KR101405509B1 - 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템 - Google Patents

온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템 Download PDF

Info

Publication number
KR101405509B1
KR101405509B1 KR1020127011077A KR20127011077A KR101405509B1 KR 101405509 B1 KR101405509 B1 KR 101405509B1 KR 1020127011077 A KR1020127011077 A KR 1020127011077A KR 20127011077 A KR20127011077 A KR 20127011077A KR 101405509 B1 KR101405509 B1 KR 101405509B1
Authority
KR
South Korea
Prior art keywords
entity
public key
message
response
token
Prior art date
Application number
KR1020127011077A
Other languages
English (en)
Other versions
KR20120104193A (ko
Inventor
맨엑시아 타이
준 카오
젠하이 후앙
엑시아오롱 라이
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20120104193A publication Critical patent/KR20120104193A/ko
Application granted granted Critical
Publication of KR101405509B1 publication Critical patent/KR101405509B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)

Abstract

온라인의 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템 및 방법이 개시된다. 이 방법은 (1) 엔티티 B가 메시지 1을 엔티티 A에 전송하는 단계와; (2) 엔티티 A가 메시지 1을 수신한 후에 메시지 2를 제 3 신뢰 기관(TP)에 전송하는 단계와; (3) 제 3 신뢰 기관(TP)이 메시지 2를 수신한 후에 응답(RepTA)을 결정하는 단계와; (4) 제 3 신뢰 기관(TP)이 메시지 3을 엔티티 A에 리턴하는 단계와; (5) 엔티티 A가 메시지 3을 수신한 후에 메시지 4를 엔티티 B에 리턴하는 단계와; (6) 엔티티 B가 메시지 4를 수신하는 단계와; (7) 엔티티 B가 메시지 5를 엔티티 A에 전송하는 단계와; 그리고 (8) 엔티티 A가 메시지 5를 수신하는 단계를 포함한다. 본 발명은 엔티티의 공개키 획득, 인증서 검증, 및 인증을 (이들을 하나의 프로토콜에 통합시킴으로써) 달성할 수 있고, 그럼으로써 프로토콜의 실행 효율 및 효과를 높일 수 있으며, 다양한 공개키 획득 및 공개키 인증서 상태 질의 프로토콜들과의 결합을 용이하게 할 수 있다. 본 발명은 액세스 네트워크의 인증 요건을 충족시키는 "사용자-액세스 포인트-서버" 액세스 네트워크 구조에 적합하다.

