KR102290342B1 - 디지털 인증서 관리 방법 및 장치 - Google Patents

디지털 인증서 관리 방법 및 장치 Download PDF

Info

Publication number
KR102290342B1
KR102290342B1 KR1020197022430A KR20197022430A KR102290342B1 KR 102290342 B1 KR102290342 B1 KR 102290342B1 KR 1020197022430 A KR1020197022430 A KR 1020197022430A KR 20197022430 A KR20197022430 A KR 20197022430A KR 102290342 B1 KR102290342 B1 KR 102290342B1
Authority
KR
South Korea
Prior art keywords
digital certificate
key
data
request
issuing device
Prior art date
Application number
KR1020197022430A
Other languages
English (en)
Other versions
KR20190099066A (ko
Inventor
위에후이 왕
비안링 장
만시아 티에
샤오롱 라이
진 리
위강 퉁
궈창 장
지창 두
시앙 얀
Original Assignee
차이나 아이더블유엔콤 씨오., 엘티디
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 차이나 아이더블유엔콤 씨오., 엘티디 filed Critical 차이나 아이더블유엔콤 씨오., 엘티디
Publication of KR20190099066A publication Critical patent/KR20190099066A/ko
Application granted granted Critical
Publication of KR102290342B1 publication Critical patent/KR102290342B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 개시는 디지털 인증서를 관리하기 위한 방법 및 장치에 관한 것이다. 본 방법은: 디지털 인증서 응용 장치가 보안 데이터 채널을 설정하고 보안 키를 생성하는 것에 관해 획득된 인증 코드에 의해 디지털 인증서 발행 장치와 협상하고 - 보안 키는 데이터 통신 키를 포함함 -; 디지털 인증서 응용 장치가 디지털 인증서 관리 요청 메시지를 보안 데이터 채널에 의해 디지털 인증서 발행 장치로 송신하고 - 디지털 인증서 관리 요청 메시지는 데이터 통신 키에 의해 암호화됨 -; 디지털 인증서 응용 장치가 보안 데이터 채널에 의해 디지털 인증서 발행 장치에 의해 송신되는 디지털 인증서 관리 응답 메시지를 수신하고 - 디지털 인증서 관리 응답 메시지는 데이터 통신 키에 의해 암호화됨 -; 디지털 인증서 응용 장치가 디지털 인증서 관리 응답 메시지를 처리하여 처리 결과를 획득하는 것을 포함한다. 본 출원은 디지털 인증서 관리의 보안을 효과적으로 향상시킬 수 있다.

Description

디지털 인증서 관리 방법 및 장치
본 출원은 중국 특허청에 2017년 4월 1일자로 출원된, 발명의 명칭이 "METHOD AND DEVICE FOR MANAGING DIGITAL CERTIFICATE"인, 중국 특허 출원 번호 제201710211816.2호에 대한 우선권을 주장하며, 이는 본원에 그 전체가 참조로 통합된다.
본 개시는 네트워크 보안 기술들의 분야에 관한 것으로서, 특히 디지털 인증서를 관리하기 위한 방법 및 장치에 관한 것이다.
네트워크 보안 기술들의 발전과 함께, 네트워크 송신 동안에 정보의 기밀성 및 무결성을 보장하는 것이 중요하며, 이는 이러한 분야에서 중요한 연구 주제가 되었다. 네트워크 통신 엔티티의 신원은 디지털 인증서를 통해 검증될 수 있으며, 따라서 디지털 인증서 기술은 데이터 암호화 및 신원 검증을 실현하기 위해 사용될 수 있다. 디지털 인증서는 일반적으로 디지털 인증서 요청 장치의 신원을 식별하기 위해, 디지털 인증서 요청 장치로 디지털 인증서 발행 장치에 의해 발행된다.
종래 기술에서 디지털 인증서를 자동으로 요청하기 위한 방법이 이미 존재하며, 이는 무선 근거리 통신망을 통해 디지털 인증서를 요청, 갱신 및 발행하기 위해 수행될 수 있다. 이러한 방법에 있어서, 디지털 인증서 요청 장치는 무선 근거리 통신망을 통해 메시지를 디지털 인증서 발행 장치에 전송하여, 디지털 인증서 발행 장치에 디지털 인증서 요청 장치에 의해 지원되는 디지털 인증서 생성 방식을 통지하고, 디지털 인증서 발행 장치가 디지털 인증서를 생성하는 것을 용이하게 할 수 있다. 그러나, 이러한 방법에 있어서, 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이에 송신되는 메시지들은 평문(plaintext)이고, 디지털 인증서 요청 장치 및 디지털 인증서 발행 장치 각각은 메시지들의 무결성만을 검증하여, 메시지가 위조되었는지 여부를 판단한다. 따라서, 이러한 방법에 있어서, 데이터의 무결성만이 보장되는 반면, 데이터의 신뢰성 및 기밀성이 보장될 수 없어서, 데이터가 효율적으로 보호되지 않는 것을 야기한다. 또한, 메시지들이 평문으로 송신되므로, 특히 데이터가 다른 종류들의 네트워크들을 통해 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이에서 전송되는 경우에 낮은 보안의 단점이 존재한다.
디지털 인증서를 관리하기 위한 방법 및 장치가 본 개시에 따라 제공되며, 이에 의해 데이터를 전송하기 위한 보안 데이터 채널이 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이에 설정되고, 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이에 전송되는 메시지들은 암호화되며, 그것에 의해 디지털 인증서 관리에서 보안을 효과적으로 향상시킨다.
다음의 기술적 솔루션들이 본 개시에 따라 제공된다.
제1 양태에서, 디지털 인증서를 관리하는 방법이 본 개시에 따라 제공된다. 방법은 하기 단계들을 포함한다: 디지털 인증서 요청 장치에 의해, 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 보안 키는 적어도 데이터 통신 키를 포함함 -; 디지털 인증서 요청 장치에 의해, 디지털 인증서 관리 요청 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하는 단계 - 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화됨 -; 디지털 인증서 발행 장치에 의해 디지털 인증서 관리 요청 메시지를 수신하고, 디지털 인증서 발행 장치에 의해, 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 송신하는 단계 - 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화됨 -; 보안 데이터 채널을 통해 디지털 인증서 요청 장치에 의해 디지털 인증서 관리 응답 메시지를 수신하는 단계; 및 디지털 인증서 요청 장치에 의해 디지털 인증서 관리 응답 메시지를 처리하여, 처리 결과를 획득하는 단계.
제2 양태에서, 디지털 인증서 요청 장치가 본 개시에 따라 제공된다.
장치는 보안 데이터 채널 설정 유닛, 암호화 유닛, 송신 유닛, 수신 유닛 및 처리 유닛을 포함한다. 보안 데이터 채널 설정 유닛은 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하도록 구성된다. 보안 키는 데이터 통신 키를 포함한다. 암호화 유닛은 데이터 통신 키로 디지털 인증서 관리 요청 메시지를 암호화하도록 구성된다. 송신 유닛은 디지털 인증서 관리 요청 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하도록 구성된다. 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화된다. 수신 유닛은 보안 데이터 채널을 통해 디지털 인증서 발행 장치로부터 디지털 인증서 관리 응답 메시지를 수신하도록 구성된다. 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화된다. 처리 유닛은 디지털 인증서 관리 응답 메시지를 처리하여, 처리 결과를 획득하도록 구성된다.
제3 양태에서, 디지털 인증서 요청 장치가 본 개시에 따라 더 제공된다. 장치는 메모리 및 하나 이상의 프로그램들을 포함한다. 하나 이상의 프로그램들은 메모리에 저장된다. 하나 이상의 프로그램들은 하나 이상의 프로세서들에 의해 실행될 때, 하나 이상의 프로세서들이 다음 단계들을 수행하도록 하는 명령들을 포함한다: 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 보안 키는 데이터 통신 키를 포함함 -; 디지털 인증서 관리 요청 메시지를 데이터 통신 키로 암호화하는 단계; 디지털 인증서 관리 요청 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하는 단계 - 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화됨 -; 보안 데이터 채널을 통해 디지털 인증서 발행 장치로부터 디지털 인증서 관리 응답 메시지를 수신하는 단계 - 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화됨 -; 및 디지털 인증서 관리 응답 메시지를 처리하여 처리 결과를 획득하는 단계.
제4 양태에서, 디지털 인증서 발행 장치가 본 개시에 따라 제공된다. 장치는 보안 데이터 채널 설정 유닛, 수신 유닛, 처리 유닛, 암호화 유닛 및 송신 유닛을 포함한다. 보안 데이터 채널 설정 유닛은 획득된 인증 코드를 사용함으로써 디지털 인증서 요청 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하도록 구성된다. 보안 키는 데이터 통신 키를 포함한다. 수신 유닛은 보안 데이터 채널을 통해 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지를 수신하도록 구성된다. 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화된다. 처리 유닛은 수신된 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하도록 구성된다. 암호화 유닛은 데이터 통신 키로 디지털 인증서 관리 응답 메시지를 암호화하도록 구성된다. 송신 유닛은 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 송신하도록 구성된다. 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화된다.
제5 양태에서, 디지털 인증서 발행 장치가 본 개시에 따라 제공된다. 장치는 메모리 및 하나 이상의 프로그램들을 포함한다. 하나 이상의 프로그램들은 메모리에 저장된다. 하나 이상의 프로그램들은 하나 이상의 프로세서들에 의해 실행될 때, 하나 이상의 프로세서들이 다음 단계들을 수행하도록 하는 명령들을 포함한다: 획득된 인증 코드를 사용함으로써 디지털 인증서 요청 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 보안 키는 데이터 통신 키를 포함함 -; 보안 데이터 채널을 통해 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지를 수신하는 단계 - 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화됨 -; 수신된 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하는 단계; 디지털 인증서 관리 응답 메시지를 데이터 통신 키로 암호화하는 단계; 및 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 송신하는 단계 - 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화됨 -.
