KR101161733B1 - 온라인 서비스를 위한 전자서명 방법 - Google Patents

온라인 서비스를 위한 전자서명 방법 Download PDF

Info

Publication number
KR101161733B1
KR101161733B1 KR1020100031441A KR20100031441A KR101161733B1 KR 101161733 B1 KR101161733 B1 KR 101161733B1 KR 1020100031441 A KR1020100031441 A KR 1020100031441A KR 20100031441 A KR20100031441 A KR 20100031441A KR 101161733 B1 KR101161733 B1 KR 101161733B1
Authority
KR
South Korea
Prior art keywords
client
service provider
provider server
signed
data
Prior art date
Application number
KR1020100031441A
Other languages
English (en)
Other versions
KR20110112046A (ko
Inventor
김종협
강명호
권오준
Original Assignee
주식회사 비티웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 비티웍스 filed Critical 주식회사 비티웍스
Priority to KR1020100031441A priority Critical patent/KR101161733B1/ko
Publication of KR20110112046A publication Critical patent/KR20110112046A/ko
Application granted granted Critical
Publication of KR101161733B1 publication Critical patent/KR101161733B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)

Abstract

서비스 제공자 서버 및 서비스 제공자 서버와 통신망을 통해 접속되는 클라이언트에 대한 온라인 서비스를 위한 전자서명 방법으로서, 클라이언트가 서비스 제공자 서버에 접속함에 따라 보안 채널을 형성하는 단계를 포함하고, 보안 채널 형성시 서비스 제공자 서버는 클라이언트로 서명받을 데이터를 전송하고, 보안 채널 형성 후 클라이언트는 서명받을 데이터에 대응하는 데이터가 존재하는 경우 서명받을 데이터를 전자서명하여 서비스 제공자 서버로 전송한다.