Description

온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템{METHOD AND SYSTEM FOR ENTITY PUBLIC KEY ACQUIRING, CERTIFICATE VALIDATION AND AUTHENTICATION BY INTRODUCING AN ONLINE CREDIBLE THIRD PARTY}
본 출원은 SIPO(State Intellectual Property Office)에 2009년 9월 30일자로 출원된 중국 특허출원 번호 200910024191.4(발명의 명칭: "METHOD FOR ENTITY PUBLIC KEY OBTAINING, CERTIFICATE VERIFICATION AND AUTHENTICATION WITH ONLINE TRUSTED THIRD PARTY AND SYSTEM THEREOF")에 대해 우선권을 주장하는바, 이 특허문헌은 그 전체가 참조로 본 명세서에 통합된다.
본 발명은 네트워크 기술 분야에 관한 것으로, 특히 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법 및 시스템에 관한 것이다.
현재 컴퓨터 네트워크 혹은 통신 네트워크에서, 사용자가 네트워크에 로그인하여 네트워크 상에서 안전하게 통신하기 위해서는, 단방향으로 혹은 쌍방향으로 사용자와 네트워크 간의 엔티티 인증이 수행될 필요가 있다. 일반적으로, 인증의 메커니즘은 두 가지 종류로 분류될 수 있는바, 대칭키 알고리즘 기반의 인증 메커니즘과 공개키 알고리즘 기반의 인증 메커니즘으로 분류될 수 있다.
공개키 알고리즘 및 기술에 근거하는 인증 메커니즘은, 참여 엔티티가 키들의 쌍, 즉 공개키-개인키 쌍을 가질 것을 요구한다. 공개키는 다른 참여 엔티티들에 배포된다. 이러한 배포는 아웃오브밴드(out-of-band) 방식으로 혹은 인증서에 기반하는 방식으로 수행될 수 있다. 아웃오브밴드 방식은 키의 업데이트가 어렵기 때문에 덜 사용되는 반면, 인증서에 기반하는 방식은 널리 사용된다.
일반적으로, 공개키 인증서를 사용하여 엔티티 인증을 수행하는 방법은 공개키 기반구조(Public Key Infrastructure, PKI)에 근거하고 있다. PKI는 공개키의 개념 및 기술에 근거하여 보안 서비스를 구현 및 제공하는 일반적인 보안 기반구조이다. PKI는 인증(authentication), 무결성(integrity), 및 비밀성(confidentiality)을 포함하는 보안 서비스를 제공할 수 있다. PKI에서 두 가지 중요한 개념은 공개키 인증서와 인증 기관(Certificate Authority, CA)이다. 일반적으로, 공개키 인증서는 CA에 의해 발급되고, 공개키 인증서 내의 서명(signature)은 CA에 의해 행해지며, 그리고 CA는 이러한 서명을 제공함으로써 공개키 인증서의 소유자와 이 소유자의 공개키 간의 결합을 인증한다.
일반적으로, CA에 의해 인증된 공개키 인증서는 유효 기간을 가지며, 유효 기간의 만료 이후 인증서는 유효하지 않게 된다. 만약 공개키 인증서에 대응하는 개인키가 훼손되면, 공개키 인증서도 또한 유효하지 않게 된다. 잡 체인지(job changes)와 같이, 공개키 인증서를 비유효하게 만들 수 있는 어떤 다른 가능성들이 존재한다.
네트워크 통신에서, 일반적으로 인증에 참여하는 엔티티는 비유효 공개키 인증서를 가지고 있는 엔티티와 보안 통신을 확립하는 것을 거절하고, 이에 따라 공개키 획득 및 인증서 검증이 엔티티 인증 프로세스와 연관되고 이에 대한 서비스를 제공한다. 현재, 기존 인증 메커니즘에서, 인증의 실행 전에 혹은 인증의 실행 동안, 검증자는 요청자의 유효 공개키를 갖거나 혹은 요청자의 공개키 인증서의 상태를 알 필요가 있는바, 만약 그렇지 않다면 인증 프로세스는 파괴되거나 혹은 종료되지 않는다. 도 1에 도시된 바와 같이, 엔티티 A와 엔티티 B는 서로 인증을 위한 인증 프로토콜을 실행할 필요가 있고, 제 3 신뢰 기관(trusted third party)(TP)은 엔티티 A와 엔티티 B 양쪽 모두가 신뢰하는 제3자 엔티티이다. 인증 이전에, 엔티티 A와 엔티티 B 각각은 TP를 통해 상대방의 공개키 인증서의 상태 혹은 유효 공개키를 획득할 필요가 있다.
현재, 공개키 인증서의 상태는 아래와 같은 두 가지 방식으로 획득될 수 있다.
(1) CRL: 인증서 폐기 목록(Certificate Revocation List, CRL)의 다운로드, 이러한 다운로드는 전체 목록을 다운로드하는 것과, 그리고 목록의 증가분을 다운로드하는 것을 포함할 수 있다. 엔티티가 특정 공개키 인증서의 상태를 점검하기 위해, 엔티티는 서버로부터 최근의 CRL을 다운로드 하고, 그 다음에 검증될 공개키 인증서가 그 최근의 CRL 내에 존재하는지 여부를 점검한다.
(2) 온라인 질의. 예를 들어, 온라인 인증서 상태 프로토콜(Online Certificate Status Protocol, OCSP). 전형적인 클라이언트/서버 구조를 사용하는바, OCSP는 주로 두 개의 엔티티들, 즉 클라이언트 및 서버와 관련된다. 클라이언트는 서버에 요청을 전송하고, 서버는 응답을 리턴(return)한다. 요청에는 검증될 어떤 인증서들이 포함되고, 응답에는 이러한 인증서들의 상태 및 검증 구간이 포함된다.
사전에 상대방의 공개키 인증서의 상태 혹은 유효 공개키를 획득해야 하는 요건은 많은 응용분야에서 충족될 수 없는 바, 예를 들어, 많은 통신 네트워크들에서 볼 수 있는, 사용자, 액세스 포인트, 서버를 포함하는 3-요소 구조를 갖는 액세스 네트워크에서, 일반적으로 사용자의 액세스 제어는 엔티티 인증 메커니즘에 의해 실현되고, 그리고 인증 메커니즘이 완료되기 전에, 사용자의 네트워크 액세스는 허용되지 않으며, 따라서 사용자는 액세스 포인트의 인증서의 유효성을 검증하거나 액세스 포인트의 유효 공개키를 획득하기 위해 CRL 및 OCSP와 같은 방법을 사용할 수 없다.
더욱이, 일부 애플리케이션에서, 사용자가, 인증 동안 CRL 및 OCSP와 같은 방법을 사용하는 것은 어렵다. 먼저, 사용자 디바이스는 한정된 저장 자원을 가지고 있을 수 있고, 또는 사용자는 단순히 CRL을 저장하기를 원하지 않을 수 있는바, 따라서 CRL을 주기적으로 다운로드하는 것은 실현가능하다고 볼 수 없다. 액세스 네트워크가 자원에 대해 제한을 받지 않을지라도, 정책적 제약과 같은 문제를 가질 수 있다. 다음으로, 사용자가 OCSP와 같은 온라인 질의 메커니즘을 사용하기 위해서, 사용자는 벡엔드 서버(backend server)에 의한 독립적인, 예를 들어, OCSP 프로토콜을 실행할 필요가 있다. 이러나 타입의 프로토콜은 하이퍼텍스트 전송 프로토콜(HyperText Transfer Protocol, HTTP)을 통해 실행되고, 그리고 애플리케이션 계층 프로토콜인바, 따라서 액세스 네트워크의 인증이 완료되기 전에 이러한 타입의 프로토콜의 직접 사용은 복잡하다. 이러한 타입의 프로토콜이 사용될 수 있다 하더라도, 이것은 "사용자-서버 및 액세스 포인트-서버" 구조에 의해 실현되는바, 이러한 구조는 "사용자-액세스 포인트-서버" 구조를 따르지 않는바, 따라서 이러한 타입의 프로토콜은 직접적으로 그리고 편리하게 사용될 수 없다.
앞에서 설명된 기술적 문제를 해결하기 위해, 본 발명에 따르면, 온라인 제 3 신뢰 기관(online trusted third party)으로 엔티티 공개키(entity public key) 획득, 인증서 검증, 및 인증을 수행하는 방법 및 그 시스템이 제공되는바, 이것은 액세스 네트워크의 "사용자-액세스 포인트-서버(user-access point-server)" 구조를 따르며, 액세스 네트워크의 인증 요건들을 충족시킬 수 있다.
본 발명의 기술적 해법은 다음과 같은 것을 포함한다.
본 발명의 실시예에 따르면, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법이 제공되고, 이 방법은,
(1) 엔티티 B에 의해 메시지 1을 엔티티 A에 전송하는 단계와, 여기서 상기 메시지 1은 난수(random number)(RB), 아이덴티티 식별자(identity identifier)(IDB), 요청(ReqB), 및 선택 텍스트(optional text)(Text1)를 포함하고, 상기 요청(ReqB)은 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서(public key certificate)의 상태 혹은 유효 공개키(valid public key)를 요청한다는 것을 표시하고;
(2) 상기 엔티티 A에 의해 상기 메시지 1의 수신시 메시지 2를 제 3 신뢰 기관(trusted third party)(TP)에 전송하는 단계와, 여기서 상기 메시지 2는 요청(ReqAT) 및 선택 텍스트(Text2)를 포함하고, 상기 요청(ReqAT)은 상기 요청(ReqB)의 콘텐츠를 포함하며, 그리고 상기 요청(ReqAT)은 상기 엔티티 A가 상기 엔티티 B의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시함과 아울러 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
(3) 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A 및 상기 엔티티 B의 아이덴티티 식별자들(IDA 및 IDB)에 따라 공개키 인증서들(CertA 및 CertB)의 유효성을 점검하거나; 또는 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A와 상기 엔티티 B의 각각의 엔티티 구별자(entity distinguisher)들을 통해 상기 엔티티 A와 상기 엔티티 B의 유효 공개키들을 검색하고, 그리고
