KR101292876B1 - 취소 판정 서비스와 이를 위한 방법 및 컴퓨팅 장치 - Google Patents

취소 판정 서비스와 이를 위한 방법 및 컴퓨팅 장치 Download PDF

Info

Publication number
KR101292876B1
KR101292876B1 KR1020087011510A KR20087011510A KR101292876B1 KR 101292876 B1 KR101292876 B1 KR 101292876B1 KR 1020087011510 A KR1020087011510 A KR 1020087011510A KR 20087011510 A KR20087011510 A KR 20087011510A KR 101292876 B1 KR101292876 B1 KR 101292876B1
Authority
KR
South Korea
Prior art keywords
provider
service
query
certificate
repository
Prior art date
Application number
KR1020087011510A
Other languages
English (en)
Other versions
KR20080068068A (ko
Inventor
아비 벤-메나헴
모니카 아이. 에네-피에트로사누
비샬 아가르왈
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20080068068A publication Critical patent/KR20080068068A/ko
Application granted granted Critical
Publication of KR101292876B1 publication Critical patent/KR101292876B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/60Digital content management, e.g. content distribution

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

취소 판정 서비스는 특정 인증 기관(CA)에 의해 발행된 특정 디지털 인증서가 이러한 CA에 의해 취소되었는지 여부를 클라이언트에 대해 판정한다. 이 서비스에서, 엔진은 클라이언트로부터 질의를 수신하고, 질의는 특정 인증서 및 특정 인증서를 발행한 CA를 식별한다. 적어도 하나의 제공자가 서비스에 상주하며, 각각의 제공자는 취소 정보 저장소에 대응하고 서비스에서의 대응 저장소를 나타내고 대응 저장소에 접속한다. 각각의 저장소는 적어도 하나의 CA로부터의 취소 정보를 갖는다. 구성 정보는 서비스에 상주하는 각각의 제공자에 대응하는 구성 정보 기록을 포함한다. 각각의 구성 정보 기록은 해당 제공자, 및 그 제공자에 대응하는 저장소가 관련 취소 정보를 갖고 있는 각각의 CA의 식별 정보를 포함한다.
CA, 취소 판정 서비스, 디지털 인증서