본 개시에 따른 디지털 인증서를 관리하는 방법 및 장치에 따르면, 디지털 인증서 요청 장치는 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성할 수 있고, 메시지들은 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이의 메시지 상호작용의 과정 동안에 생성된 데이터 통신 키로 암호화 될 수 있으며, 그것에 의해 데이터 송신에서 보안을 효과적으로 향상시킨다. 방법 및 장치는 다양한 시나리오들에서 디지털 인증서를 자동으로 요청, 질의, 갱신, 폐기(revoking) 및 디지털 인증서 폐기 목록을 획득하는 데 적용가능하다.
본 개시의 실시예들에서 또는 종래 기술에서 기술적 솔루션들을 보다 명확하게 예시하기 위해, 실시예들 또는 종래 기술의 설명에서 사용될 도면들이 아래에 간략하게 설명된다. 다음 설명의 도면들은 본 개시의 일부 실시예들만을 도시하고, 다른 도면들은 임의의 창조적인 작업 없이 도면들로부터 당업자에 의해 획득될 수 있다는 것이 명백하다.
도 1은 본 개시의 실시예들이 적용될 수 있는 응용 시나리오를 개략적으로 도시한다.
도 2는 본 개시의 일 실시예에 따른 디지털 인증서를 관리하는 방법의 흐름도이다.
도 3은 본 개시의 다른 실시예에 따른 디지털 인증서를 관리하는 방법의 흐름도이다.
도 4는 본 개시의 일 실시예에 따른 보안 데이터 채널을 설정하기 위한 협상 과정을 도시하는 개략도이다.
도 5는 본 개시의 일 실시예에 따른 디지털 인증서 폐기 목록을 획득하는 것뿐만 아니라 디지털 인증서를 자동으로 요청, 질의, 갱신 및 폐기하는 방법에서 생성되는 메시지들의 내용들을 도시하는 개략도이다.
도 6은 본 개시의 일 실시예에 따른 디지털 인증서 요청 장치의 개략적인 블록도이다.
도 7은 본 개시의 다른 실시예에 따른 디지털 인증서 요청 장치의 개략적인 블록도이다.
도 8은 본 개시의 일 실시예에 따른 디지털 인증서 발행 장치의 개략적인 블록도이다.
도 9는 본 개시의 다른 실시예에 따른 디지털 인증서 발행 장치의 개략적인 블록도이다.
디지털 인증서를 관리하기 위한 방법 및 장치가 본 개시의 실시예에 따라 제공되며, 이에 의해 데이터를 송신하기 위한 보안 데이터 채널이 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이에 설정되고, 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이에 송신되는 메시지들이 암호화되며, 그것에 의해 디지털 인증서 관리에서 보안을 효과적으로 향상시킨다.
당업자에 의한 본 개시의 기술적 솔루션들의 더 양호한 이해를 위해, 본 개시의 실시예들의 기술적 솔루션들은 본 개시의 실시예에서 도면들을 참조하여 명백하고 완전히 설명된다. 본원에서 설명되는 실시예들은 본 개시의 모든 실시예들이라기 보다는 단지 일부 실시예들이라는 것이 명백하다. 본 개시의 실시예들에 기초하여, 임의의 창작적인 작업 없이 당업자에 의해 획득되는 모든 다른 실시예들은 본 개시의 보호 범위 내에 있어야 한다.
본 개시의 실시예가 적용될 수 있는 예시적 응용 시나리오를 도시하는 도 1을 참조한다. 본 개시의 실시예에 따른 방법 및 장치는 도 1에 도시된 바와 같은 시나리오에 적용될 수 있다. 디지털 인증서 요청 장치 및 디지털 인증서 발행 장치는 유선 및/또는 무선 통신(예를 들어, WLAN, LAN, 셀룰러 네트워크 및 동축 케이블)의 임의의 형태로 네트워크를 통해 서로 통신될 수 있다. 도 1에 도시된 바와 같이, 디지털 인증서 요청 장치는 종래의, 개발된 또는 개발될 스마트폰, 비-스마트폰, 태블릿 컴퓨터, 랩탑 개인용 컴퓨터, 데스크탑 개인용 컴퓨터, 미니컴퓨터, 중형 컴퓨터, 메인프레임 컴퓨터 등을 포함하지만 이에 제한되지 않는다. 디지털 인증서 요청 장치는 인증서 등을 다운로드하거나 갱신하는 것을 요청하기 위해 디지털 인증서 요청 장치 및 디지털 인증서 발행 장치 둘 다에 적용 가능한 네트워크를 통해 디지털 인증서 발행 장치(예를 들어, 인증 기관의 CA 서버)에 메시지를 송신할 수 있다. 본 개시의 실시예들은 다양한 산업들 예컨대 무선 동작 네트워크, 항공, 운송, 전력, 방송 라디오 및 텔레비전, 금융, 헬스케어, 교육, 및 산업 및 상업에 적용될 수 있다는 점이 주목되어야 한다. 상기 응용 시나리오들은 단지 본 개시의 기술적 솔루션들을 이해하는 것을 용이하게 하기 위해 도시되고, 본 개시의 실시예들은 이에 제한되지 않는다는 점이 주목되어야 한다. 본 개시의 실시예들은 임의의 적절한 시나리오들에 적용될 수 있다.
본 개시의 예시적 실시예에 따른 디지털 인증서를 관리하기 위한 방법은 도 2 내지 도 6을 참조하여 아래에 설명된다.
본 개시의 일 실시예에 따른 디지털 인증서를 관리하는 방법의 흐름도인 도 2를 참조한다. 도 2에 도시된 바와 같이, 방법은 다음 단계들(S201 내지 S205)을 포함한다.
단계(S201)에서, 디지털 인증서 요청 장치는 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성한다. 보안 키는 데이터 통신 키를 포함한다.
실제로, 디지털 인증서 요청자(requester)는 디지털 인증서 발행자(issuer)에게 디지털 인증서를 다운로드하기 위해 사용되는 인증 코드를 요청할 수 있다. 디지털 인증서 요청자는 예를 들어, 디지털 인증서 요청 장치일 수 있다. 디지털 인증서 발행자는 예를 들어, 디지털 인증서 발행 장치일 수 있다. 인증 코드를 요청하는 방식은 본 개시에서 특별히 제한되지 않는다. 예를 들어, 디지털 인증서 요청자는 단문 메시지, 이메일, 전용 요청 등등을 통해 디지털 인증서 발행자로부터 인증 코드를 요청할 수 있다. 디지털 인증서 발행자는 특정 방식으로 인증 코드를 디지털 인증서 요청자에게 송신할 수 있다. 예를 들어, 디지털 인증서 발행자는 단문 메시지, 이메일, 전용 요청 등등을 통해 인증코드를 디지털 인증서 요청자에게 송신할 수 있다. 일반적으로, 인증 코드는 디지털 인증서 발행자에 의해 생성된다. 인증 코드는 디지털 인증서 요청자가 인증 코드를 요청하는 경우 생성될 수 있거나, 미리 생성될 수 있다. 인증 코드는 문자들 및/또는 숫자들 및/또는 기호들의 조합의 형태일 수 있고, 특정 길이 및 특정 유효 기간을 갖는다. 유효 기간이 만료되면, 인증 코드는 무효화된다. 동작 동안에, 디지털 인증서 발행자는 상이한 디지털 인증서 요청자들에 대해 상이한 인증 코드들을 발행한다.
실제로, 디지털 인증서 요청 장치는 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정할 수 있다. 보안 데이터 채널은 보안 데이터 송신을 위해 사용된다. 보안 데이터 채널을 설정하는 과정 동안에, 디지털 인증서 요청 장치는 인증 코드를 사용함으로써 보안 키를 생성할 수 있다. 보안 키는 하나 이상의 키들을 포함할 수 있다. 하나 이상의 키들은 데이터 통신 키를 포함한다. 보안 키는 데이터 세션 키를 더 포함할 수 있다. 보안 데이터 채널을 통해 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이에 송신되는 메시지는 데이터 통신 키로 암호화될 수 있다. 디지털 인증서 요청 장치 및 디지털 인증서 발행 장치 둘 다는 보안 키를 생성하여, 메시지 암호화 및 복호화를 용이하게 할 수 있다는 점이 주목되어야 한다. 데이터 세션 키는 인증서 요청 데이터 또는 인증서 응답 데이터를 암호화하기 위해 사용될 수 있다. 인증서 요청 데이터는 디지털 인증서 관리 요청 메시지에 운반되고, 인증서 응답 데이터는 디지털 인증서 관리 응답 메시지에 운반된다.
단계(S202)에서, 디지털 인증서 요청 장치는 디지털 인증서 관리 요청 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신한다. 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화된다.