상기 제 3 신뢰 기관(TP)에 의해 응답(RepTA)을 결정하는 단계와, 여기서 상기 응답(RepTA)은 응답(RepB)의 콘텐츠를 포함하고, 상기 응답(RepTA)은 상기 제 3 신뢰 기관(TP)에 의해 결정된 상기 엔티티 B의 공개키 인증서의 상태 혹은 유효 공개키뿐만 아니라 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하고;
(4) 상기 제 3 신뢰 기관(TP)에 의해 메시지 3을 상기 엔티티 A에 리턴(return)하는 단계와, 여기서 상기 메시지 3은 상기 응답(RepTA) 및 선택 텍스트(Text3)를 포함하고;
(5) 상기 엔티티 A에 의해 상기 메시지 3의 수신시 메시지 4를 상기 엔티티 B에 리턴하는 단계와, 여기서 상기 메시지 4는 난수(RA), 아이덴티티 식별자(IDA), 토큰(token)(TokenAB), 상기 응답(RepB) 및 선택 텍스트(Text5)를 포함하고, 여기서 TokenAB = sSA(RepB∥RA∥RB∥B∥A∥Text4), 그리고 sSA는 상기 엔티티 A에 의해 행해진 서명(signature)이고, 상기 응답(RepB)은 상기 제 3 신뢰 기관(TP)에 의해 결정된 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하며;
(6) 상기 엔티티 B에 의해 상기 메시지 4의 수신시,
(6.1) 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 응답(RepB)을 검증하고, 만약 검증이 통과되면 아래의 단계 (6.2)를 수행하며,
(6.2) 상기 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고, 상기 토큰(TokenAB)에서의 상기 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 B의 엔티티 구별자가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터(signature data)에 포함된 상기 엔티티 B의 엔티티 구별자와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 상기 메시지 1에서의 상기 엔티티 B에 의해 발생된 난수(RB)가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 상기 엔티티 B에 의한 상기 엔티티 A의 인증이 통과되었다고 결정하고, 그리고 아래의 단계 (7)을 수행하는 단계와;
(7) 상기 엔티티 B에 의해 메시지 5를 상기 엔티티 A에 전송하는 단계와, 여기서 상기 메시지 5는 토큰(TokenBA) 및 선택 텍스트(Text7)를 포함하고, 여기서 TokenBA = sSB(RA∥A∥Text6), 그리고 sSB는 상기 엔티티 B에 의해 행해진 서명이고;
(8) 상기 엔티티 A에 의해 상기 메시지 5의 수신시,
(8.1) 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 메시지 3에서의 상기 응답(RepTA)을 검증하고, 만약 검증이 통과되면 아래의 단계 (8.2)를 수행하며,
(8.2) 상기 엔티티 B의 공개키 인증서의 상태 혹은 공개키를 획득하고, 상기 토큰(TokenBA)에서의 상기 엔티티 B에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 A의 엔티티 구별자가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 상기 엔티티 A의 엔티티 구별자와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 상기 메시지 4에서의 상기 엔티티 A에 의해 발생된 난수(RA)가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 난수(RA)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 상기 엔티티 A에 의한 상기 엔티티 B의 인증이 통과되었다고 결정하는 단계를 포함한다.
본 발명의 실시예에 따르면, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법이 또한 제공되고, 이 방법은,
(1) 엔티티 B에 의해 메시지 1을 엔티티 A에 전송하는 단계와, 여기서 상기 메시지 1은 난수(RB), 요청(ReqB), 및 선택 텍스트(Text1)를 포함하고, 상기 요청(ReqB)은 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
(2) 상기 엔티티 A에 의해 상기 메시지 1의 수신시 메시지 2를 제 3 신뢰 기관(TP)에 전송하는 단계와, 여기서 상기 메시지 2는 요청(ReqAT) 및 선택 텍스트(Text2)를 포함하고, 상기 요청(ReqAT)은 상기 요청(ReqB)의 콘텐츠와 동일하고, 그리고 상기 요청(ReqAT)은 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
(3) 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A의 아이덴티티 식별자(IDA)에 따라 공개키 인증서(CertA)의 유효성을 점검하거나; 또는 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A의 엔티티 구별자를 통해 상기 엔티티 A의 유효 공개키를 검색하고, 그리고
상기 제 3 신뢰 기관(TP)에 의해 응답(RepTA)을 결정하는 단계와, 여기서 상기 응답(RepTA)은 응답(RepB)의 콘텐츠와 동일하고, 상기 응답(RepTA)은 상기 제 3 신뢰 기관(TP)에 의해 결정된 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하고;
(4) 상기 제 3 신뢰 기관(TP)에 의해 메시지 3을 상기 엔티티 A에 리턴하는 단계와, 여기서 상기 메시지 3은 상기 응답(RepTA) 및 선택 텍스트(Text3)를 포함하고;
(5) 상기 엔티티 A에 의해 상기 메시지 3의 수신시 메시지 4를 상기 엔티티 B에 리턴하는 단계와, 여기서 상기 메시지 4는 아이덴티티 식별자(IDA), 토큰(TokenAB), 상기 응답(RepB) 및 선택 텍스트(Text5)를 포함하고, 여기서 TokenAB = sSA(RepB∥RB∥A∥Text4), 그리고 sSA는 상기 엔티티 A에 의해 행해진 서명이고;
(6) 상기 엔티티 B에 의해 상기 메시지 4의 수신시,
(6.1) 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 응답(RepB)을 검증하고, 만약 검증이 통과되면 아래의 단계 (6.2)를 수행하며,
(6.2) 상기 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고, 상기 토큰(TokenAB)에서의 상기 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 메시지 1에서의 상기 엔티티 B에 의해 발생된 난수(RB)가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 상기 엔티티 B에 의한 상기 엔티티 A의 인증이 통과되었다고 결정하는 단계를 포함한다.
본 발명의 실시예에 따르면, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템이 제공되고, 상기 시스템은 엔티티 A, 엔티티 B, 및 제 3 신뢰 기관을 포함하고,
상기 제 3 신뢰 기관은, 응답(RepTA)을 발생시켜 상기 응답(RepTA)을 상기 엔티티 A에 전송하도록 되어 있는 응답(RepTA) 발생 유닛을 포함하며;
상기 엔티티 A는, 상기 엔티티 B의 아이덴티티를 검증하기 위해,
사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 응답(RepTA)을 검증하고; 만약 검증이 통과되면 상기 엔티티 B의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenBA)에서의 상기 엔티티 B에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 A의 엔티티 구별자가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 상기 엔티티 A의 엔티티 구별자와 일치하는지 여부를 점검하고; 만약 일치한다면, 메시지 4에서의 상기 엔티티 A에 의해 발생된 난수(RA)가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 난수(RA)와 일치하는지 여부를 점검하고; 만약 일치한다면, 상기 엔티티 B의 아이덴티티의 검증이 통과되었다고 결정하도록 되어 있는 검증 유닛을 포함하고;
상기 엔티티 B는, 상기 엔티티 A의 아이덴티티를 검증하기 위해,
사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepB)을 검증하고; 만약 검증이 통과되면 상기 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenAB)에서의 상기 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 B의 엔티티 구별자가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 상기 엔티티 B의 엔티티 구별자와 일치하는지 여부를 점검하고; 만약 일치한다면, 메시지 1에서의 상기 엔티티 B에 의해 발생된 난수(RB)가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고; 그리고 만약 일치한다면, 상기 엔티티 A의 아이덴티티의 검증이 통과되었다고 결정하도록 되어 있는 검증 유닛을 포함한다.