Description

온라인 서비스를 위한 전자서명 방법{Electronic Signaturing Method for Online Service }
본 발명은 온라인 서비스에 관한 것으로, 보다 구체적으로는 거래 당사자 인증 및 거래에 대한 부인 방지가 필요한 전자 금융 거래와 같은 온라인 서비스를 위한 전자서명 방법에 관한 것이다.
유선 또는 무선 인터넷을 전자 금융 거래가 계속해서 활성화되고 있는 가운데, 전자 금융 거래시 거래 당사자의 신원 및 거래 내용의 위변조 여부 확인을 위한 다양한 보안 과정 수반된다.
일반적으로, 사용자 인증 및 거래 내역에 대한 부인 방지는 공인 인증기관으로부터 발급받은 공인 인증서에 의해 수행되며, 도 1을 참조하여 구체적으로 설명하면 다음과 같다.
도 1은 일반적인 전자 금융 거래를 위한 전자서명 방법을 설명하기 위한 도면이다.
먼저, 전자 금융 거래 서비스를 이용하고자 하는 사용자는 공인 인증기관 서버(40)로부터 공인 인증서를 발급받아 둔다. 그리고, 통신 가능한 클라이언트(10)를 이용하여 통신망(20)을 통해 쇼핑, 뱅킹, 증권 거래, 전자지불 등의 서비스를 지원하는 서비스 제공자 서버(30)에 접속하고 결제를 수행할 때 공인 인증서를 이용하여 거래 내역에 대한 전자서명을 수행한다. 이때, 공인 인증서 발급시 함께 등록해 둔 비밀번호로 공인 인증서 사용자에 대한 인증이 수행됨은 물론이다.
현재 대한민국에서는 온라인 금융 거래시 클라이언트(10) 인증 과정에서 공인 인증기관 서버(40)로부터 발급받은 공인 인증서를 사용할 것을 의무화 하고 있는데, 브라우저를 이용한 웹 서비스에서 공인 인증서 기반의 전자서명을 수행하기 위해서는 액티브X와 같은 브라우저 플러그인이 필요하다.
그런데, 액티브X 플러그인은 지정된 브라우저에서만 작동하기 때문에 브라우저마다 별도의 프로그램을 만들어야 하므로, 비효율적임은 물론 비용이 상승하는 단점이 있다.
아울러, 액티브X와 같은 플러그인 기술로 설치된 브라우저 플러그인은 대부분 컴퓨터 파일이나 윈도우 시스템 레지스트리에 접근할 수 있어서 해킹 등의 목적으로 악용될 수 있으며, 브라우저 플러그인을 설치할 때 바이러스나 스파이웨어가 함께 설치될 수 있음은 물론, 원치 않는 프로그램이 자동으로 설치되는 등의 문제가 있다.
공인 인증서를 이용한 전자서명 방식은 브라우저 플러그인 설치뿐 아니라 공인 인증서 유출에 대한 위험성도 갖고 있다. 즉, 공인 인증서와 비밀번호가 유출되면 누구든지 전자서명을 할 수 있다. 공인 인증서로 수행한 전자서명은 오프라인에서 인감을 사용한 것과 동일한 법적 효력을 지니는 부인 방지 효과가 있으므로, 공인 인증서와 그 비밀번호가 유출되면 자신이 수행한 전자서명이 아닌데도 적절한 대응을 할 수 없게 되는 것이다.
일명 3세대 무선 통신 기술로 대표되는 무선 데이터 통신을 지원하는 이동통신 단말기가 보급되고 있는데, 이러한 이동통신 단말기를 통해 금융 거래를 하고자 할 때에도 브라우저 별로 플러그인을 설치하거나 별도로 개발된 전용 프로그램을 설치해야 한다.
따라서, 브라우저 플러그인을 이용하지 않고도 전자 금융 거래시의 인증 및 전자서명을 수행할 수 있는 방법이 절실히 요구되는 실정이다.
본 발명은 브라우저 인증 방식을 이용한 온라인 서비스를 위한 전자서명 방법을 제공하는 그 기술적 과제가 있다.
본 발명의 다른 기술적 과제는 공인 인증서나 이를 실행시키기 위한 별도의 플러그인을 설치하지 않고도 전자서명을 수행할 수 있는 온라인 서비스를 위한 전자서명 방법을 제공하는 데 있다.
상술한 기술적 과제를 달성하기 위한 본 발명의 일 실시예에 의한 온라인 서비스를 위한 전자서명 방법은 서비스 제공자 서버 및 상기 서비스 제공자 서버와 통신망을 통해 접속되는 클라이언트에 대한 온라인 서비스를 위한 전자서명 방법으로서, 상기 클라이언트가 상기 서비스 제공자 서버에 접속함에 따라 보안 채널을 형성하는 단계를 포함하고, 상기 보안 채널 형성시 상기 서비스 제공자 서버는 상기 클라이언트로 서명받을 데이터(To Be Signed)를 전송하고, 상기 보안 채널 형성 후 상기 클라이언트는 서명받을 데이터에 대응하는 데이터가 존재하는 경우 상기 서명받을 데이터를 전자서명하여 상기 서비스 제공자 서버로 전송한다.