본 개시에 따르면, 디지털 인증서 관리 요청 메시지는 암호화된다. 특히, 디지털 인증서 관리 요청 메시지는 단계(S201)에서 생성되는 데이터 통신 키로 암호화되며, 그것에 의해 메시지 송신에서 보안을 효과적으로 향상시킨다. 디지털 인증서 관리 요청 메시지에 운반되는 데이터는 1회 또는 2회 암호화될 수 있다는 점이 주목되어야 한다. 예를 들어, 디지털 인증서 관리 요청 메시지는 보안 데이터 채널을 통해 송신될 때 데이터 통신 키로 암호화될 수 있고, 그 다음, 디지털 인증서 발행 장치로 송신된다. 예를 들어, 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터는 디지털 인증서 관리 요청 메시지가 송신되기 전에 보안 키의 키, 예를 들어, 데이터 세션 키로 암호화되고, 그 다음, 디지털 인증서 관리 요청 메시지는 보안 데이터 채널을 통해 송신될 때 다시 한번 암호화된다. 보안을 보장하기 위해, 디지털 인증서 관리 요청 메시지는 상이한 보안 키들(즉, 데이터 통신 키 및 데이터 세션 키)로 각각 2회 암호화된다. 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 함께, 암호화 회수들, 암호화 알고리즘 및 암호화를 위한 키들(즉, 데이터 통신 키 및 데이터 세션 키)의 타입들을 미리 결정할 수 있다.
단계(S203)에서, 디지털 인증서 발행 장치는 디지털 인증서 관리 요청 메시지를 수신하고 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 송신한다. 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화된다.
특히, 디지털 인증서 관리 요청 메시지를 수신한 후, 디지털 인증서 발행 장치는: 디지털 인증서 관리 요청 메시지를 생성된 보안 키로 해독하고; 디지털 인증서 관리 요청 메시지에 운반되는 데이터에 기초하여 동작을 수행하고 디지털 인증서 관리 응답 메시지를 생성하고; 디지털 인증서 관리 응답 메시지를 디지털 인증서 요청 장치로 전송한다.
본 개시에 따르면, 디지털 인증서 관리 응답 메시지는 암호화된다. 특히, 디지털 인증서 관리 응답 메시지는 단계(S201)에서 생성된 데이터 통신 키로 암호화되며, 그것에 의해 메시지 송신에서 보안을 효과적으로 향상시킨다. 디지털 인증서 관리 응답 메시지는 1회 또는 2회 암호화될 수 있다는 점이 주목되어야 한다. 예를 들어, 단계(S202)에서, 디지털 인증서 관리 요청 메시지에 운반되는 데이터는 디지털 인증서 관리 요청 메시지가 송신되기 전에, 보안 키의 키, 예를 들어, 데이터 세션 키로 암호화되고, 그 다음, 디지털 인증서 관리 요청 메시지는 디지털 인증서 관리 요청 메시지가 보안 데이터 채널을 통해 송신되는 동안 데이터 통신 키로 다시 한번 암호화된다. 또한, 디지털 인증서 관리 응답 메시지는 데이터 세션 키 및 데이터 통신 키로 각각 2회 암호화될 수 있다. 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 함께, 암호화 회수, 암호화 알고리즘 및 암호화를 위한 키들(즉, 데이터 통신 키 및 데이터 세션 키)의 타입들을 미리 결정할 수 있다.
단계(S204)에서, 디지털 인증서 요청 장치는 보안 데이터 채널을 통해 디지털 인증서 발행 장치로부터 디지털 인증서 관리 응답 메시지를 수신한다.
디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화된다.
실제로, 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이의 메시지 상호작용의 과정 동안에 사용되는 메시지들 및 상호작용 방식은 본 개시에서 제한되지 않는다. 자동 디지털 인증서 요청, 질의, 갱신 및 폐기 그리고 디지털 인증서 폐기 목록 획득을 수행할 수 있는 임의의 메시지 및 상호작용 방식은 본 개시의 보호 범위 내에 있어야 한다. 일부 실시예들에서, 디지털 인증서 관리 요청 메시지는 디지털 인증서 요청 정보, 디지털 인증서 획득 정보, 디지털 인증서 폐기 정보, 디지털 인증서 폐기 목록 정보 등을 포함할 수 있다. 디지털 인증서 관리 응답 메시지는 디지털 인증서 응답 정보를 포함한다.
단계(S205)에서, 디지털 인증서 요청 장치는 디지털 인증서 관리 응답 메시지를 처리하여, 처리 결과를 획득한다.
실제로, 디지털 인증서 요청 장치는 디지털 인증서 관리 응답 메시지를 해독 및 검증하여, 디지털 인증서 관리 응답 메시지 내의 내용들을 획득한다. 또한, 디지털 인증서 요청 장치는 필요에 따라 사용될 디지털 인증서를 결정하고, 그 다음, 디지털 인증서를 설치 및 갱신한다.
실제로, 디지털 인증서 관리 요청 메시지는 인증서 요청 데이터를 운반하고, 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반한다는 것이 이해되어야 한다. 인증서 요청 데이터 및/또는 인증서 응답 데이터를 암호화할지 여부의 경우에 기초하여 다음의 특정 구현예 (1) 내지 (3)이 있을 수 있다.
구현예 (1)에서, 인증서 요청 데이터 및 인증서 응답 데이터는 둘 다 평문으로 송신된다. 디지털 인증서 관리 요청 메시지 및 디지털 인증서 관리 응답 메시지 각각은 보안 데이터 채널에서 데이터 통신 키로 암호화되어, 1회용 암호화를 실현한다.
이 경우, 디지털 인증서 관리 요청 메시지는 디지털 인증서 관리 요청 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되는 방식으로 데이터 통신 키로 암호화된다. 디지털 인증서 관리 응답 메시지는 디지털 인증서 관리 응답 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되는 방식으로 데이터 통신 키로 암호화된다.
구현예 (2)에서, 보안 키가 데이터 세션 키를 더 포함하는 경우, 인증서 요청 데이터는 1차 암호화를 위해 데이터 세션 키로 암호화되고, 인증서 응답 데이터는 암호화되지 않으며, 즉, 평문이다. 디지털 인증서 관리 요청 메시지는 2차 암호화를 위해 데이터 통신 키로 암호화된다. 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 1회 암호화된다.
이 경우, 디지털 인증서 관리 요청 메시지는 디지털 인증서 관리 요청 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되기 전에 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터가 데이터 세션 키로 암호화되는 방식으로 데이터 통신 키로 암호화된다.
이 경우, 디지털 인증서 관리 응답 메시지는 디지털 인증서 관리 응답 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되는 방식으로 데이터 통신 키로 암호화된다.
구현예 (3)에서, 보안 키가 데이터 세션 키를 더 포함하는 경우, 인증서 요청 데이터는 1차 암호화를 위해 데이터 세션 키로 암호화되고, 인증서 응답 데이터는 또한 1차 암호화를 위해 데이터 세션 키로 암호화된다. 인증서 요청 데이터 및 인증서 응답 데이터는 동일한 암호화 방식으로 동일한 데이터 센션 키로 암호화된다. 디지털 인증서 관리 요청 메시지 및 디지털 인증서 관리 응답 메시지 각각은 2차 암호화를 위해 데이터 통신 키로 암호화된다.
이 경우, 디지털 인증서 관리 요청 메시지는 디지털 인증서 관리 요청 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되기 전에 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터가 데이터 세션 키로 암호화되는 방식으로 데이터 통신 키로 암호화된다.
이 경우, 디지털 인증서 관리 응답 메시지는 디지털 인증서 관리 응답 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되기 전에 디지털 인증서 관리 응답 메시지에 운반되는 인증서 응답 데이터가 데이터 세션 키로 암호화되는 방식으로 데이터 통신 키로 암호화된다.
방법은 다음 단계들(S206 내지 S207)을 더 포함한다.
단계(S206)에서, 디지털 인증서 요청 장치는 디지털 인증서 관리 확인 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신한다. 디지털 인증서 관리 확인 메시지는 데이터 통신 키로 암호화된다.
실제로, 디지털 인증서 관리 확인 메시지는 암호화된다. 특히, 디지털 인증서 관리 확인 메시지는 단계(S201)에서 생성된 데이터 통신 키로 암호화되며, 그것에 의해 메시지 송신에서 보안을 효과적으로 향상시킨다.
단계(S207)에서, 디지털 인증서 발행 장치는 디지털 인증서 관리 확인 메시지를 수신 및 처리한다.
본 개시의 이러한 실시예에서, 디지털 인증서 요청 장치는 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성할 수 있다. 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이의 메시지 상호작용들의 과정 동안에, 메시지는 생성된 보안 키로 암호화될 수 있으며, 그것에 의해 메시지 송신에서 보안을 효과적으로 향상시킨다. 게다가, 방법은 다양한 시나리오들에서 디지털 인증서 요청, 질의, 갱신, 폐기 및 폐기 목록 획득에 적용할 수 있다.
본 개시에 따르면, 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이의 메시지 상호작용들의 과정 동안에, 메시지가 송신된 후 응답 메시지가 특정 기간 내에 수신되지 않으면 메시지를 재송신하도록 요구된다.
당업자가 특정 시나리오들에서 본 개시의 실시예들을 명백하게 이해하는 것을 용이하게 하기 위해, 특정 실시예는 이하에 본 개시의 실시예들을 설명하는 예로서 취해진다. 이러한 특정 실시예는 단지 당업자가 실시예들을 명백하게 이해하는 것을 용이하게 하기 위해서 설명되고, 본 개시는 이에 제한되지 않는다는 점이 주목되어야 한다.
본 개시의 다른 실시예에 따른 디지털 인증서를 관리하기 위한 방법의 흐름도인 도 3을 참조한다. 도 3에 도시된 바와 같이, 방법은 다음 단계들(S301 내지 S305)을 포함한다.
단계(S301)에서, 디지털 인증서 요청 장치는 인증 코드를 획득한다.