본 발명의 실시예에 따르면, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템이 또한 제공되고, 상기 시스템은 엔티티 A, 엔티티 B, 및 제 3 신뢰 기관을 포함하고,
상기 제 3 신뢰 기관은, 응답(RepTA)을 발생시켜 상기 응답(RepTA)을 상기 엔티티 A에 전송하도록 되어 있는 응답(RepTA) 발생 유닛을 포함하며;
상기 엔티티 B는, 상기 엔티티 A의 아이덴티티를 검증하기 위해,
사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepB)을 검증하고; 만약 검증이 통과되면 상기 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenAB)에서의 상기 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 메시지 1에서의 상기 엔티티 B에 의해 발생된 난수(RB)가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고; 그리고 만약 일치한다면, 상기 엔티티 A의 아이덴티티의 검증이 통과되었다고 결정하도록 되어 있는 검증 유닛을 포함한다.
본 발명의 실시예들은 3-엔티티 구조를 채택한다. 인증 전에, 엔티티 A와 엔티티 B 각각은, 제 3 신뢰 기관의 공개키 혹은 인증서를 획득하고, 그리고 제 3 신뢰 기관에 의해 자신에게 발행된 사용자 인증서를 획득하거나 자신의 공개키를 제 3 신뢰 기관에 배포하는바, 이로 인해 상대방의 공개키 인증서의 상태 혹은 유효 공개키를 미리 알 필요가 없다. 본 발명은 엔티티 공개키 획득, 인증서 검증 및 인증의 기능을 단일 프로토콜에 통합시키는바, 이는 프로토콜의 효율 및 성능을 향상시키고, 다양한 공개키 획득 및 공개키 인증서 상태 질의 프로토콜들과의 호환을 용이하게 하며, 액세스 네트워크의 "사용자-액세스 포인트-서버" 구조에 응용가능하고, 그리고 액세스 네트워크의 인증 요건을 충족시킬 수 있다.
도 1은 종래 기술에서 인증 메커니즘의 작동 원리를 도시적으로 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 방법을 도시적으로 나타낸 도면이다.
도 3은 본 발명의 또 다른 실시예에 따른 방법을 도시적으로 나타낸 도면이다.
본 발명의 실시예에 따른 방법은 3개의 보안 요소들, 즉 두 개의 엔티티들(엔티티 A 및 엔티티 B)과 제 3 신뢰 기관(TP)을 포함한다. 온라인 제 3 신뢰 기관(TP)을 통해 엔티티 A와 엔티티 B는 서로 인증을 수행하고, 그리고 상대방의 공개키 인증서의 상태 혹은 유효 공개키를 획득한다. 엔티티 A는 제 3 신뢰 기관(TP)과 직접 통신할 수 있는 반면, 엔티티 B는 엔티티 A를 통해서만 제 3 신뢰 기관(TP)과 통신할 수 있다.
예시적 설명을 위해, 부호들이 아래와 같이 정의된다.
엔티티 X에 대해(여기서 X는 A 혹은 B가 됨), RX는 엔티티 X에 의해 발생된 난수(random number)를 표시하고; CertX는 엔티티 X의 공개키 인증서이고; IDX는 엔티티 X의 아이덴티티 식별자이며, 인증서(CertX) 혹은 엔티티 구별자(entity distinguisher)(X)에 의해 나타내지며; ReqX는 엔티티 X에 의해 발생된 요청을 표시하고, 상대방의 공개키 인증서의 상태 혹은 유효 공개키와 같은 정보를 요청하는데 사용되고; ReqXT는 엔티티 X에 의해 제 3 신뢰 기관(TP)에 발생 혹은 전달되는 요청을 표시하고; RepX는 ReqX에 대응하여 엔티티 X에 전송되는 응답(즉, 엔티티 X에 응답하여 엔티티 X에 전송되는 응답)을 표시하며, 이 응답에는 엔티티 X에 의해 요청된 엔티티의 공개키 인증서의 상태 혹은 유효 공개키와 같은 정보가 포함되어 있으며; RepTX는 ReqXT에 대응하여 제 3 신뢰 기관(TP)에 의해 발생된 응답을 표시하는바, 즉 제 3 신뢰 기관(TP)이 엔티티 X에 응답하는 것으로, 이 응답에는 엔티티 X에 의해 직접 요청되거나 혹은 엔티티 X에 의해 전달되는 요청에서 요청된 엔티티의 공개키 인증서의 상태 혹은 유효 공개키와 같은 정보가 포함되어 있으며; 토큰(Token)은 토큰을 위한 필드이고; 텍스트(Text)는 선택 텍스트 필드(optional text field)이고; 그리고 sSX는 엔티티 X에 의해 행해진 서명을 표시한다. ReqB, ReqAT, RepTA 및 RepB의 형태 및 정의는, 사용된 특정 공개키 검증 혹은 배포 프로토콜에 따라 결정될 수 있고, 그리고 온라인 공개키 검증 혹은 배포 프로토콜은 인증서 상태 프로토콜(GB/T 19713 참조), 서버 기반 인증서 검증 프로토콜(IETF RFC5055 참조), 및 다른 공개키 검증 혹은 배포 프로토콜들을 포함할 수 있다.
도 2에 제시된 바와 같이, 본 발명의 실시예에 따른, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법은 다음의 단계들, 즉,
(1) 엔티티 B에 의해 메시지 1을 엔티티 A에 전송하는 단계와, 여기서 메시지 1은 난수(RB), 아이덴티티 식별자(IDB), 요청(ReqB), 및 선택 텍스트(Text1)를 포함하고, 요청(ReqB)은 엔티티 B가 상대방(즉, 엔티티 A)의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
(2) 엔티티 A에 의해 메시지 1의 수신시 메시지 2를 제 3 신뢰 기관(TP)에 전송하는 단계와, 여기서 메시지 2는 요청(ReqAT) 및 선택 텍스트(Text2)를 포함하고, 요청(ReqAT)은 요청(ReqB)의 콘텐츠를 포함하며, 그리고 요청(ReqAT)은 엔티티 A가 엔티티 B의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시함과 아울러 엔티티 B가 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
(3) 제 3 신뢰 기관(TP)에 의해 메시지 2의 수신시 엔티티 A 및 엔티티 B의 아이덴티티 식별자들(IDA 및 IDB)에 따라 공개키 인증서들(CertA 및 CertB)의 유효성(validity)을 점검하거나; 또는 제 3 신뢰 기관(TP)에 의해 메시지 2의 수신시 엔티티 구별자들(A 및 B)을 통해 엔티티 A와 엔티티 B의 유효 공개키들을 검색하고, 그리고
제 3 신뢰 기관(TP)에 의해 응답(RepTA)을 결정하는 단계와, 여기서 응답(RepTA)은 응답(RepB)의 콘텐츠를 포함하고, 응답(RepTA)은 제 3 신뢰 기관(TP)에 의해 결정된 엔티티 B의 공개키 인증서의 상태 혹은 유효 공개키뿐만 아니라 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하고;
(4) 제 3 신뢰 기관(TP)에 의해 메시지 3을 엔티티 A에 리턴하는 단계와, 여기서 메시지 3은 응답(RepTA) 및 선택 텍스트(Text3)를 포함하고;
(5) 엔티티 A에 의해 메시지 3의 수신시 메시지 4를 엔티티 B에 리턴하는 단계와, 여기서 메시지 4는 난수(RA), 아이덴티티 식별자(IDA), 토큰(TokenAB), 응답(RepB) 및 선택 텍스트(Text5)를 포함하고, 여기서 TokenAB = sSA(RepB∥RA∥RB∥B∥A∥Text4), 그리고 응답(RepB)은 제 3 신뢰 기관(TP)에 의해 결정된 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하며;
(6) 엔티티 B에 의해 메시지 4의 수신시,
(6.1) 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepB)을 검증하고, 만약 검증이 통과되면 아래의 단계 (6.2)를 수행하며,
(6.2) 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고, 토큰(TokenAB)에서의 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 엔티티 B의 구별자가 토큰(TokenAB)에서의 엔티티 A의 서명 데이터에 포함된 엔티티 구별자(B)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 메시지 1에서의 엔티티 B에 의해 발생된 난수(RB)가 토큰(TokenAB)에서의 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 엔티티 B에 의한 엔티티 A의 인증이 통과되었다고 결정하고, 그리고 아래의 단계 (7)을 수행하는 단계와;
(7) 엔티티 B에 의해 메시지 5를 엔티티 A에 전송하는 단계와, 여기서 메시지 5는 토큰(TokenBA) 및 선택 텍스트(Text7)를 포함하고, 여기서 TokenBA = sSB(RA∥A∥Text6)이고;
(8) 상기 엔티티 A에 의해 메시지 5의 수신시,
(8.1) 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 메시지 3에서의 응답(RepTA)을 검증하고, 만약 검증이 통과되면 아래의 단계 (8.2)를 수행하며,
(8.2) 엔티티 B의 공개키 인증서의 상태 혹은 공개키를 획득하고,
