 수 있도록 하는 기술이다.  Conditional Access System (CAS) is a system that inserts a password into a broadcast program and grants the right to watch a paid broadcast program only to subscribers who are allowed to watch. Digital cable broadcasting is currently using a cable card in the form of a PCMCIA card to provide a pay broadcast service. However, there is a problem that the cable card using the security module takes a certain amount of time and additional costs in the process of re-issuing the defective card and the cable card. In order to overcome this drawback, the development of a downloadable conditional access system (DCAS) technology capable of replacing a CAS client module using a method of downloading CAS client software based on a bidirectional cable communication network has become an issue. The DCAS technology does not provide a pay broadcasting service by installing CAS software selected by a PC operator on a PCMCIA card as in the related art. Instead, a security module (SM) capable of installing the CAS software in a set-top box is provided. Secure Micro) is a technology that allows CAS software to be easily updated in a situation such as a defect of CAS software or a version update of the CAS software through a bidirectional cable communication network.

DCAS 기술에서는 양방향 케이블 통신 네트워크를 통해 보안모듈에 CAS 소프트웨어를 다운로드시키는 방법을 사용하기 때문에 일반적으로 IP 네트워크에서 흔히 발생할 수 있는 보안위협에 취약할 수 있다. 이를 해결하기 위해 보안모듈에 CAS 소프트웨어를 다운로드하기전 DCAS 헤드엔드의 가입자 단말 인증 서버(LKS: Local Key Server)와 가입자단말의 보안모듈 사이의 X.509 기반의 인증, 키 교환, 암복호화 등의 보안 메커니즘이 적용되어 있다.The DCAS technology uses a method of downloading CAS software to a security module via a two-way cable communication network, so that it is generally vulnerable to security threats that can commonly occur in IP networks. In order to solve this problem, X.509-based authentication, key exchange, encryption and decryption between the DCAS headend's local terminal server (LKS) and the subscriber station's security module before downloading CAS software to the security module. Security mechanism is applied.

현재 DCAS 기술에서는 가입자 단말을 인증하기 위해 LKS는 가입자의 X.509 인증서 사본을 인증기관(TA: Trust Authority)을 통해 전달 받는다. 하지만 LKS는 인증기관(TA)이 발급한 X.509 인증서의 유효성을 판단할 수 있는 메커니즘이 부재한 상황이다.In the current DCAS technology, to authenticate the subscriber terminal, LKS receives a copy of the subscriber's X.509 certificate through a trust authority (TA). However, LKS lacks a mechanism for determining the validity of X.509 certificates issued by a certification authority (TA).

따라서 DCAS 환경에서 LKS가 가입자 단말이 가지고 있는 X.509 인증서의 유효성을 판단할 수 있는 CRL(Certificate Revocation List) 정보를 제공받기 위한 방법이 요구되고 있다. 또한, 이를 사용하여 인증기관(TA)은 발급한 X.509 사용 실태 정보를 수집하여 가입자 단말의 대한 불법 사용 여부를 검사하고, 관리하기 위한 방법 또한 요구되고 있다.Therefore, in the DCAS environment, a method is required for LKS to receive CRL (Certificate Revocation List) information that can determine the validity of the X.509 certificate of the subscriber station. In addition, there is also a demand for a method for collecting and using X.509 usage information issued by a certification authority (TA) to inspect and manage illegal use of a subscriber station.

전술한 문제점을 개선하기 위한 본 발명 실시예의 목적은 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송함으로써 가입자 단말 인증 서버가 가입자 단말의 X.509 인증서 유효성을 확인할 수 있도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.An object of the embodiment of the present invention for improving the above-mentioned problems is to transmit a CRL through secure communication based on mutual authentication protocol between a certification authority server (TA) and a DCAS subscriber station authentication server (LKS). It provides a way of distributing and applying CRLs in a downloadable CA system that can validate X.509 certificates.

본 발명 실시예의 다른 목적은 SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.Another object of the embodiments of the present invention is to perform mutual authentication on communication using SSL standard security protocol and then to verify certificate validity, thereby reducing the complexity of the mutual authentication and key exchange step in the existing secure communication method and securely verifying the certificate. One downloadable CA system provides a way to distribute and apply CRLs.

본 발명 실시예의 또 다른 목적은 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.Another object of the embodiment of the present invention is to separate the steps of the subscriber terminal authentication server transmitting the certificate information to the certification authority server and the certification authority server transmitting the CRL to the subscriber terminal authentication server, so that the certification authority server separates each step. It is to provide a method of distributing and applying CRL in a downloadable CA system.

본 발명 실시예의 또 다른 목적은 인증기관 서버가 복수 개의 가입자 단말 인증 서버에 대해 해당 가입자 단말 인증 서버가 요청한 가입자 단말의 인증서에 대한 CRL을 배포함으로써 인증기관 서버가 전송요청에 대해 해당 가입자 단말 인증 서버에 대한 CRL만 전송하도록 한 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법을 제공하는 것이다.Another object of the embodiment of the present invention is that the certification authority server distributes the CRL for the certificate of the subscriber station requested by the subscriber station authentication server to the plurality of subscriber station authentication servers, so that the certification authority server responds to the transmission request for the subscriber station authentication server. It provides a method of distributing and applying CRLs in a downloadable CA system that only transmits CRLs.