실제로, 디지털 인증서 요청 장치는 디지털 인증서 발행 장치로부터, 디지털 인증서를 다운로드하기 위해 사용되는 인증 코드를 요청하고, 디지털 인증서 발행 장치로부터 인증 코드를 획득한다.
단계(S302)에서, 디지털 인증서 요청 장치는 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성한다.
실제로, 디지털 인증서를 발행하는 과정 동안에 메시지 송신에서 보안을 보장하기 위해, 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정할 수 있다. 디지털 인증서 요청 장치는 인증 코드를 사용함으로써, 보안 데이터 채널을 통해 데이터를 송신하기 위한 보안 키를 생성한다.
보안 데이터 채널을 설정하기 위한 방식은 데이터를 송신하기 위한 공유 보안 키가 인증 코드를 사용함으로써 생성되는 한, 본 개시에서 제한되지 않는다. 실제로, 보안 데이터 채널은 다음 단계들(S302A 내지 S302C)을 통해 설정될 수 있다.
단계(S302A)에서, 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정한다.
단계(S302B)에서, 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 함께, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성한다.
보안 키는 데이터 통신 키를 포함할 수 있고, 데이터 세션 키를 더 포함할 수 있다. 데이터 통신 키는 보안 데이터 채널을 통한 메시지 상호작용의 과정 동안에 메시지를 암호화하기 위해 디지털 인증서 요청 장치 및 디지털 인증서 발행 장치에 의해 사용된다. 데이터 세션 키는 메시지가 송신되지 전에 메시지에 운반되는 인증서 요청 데이터 및/또는 인증서 응답 데이터를 암호화하기 위해 사용된다.
단계(S302C)에서, 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 함께, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증한다.
실제로, 보안 데이터 채널을 설정하기 위한 협상의 과정을 도시하는 개략도인 도 4를 참조한다. 특히, 디지털 인증서 요청 장치는 디지털 인증서 요청 장치가 제1 난수 및 제1 신원 정보를 디지털 인증서 발행 장치로 송신하고 디지털 인증서 발행 장치로부터 제2 난수 및 제2 신원 정보를 수신하는 방식으로 보안 데이터 채널을 형성하기 위해 디지털 인증서 발행 장치와 협상한다. 제1 난수는 디지털 인증서 요청 장치에 의해 무작위로 생성된다. 제1 신원 정보는 디지털 인증서 요청 장치의 식별자(identifier)의 정보, 예를 들어, IP 어드레스, MAC 어드레스, 이메일 어드레스, 전체 주소 도메인 이름 스트링 또는 국제 모바일 가입자 식별 번호(IMSI)일 수 있다. 제2 난수는 디지털 인증서 발행 장치에 의해 무작위로 생성된다. 제2 신원 정보는 디지털 인증서 발행 장치의 식별자의 정보, 예를 들어, IP 어드레스, MAC 어드레스, 이메일 어드레스, 전체 주소 도메인 이름 스트링 또는 국제 모바일 가입자 식별 번호(IMSI)일 수 있다. 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이의 난수 및 신원 정보의 송신은 디지털 인증서 요청 장치 또는 디지털 인증서 발행 장치 중 어느 하나에 의해 개시될 수 있고, 송신의 방식은 본 개시에서 제한되지 않는다.
일부 실시예들에서, 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 함께, 디지털 인증서 요청 장치가 디지털 인증서 발행 장치와 함께, 인증 코드, 제1 난수, 제1 신원 정보, 제2 난수 및 제2 신원 정보를 사용함으로써 보안 키를 생성하는 방식으로 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성한다. 디지털 인증서 요청 장치에 의해 생성되는 보안 키는 디지털 인증서 발행 장치에 의해 생성되는 보안 키와 동일하다는 점이 주목되어야 한다. 보안 키는 하나 이상의 키들을 포함할 수 있다. 예를 들어, 보안 키는 데이터 송신을 위한 데이터 통신 키를 포함할 수 있고, 무결성 검증을 위한 무결성 검증 키를 더 포함할 수 있고, 인증서 요청 데이터 및/또는 인증서 응답 데이터 암호화를 위한 데이터 세션 키를 더 포함할 수 있다.
일부 실시예들에서, 보안 키는 무결성 검증 키를 더 포함한다. 디지털 인증서 요청 장치는 디지털 인증서 발행 장치와 함께, 디지털 인증서 요청 장치가 디지털 인증서 발행 장치와 함께, 난수 및 무결성 검증 키를 사용함으로써 무결성 검증 코드를 생성하고, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하는 방식으로 무결성 검증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 검증한다.
단계(S303)에서, 디지털 인증서 요청 장치는 디지털 인증서 관리 요청 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신한다.
실제로, 디지털 인증서 요청 장치는 디지털 인증서 관리 요청 메시지가 암호화된 후에 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 디지털 인증서 관리 요청 메시지를 송신한다. 디지털 인증서 요청 장치가 디지털 인증서 발행 장치에 의해 발행되는 디지털 인증서를 가지고 있지 않은 경우, 디지털 인증서 관리 요청 메시지는 새로운 디지털 인증서에 포함되도록 요구되는 인증서 정보를 운반한다. 디지털 인증서 요청 장치가 디지털 인증서 발행 장치에 의해 발행되는 디지털 인증서를 가지고 있는 경우, 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지는 기존 디지털 인증서의 정보를 운반함으로써, 디지털 인증서 발행 장치는 디지털 인증서에 대해 질의하고 갱신할 수 있다.
일부 실시예들에서, 디지털 인증서 관리 요청 메시지는 디지털 인증서 요청 정보, 디지털 인증서 획득 정보, 디지털 인증서 폐기 정보, 디지털 인증서 폐기 목록 정보 등을 포함할 수 있다. 실제로, 디지털 인증서 요청 정보, 디지털 인증서 획득 정보, 디지털 인증서 폐기 정보, 및 디지털 인증서 폐기 목록 정보는 표 1에 도시된 형태들에 의해 표시될 수 있지만 이에 의해 제한되지 않는다.
표 1 디지털 인증서 관리 요청 메시지 내의 정보의 타입들
메시지 타입 값 의미들(정보 타입)
디지털 인증서
관리 요청
메시지		 2 인증서 요청
4 인증서 획득
5 인증서 폐기
6 인증서 폐기 목록
예를 들어, 디지털 인증서 관리 요청 메시지 내의 정보의 타입 값이 2와 동일한 경우, 정보는 새로운 디지털 인증서를 요청하기 위해 사용되는 인증서 요청 정보를 나타낸다. 디지털 인증서 관리 요청 메시지 내의 정보의 타입 값이 4와 동일한 경우, 정보는 기존 디지털 인증서에 대해 질의하거나 갱신하기 위해 사용되는 인증서 획득 정보를 나타낸다. 디지털 인증서 관리 요청 메시지 내의 정보의 타입 값이 5와 동일한 경우, 정보는 기존 디지털 인증서를 폐기하기 위해 사용되는 인증서 폐기 정보를 나타낸다. 디지털 인증서 관리 요청 메시지 내의 정보의 타입 값이 6과 동일한 경우, 정보는 인증서 폐기 목록을 요청하기 위해 사용되는 인증서 폐기 목록 정보를 나타낸다.
실제로, 인증서 요청 정보 내의 필드들은 표 2에 도시된 형태에 의해 표시될 수 있지만 이에 의해 제한되지 않는다.
표 2 인증서 요청 정보
인증서 생성 방식 인증서 요청 데이터
실제로, 인증서 획득 정보 내의 필드들은 표 3에 도시된 형태에 의해 표시될 수 있지만 이에 의해 제한되지 않는다.
표 3 인증서 획득 정보
발행 장치 명 일련 번호
실제로, 인증서 폐기 정보 내의 필드들은 표 4에 도시된 형태에 의해 표시될 수 있지만 이에 의해 제한되지 않는다.
표 4 인증서 폐기 정보
발행 장치 명 일련 번호 폐기 사유
실제로, 인증서 폐기 목록 정보 내의 필드는 표 5에 도시된 형태에 의해 표시될 수 있지만 이에 의해 제한되지 않는다.
표 5 인증서 폐기 목록 정보
발행 장치 명
인증서 요청 정보에 운반되는 인증서 요청 데이터는 본 개시에 따라 제한되지 않는다.
일부 실시예들에서, 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함한다.
인증서 요청 정보는 예를 들어, 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함할 수 있다. 이들 정보 요소들은 간단하고 인증서를 발행하기 위한 기본 요건을 충족시킬 수 있다. 서명 값(signature value)은 디지털 인증서 요청 장치가 공개/개인 키 쌍을 생성한 후 서명 알고리즘 식별자에 대응하는 서명 알고리즘을 사용하여 개인 키로 인증서 요청 정보를 암호화함으로써 획득된다. 디지털 인증서 발행 장치는 인증서 요청 정보에서 소유자의 공개 키의 정보에 기초하여 서명을 검증하여, 공개 및 개인 키들이 디지털 인증서 요청 장치에 속하는지 여부를 판단한다. 공개 및 개인 키들이 서명 알고리즘 식별자 및 서명 값을 사용함으로써 엔티티에 속하는지 여부가 판단될 수 있다.