Description

취소 판정 서비스와 이를 위한 방법 및 컴퓨팅 장치{SERVICE FOR DETERMINGING WHETHER DIGITAL CERTIFICATE HAS BEEN REVOKED}
본 발명은 네트워크화된 서버 등에 의해 제공될 수 있는 것과 같은 서비스에 관한 것이며, 서비스는 클라이언트에 의해 사용될 특정 디지털 인증서가 취소되었는지를 결정하도록 클라이언트에 의해 질의받을 수 있다. 보다 구체적으로, 본 발명은 클라이언트가 어떠한 로컬 취소 리스트 등도 보유할 필요가 없도록 클라이언트가 서비스에 실시간 또는 거의 실시간 기반으로 질의할 수 있는 서비스에 관한 것이다.
알려진 바와 같이, 디지털 인증서는 네트워크화된 환경에서 사용되어, 특히 인증서 소유자가 실제로 인증서 내에 지명된 엔티티라는 것을 제시하는 것으로서의 역할을 하며, 또한 그 인증서와 관련된 몇몇 대응 요소가 진정한 것이고/것이거나 신뢰할 수 있는 것 등을 제시하는 것으로서의 역할을 한다. 예를 들어, 컴퓨팅 장치 상에서 동작될 수 있는 디지털 애플리케이션은, 그 애플리케이션이 특정한 방식으로 동작하는 것이 신뢰될 수 있다는 것을 제시하는 애플리케이션 인증서를 수반할 수 있다. 이와 유사하게, 이러한 컴퓨팅 장치를 조작하는 사용자는, 나타내어질 수 있고/있거나 이와는 달리 그 사용자가 특정 개인이라는 것, 특정 사용자 권 한을 갖는다는 것, 특정 사용자 그룹에 속한다는 것 등을 제시하는 사용자 인증서에 의해 컴퓨팅 장치에 및/또는 다른 곳에 나타내어질 수 있다. 이해될 수 있는 바와 같이, 디지털 인증서가 사용될 수 있는 다른 예들은 디지털 파일, 디지털 컨텐트, 디지털 컨텐트를 사용하기 위한 디지털 라이센스 등과 같은 디지털 구조체와 관련되는 것을 포함한다. 유사하게, 디지털 인증서는 컴퓨팅 장치 자체에 대해 발행될 수 있으며, 컴퓨팅 장치 내의 각종 하드웨어 요소(하드 드라이브, 프로세서, 비디오 카드 등) 및 소프트웨어 요소(BIOS, 운영 체제, 그래픽 서브 시스템 등)가 각각 디지털 인증서를 가질 수 있다.
통상적으로, 디지털 인증서는 인증서에 제시되어 있는 지명된 소유자에게 인증서에서 식별되는 특정 인증 기관에 의해 발행되며, 예를 들어 공용-개인 키 쌍으로부터의 공용 키와 같은 하나 이상의 암호 키를 그 안에 포함한다. 특히 이러한 키가 실제로 공용 키인 경우에, 대응 개인 키는 이러한 인증서와 연관되며, 인증서의 지명된 소유자에 의해 아마도 비밀로 엄밀히 보유된다.
따라서, 특히 지명된 소유자는 몇몇 종류의 전자 문서에 디지털 서명하기 위해 개인 키를 사용할 수 있으며, 전자 문서에 인증서를 첨부할 수 있다. 그러면, 인증서를 갖는 전자 문서의 수취인은, 특히 전자 문서가 수정되지 않았는지를 확인하기 위하여 공지된, 인증서로부터의 공용 키로 디지털 서명을 몇몇 사항에서 검증할 수 있다. 물론, 디지털 서명은 많은 다른 환경에서 또한 사용될 수 있다.
알려진 바와 같이, 인증 기관에 의해 발행된 디지털 인증서는 신뢰성 있는 루트(root) 기관으로부터의 루트 디지털 인증서로 회귀하는 일련의 디지털 인증서 를 포함할 수 있으며, 체인 내의 각각의 인증서는 체인 아래방향으로 다음 인증서의 서명을 검증하도록 사용될 수 있는 공용 키를 포함하며, 아마도 그 일련의 인증서들을 갖는 클라이언트는 루트 인증서의 공용키를 알고 있을 것이다. 따라서, 클라이언트가 특정 인증서를 첨부된 일련의 인증서들과 함께 검증하기 위해서는, 클라이언트는 우선 루트 인증서로부터 아래로 특정 인증서까지 체인 내의 각각의 인증서를 검증한다. 추가적으로, 특정 인증서에 기초하여 임의의 추가적인 인증서가 발행되었다면, 즉 이러한 특정 인증서에 대응하는 개인 키에 의해 서명되었다면, 이러한 추가적인 인증서는 이러한 추가적인 인증서까지 체인 아래로의 계속적인 프로세스에 의해 검증될 수 있다.
중요한 것은 특정 인증서를 발행한 인증 기관은 통상적으로 동일한 인증서를 취소할 권한을 갖는다는 것이다. 인증서를 취소하는 원인은 많고 다양하며, 예를 들어 인증서의 연령 및/또는 인증서에 의해 나타내어지는 기본적인 엔티티, 및 변화된 상황를 포함할 수 있다. 그렇지만, 주로 이러한 인증서 내의 정보가 더 이상 정확한 것으로 신뢰되지 못할 때에 인증서는 취소된다. 명백하게, 이러한 인증서에 대응하는 개인 키가 공표되었거나 다른 방식으로 노출되어, 그 결과로 이 인증서의 정확한 소유자가 아닌, 이러한 개인 키를 갖는 누구라도 디지털 서명하기 위해 동일한 것을 사용할 수 있게 되었다고 판정된다면, 인증서가 인증서 발행 기관에 의해 취소될 수 있다. 또한, 명백하게, 예를 들어 요소가 인증서에 기초하여 신뢰될 수 있다는 것을 잘못 나타내거나 인증서의 발행목적 외의 다른 목적으로 인증서를 사용하는 것과 같이, 지명된 소유자가 부적절하게 인증서를 사용하는 것을 인증 기관이 발견하다면, 인증서가 인증서 발행 기관에 의해 취소될 수 있다.
인증서를 취소하기 위해서, 인증서 발행 기관 등은 예를 들어 액세스가능한 위치에서 그 인증서와 연관된 공용 키를 공개적으로 기재할 수 있다. 지금까지 액세스가능한 위치는 예를 들어 또 다른 디지털 구조체에의 첨부로서 각각의 클라이언트에게 주기적으로 제공되었던 디지털 취소 리스트였다. 따라서, 대응 요소를 인증하기 위해 임의의 특정 인증서를 검증하는 클라이언트는 그 발행자로부터 대응 취소 리스트를 획득하여 동일한 것을 검사하여 인증서가 취소되었는지 여부를 판정할 수 있으며, 만일 취소되었다면, 인증서에 신용(honor)하기를 거절할 수 있고, 이에 상응하여 인증서에 대응하는 디지털 요소에 신용/인증/신뢰/등을 하기를 거절할 수 있다.
그러나, 중요한 것은, 특히 클라이언트가 복수의 인증 기관들로부터의 취소 리스트를 필요로 하는 경우, 그리고 또한 특히 취소 리스트가 방대해지고/지거나 구조 면에서 복잡해지는 경우에 취소 리스트를 획득하고 검사하는 것은 클라이언트에게 가혹하지는 않더라도 부담이 된다. 또한, 적어도, 취소 리스트가 클라이언트에게 반드시 즉시 제공되지는 않는 한 그리고/또는 클라이언트에 의해 반드시 즉시 획득되지는 않는 한, 취소된 인증서는 대응 취소 리스트가 실제로 클라이언트의 소유에 있게 될 때까지 얼마의 시간 동안은 취소되었음에도 불구하고 클라이언트에 의해 신용될 수 있다는 것이 이해되어야 한다.