상기한 목적을 달성하기 위하여 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템(DCAS: Downloadable Conditional Access Sytem)에서 CRL 배포 및 적용 방법은 가입자 단말의 보안 모듈을 인증하기 위한 가입자 단말 인증 서버(LKS: Local Key Server)가 가입자 단말 등록과정을 통해 가입자 단말의 SM(Secure Micro)과 TP(Transport Processor)가 탑재한 X.509 인증서 정보를 수집하는 단계, 가입자 단말 인증 서버(LKS)가 X.509 인증서 발급 및 관리를 담당하는 인증기관 서버(TA: Trust Authority)로 자신이 관리하고 있는 가입자 단말의 SM과 TP의 X.509 인증서 정보를 전달하는 단계, 상기 인증기관 서버(TA)가 상기 가입자 단말 인증 서버(LKS)가 관리하고 있는 가입자 단말의 SM과 TP 인증서의 CRL정보를 전달하는 단계, 상기 가입자 단말 인증 서버가 상기 인증기관 서버로부터 수신한 CRL 정보를 사용하여 가입자 단말의 유효성을 확인하는 단계를 포함한다.In order to achieve the above object, a CRL distribution and application method in a downloadable conditional access system (DCAS) according to an embodiment of the present invention provides a subscriber station authentication server (LKS) for authenticating a security module of a subscriber station. : Local Key Server collects X.509 certificate information loaded by Secure Micro (SM) and Transport Processor (TP) of subscriber station through subscriber station registration process, and subscriber station authentication server (LKS) Delivering X.509 certificate information of SM and TP of a subscriber station managed by the certification authority server (TA) that is responsible for certificate issuance and management, and the certification authority server (TA) transmits the subscriber station. Transmitting CRL information of the SM and the TP certificate of the subscriber station managed by the authentication server (LKS), and the CRL information received from the certification authority server by the subscriber station authentication server. Using a step to verify the validity of the subscriber terminal.

상기 가입자 단말 인증 서버가 가입자 단말 등록 과정을 통해 가입자 단말의 SM과 TP가 탑재한 X.509 인증서 정보를 수집하는 단계는 가입자 단말과 가입자 단말 인증 서버의 상호 보안 통신을 통해 상기 가입자 단말의 SM, TP의 고유번호나 상기 SM, TP 인증서 정보가 상기 가입자 단말 인증 서버에 존재하지 않을 경우 상기 가입자 단말을 등록하는 단계, 가입자 단말이 가지고 있는 X.509 인증서 정보를 가입자 단말 인증 서버의 데이터베이스에 저장하는 단계를 포함한다.The subscriber terminal authentication server collecting the X.509 certificate information loaded by the SM and the TP of the subscriber station through the subscriber station registration process, the SM of the subscriber station through the mutual security communication between the subscriber station and the subscriber station authentication server; Registering the subscriber station if the unique number of the TP or the SM and TP certificate information does not exist in the subscriber station authentication server, and storing the X.509 certificate information of the subscriber station in a database of the subscriber station authentication server Steps.

상기 가입자 단말 인증 서버가 인증기관 서버에게 자신이 관리하고 있는 가입자 단말의 SM과 TP의 X.509 인증서 정보를 전달하는 단계는, 인증기관 서버가 가입자 단말 인증 서버가 관리하고 있는 가입자 단말의 SM과 TP 인증서 정보를 수집하기 위해 상기 가입자 단말 인증 서버와 SSL 보안 접속을 시도하는 단계, 상기 인증기관 서버가 인증서 정보 요청 메시지(CertInfo_Request)를 사용하여 상기 가입자 단말 인증 서버에 등록되어 있는 SM, TP의 인증서 리스트를 요청하는 단계, 상기 가입자 단말 인증 서버가 상기 인증기관 서버로부터 상기 인증서 정보 요청 메시지(CertInfo_Request)를 수신한 후 상기 가입자 단말 인증 서버 자신이 가지고 있는 SM과 TP 인증서 내에 포함된 고유 아이디 정보를 추출하고 인증서 정보 응답 메시지(CertInfo_Response)를 생성하여 상기 인증기관 서버로 전송하는 단계, 상기 가입자 단말 인증 서버가 자신이 관리하는 가입자 단말의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계를 포함한다.The subscriber station authentication server may transmit the SM of the subscriber station managed by the subscriber station authentication server and the X.509 certificate information of the TP to the certification authority server, wherein the certification authority server includes the SM of the subscriber station managed by the subscriber station authentication server. Attempting an SSL secured connection with the subscriber station authentication server to collect TP certificate information, The certificate authority server certificate of the SM, TP registered in the subscriber station authentication server using a certificate information request message (CertInfo_Request) Requesting a list, and after receiving the certificate information request message (CertInfo_Request) from the certificate authority server, the subscriber station authentication server extracts unique ID information included in the SM and TP certificate of the subscriber station authentication server itself. And generate a certificate information response message (CertInfo_Response) Transmitting to the management server, and terminating the SSL secure access connection when all of the X.509 certificate information of the subscriber station managed by the subscriber station authentication server is completed.

상기 인증기관 서버가 가입자 단말 인증 서버가 관리하고 있는 가입자 단말의 SM과 TP 인증서의 CRL정보를 전달하는 단계는, 상기 가입자 단말 인증 서버가 자신이 관리하고 있는 가입자 단말의 SM과 TP 인증서의 유효성 정보를 수집하기 위해 상기 인증기관 서버와 SSL 보안 접속을 시도하는 단계, 상기 가입자 단말 인증 서버가 CRL 요청 메시지(CRL_Request)를 사용하여 자신이 등록한 SM, TP의 인증서의 CRL을 상기 인증기관 서버로 요청하는 단계, 상기 인증기관 서버가 상기 가입자 단말 인증 서버로부터 CRL 요청 메시지(CRL_Request)를 수신한 후 해당 가입자 단말 인증 서버의 SM과 TP 인증서 CRL이 포함된 CRL 응답 메시지(CRL_Response)를 생 성하여 가입자 단말 인증 서버로 전송하는 단계, 상기 인증기관 서버가 상기 가입자 단말 인증 서버가 관리하는 가입자 단말의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계를 포함한다.The certification authority server may transmit the CRL information of the SM and TP certificate of the subscriber station managed by the subscriber station authentication server, the validity information of the SM and TP certificate of the subscriber station managed by the subscriber station authentication server. Attempting an SSL secured connection with the certification authority server to collect the data, the subscriber station authentication server requests the certification authority server for the CRL of the certificate of the SM, TP registered by the subscriber station authentication server using the CRL request message (CRL_Request). Step, the certification authority server receives the CRL request message (CRL_Request) from the subscriber station authentication server and generates a CRL response message (CRL_Response) including the SM and TP certificate CRL of the subscriber station authentication server to authenticate the subscriber station. Transmitting to a server, wherein the certification authority server manages all of the subscriber terminals managed by the subscriber terminal authentication server. If the X.509 certificate information transfer is completed, a step that terminates the SSL secure connection.