다른 실시예들에서, 인증서 요청 데이터 내의 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함할 수 있다. 상기 정보로, 인증서 발행 기능은 강화될 수 있다. 예를 들어, 디지털 인증서 요청자는 인증서 내의 특정 정보를 제한하는 것을 요청할 수 있다. 이 경우, 인증서 요청 데이터는 암호화될 수 있다. 특히, 인증서 요청 데이터는 보안 데이터 보안이 설정된 후에 생성된 데이터 세션 키로 디지털 인증서 요청 장치에 의해 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 암호화함으로써 획득된다. 또한, 상기 실시예들에 기초하여, 2개 이상의 암호화 알고리즘들이 디지털 인증서 요청 장치 및/또는 디지털 인증서 발행 장치에 의해 지원되는 경우, 암호화 알고리즘 식별자는 인증서 요청 데이터에 포함될 수 있다. 특히, 인증서 요청 데이터는 암호화 알고리즘 식별자 및 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 데이터 세션 키로 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 암호화함으로써 획득되는 데이터를 포함한다. 이러한 인증서 요청 데이터는 더 많은 구조적 요소들을 갖고 광범위하게 사용될 수 있다. 인증서 요청 데이터는 공개 키 및 개인 키가 속하는 엔티티를 검증하는 동안 암호화에 의해 보호된다. 보안 데이터 채널이 있는 경우, 인증서 요청 데이터는 인증서 요청 데이터의 이러한 구성으로 인해 2회 암호화될 수 있으며, 그것에 의해 데이터 송신에서 보안을 더욱 향상시킨다.
단계(S304)에서, 디지털 인증서 요청 장치는 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로부터 수신한다.
실제로, 디지털 인증서 발행 장치는 디지털 인증서 관리 응답 메시지가 암호화된 후에 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 디지털 인증서 관리 응답 메시지를 송신한다. 디지털 인증서 발행 장치가 디지털 인증서 요청 장치가 새로운 디지털 인증서를 요청할 필요가 있다고 결정하는 경우, 디지털 인증서 관리 응답 메시지는 디지털 인증서 요청 정보에 포함되는 인증서 요청 데이터에 기초하여 디지털 인증서 발행 장치에 의해 생성되는 새로운 디지털 인증서를 포함한다. 디지털 인증서 발행 장치가 디지털 인증서 요청 장치가 기존 디지털 인증서에 대해 질의하거나 갱신할 필요가 있다고 결정하는 경우, 디지털 인증서 관리 응답 메시지는 질의된 또는 갱신된 디지털 인증서를 운반한다.
실제로, 디지털 인증서 발행 장치는 디지털 인증서 관리 요청 메시지 내의 정보의 타입에 기초하여 결정 및 처리를 수행한다. 디지털 인증서 발행 장치가 디지털 인증서 요청 정보를 수신하고 요청된 디지털 인증서의 정보가 있다고 결정하는 경우, 디지털 인증서 발행 장치는 인증서 요청 데이터에 기초하여 새로운 디지털 인증서를 발행한다. 디지털 인증서 발행 장치가 인증서 획득 정보에 포함되는 기존 디지털 인증서의 정보가 있다고 결정하는 경우, 디지털 인증서 발행 장치는 발행 장치 명(name) 및 일련 번호에 기초하여 기존 디지털 인증서에 관해 질의한다. 디지털 인증서 발행 장치가 인증서 폐기 정보에 포함되는 발행 장치 명 및 일련 번호가 있다고 결정하면, 디지털 인증서 발행 장치는 발행 장치 명 및 일련 번호에 기초하여 기존 디지털 인증서에 관해 질의하고 기존 디지털 인증서를 폐기한다. 디지털 인증서 발행 장치가 인증서 폐기 목록이 있다고 결정하는 경우, 디지털 인증서 발행 장치는 발행 장치 명에 기초하여 인증서 폐기 목록에 대해 질의한다. 디지털 인증서 발행 장치는 디지털 인증서 관리 응답 메시지에 상기 인증서를 운반한다. 디지털 인증서 관리 응답 메시지는 표 6에 도시된 형태에 의해 표시될 수 있지만 이에 의해 제한되지 않는다.
표 6 디지털 인증서 관리 응답 메시지 내의 정보의 타입들
메시지 타입 값 의미(정보의 타입)
디지털 인증서 관리
응답 메시지		 3 인증서 응답
인증서 응답 정보는 표 7에 도시된 형식에 의해 표시될 수 있지만 이에 의해 제한되지 않는다.
표 7 인증서 응답 정보의 형식
인증서 생성 타입 인증서 응답 데이터
인증서 생성 타입은 표 8에 도시된 바와 같을 수 있으며, 이는 인증서의 소유자에 대응하는 상이한 타입들의 인증서들을 도시한다.
표 8 인증서들의 타입들
타입 값 의미
1 클라이언트 인증서
2 AS 인증서
3 CA 인증서
4 인증서 폐기 목록
여기서, AS 인증서는 인증 서버 인증서를 나타내고, CA 인증서는 인증 기관 인증서를 나타낸다.
실제로, 디지털 인증서 관리 응답 메시지는 암호화된다. 특히, 보안 데이터 채널이 있는 경우, 디지털 인증서 관리 응답 메시지는 생성된 데이터 통신 키로 암호화되며, 그것에 의해 메시지 송신에서 보안을 향상시킨다. 디지털 인증서 관리 응답 메시지는 1회 또는 2회 암호화될 수 있다는 점이 주목되어야 한다. 예를 들어, 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터는 디지털 인증서 관리 요청 메시지가 송신되기 전에 보안 키의 데이터 세션 키와 같은 키로 1차 암호화를 위해 암호화되고, 디지털 인증서 관리 요청 메시지는 디지털 인증서 관리 요청 메시지가 보안 데이터 채널을 통해 송신되는 동안 2차 암호화를 위해 데이터 통신 키로 암호화된다. 또한, 디지털 인증서 관리 응답 메시지에 운반되는 인증서 응답 데이터는 또한 데이터 세션 키 및 데이터 통신 키로 2차 암호화를 위해 암호화될 수 있다. 또한, 2개 이상의 암호화 알고리즘들이 디지털 인증서 요청 장치 및/또는 디지털 인증서 발행 장치에 의해 지원되는 경우, 암호화 알고리즘 식별자는 인증서 응답 데이터에 포함될 수 있다. 특히, 인증서 응답 데이터는 암호화 알고리즘 식별자 및 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 데이터 세션 키로 인증서 응답 데이터를 암호화함으로써 획득되는 데이터를 포함한다.
단계(S305)에서, 디지털 인증서 요청 장치는 디지털 인증서 관리 응답 메시지를 처리하여, 처리 결과를 획득한다.
또한, 디지털 인증서 요청 장치는 필요에 따라 사용될 디지털 인증서를 결정한다.
방법은 다음 단계(S306)를 더 포함할 수 있다.
단계(S306)에서, 디지털 인증서 요청 장치는 디지털 인증서 관리 확인 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신한다. 디지털 인증서 관리 확인 메시지는 데이터 통신 키로 암호화된다.
본 개시의 실시예들에서, 안전하고 신뢰 가능한 데이터 송신 채널은 상기 단계들(S301 내지 S302)을 통해 설정되고, 디지털 인증서 요청, 질의 및 갱신은 상기 3개의 단계들(S303, S304 및 S305)에서 메시지 상호작용들을 통해 자동으로 수행되며, 그것에 의해 디지털 인증서를 효과적이고, 안전하고 신뢰 가능하게 관리한다. 자동 디지털 인증서 요청, 질의, 갱신, 폐기 및 폐기 목록 획득의 과정에서 생성되는 메시지들의 내용들을 도시하는 개략도인 도 5를 참조한다. 도 5에 도시된 바와 같이, 디지털 인증서 관리 요청 메시지(CertReq)는 디지털 인증서 요청 정보, 디지털 인증서 획득 정보, 디지털 인증서 폐기 정보, 디지털 인증서 폐기 목록 정보 등을 포함할 수 있다. 디지털 인증서 관리 응답 메시지(CertRes)는 디지털 인증서 응답 정보 등을 포함할 수 있다. 디지털 인증서 관리 확인 메시지(CertConfirm)는 디지털 인증서 요청 장치와 디지털 인증서 발행 장치 사이의 통신을 단절시키기 위해 사용될 수 있다.
본 개시에 따른 디지털 인증서를 관리하기 위한 방법이 상술되었으며, 이는 디지털 인증서 요청 장치의 측면에서 수행된다. 본 개시에 따른 방법은 또한 디지털 인증서 발행 장치의 측면에서 수행될 수 있으며, 그 과정들은 도 2 내지 도 5에 도시된 과정들에 대응하여 수행될 수 있다는 점이 당업자에 의해 이해되어야 한다. 예를 들어, 방법은, 디지털 인증서 발행 장치의 측면에서 수행될 때, 하기를 더 포함할 수 있다: 디지털 인증서 발행 장치에 의해, 인증 코드를 사용함으로써 디지털 인증서 요청 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 보안 키는 데이터 통신 키를 포함함 -; 디지털 인증서 발행 장치에 의해, 보안 데이터 채널을 통해 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지를 수신하는 단계 - 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화됨 -; 디지털 인증서 발행 장치에 의해, 수신된 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하는 단계; 및 디지털 인증서 발행 장치에 의해, 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 송신하는 단계 - 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화됨 -.
일부 실시예들에서, 방법은 하기 단계를 더 포함한다: 디지털 인증서 발행 장치에 의해, 디지털 인증서 요청 장치에 의해 생성되고 보안 데이터 채널을 통해 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 확인 메시지를 수신 및 처리하는 단계.