한편, 본 발명의 다른 실시예에 의한 온라인 서비스를 위한 전자서명 방법은 서비스 제공자 서버 및 상기 서비스 제공자 서버와 통신망을 통해 접속되는 클라이언트에 대한 온라인 서비스를 위한 전자서명 방법으로서, 상기 클라이언트가 상기 서비스 제공자 서버에 접속하여 상기 클라이언트에서 지원 가능한 보안 방식을 전송하는 단계; 상기 서비스 제공자 서버가 상기 클라이언트의 지원 가능한 보안 방식 중 어느 하나를 결정하고, 서명받을 데이터(To Be Signed)를 포함하여 응답 메시지를 전송하는 단계; 및 상기 서비스 제공자 서버와 상기 클라이언트 간의 인증을 수행하는 단계;를 포함한다.
본 발명에서는 클라이언트와 서버의 통신 과정 중, 전자 거래 내역 등 보안이 필요한 정보를 교환할 때 보안 소켓 프로토콜을 이용한다. 전자 거래 내역에 대한 전자서명을 위해 클라이언트와 서버의 보안 채널 형성 과정에서 전자서명이 필요한 데이터의 필드값을 지정해 둔다. 따라서, 전자서명이 필요한 거래 내역을 전송할 필요가 있는 경우, 해당 거래 내역은 보안 채널 형성 과정에서 협상된 암호화 방식에 따라 전자서명된 후 전송된다.
결국, 별도의 인증서 지원 플러그인을 설치할 필요 없이 브라우저에 내장된 인증서만으로 전자 거래 내역에 대한 전자서명이 가능하다.
한편, 공인 인증서 방식의 전자서명에 필수적으로 수반되었던 액티브X와 같은 브라우저 플러그인을 설치하지 않고도 전자서명이 가능하여, 브라우저 플러그인 설치에 따른 해킹, 바이러스나 스파이웨어 유포, 불필요한 프로그램의 자동 설치 등의 문제를 해결할 수 있다.
도 1은 일반적인 전자 금융 거래를 위한 전자서명 방법을 설명하기 위한 도면,
도 2는 본 발명의 일 실시예에 의한 전자 금융 거래시의 인증 개념을 설명하기 위한 도면,
도 3은 본 발명의 일 실시예에 의한 전자 금융 거래를 위한 전자서명 방법을 설명하기 위한 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 보다 구체적으로 설명한다.
도 2는 본 발명의 일 실시예에 의한 전자 금융 거래시의 인증 개념을 설명하기 위한 도면이다.
인터넷을 통해 클라이언트(10)와 서비스 제공자 서버(100) 간에 송수신되는 웹 페이지는 HTTP(Hypertext Transfer Protocol) 프로토콜 또는 HTTPS(Hypertext Transfer Protocol Secure) 프로토콜을 통해 처리된다. HTTP는 단순히 웹 페이지에 대한 텍스트 교환으로 간주할 수 있으며, HTTPS는 통신 내용을 암호화하여 전송한다는 점에서 HTTP와 구별된다.
클라이언트(10)가 특정 서비스 제공자 서버(100)에 접속하고자 할 때, 클라이언트(10)는 해당 서비스 제공자 서버(100)를 신뢰할 수 있어야 하고, 서비스 제공자 서버(100) 또한 클라이언트(10)를 신뢰할 수 있어야 한다. 나아가, 클라이언트(10)과 서비스 제공자 서버(100) 간에 송수신되는 정보가 유출되지 않도록 암호화한다면 보다 신뢰성 있는 서비스를 제공할 수 있다.
이를 위해 고안된 프로토콜이 SSL/TLS(Secure Socket Layer/Transport Layer Security) 보안 프로토콜이다. SSL/TLS 보안 프로토콜에서는 적어도 클라이언트(10)와 서비스 제공자 서버(100) 간의 최초 접속시 상호 인증을 제공하며, 추가적으로 보안 채널 형성 후 송수신되는 정보가 암호화되어 전송되는 방법 또한 제공할 수 있다.
SSL/TLS 보안 프로토콜을 이용한 핸드쉐이크 과정은 OSI 7 계층 모델의 세션 계층에서 수행될 수 있으며, 이를 통해 보안 채널을 형성하고 이후의 데이터를 보안 채널을 통해 송수신하기로 하였다면, 핸드쉐이크 완료 후 클라이언트(10)와 서비스 제공자 서버(100) 간에 송수신되는 모든 정보는 핸드쉐이크 과정에서 결정된 보안 통신 방식으로 전송되게 된다.