토큰(TokenBA)에서의 엔티티 B에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 엔티티 A의 구별자(A)가 토큰(TokenBA)에서의 엔티티 B의 서명 데이터에 포함된 엔티티 구별자(A)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 메시지 4에서의 엔티티 A에 의해 발생된 난수(RA)가 토큰(TokenBA)에서의 엔티티 B의 서명 데이터에 포함된 난수(RA)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 엔티티 A에 의한 엔티티 B의 인증이 통과되었다고 결정하는 단계를 포함한다.
앞서의 실시예에서, 단계 (8.1)는 단계 (5)에 있도록 선행될 수 있는바, 즉, 엔티티 A는, 메시지 3의 수신시, 먼저 단계 (8.1)을 수행하고, 그 다음에 메시지 4를 엔티티 B에 전송할 수 있다. 그리고 타임 스탬프(time stamp) 또는 일련 번호(serial number)가 난수들(RA 및 RB) 대신 사용될 수 있다.
인증 시스템을 사용하는 실제 애플리케이션에서, 일반적으로, 엔티티 B는 사용자 통신 단말기에 상주할 수 있고, 엔티티 A는 네트워크 액세스 포인트에 상주할 수 있다. 앞서의 실시예에 따라 엔티티 B와 엔티티 A 간의 쌍방향 인증을 수행하는 방법에 의해, 사용자와 네트워크 액세스 포인트 간의 쌍방향 유효성 인증이 실현될 수 있고, 이에 따라 합법적 사용자가 합법적 네트워크에 액세스하는 것을 보장할 수 있다.
실제 애플리케이션에서는, 때때로, 사용자가 액세스하는 네트워크가 적법함을 보장만 하면 된다. 이러한 경우에, 앞서의 실시예에 따른 방법은 수정될 수 있는바, 즉 메시지 5를 취소하고, 메시지 1 내지 메시지 4의 콘텐츠를 간소화시키고, 그리고 단계 (7)과 단계 (8)을 생략하도록 수정될 수 있고, 이에 따라 엔티티 B에 의한 엔티티 A의 단방향 인증이 실현될 수 있다. 도 3에 제시된 바와 같이, 그 상세한 프로세스는 다음의 단계들을 포함하는바, 즉,
(1) 엔티티 B에 의해 메시지 1을 엔티티 A에 전송하는 단계와, 여기서 메시지 1은 난수(RB), 요청(ReqB), 및 선택 텍스트(Text1)를 포함하고, 요청(ReqB)은 엔티티 B가 그 상태방(즉, 엔티티 A)의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
(2) 엔티티 A에 의해 메시지 1의 수신시 메시지 2를 제 3 신뢰 기관(TP)에 전송하는 단계와, 여기서 메시지 2는 요청(ReqAT) 및 선택 텍스트(Text2)를 포함하고, 요청(ReqAT)은 요청(ReqB)의 콘텐츠와 동일하고, 그리고 요청(ReqAT)은 엔티티 B가 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
(3) 제 3 신뢰 기관(TP)에 의해 메시지 2의 수신시 엔티티 A의 아이덴티티 식별자(IDA)에 따라 공개키 인증서(CertA)의 유효성을 점검하거나; 또는 제 3 신뢰 기관(TP)에 의해 메시지 2의 수신시 엔티티 구별자(A)를 통해 엔티티 A의 유효 공개키를 검색하고, 그리고
제 3 신뢰 기관(TP)에 의해 응답(RepTA)을 결정하는 단계와, 여기서 응답(RepTA)은 응답(RepB)의 콘텐츠와 동일하고, 응답(RepTA)은 제 3 신뢰 기관(TP)에 의해 결정된 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하고;
(4) 제 3 신뢰 기관(TP)에 의해 메시지 3을 엔티티 A에 리턴하는 단계와, 여기서 메시지 3은 응답(RepTA) 및 선택 텍스트(Text3)를 포함하고;
(5) 엔티티 A에 의해 메시지 3의 수신시 메시지 4를 엔티티 B에 리턴하는 단계와, 여기서 메시지 4는 아이덴티티 식별자(IDA), 토큰(TokenAB), 응답(RepB) 및 선택 텍스트(Text5)를 포함하고, 여기서 TokenAB = sSA(RepB∥RB∥A∥Text4)이고;
(6) 엔티티 B에 의해 메시지 4의 수신시,
(6.1) 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepB)을 검증하고, 만약 검증이 통과되면 아래의 단계 (6.2)를 수행하며,
(6.2) 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고,
토큰(TokenAB)에서의 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 메시지 1에서의 엔티티 B에 의해 발생된 난수(RB)가 토큰(TokenAB)에서의 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고, 그리고
만약 일치한다면, 엔티티 B에 의한 엔티티 A의 인증이 통과되었다고 결정하는 단계를 포함한다.
본 발명은 또한, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템을 제공하는바, 이 시스템은 엔티티 A, 엔티티 B, 및 제 3 신뢰 기관을 포함한다. 제 3 신뢰 기관은 응답(RepTA) 발생 유닛을 포함한다. 제 3 신뢰 기관은, 응답(RepTA) 발생 유닛을 통해, 응답(RepTA)을 발생시켜 이것을 엔티티 A에 전송한다. 엔티티 A는 엔티티 B의 아이덴티티를 검증하기 위한 검증 유닛을 포함한다. 엔티티 B의 아이덴티티를 검증하기 위한 검증 유닛은, 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepTA)을 검증하고; 만약 검증이 통과되면 엔티티 B의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenBA)에서의 엔티티 B에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 엔티티 A의 구별자(A)가 토큰(TokenBA)에서의 엔티티 B의 서명 데이터에 포함된 엔티티 구별자(A)와 일치하는지 여부를 점검하고; 만약 일치한다면, 메시지 4에서의 엔티티 A에 의해 발생된 난수(RA)가 토큰(TokenBA)에서의 엔티티 B의 서명 데이터에 포함된 난수(RA)와 일치하는지 여부를 점검하고; 만약 일치한다면, 엔티티 B의 아이덴티티의 검증이 통과되었다고 결정한다. 엔티티 B는 엔티티 A의 아이덴티티를 검증하기 위한 검증 유닛을 포함한다. 엔티티 A의 아이덴티티를 검증하기 위한 검증 유닛은, 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepB)을 검증하고; 만약 검증이 통과되면 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenAB)에서의 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 엔티티 B의 구별자가 토큰(TokenAB)에서의 엔티티 A의 서명 데이터에 포함된 엔티티 구별자(B)와 일치하는지 여부를 점검하고; 만약 일치한다면, 메시지 1에서의 엔티티 B에 의해 발생된 난수(RB)가 토큰(TokenAB)에서의 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고; 그리고 만약 일치한다면, 엔티티 A의 아이덴티티의 검증이 통과되었다고 결정한다.
본 발명은 또한, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템을 제공하는바, 이 시스템은 엔티티 A, 엔티티 B, 및 제 3 신뢰 기관을 포함한다. 제 3 신뢰 기관은 응답(RepTA) 발생 유닛을 포함한다. 제 3 신뢰 기관은, 응답(RepTA) 발생 유닛을 통해, 응답(RepTA)을 발생시켜 이것을 엔티티 A에 전송한다. 엔티티 B는, 엔티티 A의 아이덴티티를 검증하기 위한 검증 유닛을 포함한다. 엔티티 A의 아이덴티티를 검증하기 위한 검증 유닛은, 사용된 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepB)을 검증하고; 만약 검증이 통과되면 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenAB)에서의 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 메시지 1에서의 엔티티 B에 의해 발생된 난수(RB)가 토큰(TokenAB)에서의 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고; 그리고 만약 일치한다면, 엔티티 A의 아이덴티티의 검증이 통과되었다고 결정한다.
엔티티들(A 및 B), 난수들(RA 및 RB), 메시지들(메시지 1 내지 메시지 5), 선택 텍스트들(Text1 내지 Text5), 그리고 아이덴티티 식별자들, 요청들 및 응답들과 같은 앞서의 실시예들에서 사용된 표기들은, 단지 예시적 목적으로 제공되는 것이며, 동일한 속성을 가진 아이템들(예를 들어, 두 개의 엔티티들)을 단지 구분하기 위한 것으로, 따라서 이러한 것들이 본 발명을 한정하는 것으로 해석돼서는 안된다.
앞에서 설명된 것은, 본 발명에 의해 제공되는, 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법 및 그 시스템이다. 본 발명의 원리 및 그 구현을 설명하기 위해 특정 실시예들이 사용되었다. 이러한 실시예들의 설명은 단지 본 발명의 방법 및 그 기본 아이디어의 이해가 보다 더 잘 되도록 하기 위한 것임에 유의해야 하고, 그리고 본 발명의 이러한 아이디어에 근거하여 본 발명의 실시예 및 응용에 대한 수정들이 본 발명의 기술분야에서 숙련된 자들에 의해 행해질 수 있음에 또한 유의해야한다. 따라서 본 명세서의 설명 내용은 본 발명을 한정하는 것으로서 해석돼서는 안 된다.