일부 실시예들에서, 보안 데이터 채널을 설정하고 보안 키를 생성하기 위해 인증 코드를 사용함으로써 디지털 인증서 요청 장치와 디지털 인증서 발행 장치에 의해 협상하는 단계는 하기를 포함한다: 보안 데이터 채널을 설정하기 위해 디지털 인증서 요청 장치와 디지털 인증서 발행 장치에 의해 협상하는 단계; 디지털 인증서 요청 장치와 디지털 인증서 발행 장치에 의해, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성하는 단계; 및 디지털 인증서 요청 장치와 디지털 인증서 발행 장치에 의해, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하는 단계.
일부 실시예들에서, 보안 데이터 채널을 설정하기 위해 디지털 인증서 요청 장치와 디지털 인증서 발행 장치에 의해 협상하는 단계는 하기 단계들을 포함한다: 디지털 인증서 발행 장치에 의해, 제2 난수 및 제2 신원 정보를 디지털 인증서 요청 장치로 송신하는 단계, 및 디지털 인증서 발행 장치에 의해, 디지털 인증서 요청 장치로부터 제1 난수 및 제1 신원 정보를 수신하는 단계.
일부 실시예들에서, 디지털 인증서 요청 장치와 디지털 인증서 발행 장치에 의해, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성하는 단계는 하기 단계를 포함한다: 디지털 인증서 발행 장치에 의해, 인증 코드, 제1 난수, 제1 신원 정보, 제2 난수 및 제2 신원 정보를 사용함으로써 보안 키를 생성하는 단계.
특정 구현예들에 대해, 도 2 내지 도 5에 도시된 방법을 참조할 수 있다.
본 개시의 일 실시예에 따른 디지털 인증서 요청 장치의 개략적인 블록도인 도 6을 참조한다.
디지털 인증서 요청 장치(600)가 제공되며, 이는 보안 데이터 채널 설정 유닛(601), 암호화 유닛(602), 송신 유닛(603), 수신 유닛(604) 및 처리 유닛(605)를 포함한다. 보안 데이터 채널 설정 유닛(601)은 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하도록 구성된다. 보안 키는 데이터 통신 키를 포함한다. 암호화 유닛(602)은 디지털 인증서 관리 요청 메시지를 데이터 통신 키로 암호화하도록 구성된다. 송신 유닛(603)은 디지털 인증서 관리 요청 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하도록 구성된다. 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화된다. 수신 유닛(604)은 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로부터 수신하도록 구성된다. 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화된다. 처리 유닛(605)은 디지털 인증서 관리 응답 메시지를 처리하여, 처리 결과를 획득하도록 구성된다.
일부 실시예들에서, 처리 유닛(605)은 디지털 인증서 관리 확인 메시지를 생성하도록 더 구성된다. 송신 유닛(603)은 디지털 인증서 관리 확인 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하도록 더 구성된다. 디지털 인증서 관리 확인 메시지는 데이터 통신 키로 암호화된다.
일부 실시예들에서, 송신 유닛(603)으로부터 송신되는 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함한다. 인증서 요청 정보는 버전 정보, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함한다. 암호화 유닛(602)은 보안 데이터 채널에서 데이터 통신 키로 디지털 인증서 관리 요청 메시지를 암호화하도록 더 구성된다.
일부 실시예들에서, 암호화 유닛(602)은 보안 키가 데이터 세션 키를 더 포함하는 경우, 디지털 인증서 관리 요청 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되기 전에 데이터 세션 키로 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터를 암호화하도록 더 구성된다.
인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함한다.
또한, 디지털 인증서 요청 장치가 2개 이상의 암호화 알고리즘들을 지원하는 경우, 암호화 알고리즘 식별자는 송신 유닛(603)으로부터 송신되는 인증서 요청 데이터에 포함된다. 특히, 송신 유닛(603)으로부터 송신되는 인증서 요청 데이터는 암호화 알고리즘 식별자 및 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 데이터 세션 키로 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 암호화함으로써 획득되는 데이터를 포함한다. 암호화 유닛(602)은 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용함으로써 데이터 세션 키로 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 암호화하도록 더 구성된다.
일부 실시예들에서, 송신 유닛(603)은 제1 송신 유닛, 제2 송신 유닛, 제3 송신 유닛 및 제4 송신 유닛 중 적어도 하나를 포함한다. 제1 송신 유닛은 디지털 인증서 요청 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 새로운 디지털 인증서를 요청하도록 구성된다. 디지털 인증서 요청 정보는 인증서 생성 방식 및 인증서 요청 데이터를 포함한다. 제2 송신 유닛은 디지털 인증서 획득 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 기존 디지털 인증서에 대해 질의하거나 이를 갱신하도록 구성된다. 디지털 인증서 획득 정보는 발행 장치 명 및 일련 번호의 필드들을 포함한다. 제3 송신 유닛은 디지털 인증서 폐기 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 기존 디지털 인증서를 폐기하는 것을 요청하도록 구성된다. 디지털 인증서 폐기 정보는 발행 장치 명, 일련 번호 및 폐기 사유의 필드들을 포함한다. 제4 송신 유닛은 디지털 인증서 폐기 목록 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 디지털 인증서 폐기 목록을 요청하도록 구성된다. 디지털 인증서 폐기 목록 정보는 발행 장치 명의 필드를 포함한다.
일부 실시예들에서, 보안 데이터 채널 설정 유닛(601)은 협상 유닛, 키 생성 유닛 및 키 검증 유닛을 포함한다. 협상 유닛은 보안 데이터 채널을 설정하기 위해 디지털 인증서 발행 장치와 협상하도록 구성된다. 키 생성 유닛은 디지털 인증서 발행 장치와 함께, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성하도록 구성된다. 키 검증 유닛은 디지털 인증서 발행 장치와 함께, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하도록 구성된다.
일부 실시예들에서, 협상 유닛은 제1 난수 및 제1 신원 정보를 디지털 인증서 발행 장치로 송신하고 디지털 인증서 발행 장치로부터 제2 난수 및 제2 신원 정보를 수신하도록 더 구성된다. 키 생성 유닛은 디지털 인증서 발행 장치와 함께, 인증 코드, 제1 난수, 제1 신원 정보, 제2 난수 및 제2 신원 정보를 사용함으로써 보안 키를 생성하도록 더 구성된다.
일부 실시예들에서, 키 생성 유닛에 의해 생성되는 보안 키는 무결성 검증 키를 더 포함한다. 키 검증 유닛은 디지털 인증서 발행 장치와 함께, 난수 및 무결성 검증 키를 사용함으로써 무결성 검증 코드를 생성하고, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하도록 더 구성된다.
본 개시에 따른 장치의 유닛들 또는 모듈들은 본원에 상세히 설명되지 않은, 도 2 내지 도 5에 도시된 방법들에 따라 구성될 수 있다. 디지털 인증서를 관리하기 위한 장치는 디지털 인증서 발행 장치와 통합되거나 디지털 인증서 발행 장치의 일부로서, 독립적인 장치일 수 있으며, 이는 본원에서 제한되지 않는다는 점이 주목되어야 한다.
본 개시의 다른 실시예에 따른 디지털 인증서 요청 장치의 개략적인 블록도인 도 7을 참조한다. 디지털 인증서 요청 장치는 하나 이상의 프로세서들(701)(예를 들어, CPU들), 메모리(702) 및 적어도 하나의 통신 버스(703)를 포함한다. 통신 버스(703)는 하나 이상의 프로세서들(701) 및 메모리(702)를 연결하도록 구성된다. 하나 이상의 프로세서들(701)은 메모리(702)에 저장된 실행가능 모듈, 예를 들어, 컴퓨터 프로그램을 실행하도록 구성된다. 메모리(702)는 고속 랜덤 액세스 메모리(RAM)일 수 있고, 또한 비휘발성 메모리, 예를 들어, 적어도 하나의 디스크 메모리일 수 있다. 하나 이상의 프로그램들은 메모리에 저장된다. 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 구성된다: 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 보안 키는 데이터 통신 키를 포함함 -; 디지털 인증서 관리 요청 메시지를 데이터 통신 키로 암호화하는 단계; 디지털 인증서 관리 요청 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하는 단계 - 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화됨 -; 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로부터 수신하는 단계 - 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화됨 -; 및 디지털 인증서 관리 응답 메시지를 처리하여 처리 결과를 획득하는 단계.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 디지털 인증서 관리 확인 메시지를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하는 단계. 디지털 인증서 관리 확인 메시지는 데이터 통신 키로 암호화된다.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 디지털 인증서 요청 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 새로운 디지털 인증서를 요청하는 단계. 디지털 인증서 요청 정보는 인증서 생성 방식 및 인증서 요청 데이터를 포함한다.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 디지털 인증서 획득 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 기존 디지털 인증서에 대해 질의하거나 이를 갱신시키는 단계. 디지털 인증서 획득 정보는 발행 장치 명 및 일련 번호의 필드들을 포함한다.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 구성된다: 디지털 인증서 폐기 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 기존 디지털 인증서를 폐기하는 것을 요청하는 단계. 디지털 인증서 폐기 정보는 발행 장치 명, 일련 번호 및 폐기 사유를 포함한다.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 구성된다: 디지털 인증서 폐기 목록 정보를 보안 데이터 채널을 통해 디지털 인증서 발행 장치로 송신하여, 디지털 인증서 폐기 목록을 요청하는 단계. 디지털 인증서 폐기 목록 정보는 발행 장치 명의 필드들을 포함한다.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 보안 데이터 채널을 설정하기 위해 디지털 인증서 발행 장치와 협상하는 단계; 디지털 인증서 발행 장치와 함께, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성하는 단계; 및 디지털 인증서 발행 장치와 함께, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하는 단계.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 제1 난수 및 제1 신원 정보를 디지털 인증서 발행 장치로 송신하고 제2 난수 및 제2 신원 정보를 디지털 인증서 발행 장치로부터 수신하는 단계; 및 디지털 인증서 발행 장치와 함께, 인증 코드, 제1 난수, 제1 신원 정보, 제2 난수 및 제2 신원 정보를 사용함으로써 보안 키를 생성하는 단계.