본 발명은 이러한 점에 착안하여 SSL/TLS 보안 프로토콜을 이용한 클라이언트(10)와 서비스 제공자 서버(100) 간의 핸드쉐이크 과정에서, 전자 거래시 전자서명받을 데이터(To Be Signed; TBS) 또한 보안 통신에 포함시키도록 지정한다. 즉, 핸드쉐이크 과정에서 서비스 제공자 서버(100)가 클라이언트(10) 측으로 서명받을 데이터가 무엇인지 알려 주면, 이후 전자 거래에 필요한 서명받을 데이터가 클라이언트(10)로부터 서비스 제공자 서버(100)로 전송될 때, 핸드쉐이크 과정에서 결정된 암호화 방식과 서명 방식에 의해 전자서명이 이루어지게 되는 것이다.
클라이언트(10)는 통신망(20)을 통해 서비스 제공자 서버(100)에 접속하는 일반적인 서비스를 이용할 뿐, 클라이언트(10)에 대한 변경이나 추가적인 프로그램 설치 등이 필요하지 않다. 다만, 서비스 제공자 서버(100)와 핸드쉐이크를 수행할 때, 서명받을 데이터가 무엇인지 알려 지게 되며, 이후 데이터 송수신 과정에서 서명받을 데이터에 해당하는 데이터를 송신할 필요가 있으면, 이를 핸드쉐이크 과정에서 결정한 암호화 방식 및 서명 방식에 따라 전자서명하는 것이다.
한편, 서비스 제공자 서버(100)는 서비스 이벤트의 종류에 따라 서명받을 데이터를 미리 결정한다. 즉, OSI 7 계층 모델(110) 중 응용계층에서 서명받을 데이터가 결정된 후, 연동부(120)를 통해 세션계층으로 전송된다. 그리고 클라이언트(10)와의 핸드쉐이크시 서명받을 데이터가 무엇인지 클라이언트(10)로 알려 주며, 클라이언트(10)로부터 전자서명된 서명받을 데이터가 전송되면 이를 검증한다.
서명받을 데이터 외의 정보는 OSI 7계층 모델(110) 중 응용계층에서 처리될 수 있다. 반면, 서명받을 데이터는 세션계층을 통해 수신되고 검증된 후, 연동부(120)를 통해 응용계층으로 전달된다.
SSL/TLS 보안 프로토콜은 어떠한 플러그인도 설치할 필요가 없으므로, 모든 운영체제나 웹 브라우저에서 통용될 수 있고, 나아가 스마트폰과 같은 데이터 통신용 휴대 단말기에도 적용될 수 있다. 더욱이, SSL/TLS 보안 프로토콜에서는 브라우저 자체의 보안 인증서를 사용한다. 브라우저에 내장된 보안 인증서는 자체적으로 암호화되어 저장되므로 해킹을 통해 유출되더라도 이를 복호화할 수 없어 보안에 유리하다.
도 3은 본 발명의 일 실시예에 의한 전자 금융 거래를 위한 전자서명 방법을 설명하기 위한 흐름도이다.
클라이언트(10)가 통신망(20)을 통해 서비스 제공자 서버(100)에 접속함에 따라, 보안 채널을 형성하기 위해 클라이언트(10)에서 지원 가능한 보안 방식, 즉 지원 가능한 암호화 방식, 키교환 방식, 서명 방식, 압축 방식을 서버로 알린다(ClientHello, S10).
본 발명의 일 실시예에서, 클라이언트(10)와 서비스 제공자 서버(100)는 SSL/TLS 보안 프로토콜에서 사용하는 키 교환 알고리즘, 인증 알고리즘, 대칭키 알고리즘, 해쉬 알고리즘을 사용할 수 있다.
즉, 키 교환 알고리즘으로는 RSA(Rivest-Shamir-Adleman), Diffie-Hellman, ECDH(Elliptic Curve Diffie-Hellman), SRP (secure remote password), PSK(Pre-Shared Key) 중 어느 하나를 이용할 수 있고, 인증 알고리즘은 RSA, DSA(Digital Signature Algorithm), ECDSA(Elliptic Curve Digital Signature Algorithm) 중 어느 하나가 될 수 있다. 또한, 대칭키 알고리즘은 RC4, 3DES(triple Data Encryption Standard), AES(Advanced Encryption Standard), Camellia를, 해쉬 알고리즘으로는 HMAC-MD5(The Keyed-Hash Message Authentication Code Message Digest 5), HMAC-SHA(The Keyed-Hash Message Authentication Code Secure Hash Algorithm), MD5(Message Digest 5), SHA(Secure Hash Algorithm) 중 어느 하나를 이용할 수 있다.