Claims (4)

  1. 온라인 제 3 신뢰 기관(online trusted third party)으로 엔티티 공개키(entity public key) 획득, 인증서 검증, 및 인증을 수행하는 방법으로서,
    (1) 엔티티 B에 의해 메시지 1을 엔티티 A에 전송하는 단계와, 여기서 상기 메시지 1은 난수(random number)(RB), 아이덴티티 식별자(identity identifier)(IDB), 요청(ReqB), 및 선택 텍스트(optional text)(Text1)를 포함하고, 상기 요청(ReqB)은 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서(public key certificate)의 상태 혹은 유효 공개키(valid public key)를 요청한다는 것을 표시하고;
    (2) 상기 엔티티 A에 의해 상기 메시지 1의 수신시 메시지 2를 제 3 신뢰 기관(trusted third party)(TP)에 전송하는 단계와, 여기서 상기 메시지 2는 요청(ReqAT) 및 선택 텍스트(Text2)를 포함하고, 상기 요청(ReqAT)은 상기 요청(ReqB)의 콘텐츠를 포함하며, 그리고 상기 요청(ReqAT)은 상기 엔티티 A가 상기 엔티티 B의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시함과 아울러 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
    (3) 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A 및 상기 엔티티 B의 아이덴티티 식별자들(IDA 및 IDB)에 따라 공개키 인증서들(CertA 및 CertB)의 유효성을 점검하거나; 또는 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A와 상기 엔티티 B의 각각의 엔티티 구별자(entity distinguisher)들을 통해 상기 엔티티 A와 상기 엔티티 B의 유효 공개키들을 검색하고, 그리고
    상기 제 3 신뢰 기관(TP)에 의해 응답(RepTA)을 결정하는 단계와, 여기서 상기 응답(RepTA)은 응답(RepB)의 콘텐츠를 포함하고, 상기 응답(RepTA)은 상기 제 3 신뢰 기관(TP)에 의해 결정된 상기 엔티티 B의 공개키 인증서의 상태 혹은 유효 공개키뿐만 아니라 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하고;
    (4) 상기 제 3 신뢰 기관(TP)에 의해 메시지 3을 상기 엔티티 A에 리턴(return)하는 단계와, 여기서 상기 메시지 3은 상기 응답(RepTA) 및 선택 텍스트(Text3)를 포함하고;
    (5) 상기 엔티티 A에 의해 상기 메시지 3의 수신시 메시지 4를 상기 엔티티 B에 리턴하는 단계와, 여기서 상기 메시지 4는 난수(RA), 아이덴티티 식별자(IDA), 토큰(token)(TokenAB), 상기 응답(RepB) 및 선택 텍스트(Text5)를 포함하고, 여기서 TokenAB = sSA(RepB∥RA∥RB∥B∥A∥Text4), 그리고 sSA는 상기 엔티티 A에 의해 행해진 서명(signature)이고, 상기 응답(RepB)은 상기 제 3 신뢰 기관(TP)에 의해 결정된 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하며;
    (6) 상기 엔티티 B에 의해 상기 메시지 4의 수신시,
    (6.1) 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 응답(RepB)을 검증하고, 만약 검증이 통과되면 아래의 단계 (6.2)를 수행하며,
    (6.2) 상기 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고, 상기 토큰(TokenAB)에서의 상기 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 B의 엔티티 구별자가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터(signature data)에 포함된 상기 엔티티 B의 엔티티 구별자와 일치하는지 여부를 점검하고, 그리고
    만약 일치한다면, 상기 메시지 1에서의 상기 엔티티 B에 의해 발생된 난수(RB)가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고, 그리고
    만약 일치한다면, 상기 엔티티 B에 의한 상기 엔티티 A의 인증이 통과되었다고 결정하고, 그리고 아래의 단계 (7)을 수행하는 단계와;
    (7) 상기 엔티티 B에 의해 메시지 5를 상기 엔티티 A에 전송하는 단계와, 여기서 상기 메시지 5는 토큰(TokenBA) 및 선택 텍스트(Text7)를 포함하고, 여기서 TokenBA = sSB(RA∥A∥Text6), 그리고 sSB는 상기 엔티티 B에 의해 행해진 서명이고;
    (8) 상기 엔티티 A에 의해 상기 메시지 5의 수신시,
    (8.1) 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 메시지 3에서의 상기 응답(RepTA)을 검증하고, 만약 검증이 통과되면 아래의 단계 (8.2)를 수행하며,
    (8.2) 상기 엔티티 B의 공개키 인증서의 상태 혹은 공개키를 획득하고, 상기 토큰(TokenBA)에서의 상기 엔티티 B에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 A의 엔티티 구별자가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 상기 엔티티 A의 엔티티 구별자와 일치하는지 여부를 점검하고, 그리고
    만약 일치한다면, 상기 메시지 4에서의 상기 엔티티 A에 의해 발생된 난수(RA)가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 난수(RA)와 일치하는지 여부를 점검하고, 그리고
    만약 일치한다면, 상기 엔티티 A에 의한 상기 엔티티 B의 인증이 통과되었다고 결정하는 단계를 포함하는 것을 특징으로 하는 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법.
  2. 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법으로서,
    (1) 엔티티 B에 의해 메시지 1을 엔티티 A에 전송하는 단계와, 여기서 상기 메시지 1은 난수(RB), 요청(ReqB), 및 선택 텍스트(Text1)를 포함하고, 상기 요청(ReqB)은 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
    (2) 상기 엔티티 A에 의해 상기 메시지 1의 수신시 메시지 2를 제 3 신뢰 기관(TP)에 전송하는 단계와, 여기서 상기 메시지 2는 요청(ReqAT) 및 선택 텍스트(Text2)를 포함하고, 상기 요청(ReqAT)은 상기 요청(ReqB)의 콘텐츠와 동일하고, 그리고 상기 요청(ReqAT)은 상기 엔티티 B가 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 요청한다는 것을 표시하고;
    (3) 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A의 아이덴티티 식별자(IDA)에 따라 공개키 인증서(CertA)의 유효성을 점검하거나; 또는 상기 제 3 신뢰 기관(TP)에 의해 상기 메시지 2의 수신시 상기 엔티티 A의 엔티티 구별자를 통해 상기 엔티티 A의 유효 공개키를 검색하고, 그리고
    상기 제 3 신뢰 기관(TP)에 의해 응답(RepTA)을 결정하는 단계와, 여기서 상기 응답(RepTA)은 응답(RepB)의 콘텐츠와 동일하고, 상기 응답(RepTA)은 상기 제 3 신뢰 기관(TP)에 의해 결정된 상기 엔티티 A의 공개키 인증서의 상태 혹은 유효 공개키를 표시하고;
    (4) 상기 제 3 신뢰 기관(TP)에 의해 메시지 3을 상기 엔티티 A에 리턴하는 단계와, 여기서 상기 메시지 3은 상기 응답(RepTA) 및 선택 텍스트(Text3)를 포함하고;
    (5) 상기 엔티티 A에 의해 상기 메시지 3의 수신시 메시지 4를 상기 엔티티 B에 리턴하는 단계와, 여기서 상기 메시지 4는 아이덴티티 식별자(IDA), 토큰(TokenAB), 상기 응답(RepB) 및 선택 텍스트(Text5)를 포함하고, 여기서 TokenAB = sSA(RepB∥RB∥A∥Text4), 그리고 sSA는 상기 엔티티 A에 의해 행해진 서명이고;
    (6) 상기 엔티티 B에 의해 상기 메시지 4의 수신시,
    (6.1) 공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 응답(RepB)을 검증하고, 만약 검증이 통과되면 아래의 단계 (6.2)를 수행하며,
    (6.2) 상기 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고, 상기 토큰(TokenAB)에서의 상기 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 메시지 1에서의 상기 엔티티 B에 의해 발생된 난수(RB)가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고, 그리고
    만약 일치한다면, 상기 엔티티 B에 의한 상기 엔티티 A의 인증이 통과되었다고 결정하는 단계를 포함하는 것을 특징으로 하는 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 방법.
  3. 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템으로서,
    상기 시스템은 엔티티 A, 엔티티 B, 및 제 3 신뢰 기관을 포함하고,
    상기 제 3 신뢰 기관은, 응답(RepTA)을 발생시켜 상기 응답(RepTA)을 상기 엔티티 A에 전송하도록 되어 있는 응답(RepTA) 발생 유닛을 포함하며;
    상기 엔티티 A는, 상기 엔티티 B의 아이덴티티를 검증하기 위해,
    공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 상기 응답(RepTA)을 검증하고; 만약 검증이 통과되면 상기 엔티티 B의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenBA)에서의 상기 엔티티 B에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 A의 엔티티 구별자가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 상기 엔티티 A의 엔티티 구별자와 일치하는지 여부를 점검하고; 만약 일치한다면, 메시지 4에서의 상기 엔티티 A에 의해 발생된 난수(RA)가 상기 토큰(TokenBA)에서의 상기 엔티티 B의 서명 데이터에 포함된 난수(RA)와 일치하는지 여부를 점검하고; 만약 일치한다면, 상기 엔티티 B의 아이덴티티의 검증이 통과되었다고 결정하도록 되어 있는 검증 유닛을 포함하고;
    상기 엔티티 B는, 상기 엔티티 A의 아이덴티티를 검증하기 위해,
    공개키 검증 프로토콜 혹은 분배 프로토콜에 따라 응답(RepB)을 검증하고; 만약 검증이 통과되면 상기 엔티티 A의 공개키 인증서의 상태 혹은 공개키를 획득하고; 토큰(TokenAB)에서의 상기 엔티티 A에 의해 행해진 서명이 정당한지 여부를 검증하고, 그리고 상기 엔티티 B의 엔티티 구별자가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 상기 엔티티 B의 엔티티 구별자와 일치하는지 여부를 점검하고; 만약 일치한다면, 메시지 1에서의 상기 엔티티 B에 의해 발생된 난수(RB)가 상기 토큰(TokenAB)에서의 상기 엔티티 A의 서명 데이터에 포함된 난수(RB)와 일치하는지 여부를 점검하고; 그리고 만약 일치한다면, 상기 엔티티 A의 아이덴티티의 검증이 통과되었다고 결정하도록 되어 있는 검증 유닛을 포함하는 것을 특징으로 하는 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템.
  4. 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템으로서,
    상기 시스템은 엔티티 A, 엔티티 B, 및 제 3 신뢰 기관을 포함하고,
    상기 시스템은 엔티티 공개키 획득, 인증서 검증 및 인증을 위해 청구항 제2항의 상기 방법을 채용하는 것을 특징으로 하는 온라인 제 3 신뢰 기관으로 엔티티 공개키 획득, 인증서 검증, 및 인증을 수행하는 시스템.
KR1020127011077A 2009-09-30 2009-12-14 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템 KR101405509B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200910024191.4 2009-09-30
CN2009100241914A CN101674182B (zh) 2009-09-30 2009-09-30 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
PCT/CN2009/075544 WO2011038559A1 (zh) 2009-09-30 2009-12-14 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统