일부 실시예들에서, 하나 이상의 프로세서들(701)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 디지털 인증서 발행 장치와 함께, 난수 및 무결성 검증 키를 사용함으로써 무결성 검증 코드를 생성하는 단계; 및 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하는 단계.
본 개시의 일 실시예에 따른 디지털 인증서 발행 장치의 개략적인 블록도인 도 8을 참조한다.
디지털 인증서 발행 장치(800)가 제공되며, 이는 보안 데이터 채널 설정 유닛(801), 수신 유닛(802), 처리 유닛(803), 암호화 유닛(804) 및 송신 유닛(805)을 포함한다. 보안 데이터 채널 설정 유닛(801)은 인증 코드를 사용함으로써 디지털 인증서 요청 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하도록 구성된다. 보안 키는 데이터 통신 키를 포함한다. 수신 유닛(802)은 보안 데이터 채널을 통해 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지를 수신하도록 구성된다. 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화된다. 처리 유닛(803)은 수신된 디지털 인증서 관리 요청 메시지를 처리하고, 디지털 인증서 관리 응답 메시지를 생성하도록 구성된다. 암호화 유닛(804)은 디지털 인증서 관리 응답 메시지를 데이터 통신 키로 암호화하도록 구성된다. 송신 유닛(805)은 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 송신하도록 구성된다. 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화된다.
일부 실시예들에서, 수신 유닛(802)은 보안 데이터 채널을 통해 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 확인 메시지를 수신하도록 더 구성된다. 처리 유닛(803)은 수신된 디지털 인증서 관리 확인 메시지를 처리하도록 더 구성된다.
일부 실시예들에서, 송신 유닛(805)으로부터 송신되는 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반한다. 암호화 유닛(804)은 보안 데이터 채널에서 데이터 통신 키로 디지털 인증서 관리 응답 메시지를 암호화하도록 더 구성된다. 수신 유닛(802)에 의해 수신되는 디지털 인증서 관리 요청 메시지에 운반되는 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함한다. 인증서 요청 정보는 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함한다.
일부 실시예들에서, 암호화 유닛(804)은 보안 키가 데이터 세션 키를 더 포함하는 경우, 디지털 인증서 관리 응답 메시지가 보안 데이터 채널에서 데이터 통신 키로 암호화되기 전에 데이터 세션 키로 디지털 인증서 관리 응답 메시지에 운반되는 인증서 응답 데이터를 암호화하도록 더 구성된다. 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함한다.
일부 실시예들에서, 디지털 인증서 발행 장치가 2개 이상의 암호화 알고리즘들을 지원하는 경우, 암호화 알고리즘 식별자는 송신 유닛(805)으로부터 송신되는 인증서 응답 데이터에 포함된다. 특히, 송신 유닛(805)으로부터 송신되는 인증서 응답 데이터는 암호화 알고리즘 식별자 및 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 데이터 세션 키로 인증서 응답 데이터를 암호화함으로써 획득되는 데이터를 포함한다. 암호화 유닛(804)은 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용함으로써 데이터 세션 키로 인증서 응답 데이터를 암호화하도록 더 구성된다.
일부 실시예들에서, 보안 데이터 채널 설정 유닛(801)은 협상 유닛, 키 생성 유닛 및 키 검증 유닛을 포함한다. 협상 유닛은 보안 데이터 채널을 설정하기 위해 디지털 인증서 요청 장치와 협상하도록 구성된다. 키 생성 유닛은 디지털 인증서 요청 장치와 함께, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성하도록 구성된다. 키 검증 유닛은 디지털 인증서 요청 장치와 함께, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하도록 구성된다.
일부 실시예들에서, 협상 유닛은 제2 난수 및 제2 신원 정보를 디지털 인증서 요청 장치로 송신하고 디지털 인증서 요청 장치로부터 제1 난수 및 제1 신원 정보를 수신하도록 더 구성된다. 키 생성 유닛은 인증 코드, 제1 난수, 제1 신원 정보, 제2 난수 및 제2 신원 정보를 사용함으로써 보안 키를 생성하도록 더 구성된다.
일부 실시예들에서, 키 생성 유닛에 의해 생성되는 보안 키는 무결성 검증 키를 더 포함한다. 키 검증 유닛은 디지털 인증서 요청 장치와 함께, 난수 및 무결성 검증 키를 사용함으로써 무결성 검증 코드를 생성하고, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하도록 더 구성된다.
본 개시의 다른 실시예에 따른 디지털 인증서 발행 장치의 개략적인 블록도인 도 9를 참조한다. 디지털 인증서 발행 장치는 하나 이상의 프로세서들(901)(예를 들어, CPU들), 메모리(902) 및 적어도 하나의 통신 버스(903)를 포함한다. 통신 버스(903)는 하나 이상의 프로세서들(901) 및 메모리(902)를 연결하도록 구성된다. 하나 이상의 프로세서들(901)은 메모리(902)에 저장된 실행가능 모듈, 예를 들어, 컴퓨터 프로그램을 실행하도록 구성된다. 메모리(902)는 고속 랜덤 액세스 메모리(RAM)일 수 있고, 또한 비휘발성 메모리, 예를 들어, 적어도 하나의 디스크 메모리일 수 있다. 하나 이상의 프로그램들은 메모리에 저장된다. 하나 이상의 프로세서들(901)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 구성된다: 인증 코드를 사용함으로써 디지털 인증서 요청 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 보안 키는 데이터 통신 키를 포함함 -; 보안 데이터 채널을 통해 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지를 수신하는 단계 - 디지털 인증서 관리 요청 메시지는 데이터 통신 키로 암호화됨-; 수신된 디지털 인증서 관리 요청 메시지를 처리하고, 디지털 인증서 관리 응답 메시지를 생성하는 단계; 및 디지털 인증서 관리 응답 메시지를 보안 데이터 채널을 통해 디지털 인증서 요청 장치로 송신하는 단계 - 디지털 인증서 관리 응답 메시지는 데이터 통신 키로 암호화됨 -.
일부 실시예들에서, 하나 이상의 프로세서들(901)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 디지털 인증서 요청 장치에 의해 생성되고 보안 데이터 채널을 통해 송신되는 디지털 인증서 관리 확인 메시지를 수신 및 처리하는 단계들.
일부 실시예들에서, 하나 이상의 프로세서들(901)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 보안 데이터 채널을 설정하기 위해 디지털 인증서 요청 장치와 협상하는 단계; 디지털 인증서 요청 장치와 함께, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 보안 데이터 채널에서 보안 키를 생성하는 단계; 및 디지털 인증서 요청 장치와 함께, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하는 단계.
일부 실시예들에서, 하나 이상의 프로세서들(901)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 제2 난수 및 제2 신원 정보를 디지털 인증서 요청 장치로 송신하는 단계 및 디지털 인증서 요청 장치로부터 제1 난수 및 제1 신원 정보를 수신하는 단계.
일부 실시예들에서, 하나 이상의 프로세서들(901)은 하나 이상의 프로그램들에 저장되는 명령들을 실행하여, 하기 단계들을 수행하도록 더 구성된다: 인증 코드, 제1 난수, 제1 신원 정보, 제2 난수 및 제2 신원 정보를 사용함으로써 보안 키를 생성하는 단계.
상술된 방법과 장치들 사이에 대응이 있다는 점이 당업자에 의해 주목되어야 한다.
본 개시의 다른 실시예들은 명세서를 고려하여 본 개시의 실시예들을 수행한 후에 당업자에 의해 획득될 수 있다. 본 개시는 실시예들의 임의의 변형들, 용도들 또는 적응들을 커버하도록 의도된다. 이들 변형들, 용도들 또는 적응들은 본 개시의 일반 원리를 따르고 본 개시에 개시되지 않은 기술 분야의 통상의 지식 및 종래 기술 수단을 포함한다. 본 명세서 및 실시예들은 단지 예시적이고, 본 개시의 범위 및 사상은 청구항들에 의해 표시된다.
본 개시는 상술되고 도면들에 도시된 상세들에 제한되지 않는다는 점이 주목되어야 한다. 다양한 수정 들 및 변경들은 본 개시의 범위로부터 벗어나는 것 없이 이루어질 수 있다. 본 개시의 범위는 청구항들에 의해서만 제한된다.
상술된 실시예들은 단지 본 개시의 바람직한 실시예들이고, 본 개시를 제한하기 위해 사용되지 않는다. 본 개시의 범위 내에 이루어지는 임의의 수정들, 균등물들 및 개선들은 본 개시의 보호 범위 내에 있어야 한다.