이에 따라, 서비스 제공자 서버(100)는 클라이언트(10)에서 지원 가능한 보안 방식 중 어느 하나를 결정하여 응답한다(ServerHello, S20). 이때, 서비스 제공자 서버(100)의 응답 메시지(ServerHello)는 서버측의 무작위(Random)값을 포함하는데, 본 발명에서는 서버측 무작위값 정보에 서명받을 데이터를 해쉬한 값(TBS_H)을 포함시켜 전송한다. 여기에서, TBS_H값은 클라이언트(10)가 TLS 확장 프로토콜을 지원하는 경우 ServerHello 메시지의 Extension 필드에 포함될 수 있다.
이와 같이 하여 보안 방식이 결정되고 서명받을 데이터가 제공되면, 서비스 제공자 서버(100)는 암호화용 공개키가 저장된 서버의 인증서를 클라이언트(10)로 전송하며(Sever Certificate), 추가적으로 클라이언트(10)의 인증서를 요구할 수 있다(CertificateRequest)(S30). 서비스 제공자 서버(100)의 인증서 요구에 따라 클라이언트(10)는 자신이 보유하고 있는 인증서 중 하나를 선택하여 서비스 제공자 서버(100)로 전송한다(Client Certificate, S40). 본 발명의 일 실시예에서, 클라이언트(10)가 전송하는 인증서는 브라우저에 내장된 보안 인증서가 될 수 있다.
이어서, 클라이언트(10)는 서비스 제공자 서버(100)로 키 교환에 사용할 예비 키를 전송하는 한편(ClientKeyExchange, S50), 클라이언트(10)의 서명용 개인키로 서명된 서명값을 전송한다(CertificateVerify, S60). 이때, 서명되는 값은 이전에 송수신된 핸드쉐이크 메시지이며, 따라서 ServerHello 메시지 내에 포함된 서명받을 데이터(TBS) 또한 함께 서명되게 된다.
그리고, 클라이언트(10)는 서비스 제공자 서버(100)로 핸드쉐이크 과정에서 협상된 보안 방식을 다음 메시지 전송부터 적용할 것임을 알린다(ChangeCipherSpec, Finished ; S70).
서명값을 수신한 서비스 제공자 서버(100)는 단계 S40을 통해 클라이언트(10)에서 수신한 인증서에 포함된 공개키를 이용하여 서명값을 복호화함으로써 클라이언트(10)를 검증한다.
클라이언트(10)가 적법한 것으로 확인되면, 서비스 제공자 서버(100)는 단계 S70에 대한 응답으로 클라이언트의 검증값을 전송하고((ChangeCipherSpec, Finished ; S80), 이후 송수신되는 응용 데이터는 핸드쉐이크 과정에서 설정된 보안 방식에 따라 송수신된다(S90).
클라이언트(10)에서 서비스 제공자 서버(100)로 전송할 응용 데이터가 서명받을 데이터(TBS)를 포함하는 경우, 해당 데이터는 핸드쉐이크 과정에서 결정한 암호화 방식, 키교환 방식, 서명 방식에 의해 전자서명되어 서비스 제공자 서버(100)로 전송된다.
즉, 서비스 제공자 서버(100)로부터 전송된 서명받을 데이터(TBS)를 참조하여, 클라이언트(10)의 거래 내용으로부터 서명받을 데이터(TBS)를 생성한 후 전자서명하여 서비스 제공자 서버(100)로 전송하면, 서비스 제공자 서버(100)는 핸드쉐이크 메시지에 포함된 서명받을 데이터의 해쉬값(TBS_H)을 이용하여 원본 데이터를 생성하고, 클라이언트(10)로부터 전송된 서명받을 데이터를 복호화하여 전자서명을 검증하는 것이다.
결국, 본 발명은 보안 채널 형성을 위한 핸드쉐이크 과정에서 전자 거래 중의 서명받을 데이터를 클라이언트에게 미리 알려 주고, 해당 서명받을 데이터가 생성되면 이를 핸드쉐이크 과정에서 결정한 보안 방식에 따라 전자서명 하도록 한다. 따라서, 별도의 공인 인증서와 같은 인증서를 처리하기 위해 액티브X와 같은 브라우저 플러그인을 설치할 필요 없이 전자 거래 내역에 대한 전자서명을 수행할 수 있다.
이와 같이, 본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
10 : 클라이언트
100 : 서비스 제공자 서버
110 : OSI 7계층
120 : 연동부