상기 가입자 단말 인증 서버가 상기 인증기관 서버로부터 수신한 CRL 정보를 사용하여 가입자 단말의 유효성을 확인하는 단계는, 상기 가입자 단말이 상기 가입자 단말 인증 서버로 인증을 요청하는 단계, 상기 가입자 단말 인증 서버가 상기 가입자 단말의 SM과 TP 인증서 CRL를 사용하여 해당 가입자 단말의 유효성을 확인하는 단계를 포함한다.The step of checking the validity of the subscriber station by using the CRL information received from the certification authority server, the subscriber station authentication server, the subscriber terminal requesting authentication to the subscriber station authentication server, the subscriber station authentication server And checking the validity of the subscriber station using the SM and the TP certificate CRL of the subscriber station.

본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 인증기관 서버(TA)와 DCAS 가입자 단말 인증 서버(LKS)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송함으로써 가입자 단말 인증 서버가 가입자 단말의 X.509 인증서 유효성을 확인할 수 있도록 하여 DCAS시스템의 보안성을 높이는 효과가 있다.The CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention transmits the CRL through secure communication based on mutual authentication protocol between the certification authority server (TA) and the DCAS subscriber station authentication server (LKS). The server can verify the validity of the X.509 certificate of the subscriber station, thereby enhancing the security of the DCAS system.

본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성을 확인하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 하여 인증서 유효성 확인에 대한 신뢰성을 강화하는 효과가 있다.The CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention performs mutual authentication in communication using SSL standard security protocol, and then verifies certificate validity, thereby mutual authentication and key exchange in the existing secure communication method. This reduces the complexity of the steps and ensures that the certificate can be verified securely, thereby enhancing the credibility of the certificate validation.

본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 가입자 단말 인증 서버가 인증기관 서버로 인증서 정보를 전송하는 단계와 인증기관 서버가 가입자 단말 인증 서버로 CRL을 전송하는 단계를 분리함으로써 인증기관 서버가 각 단계를 분리하여 수행하도록 하여 인증기관 서버의 시간당 처리 부하를 감소시키는 효과가 있다.The CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention separates the steps of the subscriber terminal authentication server transmitting certificate information to the certification authority server and the certification authority server transmitting the CRL to the subscriber terminal authentication server. By doing so, the certification authority server separates each step, thereby reducing the processing load per hour of the certification authority server.

본 발명 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 인증기관 서버가 복수 개의 가입자 단말 인증 서버에 대해 해당 가입자 단말 인증 서버가 요청한 가입자 단말의 인증서에 대한 CRL을 배포함으로써 인증 기관 서버가 전송요청에 대해 해당 가입자 단말 인증 서버에 대한 CRL만 전송하도록 하여 인증기관 서버의 시간당 처리 속도를 높이고 복수 개의 가입자 단말 인증 서버에 대한 관리가 원활하게 되는 효과가 있다.CRL distribution and application method in the downloadable CA system according to the embodiment of the present invention, the certification authority server by distributing the CRL for the certificate of the subscriber station requested by the subscriber station authentication server to the plurality of subscriber station authentication server By transmitting only the CRL for the subscriber terminal authentication server for the transmission request, it is possible to increase the processing speed per hour of the certification authority server and smoothly manage the plurality of subscriber terminal authentication servers.

상기한 바와 같은 본 발명을 첨부된 도면들과 실시예들을 통해 상세히 설명하도록 한다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템(DCAS: Downloadable Conditional Access Sytem)에서 CRL 배포 및 적용 방법의 데이터 흐름도로서, 상기 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법은 가입자 단말(300)의 보안 모듈을 인증하기 위한 가입자 단말 인증 서버(200, LKS: Local Key Server)가 가입자 단말 등록과정을 통해 가입자 단말(300)의 SM(Secure Micro)과 TP(Transport Processor)가 탑재한 X.509 인증서 정보를 수집하는 단계(410), 가입자 단말 인증 서버(200, LKS)가 X.509 인증서 발급 및 관리를 담당하는 인증기관 서버(100, TA: Trust Authority)로 자신이 관리하고 있는 가입자 단말(300)의 SM과 TP의 X.509 인증서 정보를 전달하는 단계(420), 상기 인증기관 서버(100, TA)가 상기 가입자 단말 인증 서버(200, LKS)가 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서의 CRL정보를 전달하는 단계(430), 상기 가입자 단말 인증 서버(200, LKS)가 상기 인증기관 서버(100, TA)로부터 수신한 CRL 정보를 사용하여 가입자 단말의 유효성을 확인하는 단계(440)를 포함한다.1 is a data flow diagram of a CRL distribution and application method in a downloadable conditional access system (DCAS) according to an embodiment of the present invention, wherein the CRL distribution and application method in the downloadable conditional access system is a subscriber station. The subscriber terminal authentication server 200 (Local Key Server (LKS)) for authenticating the security module of the 300 is installed by the secure micro (SM) and the transport processor (TP) of the subscriber terminal 300 through a subscriber terminal registration process. In step 410, collecting the X.509 certificate information, the subscriber station authentication server 200 (LKS) manages itself as a certification authority server 100 (TA: Trust Authority) that is responsible for issuing and managing X.509 certificates. In step (420) of transmitting the SM and TP X.509 certificate information of the subscriber station 300, the certification authority server (100, TA) is managed by the subscriber station authentication server (200, LKS) ( 300) SM and TP The step of transmitting the CRL information of the certificate (430), the subscriber station authentication server (200, LKS) using the CRL information received from the certification authority server (100, TA) checking the validity of the subscriber station (440) ).

상기 X.509 인증서는 X.509 프로토콜(Protocol) 기반으로 생성한 인증서를 의미하며 상기 인증기관 서버(100, TA)의 승인 과정을 통해 발급된다. 또한, 상기 X.509 인증서는 인증서 버전(Version), 인증서 고유 일련번호, 발급기관 이름, 유효기간, 암호화 알고리즘 식별자 등을 포함할 수 있다.The X.509 certificate refers to a certificate generated based on the X.509 protocol and is issued through an approval process of the certification authority server 100 (TA). The X.509 certificate may also include a certificate version, a certificate unique serial number, an issuer name, an expiration date, an encryption algorithm identifier, and the like.