따라서, 클라이언트가 특정 디지털 인증서가 취소되었는지 여부를 신속하고 최신의 방식으로 판정할 수 있도록 최신 취소 정보로의 액세스를 갖는 집중형 서비 스에 대한 필요성이 존재한다. 특히, 복수의 인증 기관들 중 임의의 기관에 의해 발행된 인증서에 관한 취소 정보를 획득하기 위하여 클라이언트가 서비스에 접촉할 수 있도록 취소 정보의 복수의 저장소에 액세스할 수 있는 집중형 서비스에 대한 필요성이 존재한다. 또한, 취소 정보의 추가적인 저장소를 용이하게 추가할 수 있게 하고, 복수의 특정 인증서들 중 임의의 인증서에 대한 취소 정보의 적절한 저장소를 찾아내도록 용이하게 구성되는 집중형 서비스에 대한 필요성이 존재한다.
<개요>
전술한 필요성은, 취소 정보 서비스가, 특정 인증 기관(CA: certificate authority)에 의해 발행된 특정 디지털 인증서가 이러한 CA에 의해 취소되었는지를 클라이언트를 위해 판정하는 본 발명에 의해 적어도 일부 충족된다. 이 서비스에서, 엔진은 클라이언트로부터 질의를 수신하며, 이 질의는 특정 인증서 및 특정 인증서를 발행한 CA를 식별한다. 적어도 하나의 제공자가 서비스에 상주하며, 각각의 제공자는 취소 정보 저장소에 대응하며, 서비스에서 대응 저장소를 나타내며, 대응 저장소에 접속된다. 각각의 저장소는 적어도 하나의 CA로부터의 취소 정보를 갖는다. 제공자로 전달되는 클라이언트로부터의 질의에 응답하여 각각의 제공자는, 특정 인증서가 대응 저장소 내에서 취소된 것으로서 식별되는지 여부를 판정한다.
또한, 서비스는 서비스에 상주하는 각각의 제공자에 대응하는 구성 정보 기록을 포함하는 구성 저장소를 갖는다. 각각의 구성 정보 기록은 제공자, 및 그 제공자에 대응하는 저장소가 관련 취소 정보를 갖고 있는 각각의 CA의 식별을 포함한다. 그러면, 엔진은 수신된 질의에 기초하여, 구성 저장소를 참조하여, 서비스에 상주하며 수신된 질의의 식별된 CA에 대응하는 특정 제공자를 식별하여 그 수신된 질의를 처리하며, 실제로 수신된 질의를 식별된 제공자에게 전달하여 수신된 질의의 식별된 인증서가 대응 저장소 내에서 취소된 것으로서 식별되는지를 판정하게 한다. 서비스는 각각 대응 제공자를 경유하여 하나 이상의 대응 저장소에 액세스를 가짐으로써, 복수의 CA들 중 임의의 CA에 의해 발행된 디지털 인증서에 관한 클라이언트로부터의 질의를 처리할 수 있다.
전술한 개요 뿐만 아니라 본 발명의 실시예들의 이하의 상세한 설명은 첨부된 도면과 결부하여 읽으면 보다 잘 이해될 것이다. 본 발명을 예시할 목적으로, 현재 선호되는 실시예들이 도면에서 도시된다. 그러나, 이해되어야 하는 바와 같이, 본 발명은 도시된 상세한 배치 및 수단에 제한되지 않는다.
도 1은 본 발명의 양태들 및/또는 그 일부가 통합될 수 있는 범용 컴퓨터 시스템을 나타내는 블록도이다.
도 2는 본 발명의 일 실시예에서 인증서 취소 판정 서비스를 사용하는 클라이언트의 블록도이다.
도 3은 본 발명의 일 실시예에서 도 2의 클라이언트에 의해 사용되는 인증서 취소 판정 서비스의 블록도이다.
도 4는 본 발명의 일 실시예에 따라, 특정 인증서가 취소되었는지 여부를 판 정하기 위하여 도 2의 클라이언트로부터의 질의를 서비스하는 도 3의 취소 판정 서비스에 의해 수행되는 핵심(key) 단계들을 도시하는 흐름도이다.
<컴퓨터 환경>
도 1 및 이하의 설명은 본 발명 및/또는 그 일부가 구현될 수 있는 적절한 컴퓨팅 환경의 간략하고 전반적인 설명을 제공하기 위한 것이다. 요구되지 않는다고 하더라도, 본 발명은 일반적으로 클라이언트 워크스테이션 또는 서버와 같은 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터 실행가능 명령어와 관련하여 설명될 것이다. 일반적으로, 프로그램 모듈은 특정 태스크를 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 개체, 컴포넌트, 데이터 구조 등을 포함한다. 또한, 본 발명 및/또는 그 일부는 핸드-헬드 디바이스, 멀티프로세서 시스템, 마이크로프로세서 기반 또는 프로그램가능한 가전제품, 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터 등을 포함하는 다른 컴퓨터 시스템 구성에서 실행될 수 있다는 것이 이해되어야 한다. 또한, 본 발명은 통신 네트워크를 통해 연결되어 있는 원격 처리 장치들에 의해 태스크가 수행되는 분산 컴퓨팅 환경에서 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 로컬 및 원격 컴퓨터 저장 장치 둘다에 위치할 수 있다.
도 1과 관련하여, 예시적인 범용 컴퓨팅 시스템은 통상적인 퍼스널 컴퓨터(120) 등을 포함하며, 통상적인 퍼스널 컴퓨터는 처리 장치(121), 시스템 메모리(122) 및 시스템 메모리를 비롯한 각종 시스템 컴포넌트들을 처리 장치(121)에 연결시키는 시스템 버스(123)를 포함한다. 시스템 버스(123)는 메모리 버스 또는 메모리 컨트롤러, 주변 장치 버스 및 각종 버스 아키텍처 중 임의의 것을 이용하는 로컬 버스를 비롯한 몇몇 유형의 버스 구조 중 어느 것이라도 될 수 있다. 시스템 메모리는 판독 전용 메모리(ROM)(124) 및 랜덤 액세스 메모리(RAM)(125)를 포함한다. 시동 중과 같은 때에, 퍼스널 컴퓨터(120) 내의 구성요소들 사이의 정보 전송을 돕는 기본 루틴을 포함하는 기본 입/출력 시스템(BIOS)(126)은 ROM(124)에 저장되어 있다.
퍼스널 컴퓨터(120)는 하드 디스크(도시 생략)에 기록을 하거나 그로부터 판독을 하는 하드 디스크 드라이브(127), 이동식 자기 디스크(129)에 기록을 하거나 그로부터 판독을 하는 자기 디스크 드라이브(128), CD-ROM 또는 기타 광 매체 등의 이동식 광 디스크(131)에 기록을 하거나 그로부터 판독을 하는 광 디스크 드라이브(130)를 추가적으로 포함할 수 있다. 하드 디스크 드라이브(127), 자기 디스크 드라이브(128) 및 광 디스크 드라이브(130)는 각각 하드 디스크 드라이브 인터페이스(132), 자기 디스크 드라이브 인터페이스(133) 및 광 드라이브 인터페이스(134)에 의해 시스템 버스(123)에 접속된다. 드라이브 및 그 관련된 컴퓨터 판독가능 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 및 퍼스널 컴퓨터(20)에 대한 기타 데이터의 비휘발성 저장 장치를 제공한다.