Claims (13)

  1. 서비스 제공자 서버 및 상기 서비스 제공자 서버와 통신망을 통해 SSL/TLS(Secure Socket Layer/Transport Layer Security) 보안 프로토콜 방식으로 접속되는 클라이언트에 대한 온라인 서비스를 위한 전자서명 방법으로서,
    상기 클라이언트가 상기 서비스 제공자 서버에 접속함에 따라 보안 채널을 형성하는 단계를 포함하고,
    상기 보안 채널 형성시 상기 서비스 제공자 서버는 상기 클라이언트로 서명받을 데이터(To Be Signed)를 전송하고, 상기 보안 채널 형성 후 상기 클라이언트는 서명받을 데이터에 대응하는 데이터가 존재하는 경우 상기 서명받을 데이터를 전자서명하여 상기 서비스 제공자 서버로 전송하는 온라인 서비스를 위한 전자서명 방법.
  2. 제 1 항에 있어서,
    상기 보안 채널을 형성하는 단계는, 상기 서비스 제공자 서버와 상기 클라이언트 간의 보안 방식을 결정하는 단계인 온라인 서비스를 위한 전자서명 방법.
  3. 제 2 항에 있어서,
    상기 보안 방식은, 암호화 방식, 키교환 방식, 서명 방식, 압축 방식을 포함하는 온라인 서비스를 위한 전자서명 방법.
  4. 제 2 항에 있어서,
    상기 서명받을 데이터를 전자서명하는 단계는 상기 결정된 보안 방식에 따라 전자서명하는 단계인 온라인 서비스를 위한 전자서명 방법.
  5. 서비스 제공자 서버 및 상기 서비스 제공자 서버와 통신망을 통해 SSL/TLS(Secure Socket Layer/Transport Layer Security) 보안 프로토콜 방식으로 접속되는 클라이언트에 대한 온라인 서비스를 위한 전자서명 방법으로서,
    상기 클라이언트가 상기 서비스 제공자 서버에 접속하여 상기 클라이언트에서 지원 가능한 보안 방식을 전송하는 단계;
    상기 서비스 제공자 서버가 상기 클라이언트의 지원 가능한 보안 방식 중 어느 하나를 결정하고, 서명받을 데이터(To Be Signed)를 포함하여 응답 메시지를 전송하는 단계; 및
    상기 서비스 제공자 서버와 상기 클라이언트 간의 인증을 수행하는 단계;
    를 포함하는 온라인 서비스를 위한 전자서명 방법.
  6. 제 5 항에 있어서,
    상기 서비스 제공자 서버와 상기 클라이언트 간의 인증을 수행하는 단계 이후, 상기 클라이언트에서 상기 서비스 제공자 서버로 전송할 응용 데이터가 상기 서명받을 데이터를 포함하는 경우, 상기 결정된 보안 방식에 따라 상기 서명받을 데이터를 전자서명하여 전송하는 온라인 서비스를 위한 전자서명 방법.
  7. 제 6 항에 있어서,
    상기 서비스 제공자 서버가 상기 클라이언트로 전송하는 상기 서명받을 데이터는 해쉬값 형태로 전송되는 온라인 서비스를 위한 전자서명 방법.
  8. 제 7 항에 있어서,
    상기 클라이언트가 상기 서명받을 데이터의 원본 데이터를 전자서명하여 전송함에 따라, 상기 서비스 제공자 서버는 상기 서명받을 데이터의 해쉬값으로부터 상기 클라이언트가 서명한 상기 원본 데이터를 생성하고, 상기 클라이언트로부터 전송된 서명받을 데이터를 복호화하여 전자서명을 검증하는 단계를 더 포함하는 온라인 서비스를 위한 전자서명 방법.
  9. 제 5 항에 있어서,
    상기 보안 방식은 암호화 방식, 키교환 방식, 서명 방식, 압축 방식을 포함하는 온라인 서비스를 위한 전자서명 방법.
  10. 제 5 항에 있어서,
    상기 서비스 제공자 서버와 상기 클라이언트 간의 인증을 수행하는 단계는,
    상기 서비스 제공자 서버가 상기 클라이언트로 암호화용 공개키가 저장된 서버의 인증서를 전송하는 단계;
    상기 서비스 제공자 서버가 상기 클라이언트의 인증서를 요구하는 단계;
    상기 클라이언트가 상기 서비스 제공자 서버로 상기 클라이언트의 인증서를 전송하는 단계;
    상기 클라이언트가 상기 서비스 제공자 서버로 키 교환에 사용할 예비 키 및 상기 클라이언트의 서명용 개인키로 서명된 서명값을 전송하는 단계;
    상기 서비스 제공자 서버가 상기 클라이언트를 검증하는 단계; 및
    상기 클라이언트의 검증 결과 적법한 클라이언트로 확인되면, 상기 서비스 제공자 서버가 상기 클라이언트로 상기 클라이언트의 검증값을 전송하는 단계;
    를 포함하는 온라인 서비스를 위한 전자서명 방법.
  11. 제 10 항에 있어서,
    상기 클라이언트가 상기 서비스 제공자 서버로 전송하는 인증서는 상기 클라이언트의 브라우저에 내장된 보안 인증서인 온라인 서비스를 위한 전자서명 방법.
  12. 제 10 항에 있어서,
    상기 클라이언트의 서명용 개인키로 서명된 서명값은, 상기 서명받을 데이터를 포함하는 이전 과정에서 송수신된 메시지에 대한 서명값인 온라인 서비스를 위한 전자서명 방법.
  13. 제 10 항에 있어서,
    상기 서비스 제공자 서버가 상기 클라이언트를 검증하는 단계는, 상기 클라이언트로부터 수신한 인증서에 포함된 공개키를 이용하여 상기 서명값을 복호화하는 단계인 온라인 서비스를 위한 전자서명 방법.
KR1020100031441A 2010-04-06 2010-04-06 온라인 서비스를 위한 전자서명 방법 KR101161733B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100031441A KR101161733B1 (ko) 2010-04-06 2010-04-06 온라인 서비스를 위한 전자서명 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100031441A KR101161733B1 (ko) 2010-04-06 2010-04-06 온라인 서비스를 위한 전자서명 방법