또한, 상기 가입자 단말(300)의 SM(Secure Micro)은 DCAS 프로토콜을 기반으로 상호 인증을 통해 DCAS헤드엔드 서버와 안전한 통신 채널을 형성하고 이를 통해 다운로드 받은 제한 수신 소프트웨어(CAS)를 안전하게 저장하고 구동할 수 있는 환경을 제공해준다. 상기 TP(Transport Processor)는 수신된 방송 신호의 스크램블링 여부와 가입자의 시청권한에 따라 해당 신호를 디스크램블링 하는 기능을 담당하며, 여러 CAS 사업자의 제한수신 시스템을 지원할 수 있도록 복수의 디스크램블링 알고리즘을 내장하고 있다.In addition, the SM (Secure Micro) of the subscriber station 300 forms a secure communication channel with the DCAS headend server through mutual authentication based on the DCAS protocol, and securely stores and drives the downloaded CA. It provides an environment where you can. The TP (Transport Processor) is responsible for descrambling the corresponding signal according to whether or not the received broadcast signal is scrambling and the subscriber's viewing authority, and a plurality of descrambling algorithms are built in to support CA systems of multiple reception providers. Doing.

상기 가입자 단말 인증 서버(200)가 가입자 단말 등록 과정을 통해 가입자 단말(300)의 SM과 TP가 탑재한 X.509 인증서 정보를 수집하는 단계(410)는 가입자 단말(300)과 가입자 단말 인증 서버(200)의 상호 보안 통신을 통해 상기 가입자 단말(300)의 SM, TP의 고유번호나 상기 SM, TP 인증서 정보가 상기 가입자 단말 인증 서버(200)에 존재하지 않을 경우 상기 가입자 단말(300)을 등록하는 단계, 가입자 단말(300)이 가지고 있는 X.509 인증서 정보를 가입자 단말 인증 서버(200)의 데이터베이스에 저장하는 단계를 포함한다(411).In step 410, the subscriber station authentication server 200 collects the X.509 certificate information loaded by the SM and the TP of the subscriber station 300 through the subscriber station registration process. When the unique number of the SM, TP or the SM, TP certificate information of the subscriber terminal 300 does not exist in the subscriber terminal authentication server 200 through the mutual secure communication of the 200, the subscriber terminal 300 Registering, and storing the X.509 certificate information that the subscriber terminal 300 has in the database of the subscriber terminal authentication server 200 (411).

이렇게 등록된 가입자 단말(300)의 SM 및 TP의 인증서는 상기 인증기관 서버(100)에서 발급하며, 상기 인증서가 유효성을 상실하는 경우는 해당 인증서 소유자의 전자서명키가 손상되거나 누설된 경우, 혹은 인증서 발급자의 전자 서명키가 손상되거나 누설된 경우, 인증서 소유자의 명칭 또는 기타 정보가 변경된 경우, 더 이상 지정된 목적으로 인증서를 사용하지 않는 경우, 인증서의 효력 정지가 발생한 경우, 유효기간이 만료된 경우 또는 인증서가 더 이상 유효하지 않은 기타 상황이 발생한 경우등으로 구분한다. 상기 인증서를 발급한 인증기관 서버(100)는 이러한 인증서의 유효성과 관련한 사항을 상기 인증서를 사용하는 서버와 미리 약속한 리스트의 형태로 관리하는데 이것이 CRL(Certificate Revocation List)이다.The certificate of the SM and TP of the registered subscriber terminal 300 is issued by the certification authority server 100, and if the certificate is lost validity, the digital signature key of the certificate holder is damaged or leaked, or The certificate issuer's digital signature key is compromised or leaked, the name or other information of the certificate holder is changed, the certificate is no longer used for the specified purpose, the certificate is suspended, or the validity period has expired. Or when other circumstances occur where the certificate is no longer valid. The certificate authority server 100 that issues the certificate manages matters related to the validity of the certificate in the form of a list previously promised with the server using the certificate, which is a Certificate Revocation List (CRL).

상기 가입자 단말 인증 서버(200)가 인증기관 서버(100)에게 자신이 관리하고 있는 가입자 단말(300)의 SM과 TP의 X.509 인증서 정보를 전달하는 단계(420)는, 인증기관 서버(100)가 가입자 단말 인증 서버(200)가 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서 정보를 수집하기 위해 상기 가입자 단말 인증 서버(200)와 SSL 보안 접속을 시도하는 단계(421), 상기 인증기관 서버(100)가 인증서 정보 요청 메시지(CertInfo_Request)를 사용하여 상기 가입자 단말 인증 서버(200)에 등록되어 있는 SM, TP의 인증서 리스트를 요청하는 단계(422), 상기 가입자 단말 인증 서버(200)가 상기 인증기관 서버(100)로부터 상기 인증서 정보 요청 메시지(CertInfo_Request)를 수신한 후 상기 가입자 단말 인증 서버(200) 자신이 가지고 있는 SM과 TP 인증서 내에 포함된 고유 아이디(Device_ID) 정보를 추출하고 인증서 정보 응답 메시지(CertInfo_Response)를 생성하여 상기 인증기관 서버(100)로 전송하는 단계(423), 상기 가입자 단말 인증 서버(200)가 자신이 관리하는 가입자 단말의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계(424)를 포함한다.In step 420, the subscriber station authentication server 200 transferring the SM and TP X.509 certificate information of the subscriber station 300 managed by the subscriber station authentication server 200 to the certification authority server 100, the certification authority server 100. Step 421 of attempting an SSL secure connection with the subscriber station authentication server 200 to collect SM and TP certificate information of the subscriber station 300 managed by the subscriber station authentication server 200, and the authentication. The authority server 100 requests a certificate list of SMs and TPs registered in the subscriber station authentication server 200 using a certificate information request message (CertInfo_Request) (422), and the subscriber station authentication server 200 Receives the certificate information request message (CertInfo_Request) from the certificate authority server 100 and extracts unique ID (Device_ID) information included in the SM and TP certificate of the subscriber station authentication server 200 itself. Generating a certificate information response message (CertInfo_Response) and transmitting it to the certification authority server 100 (423), the subscriber station authentication server 200 completes all X.509 certificate information delivery of the subscriber station managed by the subscriber station. And terminating the SSL secured connection connection (424).