본 명세서에서 설명된 예시적인 환경은 하드 디스크, 이동식 자기 디스크(129) 및 이동식 광 디스크(131)을 채용하였지만, 컴퓨터에 의해 액세스가능한 데이터를 저장할 수 있는 기타 유형의 컴퓨터 판독가능 매체가 예시적인 운영 환경 에서 또한 이용될 수 있다는 것이 이해되어야 한다. 이러한 유형의 매체로는 자기 카세트, 플래시 메모리 카드, 디지털 비디오 디스크, 베르누이(Bernoulli) 카트리지, RAM, ROM 등이 있다.
운영 체제(135), 하나 이상의 애플리케이션 프로그램(136), 기타 프로그램 모듈(137) 및 프로그램 데이터(138)를 포함하는 다수의 프로그램 모듈들이 하드 디스크, 자기 디스크(129), 광 디스크(131), ROM(124) 또는 RAM(125) 상에 저장될 수 있다. 사용자는 키보드(140) 및 포인팅 장치(142)와 같은 입력 장치를 통해 명령 및 정보를 퍼스널 컴퓨터(120)에 입력할 수 있다. 다른 입력 장치(도시 생략)로는 마이크, 조이스틱, 게임 패드, 위성 안테나, 스캐너 등을 포함할 수 있다. 이들 및 기타 입력 장치는 종종 시스템 버스에 결합된 직렬 포트 인터페이스(146)를 통해 처리 장치(121)에 접속되지만, 병렬 포트, 게임 포트 또는 USB(universal serial bus) 등의 다른 인터페이스에 의해 접속될 수도 있다. 모니터(147) 또는 다른 유형의 디스플레이 장치도 비디오 어댑터(148) 등의 인터페이스를 통해 시스템 버스(123)에 접속될 수 있다. 모니터(147) 외에, 퍼스널 컴퓨터는 통상적으로 스피커 및 프린터 등의 기타 주변 출력 장치(도시 생략)를 포함한다. 또한, 도 1의 예시적인 시스템은 호스트 어댑터(155), SCSI(Small Computer System Interface) 버스(156) 및 SCSI 버스(156)에 접속되어 있는 외부 저장 장치(162)를 포함한다.
퍼스널 컴퓨터(120)는 원격 컴퓨터(149)와 같은 하나 이상의 원격 컴퓨터로의 논리적 접속을 사용하여 네트워크화된 환경에서 동작할 수 있다. 원격 컴퓨 터(149)는 또 하나의 퍼스널 컴퓨터, 서버, 라우터, 네트워크 PC, 피어 장치 또는 기타 통상의 네트워크 노드일 수 있고, 단지 메모리 저장 장치(150)가 도 1에 도시되었지만, 통상적으로 퍼스널 컴퓨터(120)와 관련하여 상술된 구성요소들의 대부분 또는 그 전부를 포함한다. 도 1에 도시된 논리적 접속으로는 LAN(151) 및 WAN(152)이 있다. 이러한 네트워킹 환경은 사무실, 전사적 컴퓨터 네트워크(enterprise-wide computer network), 인트라넷, 및 인터넷에서 일반적인 것이다. 또한, 퍼스널 컴퓨터(120)는 또 다른 퍼스널 컴퓨터(120), 휴대용 플레이어 또는 PDA(portable data assistant) 등과 같은 보다 특수화된 장치와 같은 게스트에 대한 호스트로서 동작할 수 있어, 호스트는 특히 게스트로 데이터를 다운로드하고/하거나 이로부터 데이터를 업로드한다.
LAN 네트워킹 환경에서 사용될 때, 퍼스널 컴퓨터(120)는 네트워크 인터페이스 또는 어댑터(153)를 통해 LAN(151)에 접속된다. WAN 네트워킹 환경에서 사용될 때, 퍼스널 컴퓨터(120)는 통상적으로 인터넷과 같은 WAN(152)을 통해 통신을 설정하기 위한 모뎀(154) 또는 기타 수단을 포함한다. 내장형 또는 외장형일 수 있는 모뎀(154)은 직렬 포트 인터페이스(146)를 통해 시스템 버스(123)에 접속된다. 네트워크화된 환경에서, 퍼스널 컴퓨터(120) 또는 그 일부와 관련하여 기술된 프로그램 모듈은 원격 메모리 저장 장치에 저장될 수 있다. 도시된 네트워크 접속은 예시적인 것이며 이 컴퓨터들 사이에 통신 링크를 설정하는 기타 수단이 사용될 수 있다는 것을 이해할 것이다.
<디지털 인증서가 취소되었는지를 판정하기 위한 서비스>
전술한 바와 같이, 도 2와 관련하여, 컴퓨팅 장치 등과 같은 클라이언트(10)에서, 인증 프로세스(12)의 몇몇 형태는 각각 엔티티(18)와 연관되어 있는 인증서(14)와 그 체인(16)을 검증하는 것을 포함하는 기능을 수행하여 이러한 엔티티(18)를 인증한다. 중요한 것은, 각각의 인증서(14)를 검증하는 것의 일부로서, 인증 프로세스(12)는 이러한 인증서(14) 등을 발행한 CA에 의해 인증서(14)가 취소되지 않았다는 것을 확실하게 한다. 인증서(14)가 취소되지 않았음을 판정할 시에, 물론 인증서가 다르게 검증되었다고 가정하고서, 인증 프로세스(12)는 클라이언트(10) 상의 취소되지 않은 인증서(14)를 사용하여 동작들을 수행할 수 있다.
유의할 점은, 클라이언트(10) 및 클라이언트 상의 인증 프로세스(12)는 본 발명의 사상 및 범위를 벗어나지 않고서 임의의 클라이언트 및 인증 프로세스가 될 수 있다는 것이다. 예를 들어, 클라이언트(10)는 퍼스널 컴퓨터, 휴대용 플레이어, 서버, 지능형 장비, 네트워크화된 휴대용 디바이스, 또는 디지털 인증서(14)를 사용하는 임의의 기타 디지털 프로세싱 디바이스와 같은 컴퓨팅 디바이스일 수 있다. 이와 유사하게, 인증 프로세스는 클라이언트(10) 상의 권한 관리 시스템의 일부일 수 있어, 디지털 컨텐트 등이 대응 디지털 라이센스 등에 기술된 권한에 따라서만 주어지는 것을 보증한다.
본 발명의 일 실시예에서, 인증서(14)는 취소 정보 저장소(20)(도 3) 등 내에서 실제로 취소된 것으로서 식별되는 것에 의해, 그 인증서를 발행한 CA 또는 그와 유사한 것에 의해 취소된다. 중요한 것은, 이러한 저장소(20)는 취소된 각각의 인증서(14)에 관한 정보를 갖는 리스트, 데이터베이스, 파일 등을 포함할 수 있으 며, 대응 요청에 응답하여 취소 판정을 지원하기 위한 서버 등(도시 생략)을 포함할 수 있다는 것이다. 따라서, 클라이언트(10)의 인증 프로세스(12)는 취소 리스트 등에 의해 취소에 대한 정보를 반드시 제공받을 필요는 없다. 이와 유사하게, 이러한 인증 프로세스(12)에서 클라이언트(10)는 적절한 요청에 의해 취소 리스트에서 의무로서 지워지는 대기시간 없이, 특정 인증서(14)에 대한 현재의 취소 상태를 대응 저장소(20)를 통해 판정할 수 있다.