Publications (2)

Publication Number Publication Date
KR20120104193A KR20120104193A (ko) 2012-09-20
KR101405509B1 true KR101405509B1 (ko) 2014-06-11

Family

ID=42021187

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020127011077A KR101405509B1 (ko) 2009-09-30 2009-12-14 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템

Country Status (6)

Country Link
US (1) US8751792B2 (ko)
EP (1) EP2472772B1 (ko)
JP (1) JP5425314B2 (ko)
KR (1) KR101405509B1 (ko)
CN (1) CN101674182B (ko)
WO (1) WO2011038559A1 (ko)

Families Citing this family (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101984577B (zh) 2010-11-12 2013-05-01 西安西电捷通无线网络通信股份有限公司 匿名实体鉴别方法及系统
CN101997688B (zh) * 2010-11-12 2013-02-06 西安西电捷通无线网络通信股份有限公司 一种匿名实体鉴别方法及系统
US8898764B2 (en) * 2012-04-19 2014-11-25 Microsoft Corporation Authenticating user through web extension using token based authentication scheme
CN103297241B (zh) * 2013-05-31 2016-02-03 中国人民武装警察部队工程大学 一种一次性公钥匿名签密的构造方法
US9978094B2 (en) * 2013-10-11 2018-05-22 Visa International Service Association Tokenization revocation list
CN106572065B (zh) * 2015-10-10 2019-11-22 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
CN106572063B (zh) 2015-10-10 2019-10-29 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
CN106572066B (zh) * 2015-10-10 2019-11-22 西安西电捷通无线网络通信股份有限公司 一种实体身份有效性验证方法及其装置
CN106572064B (zh) 2015-10-10 2019-10-29 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
CN106571920B (zh) * 2015-10-10 2019-09-27 西安西电捷通无线网络通信股份有限公司 一种多ttp参与的实体身份有效性验证方法及装置
KR102025808B1 (ko) * 2017-11-24 2019-09-26 엘지전자 주식회사 차량용 제어 유닛의 업데이트 방법 및 차량
JP6952661B2 (ja) * 2018-08-30 2021-10-20 株式会社東芝 情報処理装置、通信機器、情報処理システム、情報処理方法、および情報処理プログラム
US11877154B2 (en) * 2020-03-05 2024-01-16 Cisco Technology, Inc. Identifying trusted service set identifiers for wireless networks
TWI744844B (zh) * 2020-03-30 2021-11-01 尚承科技股份有限公司 憑證安全簽發與管理系統及方法
JP7369820B2 (ja) 2022-03-31 2023-10-26 本田技研工業株式会社 鞍乗り型車両

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536544B2 (en) * 1999-06-11 2009-05-19 Tvworks, Llp Trust information delivery scheme for certificate validation