이와 같이, SSL 표준 보안 프로토콜을 사용하여 통신상 상호 인증을 수행하고 이후 인증서 유효성 확인을 하도록 함으로써 기존 보안 통신 방법에서의 상호인증과 키 교환 단계의 복잡성을 축소하고 안전하게 인증서를 확인하도록 한다.As such, by performing mutual authentication on the communication using SSL standard security protocol and then validating the certificate, it reduces the complexity of the mutual authentication and key exchange step in the existing secure communication method and securely verifies the certificate.

상기 인증기관 서버(100)가 가입자 단말 인증 서버(200)가 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서의 CRL정보를 전달하는 단계(430)는, 상기 가입자 단말 인증 서버(200)가 자신이 관리하고 있는 가입자 단말(300)의 SM과 TP 인증서의 유효성 정보를 수집하기 위해 상기 인증기관 서버(100)와 SSL 보안 접속을 시도하는 단계(431), 상기 가입자 단말 인증 서버(200)가 CRL 요청 메시지(CRL_Request)를 사용하여 자신이 등록한 SM, TP의 인증서의 CRL을 상기 인증기관 서버(100)로 요청하는 단계(432), 상기 인증기관 서버(100)가 상기 가입자 단말 인증 서버(200)로부터 CRL 응답 메시지(CRL_Request)를 수신한 후 해당 가입자 단 말 인증 서버(200)의 SM과 TP 인증서 CRL이 포함된 CRL 응답 메시지(CRL_Response)를 생성하여 상기 가입자 단말 인증 서버(200)로 전송하는 단계(433), 상기 인증기관 서버(100)가 상기 가입자 단말 인증 서버(200)가 관리하는 가입자 단말(300)의 모든 X.509 인증서 정보 전달이 완료되면 SSL 보안 접속 연결을 종료하는 단계(434)를 포함한다.In step 430, when the certification authority server 100 transmits the CRL information of the SM and the TP certificate of the subscriber station 300 managed by the subscriber station authentication server 200, the subscriber station authentication server 200 may transmit the CRL information. At step 431, the subscriber terminal authentication server 200 attempts an SSL secure connection with the certification authority server 100 to collect validity information of the SM and TP certificates of the subscriber terminal 300 managed by the subscriber terminal 300. Using the CRL request message (CRL_Request) to request the CRL of the certificate of the SM, TP registered by the certificate authority server 100 to the certification authority server 100, the certification authority server 100, the subscriber station authentication server 200 After receiving the CRL response message (CRL_Request) from the CRL response message (CRL_Response) containing the SM and TP certificate CRL of the subscriber terminal authentication server 200 to generate and transmit to the subscriber terminal authentication server 200 Step 433, the certification authority When the server 100 is the access terminal authentication server 200, all X.509 certificate information transmission of the subscriber terminal 300 to manage a complete and a step 434 to terminate the secure SSL connection.

상기 인증기관 서버(100)가 상기 가입자 단말 인증 서버(200)로 CRL을 전송하는 단계(430)를 상기 가입자 단말 인증 서버(200)가 상기 인증기관 서버(100)로 인증서 정보를 전송하는 단계(420)와 분리하여 수행하도록 구성하여 상기 인증기관 서버(100)의 시간당 처리 부하를 감소시킬 수 있다.Transmitting the CRL to the certification authority server 100 by the certification authority server 100 in step 430 of transmitting the CRL to the subscriber station authentication server 200 (step 430). It can be configured to be performed separately from 420 to reduce the processing load per hour of the certification authority server 100.

상기 가입자 단말 인증 서버(200)가 상기 인증기관 서버(100)로부터 수신한 CRL 정보를 사용하여 가입자 단말(300)의 유효성을 확인하는 단계(440)는, 상기 가입자 단말(300)이 상기 가입자 단말 인증 서버(200)로 인증을 요청하는 단계, 상기 가입자 단말 인증 서버(200)가 상기 가입자 단말(300)의 SM과 TP 인증서 CRL를 사용하여 해당 가입자 단말(300)의 유효성을 확인하는 단계(441)를 포함한다.In step 440 of the subscriber station authentication server 200 confirming the validity of the subscriber station 300 using the CRL information received from the certification authority server 100, the subscriber station 300 is the subscriber station; A request for authentication to the authentication server 200, and the subscriber station authentication server 200 to check the validity of the subscriber station 300 using the SM and the TP certificate CRL of the subscriber station 300 (441) ).

이와 같이, 상기 인증기관 서버(100)와 상기 DCAS 가입자 단말 인증 서버(200)와의 상호 인증 프로토콜 기반의 보안 통신을 통해 CRL을 전송하고, 이후 가입자 단말(300)이 DCAS헤드엔드에 접속을 요청한 경우 상기 DCAS헤드엔드에 포함된 가입자 단말 인증 서버(200)가 상기 가입자 단말(300)의 X.509 인증서 유효성을 확인할 수 있도록 하여 다운로드 가능한 제한수신시스템(DCAS)의 보안성을 높일 수 있다.As such, when the CRL is transmitted through the secure communication based on the mutual authentication protocol between the certification authority server 100 and the DCAS subscriber station authentication server 200, and then the subscriber station 300 requests access to the DCAS headend. The subscriber station authentication server 200 included in the DCAS headend may check the validity of the X.509 certificate of the subscriber station 300, thereby increasing the security of the downloadable DCS.