본 발명의 일 실시예에서, 그리고 도 3과 관련하여, 클라이언트(10)는 취소 서비스(22)에 대한 질의의 방식으로 특정 인증서(14)에 대한 취소 정보를 획득한다. 이해될 바와 같이, 이러한 서비스(22)는 클라이언트(10)로부터 로컬 또는 원격일 수 있으며, 원격인 경우에는 적절한 네트워크 접속에 의해 클라이언트(10)에 접속된다. 또한, 본 발명의 일 실시예에서, 서비스(22)는 각각 적절한 제공자(24)를 경유하여 하나 이상의 취소 저장소(20)에 대한 액세스를 갖는 방식으로, 복수의 CA들 중 임의의 CA로부터의 인증서(14)에 대한 클라이언트(10)로부터의 요청을 서비스할 수 있다.
이해될 바와 같이, 각각의 저장소(20)는 하나 이상의 CA들로부터의 취소 정보를 가질 수 있으며, 저장소(20)에서 보이는 취소 정보는 본 발명의 사상 및 범위를 벗어나지 않고 적절한 형태를 취할 수 있다. 예를 들어, 취소 정보는 단순히 취소된 각각의 인증서(14)를 기재할 수 있거나, 다수의 일련의 취소된 인증서(14)들을 기재할 수 있다. 이와 유사하게, 각각의 취소된 인증서(14)에 대한 취소 정보는 취소의 단순한 주장(assertion)에 의한 것일 수 있거나, 예를 들어 취소 날짜 및/또는 취소 원인과 같은 추가적인 상세 사항을 포함할 수 있다. 실제로, 취소 판정이 논리 또는 컴퓨터 코드의 사용을 필요로 하는 경우일 수도 있는데, 이 경우에 이러한 논리 또는 컴퓨터 코드는 취소 정보 내에 포함될 수 있다. 각각의 저장소(20)는 서비스(22)로부터 로컬 또는 원격일 수 있으며, 원격인 경우에 적절한 네트워크 접속을 경유하여 서비스(22)에 접속된다.
이해될 바와 같이, 각각의 제공자(24)는 서비스(22)에 상주하며 서비스(22)에 대해 대응 저장소(20)를 나타낸다. 본 발명의 일 실시예에서, 각각의 제공자(24)는 자유자재로 서비스(22)에 추가되거나 이로부터 제거될 수 있는 플러그-인 모듈 등의 형태이다. 따라서, 서비스(22)에서 저장소로의 액세스를 추가하거나 제거하는 것은 일반적으로 서비스(22)로/로부터 대응 제공자(24)를 추가하거나 제거하는 문제이다. 서비스(22)의 엔진(26)에서 수신된, 클라이언트(10)로부터의 질의에 응답하여, 제공자(24)는 엔진으로부터 소정 유형의 질의를 수신하기 위하여 엔진(26)과 상호작용하고, 저장소(20)에 접속하고, 저장소(20)로 질의를 전송하고, 저장소(20)로부터 반환되는 응답을 수신하고, 엔진(26)에 소정 유형의 응답을 그 후에 반환하는 데 필요한 기능들을 포함한다. 이러한 기능들은 알려져 있거나 관련 업계에서 명백하므로, 본 명세서에서 상세히 설명할 필요가 없다. 따라서, 이러한 기능의 적절한 타입 또는 버전은 본 발명의 사상 및 범위를 벗어나지 않고 사용될 수 있으며, 이러한 기능이 실제로 서비스(22)로 하여금 제공자(24)에 대응하는 저장소(20)로부터 적절한 취소 정보를 획득할 수 있게 허용한다.
유의할 점은, 각각의 제공자(24)는 그 제공자(24)를 사용하도록 서비스(22) 를 구성하기 위한 모든 필요한 구성 정보를 포함할 수 있거나, 서비스(22)를 위하여 이러한 구성 정보의 나머지가 어딘가에서 획득되거나 서비스(22)로 수동으로 입력될 것을 예상하여 이러한 구성 정보의 전부보다는 작은 정보를 포함할 수 있다. 주로, 각각의 제공자(24)에 대하여, 이에 대응하는 구성 정보는 그 제공자(24)에 대응하는 저장소(20)가 해당 취소 정보를 갖는 각각의 CA의 식별정보를 포함해야 한다. 또한, 이러한 구성 정보는 질의가 엔진(26)으로부터 보여야 하는 특정 형태를 포함해야 하고(실제로 서비스(22)가 이 형태의 변화를 허용하는 경우), 엔진(26)에 대한 반환된 응답이 보이는 특정 형태를 포함해야 한다(마찬가지로 실제로 서비스(22)가 이러한 형태에서의 변화를 허용하는 경우). 물론, 구성 정보는 본 발명의 사상 및 범위를 벗어나지 않고 다른 정보를 포함할 수 있다. 예를 들어, 특히 대응 제공자(24)가 어떻게 대응 저장소(20)에 접속할 수 있는지에 대한 접속 정보를 포함하는 경우가 있을 수 있다.
본 발명의 일 실시예에서, 서비스(22)에 있는 각각의 제공자(24)에 대한 이 구성 정보의 기록은 제공자(24)의 식별정보와 함께 서비스(22)에 있는 구성 저장소(28) 내에 저장된다. 이러한 구성 저장소(28)는 서비스(22)에 현재 상주하고 있거나 '플러그-인'되는 각각의 제공자(24)에 대한 구성 정보의 기록을 가질 수 있으며, 이에 따라 이해될 바와 같이, 특정 CA에 의해 발행된 인증서(14)에 대한 취소 정보에 대한 질의를 다루는 제공자(24)를 식별하는 맵으로서 기능을 한다. 따라서, 질의가 특정 인증서(14)에 대한 식별 정보 및 특정 인증서(14)를 발행한 CA에 대한 식별정보를 포함하는 경우에, 엔진(26)에서 수신된 각각의 질의에 기초하여, 엔진(26)은 제공자(24)를 식별하거나 제공자(24)로 매핑하여 인증서(14)를 발행한 CA에 따라 구성 저장소(28) 내의 구성 정보로부터 질의를 처리한다.
유의할 점은, 클라이언트(10)로부터 서비스(22)로의 질의에서 발견될 수 있는 특정 인증서(14)의 식별정보 및 특정 인증서를 발행한 CA의 식별정보는 본 발명의 사상 및 범위를 벗어나지 않고 임의의 특정 포맷일 수 있다는 것이다. 통상적으로, 이러한 식별정보는 특정 인증서로부터 클라이언트(10)에 의해 획득되지만, 특정 인증서(14)의 식별정보는 CA에 의해 발행되고 인증서(14) 내에 기재된 일련 번호의 형태이며, CA의 식별정보는 인증서(14) 내에 기재된 CA의 공용 키의 형태이며 아마도 해시된(hashed) 형태이다(도 2).
하여튼, 도 4와 관련하여, 특정 인증서(14)에 대한 취소 정보에 대하여 클라이언트(10)로부터 질의를 수신할 시에(단계 401) 엔진(26)은 식별된 CA 및 식별된 인증서(14)를 질의 내에서 찾아내고(단계 403), 구성 정보의 기록을 식별된 CA에 대응하는 구성 저장소(28)에서 찾아내고(단계 405), 대응하는 찾아낸 기록으로부터 플러그-인된 제공자(24)를 식별하여 질의를 처리한다(단계 407). 추가적으로, 만일 필요하다면, 엔진(26)은 찾아낸 기록 내에서, 식별된 제공자(24)가 엔진(26)으로부터 질의를 수신하기를 예측하는 특정 형태, 식별된 제공자(24)가 엔진(26)에 응답하여 반환할 특정 형태, 및/또는 필요하다면 다른 정보를 찾아낼 수 있다.