Publications (2)

Publication Number Publication Date
KR20110112046A KR20110112046A (ko) 2011-10-12
KR101161733B1 true KR101161733B1 (ko) 2012-07-02

Family

ID=45027961

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100031441A KR101161733B1 (ko) 2010-04-06 2010-04-06 온라인 서비스를 위한 전자서명 방법

Country Status (1)

Country Link
KR (1) KR101161733B1 (ko)

Also Published As

Publication number Publication date
KR20110112046A (ko) 2011-10-12

Similar Documents

Publication Publication Date Title
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
CN110380852B (zh) 双向认证方法及通信系统
US8532620B2 (en) Trusted mobile device based security
WO2016107320A1 (zh) 网站安全信息的加载方法和浏览器装置
AU2011309758B2 (en) Mobile handset identification and communication authentication
US8340283B2 (en) Method and system for a PKI-based delegation process
EP1714422B1 (en) Establishing a secure context for communicating messages between computer systems
WO2016107318A1 (zh) 一种安全通信系统
US9288234B2 (en) Security policy enforcement
CA2357792C (en) Method and device for performing secure transactions
US20090307486A1 (en) System and method for secured network access utilizing a client .net software component
WO2016107322A1 (zh) 安全浏览器的实现方法和安全浏览器装置
EP2173055A1 (en) A method, a system, a client and a server for key negotiating
WO2016107321A1 (zh) 安全通信系统
CN112714053B (zh) 通信连接方法及装置
WO2014107977A1 (zh) 密钥保护方法和系统
CN110677240A (zh) 通过证书签发提供高可用计算服务的方法及装置
US20140331287A1 (en) Authentication policy enforcement
US20160044023A1 (en) Authentication policy enforcement
US20130019092A1 (en) System to Embed Enhanced Security / Privacy Functions Into a User Client
KR20110122452A (ko) 전자서명 검증 서버 및 이를 이용한 전자거래 방법
EP3304847A1 (en) Method for managing a secure channel between a server and a secure element
CN110838919B (zh) 通信方法、存储方法、运算方法及装置
JP2020120173A (ja) 電子署名システム、証明書発行システム、証明書発行方法及びプログラム
KR102128244B1 (ko) Ssl/tls 기반의 네트워크 보안 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150624

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160620

Year of fee payment: 5