또한, 상기 인증기관 서버(100)는 복수 개의 가입자 단말 인증 서버(200)에 대해 해당 가입자 단말 인증 서버(200)가 요청한 가입자 단말(300)의 인증서에 대한 CRL을 배포함으로써 상기 인증기관 서버(100)가 전송요청에 대해 해당 가입자 단말 인증 서버(200)에 대한 CRL만 전송하도록 하여 인증기관 서버(100)의 시간당 처리 속도를 높이고 복수 개의 가입자 단말 인증 서버(200)에 대한 관리를 원활하게 할 수 있다.In addition, the certification authority server 100 by distributing the CRL for the certificate of the subscriber station 300 requested by the subscriber station authentication server 200 to a plurality of subscriber station authentication server 200, the certification authority server 100 ) To transmit only the CRL for the subscriber station authentication server 200 for the transmission request to increase the hourly processing speed of the certification authority server 100 and smoothly manage the plurality of subscriber station authentication servers 200. have.

본 발명의 일 실시예에 따른 인증기관 서버와 가입자 단말 인증 서버 사이에 송,수신되는 메시지에 대한 규약 및 절차에 관한 통신 메커니즘을 CRL 배포 프로토콜이라 정의하며, 상기 CRL 배포 프로토콜 메시지는 도 2 내지 도 4에 상세히 기술하기로 한다.According to an embodiment of the present invention, a communication mechanism regarding a protocol and a procedure for a message transmitted and received between an authentication authority server and a subscriber station authentication server is defined as a CRL distribution protocol, and the CRL distribution protocol message is illustrated in FIGS. It will be described in detail in 4.

도 2는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 형식이다. 상기 프로토콜 메시지 형식은 프로토콜 식별자, 메시지 종류, 메시지 길이, 메시지 내용을 포함한다. 상기 메시지 종류는 인증서 고유 정보 요청, 인증서 고유 정보 제공, 인증서 CRL 정보 요청, 인증서 CRL 정보 제공으로 분류되며, 상기 메시지 종류의 설명은 도 3에 기술하기로 한다.2 is a protocol message format of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention. The protocol message format includes a protocol identifier, message type, message length, and message content. The message type is classified into a certificate specific information request, a certificate specific information provision, a certificate CRL information request, and a certificate CRL information provision. A description of the message type will be described with reference to FIG. 3.

도 3은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 종류로서, 상기 메시지 종류는 인증기관 서버가 가입자 단말 인증 서버에 등록된 가입자 단말의 인증서 장치(Device) 정보를 요청하기 위한 메시지인 인증서 정보 요청 메시지(31, CertInfo_Request), 가입자 단말 인증 서버가 인증기관 서버로 자신에게 등록된 가입자 단말의 인증서 장치(Device) 정보를 제공하기 위한 메시지인 인증서 정보 응답 메시지(32, CertInfo_Response), 가입자 단말 인증 서버가 인증기관 서버로 자신에게 등록된 가입자 단말의 인증서 CRL 정보를 요청하기 위한 메시지인 CRL 요청 메시지(33, CRL_Request), 인증기관 서버가 가입자 단말 인증 서버에 등록된 가입자 단말의 인증서 CRL 정보를 해당 가입자 단말 인증 서버로 제공하기 위한 메시지인 CRL 응답 메시지(34, CRL_Response)로 구분한다. 상기 메시지 종류에 따른 프로토콜 메시지의 내용 및 설명은 도 4에서 설명하기로 한다.3 is a protocol message type of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention, wherein the message type is a certificate device of a subscriber station in which a certification authority server is registered in a subscriber station authentication server (Device) The certificate information request message 31 (CertInfo_Request), which is a message for requesting information, and the certificate information response message, which is a message for the subscriber station authentication server to provide the certificate device information of the subscriber station registered to the certificate server. (32, CertInfo_Response), the CRL request message (33, CRL_Request), which is a message for requesting the certificate CRL information of the subscriber station registered to the subscriber authority server by the certificate authority server, and the certificate authority server registered with the subscriber station certificate server. For providing the certificate CRL information of the subscriber station to the subscriber station authentication server The message is divided into a CRL response message 34 (CRL_Response). Details and descriptions of the protocol message according to the message type will be described with reference to FIG. 4.

도 4는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 내용 및 설명이다. 도시한 인증서 정보 요청 메시지(42, CertInfo_Request), 인증서 정보 응답 메시지(41, CertInfo_Response), CRL 요청 메시지(43, CRL_Request), CRL 응답 메시지(44, CRL_Response)에서 Cert_Type은 인증서 타입을 지칭한다. SM일 경우 1이고 TP일 경우 0이다. Cert_Count는 인증서 정보의 갯수를 의미하며, Device_ID는 SM 또는 TP의 고유번호를 의미한다. Revoke_Reason(45)은 인증서의 폐지 이유이며, 상기 인증서 폐지 이유는 해당 인증서 소유자의 전자서명키가 손상되거나 누설된 경우, 혹은 인증서 발급자의 전자 서명키가 손상되거나 누설된 경우, 인증서 소유자의 명칭 또 는 기타 정보가 변경된 경우, 더 이상 지정된 목적으로 인증서를 사용하지 않는 경우, 인증서의 효력 정지가 발생한 경우, 유효기간이 만료된 경우 또는 인증서가 더 이상 유효하지 않은 기타 상황이 발생한 경우 등으로 구분한다. 4 is a protocol message content and description of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention. In the illustrated certificate information request message 42 (CertInfo_Request), certificate information response message 41 (CertInfo_Response), CRL request message 43 (CRL_Request), and CRL response message 44 (CRL_Response), Cert_Type refers to a certificate type. 1 for SM and 0 for TP. Cert_Count means the number of certificate information, and Device_ID means the unique number of the SM or TP. Revoke_Reason (45) is the reason for revocation of the certificate, and the reason for revocation of the certificate is the name or name of the certificate holder when the certificate owner's digital signature key is damaged or leaked, or the certificate issuer's digital signature key is damaged or leaked. When other information is changed, when the certificate is no longer used for the specified purpose, when the certificate is suspended, when the validity period has expired, or when other circumstances occur where the certificate is no longer valid.