그 후에, 구성 정보의 찾아낸 기록에 기초하여, 엔진(26)은 식별된 제공자(24)를 위해 질의를 적절히 포맷할 수 있으며, 필요하다면 이러한 제공자(24)에게 질의를 전달하고(단계 409), 반환되는 응답을 기다린다. 여기에서 주목할 것 은, 제공자(24)에게 전달된 질의는 인증서(24)의 식별정보를 적어도 포함해야 한다는 것이다. 물론, 필요하다면 제공자(24)에게 전달된 질의는, 특히 대응 저장소(20)가 하나보다 많은 CA로부터의 취소 정보를 다루는 경우에, CA의 식별정보를 또한 포함해야 한다.
여하튼, 이해될 바와 같이, 제공자(24)는 전달된 질의에 기초하여 동일한 질의의 몇몇 버전을 대응 저장소(20)에 추가적으로 전달하고(단계 411), 식별된 인증서(14)에 대응하는 적절한 취소 정보와 함께 반환되는 응답을 이로부터 수신하고(단계 413), 반환된 응답의 몇몇 버전을 엔진(26)으로 다시 전달한다(단계 415). 그 후에, 이러한 반환된 응답으로, 엔진(26)은 식별된 인증서(14)가 취소되었는지 여부를 판정하고(단계 417), 동일한 것에 대하여 응답을 질의 클라이언트(10)에게 반환한다(단계 419).
유의해야 할 것은, 엔진(26)으로부터 질의 클라이언트(10)로 반환된 응답은 본 발명의 사상 및 범위를 벗어나지 않고 임의의 유형일 수 있다는 것이다. 예를 들어, 반환된 응답은 식별된 인증서(14)가 취소되었는지 여부를 단순히 기술할 수 있거나, 제공자(24)에 의해 제공된 임의의 추가 정보 중 일부 또는 전부를 포함하는 추가 정보를 제공할 수 있다. 이러한 추가 정보의 예들은 이용가능하고 응용가능하다면 취소의 날짜 및/또는 상세를 포함하지만 이에 제한되는 것은 아니다. 이해될 바와 같이, 특히 클라이언트(10)가 취소의 최종 판정을 생성하기 위하여 추가 정보를 사용하는 경우에, 이러한 추가 정보는 질의 클라이언트(10)에게 가치있는 것일 수 있다.
유의해야 할 것은, 특히 서비스가 클라이언트(10)로부터의 취소 정보에 대한 많은 질의를 수신할 것이라 예측될 수 있고, 질의들 중 다수가 동일한 인증서(14)에 관한 것인 하이-스루풋(high-throughput) 환경에서, 도 3에 도시된 프론트-엔드(front-end) 캐싱 서비스(30)를 포함하는 것이 유리할 수 있다는 것이다. 이해될 바와 같이, 그리고 본 발명의 일 실시예에서, 이러한 캐싱 서비스(30)는 클라이언트(10)로부터 질의를 최초로 수신하는 제1 라인으로서의 기능을 할 것이고, 각각의 질의에 대하여, 이러한 캐싱 서비스(30)가 이러한 질의에 응답하도록 사용될 수 있는 비교적 현재의 캐싱된 취소 정보를 갖는지 여부를 판정할 것이다. 만일 그렇다면, 캐싱 서비스(30)는 질의를 서비스(22)에 전달할 필요 없이도 이러한 질의에 이러한 비교적 현재의 캐싱된 취소 정보로 응답할 것이다. 그러나, 그렇지 않다면, 캐싱 서비스는(30)는 대신 상술한 방식으로 추가적인 프로세싱을 하기 위해 질의를 서비스(22)에 전달할 것이다. 또한, 이제 이해될 바와 같이, 서비스(22)가 도 4의 단계(419)에서 클라이언트(10)에게 응답을 반환할 시에, 장래 질의에 적절하게 응답하기 위하여 그 응답을 캐싱하기 위해, 응답은 캐싱 서비스(30)에 전달될 것이다.
유의해야 할 것은, 캐싱 서비스(30)의 임의의 적절한 유형이 본 발명의 사상 및 범위를 벗어나지 않고 사용될 수 있다는 것이다. 캐싱이 일반적으로 알려져 있고, 관련 업계에서 명백하므로, 이러한 캐싱 서비스(30)의 구체적인 사항은 본 명세서에서 상세히 기술될 필요가 없다. 또한, 유의해야 할 것은, 캐싱된 취소 정보가 비교적 현재의 것인지를 판정하는 것은 본 발명의 사상 및 범위를 벗어나지 않 고 임의의 방식으로 수행될 수 있다는 것이다. 예를 들자면, 예를 들어 12 또는 24시간과 같은 설정된 시간 주기보다 오래된 캐싱된 정보는 현재의 것으로 여겨질 수 없는 경우가 있을 수 있다. 유사하게, 캐싱된 정보가 얼마나 자주 액세스되는가에 따라 변하는 변동 스케일에 기초하여 현재의 것으로 여겨지지 않는 경우가 있을 수 있다.
<결론>
본 발명이 퍼스널 컴퓨터, 서버 등과 같은 클라이언트(10)와 연결되는 것이 특히 유용하다고 하더라도, 본 발명의 사상 및 범위를 모두 벗어나지 않고 본 발명은 임의의 적절한 클라이언트(10)에 대해 실시될 수 있다. 따라서, 클라이언트(10)는 인증서(14)를 사용하고 특정 인증서(14)가 취소되었는지 여부를 판정할 필요성을 갖는 임의의 적절한 장치를 포함하는 것으로 해석되어야 한다.
본 발명에 관하여 수행되는 프로세스들을 실시하는 데 필요한 프로그래밍은 비교적 수월하고 관련 프로그래밍계에서 명백할 것이다. 따라서, 이러한 프로그래밍은 여기에 첨부하지 않는다. 그러면, 임의의 특정 프로그래밍이 본 발명의 사상 및 범위를 벗어나지 않고 본 발명을 실시하는 데 사용될 수 있다.
상술한 설명에서, 클라이언트(10)가 특정 디지털 인증서(14)가 취소되었는지 여부를 신속하고 최신의 방식으로 판정할 수 있도록, 본 발명은 현재 취소 정보에 대한 액세스를 갖는 신규하고 유용한 집중형 서비스(22)를 포함한다. 클라이언트(10)가 복수의 CA들 중 임의의 CA에 의해 발행된 인증서(14)에 관한 취소 정보를 획득하기 위하여 서비스에 접촉할 수 있도록 집중형 서비스(22)는 취소 정보의 복 수의 저장소(20)에 액세스할 수 있다. 취소 정보의 각각의 추가적인 저장소(20)는 서비스(22)에 적절한 대응 제공자(24)를 추가함으로써 용이하게 추가될 수 있으며, 각각의 제공자(24)를 경유하는 서비스(22)는 복수의 특정 인증서(14)들 중 임의의 인증서에 대한 취소 정보의 적절한 저장소(20)를 찾아내도록 용이하게 구성될 수 있다. 따라서, 본 발명은 개시된 특정 실시예에 제한되지 않으며, 청구된 청구항들에 의해 규정된 본 발명의 사상 및 범위 내의 수정을 포함하도록 한 것이다.