Family Cites Families (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5491750A (en) 1993-12-30 1996-02-13 International Business Machines Corporation Method and apparatus for three-party entity authentication and key distribution using message authentication codes
JPH08297638A (ja) 1995-04-26 1996-11-12 Nippon Telegr & Teleph Corp <Ntt> 利用者認証方式
JPH08335208A (ja) 1995-06-08 1996-12-17 Nippon Telegr & Teleph Corp <Ntt> 代理認証方法及びシステム
US5794221A (en) 1995-07-07 1998-08-11 Egendorf; Andrew Internet billing method
GB9903124D0 (en) 1999-02-11 1999-04-07 Nokia Telecommunications Oy An authentication method
AU8475401A (en) 2000-08-08 2002-02-18 Wachovia Corp Internet third-party authentication using electronic tickets
JP3588042B2 (ja) 2000-08-30 2004-11-10 株式会社日立製作所 証明書の有効性確認方法および装置
US7370351B1 (en) 2001-03-22 2008-05-06 Novell, Inc. Cross domain authentication and security services using proxies for HTTP access
US7155608B1 (en) 2001-12-05 2006-12-26 Bellsouth Intellectual Property Corp. Foreign network SPAM blocker
DE60314871T2 (de) 2002-05-24 2008-03-13 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren zur authentifizierung eines anwenders bei einem zugang zu einem dienst eines diensteanbieters
JP2004015665A (ja) 2002-06-10 2004-01-15 Takeshi Sakamura 電子チケット流通システムにおける認証方法およびicカード
RU2295200C2 (ru) 2002-08-16 2007-03-10 Тогева Холдинг Аг Способ и система для gsm-аутентификации при роуминге в беспроводных локальных сетях
CN1191696C (zh) * 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
CN100428667C (zh) 2003-12-01 2008-10-22 中国电子科技集团公司第三十研究所 一种采用公开密钥密码算法数字签名模式的强鉴别方法
DE602004032313D1 (de) 2004-05-07 2011-06-01 Alcatel Lucent Datenauthentifizierungsverfahren und Agent basiertes System
CN100576793C (zh) * 2004-05-18 2009-12-30 江苏省电力公司 借助安全认证网关的企业网安全接入方法
EP1601154A1 (en) * 2004-05-28 2005-11-30 Sap Ag Client authentication using a challenge provider
RU2278477C2 (ru) 2004-06-04 2006-06-20 Корпорация "Самсунг Электроникс" Способ аутентификации для стационарных региональных систем беспроводного широкополосного доступа
US7464267B2 (en) 2004-11-01 2008-12-09 Innomedia Pte Ltd. System and method for secure transmission of RTP packets
US7412232B2 (en) 2004-12-22 2008-08-12 Research In Motion Limited Method and system for controlling software loads on a third-party mobile station
WO2006079953A1 (en) 2005-01-31 2006-08-03 Koninklijke Philips Electronics N.V. Authentication method and device for use in wireless communication system
JP4714482B2 (ja) 2005-02-28 2011-06-29 株式会社日立製作所 暗号通信システムおよび方法
KR100652125B1 (ko) 2005-06-03 2006-12-01 삼성전자주식회사 서비스 제공자, 단말기 및 사용자 식별 모듈 간을총괄적으로 인증하여 관리할 수 있도록 하는 상호 인증방법 및 이를 이용한 시스템과 단말 장치
CN100550725C (zh) 2005-06-17 2009-10-14 中兴通讯股份有限公司 一种用户与应用服务器协商共享密钥的方法
EP1900170B1 (en) 2005-06-29 2017-11-15 Telecom Italia S.p.A. Short authentication procedure in wireless data communications networks
KR100735221B1 (ko) 2005-08-12 2007-07-03 삼성전자주식회사 컨텐츠를 다수의 단말기에서 재생할 수 있도록 하는 컨텐츠재생 방법 및 이를 이용한 시스템과 단말 장치
US20070055881A1 (en) 2005-09-02 2007-03-08 Fuchs Kenneth C Method for securely exchanging public key certificates in an electronic device
CN101366037A (zh) 2005-12-05 2009-02-11 诺基亚公司 在移动终端中用于安全http摘要响应验证以及完整性保护的计算机程序产品、装置以及方法
US20090063851A1 (en) 2006-03-20 2009-03-05 Nijdam Mark J Establishing communications
JP5052809B2 (ja) * 2006-03-31 2012-10-17 株式会社エヌ・ティ・ティ・データ 認証システム、認証サーバおよびプログラム
CN101064605B (zh) 2006-04-29 2011-02-16 华为技术有限公司 一种多主机网络的aaa系统及认证方法
CN100488305C (zh) * 2006-09-23 2009-05-13 西安西电捷通无线网络通信有限公司 一种网络接入鉴别与授权方法以及授权密钥更新方法
CN100495963C (zh) * 2006-09-23 2009-06-03 西安西电捷通无线网络通信有限公司 一种公钥证书状态的获取及验证方法
CN100555936C (zh) 2007-01-08 2009-10-28 中国信息安全产品测评认证中心 一种在智能卡与u盘复合设备中提高访问安全性的方法
CN100553193C (zh) * 2007-10-23 2009-10-21 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法及其系统
CN100488099C (zh) 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
CN101222328B (zh) * 2007-12-14 2010-11-03 西安西电捷通无线网络通信股份有限公司 一种实体双向鉴别方法
CN101247223B (zh) 2008-03-06 2010-06-09 西安西电捷通无线网络通信有限公司 一种基于可信第三方的实体双向鉴别方法
CN101364876B (zh) * 2008-09-12 2011-07-06 西安西电捷通无线网络通信股份有限公司 一种实现实体的公钥获取、证书验证及鉴别的方法
CN101364875B (zh) 2008-09-12 2010-08-11 西安西电捷通无线网络通信有限公司 一种实现实体的公钥获取、证书验证及双向鉴别的方法
CN100581107C (zh) 2008-11-04 2010-01-13 西安西电捷通无线网络通信有限公司 一种基于三元对等鉴别(TePA)的可信平台验证方法
CN101640593B (zh) 2009-08-28 2011-11-02 西安西电捷通无线网络通信股份有限公司 一种引入在线第三方的实体双向鉴别方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7536544B2 (en) * 1999-06-11 2009-05-19 Tvworks, Llp Trust information delivery scheme for certificate validation

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A. Menezes 외 2명, Chap.10 Identification and Entity Authentication, Handbook of Applied Cryptography, CRC Press (1996.) *
A. Menezes 외 2명, Chap.10 Identification and Entity Authentication, Handbook of Applied Cryptography, CRC Press (1996.)*

Also Published As

Publication number Publication date
EP2472772A1 (en) 2012-07-04
CN101674182B (zh) 2011-07-06
US8751792B2 (en) 2014-06-10
KR20120104193A (ko) 2012-09-20
EP2472772A4 (en) 2017-06-28
JP5425314B2 (ja) 2014-02-26
JP2013506352A (ja) 2013-02-21
CN101674182A (zh) 2010-03-17
US20120198240A1 (en) 2012-08-02
WO2011038559A1 (zh) 2011-04-07
EP2472772B1 (en) 2020-05-06

Similar Documents

Publication Publication Date Title
KR101405509B1 (ko) 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템
KR100990320B1 (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
KR101483818B1 (ko) 신뢰성 있는 제 3자를 기반으로 한 양방향 엔티티 인증 방법
KR100953095B1 (ko) 슈퍼 피어 기반 p2p 네트워크 시스템 및 이를 위한 피어인증 방법
US8776204B2 (en) Secure dynamic authority delegation
WO2011022918A1 (zh) 一种引入在线第三方的实体双向鉴别方法
WO2011022919A1 (zh) 一种引入在线第三方的实体鉴别方法
WO2022033350A1 (zh) 注册服务的方法及设备
Aiash et al. A formally verified access control mechanism for information centric networks
Aiash et al. An integrated authentication and authorization approach for the network of information architecture
CN116506118A (zh) 一种pki证书透明化服务中身份隐私性保护方法
EP4252384B1 (en) Methods, devices and system related to a distributed ledger and user identity attribute
US20170118198A1 (en) Identity verification
CN114915494B (zh) 一种匿名认证的方法、系统、设备和存储介质
Mahdi et al. A formally verified access control mechanism for information centric networks
Rao et al. An authentication and authorization approach for the network of knowledge architecture.
WO2011075907A1 (zh) 一种实现实体的公钥获取、证书验证及双向鉴别的方法
WO2011075906A1 (zh) 一种实现实体的公钥获取、证书验证及鉴别的方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170526

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180529

Year of fee payment: 5