이상에서는 본 발명에 따른 바람직한 실시예들에 대하여 도시하고 또한 설명하였다. 그러나 본 발명은 상술한 실시예에 한정되지 아니하며, 특허 청구의 범위에서 첨부하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 실시가 가능할 것이다. In the above described and illustrated with respect to preferred embodiments according to the present invention. However, the present invention is not limited to the above-described embodiments, and various changes and modifications may be made by those skilled in the art without departing from the scope of the present invention. .

도 1은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 데이터 흐름도.1 is a data flow diagram of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.

도 2는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 형식.2 is a protocol message format of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.

도 3은 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 종류.3 is a protocol message type of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.

도 4는 본 발명의 일 실시예에 따른 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법의 프로토콜 메시지 내용 및 설명.4 is a protocol message content and description of a CRL distribution and application method in a downloadable CA system according to an embodiment of the present invention.

** 도면의 주요 부분에 대한 부호의 설명 **DESCRIPTION OF REFERENCE NUMERALS

100: 인증기관 서버 200: 가입자 단말 인증 서버100: certification authority server 200: subscriber terminal authentication server

300: 가입자 단말 300: subscriber station

Claims (8)

가입자 단말 보안모듈의 인증서를 발급하고 관리하는 인증기관 서버, 가입자 단말 보안모듈의 인증서를 이용하여 가입자 단말의 유효성을 확인하는 가입자 단말 인증 서버를 포함한 다운로드 가능한 제한수신시스템(DCAS)에서 CRL(Certificate Revocation List) 배포 및 적용 방법에 있어서,Certificate Revocation in a downloadable CA system that includes a certification authority server that issues and manages a certificate of a subscriber station security module and a subscriber station authentication server that verifies the validity of the subscriber station using a certificate of the subscriber station security module. List) distribution and application method, a) 가입자 단말 인증 서버가 가입자 단말의 보안모듈(Secure Micro) 및 TP(Transport Processor)의 인증서 정보를 등록하는 단계;a) registering, by the subscriber station authentication server, certificate information of the secure module (Secure Micro) and the transport processor (TP) of the subscriber station; b) 상기 가입자 단말 인증 서버가 인증기관 서버로 상기 가입자 단말의 보안모듈 및 TP의 인증서 정보를 전송하는 단계;b) transmitting, by the subscriber station authentication server, certificate information of the security module of the subscriber station and the TP to the certification authority server; c) 상기 인증기관 서버가 상기 전송된 가입자 단말의 보안모듈 및 TP의 인증서 정보를 이용하여 상기 보안모듈 및 TP 인증서의 CRL정보를 상기 가입자 단말 인증 서버로 전송하는 단계;c) the certification authority server transmitting the CRL information of the security module and the TP certificate to the subscriber terminal authentication server using the transmitted security module of the subscriber station and certificate information of the TP; d) 상기 가입자 단말 인증 서버가 상기 CRL정보를 이용하여 가입자 단말의 유효성을 확인하는 단계를 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.and d) verifying the validity of the subscriber station by the subscriber station authentication server using the CRL information. 제 1항에 있어서, 상기 a)단계는The method of claim 1, wherein step a) 상기 가입자 단말 인증 서버가 상기 가입자 단말의 보안모듈 또는 TP의 고유번호가 데이터베이스에 존재하지 않을 경우 상기 가입자 단말의 보안모듈 또는 TP 의 고유번호를 등록하는 단계를 더 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.The subscriber terminal authentication server further comprises the step of registering the unique number of the security module or TP of the subscriber terminal if the unique number of the security module or TP of the subscriber terminal does not exist in the database. How to deploy and apply CRL in the receiving system. 제 1항에 있어서, 상기 b)단계는The method of claim 1, wherein b) 상기 인증기관 서버가 상기 가입자 단말 인증 서버와 상호 보안 접속하는 단계;Securely accessing, by the certification authority server, the subscriber station authentication server; 상기 인증기관 서버가 인증서 정보 요청 메시지를 사용하여 상기 가입자 단말 인증 서버에 등록되어 있는 보안모듈 또는 TP의 인증서 리스트를 요청하는 단계; Requesting, by the certification authority server, a certificate list of a security module or TP registered in the subscriber station authentication server using a certificate information request message; 상기 가입자 단말 인증 서버가 자신이 가지고 있는 보안모듈 또는 TP 인증서 내에 포함된 고유 아이디 정보를 추출하고 인증서 정보 응답 메시지를 생성하여 상기 인증기관 서버로 전송하는 단계;Extracting, by the subscriber terminal authentication server, the unique ID information included in the security module or the TP certificate of the subscriber terminal, and generating a certificate information response message to the certification authority server; 인증서 정보 전달이 완료되면 상기 가입자 단말 인증 서버가 상호 보안 접속 연결을 종료하는 단계를 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.CRL distribution and application method in the downloadable CA system comprising the step of terminating the mutual secure access connection when the certificate information transfer is completed. 제 1항에 있어서, 상기 c)단계는The method of claim 1, wherein step c) 상기 가입자 단말 인증 서버가 상기 인증기관 서버와 상호 보안 접속하는 단 계;Establishing, by the subscriber terminal authentication server, a mutual secure connection with the certification authority server; 상기 가입자 단말 인증 서버가 CRL 요청 메시지를 사용하여 자신이 등록한 보안모듈 또는 TP의 인증서의 CRL을 상기 인증기관 서버로 요청하는 단계;Requesting, by the subscriber station authentication server, a CRL of a certificate of a security module or TP registered by the subscriber station authentication server to the certification authority server using a CRL request message; 상기 인증기관 서버가 상기 가입자 단말 인증 서버로부터 해당 가입자 단말 인증 서버의 보안모듈 또는 TP 인증서 CRL이 포함된 CRL 응답 메시지를 생성하여 상기 가입자 단말 인증 서버로 전송하는 단계;Generating, by the certification authority server, a CRL response message including the security module of the subscriber station authentication server or the TP certificate CRL from the subscriber station authentication server to the subscriber station authentication server; 인증서 정보 전달이 완료되면 상기 인증기관 서버가 상호 보안 접속연결을 종료하는 단계를 포함하는 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.The CRL distribution and application method in the downloadable CA system comprising the step of terminating the mutual secure access connection when the certificate information transfer is complete. 제 1항에 있어서, 상기 d)단계는 The method of claim 1, wherein d) 상기 가입자 단말 인증 서버가 상기 가입자 단말의 해당 인증서를 확인하여 인증서 소유자의 전자서명키가 손상되거나 누설된 경우, 인증서 발급자의 전자 서명키가 손상되거나 누설된 경우, 인증서 소유자의 명칭 또는 기타 정보가 변경된 경우, 더 이상 지정된 목적으로 인증서를 사용하지 않는 경우, 인증서의 효력 정지가 발생한 경우, 유효기간이 만료된 경우, 인증서가 더 이상 유효하지 않은 기타 상황이 발생한 경우 중 적어도 하나 이상에 해당하면 해당 인증서를 유효하지 않은 것으로 확인하는 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.When the subscriber station authentication server checks the corresponding certificate of the subscriber station and the electronic signature key of the certificate owner is damaged or leaked, when the electronic signature key of the certificate issuer is damaged or leaked, the name or other information of the certificate owner is changed. The certificate is no longer in use for a specified purpose, the certificate has been revoked, the certificate has expired, or the certificate is no longer valid. CRL distribution and application method in the downloadable CA system, characterized in that confirming that the validity. 제 1항에 있어서, 상기 c)단계는The method of claim 1, wherein step c) 상기 인증기관 서버는 복수개의 가입자 단말 인증 서버를 관리하며, 특정 가입자 단말 인증 서버의 요청시 해당 가입자 단말 인증 서버의 가입자 단말 정보만을 포함한 CRL을 작성하여 전송하는 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.The certification authority server manages a plurality of subscriber station authentication servers, and at the request of a specific subscriber station authentication server, a CRL including only subscriber station information of the corresponding subscriber station authentication server is created and transmitted. How to deploy and apply CRLs. 제 1항에 있어서, 상기 a)단계 내지 상기 d)단계는The method of claim 1, wherein the steps a) to d) 상호보안 프로토콜(SSL Protocol)을 이용하여 접속하는 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.A method of distributing and applying a CRL in a downloadable CA system, which is connected using an SSL protocol. 제 1항에 있어서, The method of claim 1, 상기 인증서는 x.509 프로토콜을 이용하여 작성한 것을 특징으로 하는 다운로드 가능한 제한수신시스템에서 CRL 배포 및 적용 방법.And the certificate is written using the x.509 protocol.
KR1020090133202A 2009-12-29 2009-12-29 Certificate revocation list distribution and application method in downloadable conditional access system KR101152381B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090133202A KR101152381B1 (en) 2009-12-29 2009-12-29 Certificate revocation list distribution and application method in downloadable conditional access system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090133202A KR101152381B1 (en) 2009-12-29 2009-12-29 Certificate revocation list distribution and application method in downloadable conditional access system