Claims (18)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 특정 인증 기관(CA)에 의해 발행된 특정 디지털 인증서가 그 CA에 의해 취소되었는지 여부를 클라이언트에 대해 판정하기 위한 취소 판정 서비스를 구현한 컴퓨팅 장치로서, 상기 서비스는
    상기 클라이언트로부터 질의를 수신하기 위한 엔진 -상기 질의는 특정 인증서 및 상기 특정 인증서를 발행한 CA를 식별함-;
    상기 서비스에 상주하는 적어도 하나의 제공자 -각각의 제공자는 취소 정보 저장소에 대응하고 상기 서비스에서 대응 저장소를 나타내고, 상기 대응 저장소에 접속되며, 각각의 저장소는 적어도 하나의 CA로부터의 취소정보를 갖고, 각각의 제공자는 상기 클라이언트로부터 상기 제공자에게 전달되는 질의에 응답하여 상기 특정 인증서가 대응 저장소 내에서 취소된 것으로서 식별되는지 여부를 판정함-; 및
    상기 서비스에 상주하는 각각의 제공자에 대응하는 구성 정보 기록을 포함하는 구성 저장소 -각각의 구성 정보 기록은 해당 제공자, 및 그 제공자에 대응하는 저장소가 관련 취소 정보를 갖고 있는 각각의 CA의 식별 정보를 포함하고, 상기 엔진은 수신된 질의에 기초하여 상기 구성 저장소를 참조하여, 수신된 질의를 처리하기 위해, 상기 서비스에 상주하며 수신된 질의의 식별된 CA에 대응하는 특정 제공자를 식별하고, 상기 식별된 제공자가, 상기 수신된 질의의 식별된 인증서가 대응 저장소 내에서 취소된 것으로서 식별되는지를 판정하도록, 수신된 질의를 상기 식별된 제공자에게 실제로 전달함-를 포함하고,
    상기 서비스는 각각 대응 제공자를 경유하여 하나 이상의 대응 저장소에 액세스를 가짐으로써, 복수의 CA들 중 임의의 CA에 의해 발행된 디지털 인증서에 관한 클라이언트로부터의 질의를 처리할 수 있는
    취소 판정 서비스를 구현한 컴퓨팅 장치.
  9. 제8항에 있어서,
    상기 각각의 제공자는 대응 저장소로의 액세스를 제거하거나 추가하기 위해 자유자재로 상기 서비스에 추가되거나 상기 서비스로부터 제거될 수 있는 플러그-인(plug-in) 모듈의 형태인
    취소 판정 서비스를 구현한 컴퓨팅 장치.
  10. 제9항에 있어서,
    상기 각각의 제공자는 그 제공자 및 대응 저장소를 사용하도록 상기 서비스를 구성하기 위한 적어도 소정의 구성 정보를 포함하고, 포함된 구성 정보는 상기 제공자가 상기 서비스에 추가될 때 상기 구성 저장소의 대응하는 구성 정보 기록에 저장되는
    취소 판정 서비스를 구현한 컴퓨팅 장치.
  11. 제8항에 있어서,
    상기 엔진에서 수신된 상기 클라이언트로부터의 질의에 응답하여, 각각의 제공자는 상기 엔진으로부터 질의를 수신하기 위하여 상기 엔진과 상호작용하고, 상기 대응 저장소에 접속하고, 상기 대응 저장소로 질의를 전송하고, 상기 대응 저장소로부터 반환되는 응답을 수신하고, 그 후에 상기 엔진에 응답을 반환하는
    취소 판정 서비스를 구현한 컴퓨팅 장치.
  12. 제8항에 있어서,
    상기 구성 저장소 내의 각각의 제공자에 대응하는 구성 정보 기록은 상기 엔진으로부터 전달되는 질의가 보여지는 특정 형태 및 상기 엔진에 반환된 응답이 보여지는 특정 형태를 더 포함하는
    취소 판정 서비스를 구현한 컴퓨팅 장치.
  13. 제8항에 있어서,
    상기 구성 저장소 내의 각각의 제공자에 대응하는 구성 정보 기록은 그 제공자가 어떻게 대응 저장소에 접속할 수 있는지에 대한 접속 정보를 더 포함하는
    취소 판정 서비스를 구현한 컴퓨팅 장치.
  14. 제8항에 있어서,
    상기 서비스는, 상기 클라이언트로부터의 질의를 최초로 수신하고, 질의에 응답하기 위해 사용될 수 있는 비교적 현재의 캐싱된 취소 정보를 자신이 갖고 있는지 여부를 판정하는 프론트-엔드(front-end) 캐싱 서비스를 더 포함하는
    취소 판정 서비스를 구현한 컴퓨팅 장치.
  15. 특정 인증 기관(CA)에 의해 발행된 특정 디지털 인증서가 그 CA에 의해 취소되었는지 여부를 클라이언트에 대해 판정하기 위한 취소 판정 서비스를 위한 방법으로서, 상기 방법은,
    상기 클라이언트로부터 질의를 수신하는 단계 -상기 질의는 특정 인증서 및 상기 특정 인증서를 발행한 CA를 식별함-;
    상기 서비스에 상주하는 적어도 하나의 제공자 각각에 대응하는 구성 정보 기록을 포함하는 구성 저장소를 참조하는 단계 -각각의 구성 정보 기록은 해당 제공자, 및 그 제공자에 대응하는 저장소가 관련 취소 정보를 갖고 있는 각각의 CA의 식별 정보를 포함하고, 상기 참조는 수신된 질의를 처리하기 위해, 상기 서비스에 상주하며 수신된 질의의 식별된 CA에 대응하는 특정 제공자를 식별하는 것을 포함함-; 및
    수신된 질의의 식별된 인증서가 대응 저장소 내에서 취소된 것으로서 식별되는지를 판정하도록, 수신된 질의를 식별된 제공자에게 전달하는 단계 -상기 식별된 제공자는 서비스에서 대응 저장소를 나타내고, 상기 대응 저장소에 접속하고, 상기 대응 저장소로부터, 상기 대응 저장소 내에서 특정 인증서가 취소된 것으로서 식별되는지를 판정함-를 포함하고,
    상기 서비스는 각각 대응 제공자를 경유하여 하나 이상의 대응 저장소에 액세스를 가짐으로써, 복수의 CA들 중 임의의 CA에 의해 발행된 디지털 인증서에 관한 클라이언트로부터의 질의를 처리할 수 있는
    취소 판정 서비스를 위한 방법.
  16. 제15항에 있어서,
    상기 클라이언트로부터 특정 인증서에 대한 취소 정보에 대한 질의를 수신하는 단계;
    식별된 CA 및 식별된 인증서를 질의 내에서 찾아내는 단계;
    상기 구성 정보의 기록을 식별된 CA에 대응하는 구성 저장소에서 찾아내는 단계;
    찾아낸 기록으로부터 상기 서비스에 상주하는 대응 제공자를 식별하여 질의를 처리하는 단계; 및
    질의를 식별된 상기 제공자에게 전달하는 단계 -식별된 제공자는 전달된 질의를 대응 저장소에 전달하고, 상기 대응 저장소로부터 식별된 인증서에 대응하는 취소 정보와 함께 반환된 응답을 수신함-를 더 포함하는
    취소 판정 서비스를 위한 방법.
  17. 제15항에 있어서,
    상기 각각의 제공자는 대응 저장소로의 액세스를 제거하거나 추가하기 위해, 자유자재로 상기 서비스에 추가되거나 상기 서비스로부터 제거될 수 있는 플러그-인 모듈의 형태이고,
    상기 각각의 제공자는 그 제공자 및 대응 저장소를 사용하도록 서비스를 구성하기 위한 적어도 소정의 구성 정보를 포함하고,
    상기 방법은, 상기 제공자가 상기 서비스에 추가될 때 상기 구성 저장소의 대응하는 구성 정보 기록에 상기 포함된 구성 정보를 저장하는 단계를 더 포함하는
    취소 판정 서비스를 위한 방법.
  18. 제15항에 있어서,
    상기 서비스 내의 엔진에서 수신된 상기 클라이언트로부터의 질의에 응답하여, 식별된 제공자는 상기 엔진으로부터 질의를 수신하고, 상기 대응 저장소에 접속하고, 상기 대응 저장소로 질의를 전송하고, 상기 대응 저장소로부터 반환되는 응답을 수신하고, 상기 엔진에 응답을 반환하는
    취소 판정 서비스를 위한 방법.
KR1020087011510A 2005-11-14 2006-11-14 취소 판정 서비스와 이를 위한 방법 및 컴퓨팅 장치 KR101292876B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/273,908 2005-11-14
US11/273,908 US8316230B2 (en) 2005-11-14 2005-11-14 Service for determining whether digital certificate has been revoked
PCT/US2006/044314 WO2007059198A1 (en) 2005-11-14 2006-11-14 Service for determining whether digital certificate has been revoked

Publications (2)

Publication Number Publication Date
KR20080068068A KR20080068068A (ko) 2008-07-22
KR101292876B1 true KR101292876B1 (ko) 2013-08-23

Family

ID=38042323

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087011510A KR101292876B1 (ko) 2005-11-14 2006-11-14 취소 판정 서비스와 이를 위한 방법 및 컴퓨팅 장치

Country Status (7)

Country Link
US (1) US8316230B2 (ko)
KR (1) KR101292876B1 (ko)
CN (1) CN101305359A (ko)
AU (1) AU2006315415B2 (ko)
CA (1) CA2628932A1 (ko)
RU (1) RU2430412C2 (ko)
WO (1) WO2007059198A1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090126001A1 (en) * 2007-11-08 2009-05-14 Microsoft Corporation Techniques to manage security certificates
KR101005093B1 (ko) 2008-07-15 2011-01-04 인터리젠 주식회사 클라이언트 식별 방법 및 장치
US9281948B2 (en) * 2012-02-09 2016-03-08 Microsoft Technology Licensing, Llc Revocation information for revocable items
RU2571382C1 (ru) * 2014-10-17 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ антивирусной проверки в зависимости от уровня доверия сертификата
RU2571381C1 (ru) * 2014-10-17 2015-12-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ пополнения базы данных доверенных сертификатов, использующейся при антивирусной проверке
US10313324B2 (en) 2014-12-02 2019-06-04 AO Kaspersky Lab System and method for antivirus checking of files based on level of trust of their digital certificates
US10454689B1 (en) 2015-08-27 2019-10-22 Amazon Technologies, Inc. Digital certificate management
US9912486B1 (en) * 2015-08-27 2018-03-06 Amazon Technologies, Inc. Countersigned certificates
US9888037B1 (en) 2015-08-27 2018-02-06 Amazon Technologies, Inc. Cipher suite negotiation
US10341327B2 (en) 2016-12-06 2019-07-02 Bank Of America Corporation Enabling secure connections by managing signer certificates
CN112905978B (zh) * 2021-02-20 2023-06-06 成都新希望金融信息有限公司 权限管理方法和装置
CN116455633B (zh) * 2023-04-17 2024-01-30 清华大学 数字证书验证方法、装置、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6044462A (en) * 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7337315B2 (en) * 1995-10-02 2008-02-26 Corestreet, Ltd. Efficient certificate revocation
US5687235A (en) * 1995-10-26 1997-11-11 Novell, Inc. Certificate revocation performance optimization
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US5966707A (en) * 1997-12-02 1999-10-12 International Business Machines Corporation Method for managing a plurality of data processes residing in heterogeneous data repositories
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
US6226618B1 (en) 1998-08-13 2001-05-01 International Business Machines Corporation Electronic content delivery system
US6230266B1 (en) * 1999-02-03 2001-05-08 Sun Microsystems, Inc. Authentication system and process
US6981148B1 (en) * 1999-04-30 2005-12-27 University Of Pennsylvania Method for integrating online and offline cryptographic signatures and providing secure revocation
CN1182479C (zh) * 2000-01-07 2004-12-29 国际商业机器公司 有效地收集、整理和访问证书吊销表的系统和方法
US6748531B1 (en) * 2000-03-28 2004-06-08 Koninklijke Philips Electronics N.V Method and apparatus for confirming and revoking trust in a multi-level content distribution system
US7415607B2 (en) * 2000-12-22 2008-08-19 Oracle International Corporation Obtaining and maintaining real time certificate status
US20020099668A1 (en) * 2001-01-22 2002-07-25 Sun Microsystems, Inc. Efficient revocation of registration authorities
US20020099822A1 (en) * 2001-01-25 2002-07-25 Rubin Aviel D. Method and apparatus for on demand certificate revocation updates
US7088822B2 (en) 2001-02-13 2006-08-08 Sony Corporation Information playback device, information recording device, information playback method, information recording method, and information recording medium and program storage medium used therewith
US7073055B1 (en) * 2001-02-22 2006-07-04 3Com Corporation System and method for providing distributed and dynamic network services for remote access server users
US20020147905A1 (en) * 2001-04-05 2002-10-10 Sun Microsystems, Inc. System and method for shortening certificate chains
US7580988B2 (en) * 2001-04-05 2009-08-25 Intertrust Technologies Corporation System and methods for managing the distribution of electronic content
US6970862B2 (en) * 2001-05-31 2005-11-29 Sun Microsystems, Inc. Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL)
EP1410296A2 (en) * 2001-06-12 2004-04-21 Research In Motion Limited Method for processing encoded messages for exchange with a mobile data communication device
US7761703B2 (en) * 2002-03-20 2010-07-20 Research In Motion Limited System and method for checking digital certificate status
US20040133520A1 (en) 2003-01-07 2004-07-08 Callas Jonathan D. System and method for secure and transparent electronic communication
US7308573B2 (en) 2003-02-25 2007-12-11 Microsoft Corporation Enrolling / sub-enrolling a digital rights management (DRM) server into a DRM architecture
US7437551B2 (en) * 2004-04-02 2008-10-14 Microsoft Corporation Public key infrastructure scalability certificate revocation status validation
US7664948B2 (en) * 2004-05-21 2010-02-16 Bea Systems, Inc. Certificate lookup and validation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7743248B2 (en) * 1995-01-17 2010-06-22 Eoriginal, Inc. System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components
US6044462A (en) * 1997-04-02 2000-03-28 Arcanvs Method and apparatus for managing key revocation

Also Published As

Publication number Publication date
AU2006315415A1 (en) 2007-05-24
US8316230B2 (en) 2012-11-20
RU2430412C2 (ru) 2011-09-27
AU2006315415B2 (en) 2012-03-01
CA2628932A1 (en) 2007-05-24
KR20080068068A (ko) 2008-07-22
US20070113074A1 (en) 2007-05-17
WO2007059198A1 (en) 2007-05-24
CN101305359A (zh) 2008-11-12
RU2008118893A (ru) 2009-11-20

Similar Documents

Publication Publication Date Title
KR101292876B1 (ko) 취소 판정 서비스와 이를 위한 방법 및 컴퓨팅 장치
CN109074462B (zh) 使用分布式散列表和点对点分布式分类账验证数字资产所有权的方法和系统
EP2176984B1 (en) Creating and validating cryptographically secured documents
JP4263421B2 (ja) サーバレス分散ファイルシステム
US8832047B2 (en) Distributed document version control
US8424102B1 (en) Document access auditing
US8627077B2 (en) Transparent authentication process integration
US8572049B2 (en) Document authentication
US20050097441A1 (en) Distributed document version control
US11281633B2 (en) System and method for information storage using blockchain databases combined with pointer databases
US20050097061A1 (en) Offline access in a document control system
WO2008039241A1 (en) Methodology, system and computer readable medium for detecting and managing malware threats
NO333104B1 (no) Sikker arkitektur med server-plugins for administrasjonssystemer for digitale rettigheter
US7647494B2 (en) Name transformation for a public key infrastructure (PKI)
US10389743B1 (en) Tracking of software executables that come from untrusted locations
JP3982570B2 (ja) 複数の異なる署名エンジンに対する共通的なアクセス方法及びシステム及び複数の異なる署名エンジンに対する共通的なアクセスプログラムを格納した記憶媒体
CN116827648B (zh) 网站有效性检测方法、装置、设备及存储介质
US20230169045A1 (en) System and method for information storage using blockchain databases combined with pointer databases
TW202203129A (zh) 透過第三方區塊鏈進行保單存證與驗證之系統及方法
JP2006048715A (ja) 電子原本管理装置および方法

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160630

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170704

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180628

Year of fee payment: 6