Publications (2)

Publication Number Publication Date
KR20110076474A KR20110076474A (en) 2011-07-06
KR101152381B1 true KR101152381B1 (en) 2012-06-05

Family

ID=44916370

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090133202A KR101152381B1 (en) 2009-12-29 2009-12-29 Certificate revocation list distribution and application method in downloadable conditional access system

Country Status (1)

Country Link
KR (1) KR101152381B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114598549B (en) * 2022-03-25 2023-07-07 杭州迪普科技股份有限公司 Customer SSL certificate verification method and device

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7225164B1 (en) 2000-02-15 2007-05-29 Sony Corporation Method and apparatus for implementing revocation in broadcast networks

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7225164B1 (en) 2000-02-15 2007-05-29 Sony Corporation Method and apparatus for implementing revocation in broadcast networks

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
논문(IEEE-TRAN. ON COMSUMER ELECTRONICS, 2008)
카탈로그(RFC3280,2002)

Also Published As

Publication number Publication date
KR20110076474A (en) 2011-07-06

Similar Documents

Publication Publication Date Title
US10749846B2 (en) Secure content access authorization
US8924731B2 (en) Secure signing method, secure authentication method and IPTV system
KR100936885B1 (en) Method and apparatus for mutual authentification in downloadable conditional access system
KR100724935B1 (en) Apparatus and method of interlock between entities for protecting contents, and the system thereof
KR100945650B1 (en) Digital cable system and method for protection of secure micro program
KR100925329B1 (en) Method and apparatus of mutual authentication and key distribution for downloadable conditional access system in digital cable broadcasting network
KR101063685B1 (en) Method for single-sign-on when using a set-top box
JP2008547312A (en) Multimedia access device registration system and method
US20080152150A1 (en) Information Distribution System
WO2007032593A1 (en) Inter-entity coupling method, apparatus and system for service protection
KR101152381B1 (en) Certificate revocation list distribution and application method in downloadable conditional access system
JP5538618B2 (en) Method and apparatus for providing service through advertisement viewing using DRM
KR101255987B1 (en) Paring method between SM and TP in downloadable conditional access system, Setopbox and Authentication device using this
KR20120072030A (en) The apparatus and method for remote authentication
KR101163820B1 (en) Apparatus and method for terminal authentication in downloadable conditional access system
CN101453324A (en) Method and equipment for validating permission
KR101238195B1 (en) System and method for intercepting illegality reproduction in eXchangeable Conditional Access System
JP2003069559A (en) Content protection system
JP2003209542A (en) Digital broadcasting device, digital broadcasting method, digital broadcasting receiver, digital broadcasting receiving method and digital broadcasting receiving system
KR101248828B1 (en) System and method for allocating unique identification to CAS client in eXchangeable Conditional Access System
KR101110679B1 (en) Certificate distribution method on dcas system and system thereof
CN116094730A (en) Vehicle ECU digital certificate application method and system
KR20110139414A (en) Downloadable conditional access host authentication and contents transmission method using certificate
KR20170099473A (en) The Content Protection Management System and Method for UHD Terrestrial Broadcasting
KR20100066723A (en) Apparautus and method for monitoring message of downloadable conditional access system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150521

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160520

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170518

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180521

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190521

Year of fee payment: 8