"제1", "제2" 등과 같은 관계 용어들은 실제 관계 또는 순서가 엔티티들 또는 동작들 사이에 존재한다는 것을 필요로 하거나 암시하기 보다는, 본원에서 하나의 엔티티 또는 동작을 다른 것으로부터 구분하기 위해서만 사용된다는 점이 더 주목되어야 한다. 더욱이, "구비한다", "포함한다" 또는 임의의 다른 변형예들의 용어들은 비-배타적인 것으로 의도된다. 따라서, 복수의 요소들을 포함하는 과정, 방법, 물품 또는 장치는 요소들 뿐만 아니라 열거되지 않은 다른 요소들을 포함하거나, 또한 과정, 방법, 물품 또는 장치에 고유한 요소들을 포함한다. 달리 명시적으로 제한되지 않는 한, 서술인 "하나를 포함하는(구비하는)..."은 유사한 요소들이 과정, 방법, 물품 또는 장치에 존재할 수 있는 경우를 배제하지 않는다. 본 개시는 컴퓨터에 의해 실행되는 컴퓨터-실행가능 명령들, 예컨대 프로그램 모듈의 일반적인 맥락에서 설명될 수 있다. 일반적으로, 프로그램 모듈은 특정 작업들을 수행하거나 특정의 추상적인 데이터 타입들을 구현하기 위해 사용되는 루틴들, 프로그램들, 객체들, 구성요소들, 데이터 구조들 등을 포함한다. 본 개시는 또한 작업들이 통신 네트워크를 통해 연결되는 원격 처리 장치들에 의해 수행되는 분산 컴퓨팅 환경에서 구현될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 저장 장치들을 포함하는 로컬 및 원격 컴퓨터 저장 매체에 위치될 수 있다.
본 명세서의 실시예들은 점진적인 방식으로 설명되며, 실시예들 각각은 주로 다른 실시예들로부터 그것의 차이들을 설명하는데 집중되고, 이들 실시예들 중 동일한 또는 유사한 부분들에 대해 이들 실시예들 중에서 참조한다. 특히, 장치들의 실시예들이 방법의 실시예들과 실질적으로 유사하므로, 장치들의 실시예들은 간략하게 설명되고, 관련 부분들에 대해, 방법의 설명을 참조할 수 있다. 상술된 장치들의 실시예들은 단지 개략적이며, 별도의 구성요소들로서 설명되는 유닛들은 물리적으로 분리될 수 있거나 그렇지 않을 수 있다. 유닛들로서 도시되는 구성요소들은 물리적 유닛들일 수 있거나 그렇지 않을 수 있으며, 즉, 한 장소에 위치될 수 있거나 다수의 네트워크 유닛들로 분산될 수 있다. 필요에 따라, 모듈들 중 일부 또는 전부는 본 개시의 실시예들을 구현하기 위해 선택될 수 있다. 당업자들은 임의의 창작적인 작업 없이 본 개시의 실시예들을 구현할 수 있다. 본 개시의 특정 실시예들만이 위에서 설명되었으며, 다양한 구현들 및 수정들은 본 개시의 원리로부터 벗어나는 것 없이 당업자에 의해 이루어 질 수 있고, 이들 구현들 및 수정들은 본 개시의 보호 범위 내에 있어야 한다는 것이 지적되어야 한다.

Claims (30)

  1. 디지털 인증서를 관리하는 방법에 있어서,
    디지털 인증서 요청 장치에 의해, 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 상기 보안 키는 데이터 통신 키 및 데이터 세션 키를 포함함 -;
    상기 디지털 인증서 요청 장치에 의해, 디지털 인증서 관리 요청 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하는 단계 - 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키로 암호화되고, 상기 디지털 인증서 관리 요청 메시지는 인증서 요청 데이터를 운반하고, 상기 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함하되, 상기 인증서 요청 정보는 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함하고, 상기 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함함 -;
    상기 디지털 인증서 발행 장치에 의해 상기 디지털 인증서 관리 요청 메시지를 수신하고, 상기 디지털 인증서 발행 장치에 의해, 디지털 인증서 관리 응답 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 요청 장치로 송신하는 단계 - 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키로 암호화되고, 상기 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반하며, 상기 디지털 인증서 관리 응답 메시지는 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화되는 방식으로 상기 데이터 통신 키로 암호화됨 -;
    상기 보안 데이터 채널을 통해 상기 디지털 인증서 요청 장치에 의해 상기 디지털 인증서 관리 응답 메시지를 수신하는 단계; 및
    상기 디지털 인증서 요청 장치에 의해 상기 디지털 인증서 관리 응답 메시지를 처리하여, 처리 결과를 획득하는 단계를 포함하고,
    상기 디지털 인증서 관리 요청 메시지는 다음과 같은 방식:
    상기 디지털 인증서 관리 요청 메시지에 운반되는 상기 인증서 요청 데이터가 상기 데이터 세션 키로 암호화됨; 및
    상기 디지털 인증서 관리 요청 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화됨,
    에 의해 상기 데이터 통신 키로 암호화되는, 방법.
  2. 제1항에 있어서,
    상기 디지털 인증서 요청 장치에 의해, 디지털 인증서 관리 확인 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하는 단계 - 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키로 암호화됨 -; 및
    상기 디지털 인증서 발행 장치에 의해 상기 디지털 인증서 관리 확인 메시지를 수신 및 처리하는 단계를 더 포함하는, 방법.
  3. 제1항에 있어서,
    2개 이상의 암호화 알고리즘들이 상기 디지털 인증서 요청 장치 및/또는 상기 디지털 인증서 발행 장치에 의해 지원되는 경우, 암호화 알고리즘 식별자는 상기 인증서 요청 데이터에 포함되고,
    상기 인증서 요청 데이터는 상기 암호화 알고리즘 식별자 및 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 상기 데이터 세션 키로 상기 인증서 요청 정보, 상기 서명 알고리즘 식별자 및 상기 서명 값을 암호화함으로써 획득되는 데이터를 더 포함하는, 방법.
  4. 제1항 또는 제3항에 있어서,
    상기 디지털 인증서 관리 응답 메시지는 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화되기 전에 상기 디지털 인증서 관리 응답 메시지에 운반되는 상기 인증서 응답 데이터가 상기 데이터 세션 키로 암호화되는 추가적인 방식으로 상기 데이터 통신 키로 암호화되는, 방법.
  5. 제4항에 있어서,
    2개 이상의 암호화 알고리즘들이 상기 디지털 인증서 요청 장치 및/또는 상기 디지털 인증서 발행 장치에 의해 지원되는 경우, 암호화 알고리즘 식별자는 상기 인증서 응답 데이터에 포함되고,
    상기 인증서 응답 데이터는 상기 암호화 알고리즘 식별자 및 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 상기 데이터 세션 키로 상기 인증서 응답 데이터를 암호화함으로써 획득되는 데이터를 포함하는, 방법.
  6. 제1항에 있어서,
    상기 디지털 인증서 요청 장치에 의해, 상기 디지털 인증서 관리 요청 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하는 상기 단계는:
    상기 디지털 인증서 요청 장치에 의해, 디지털 인증서 요청 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하여, 새로운 디지털 인증서를 요청하는 단계 - 상기 디지털 인증서 요청 정보는 인증서 생성 방식 및 인증서 요청 데이터의 필드들을 포함함 -; 또는
    상기 디지털 인증서 요청 장치에 의해, 디지털 인증서 획득 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하여, 기존 디지털 인증서에 대해 질의하거나 갱신하는 단계 - 상기 디지털 인증서 획득 정보는 발행 장치 명 및 일련 번호의 필드들을 포함함 -; 또는
    상기 디지털 인증서 요청 장치에 의해, 디지털 인증서 폐기 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하여, 다른 기존 디지털 인증서를 폐기하는 것을 요청하는 단계 - 상기 디지털 인증서 폐기 정보는 발행 장치 명, 일련 번호 및 폐기 사유의 필드들을 포함함 -; 또는
    상기 디지털 인증서 요청 장치에 의해, 디지털 인증서 폐기 목록 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하여, 디지털 인증서 폐기 목록을 요청하는 단계 - 상기 디지털 인증서 폐기 목록 정보는 발행 장치 명의 필드를 포함함 -를 포함하는, 방법.
  7. 제1항에 있어서,
    상기 디지털 인증서 요청 장치에 의해, 상기 획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 상기 보안 데이터 채널을 설정하고 상기 보안 키를 생성하는 상기 단계는:
    상기 보안 데이터 채널을 설정하기 위해 상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해 협상하는 단계;
    상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해, 상기 협상 동안에 획득되는 난수 및 신원 정보 그리고 상기 인증 코드를 사용함으로써 상기 보안 데이터 채널에서 상기 보안 키를 생성하는 단계; 및
    상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하는 단계를 포함하는, 방법.
  8. 제7항에 있어서,
    상기 보안 데이터 채널을 설정하기 위해 상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해 협상하는 상기 단계는:
    상기 디지털 인증서 요청 장치에 의해, 제1 난수 및 제1 신원 정보를 상기 디지털 인증서 발행 장치로 송신하는 단계, 및 상기 디지털 인증서 요청 장치에 의해, 상기 디지털 인증서 발행 장치로부터 제2 난수 및 제2 신원 정보를 수신하는 단계를 포함하고,
    상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해, 상기 협상 동안에 획득되는 상기 난수 및 상기 신원 정보 그리고 상기 인증 코드를 사용함으로써 상기 보안 데이터 채널에서 상기 보안 키를 생성하는 상기 단계는:
    상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해, 상기 인증 코드, 상기 제1 난수, 상기 제1 신원 정보, 상기 제2 난수 및 상기 제2 신원 정보를 사용함으로써 상기 보안 키를 생성하는 단계를 포함하는, 방법.
  9. 제7항 또는 제8항에 있어서,
    상기 보안 키는 무결성 검증 키를 더 포함하고,
    상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해, 상기 무결성 검증 코드를 사용함으로써 상기 보안 채널 확인 메시지를 검증하는 상기 단계는:
    상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해, 상기 난수 및 상기 무결성 검증 키를 사용함으로써 상기 무결성 검증 코드를 생성하는 단계; 및
    상기 디지털 인증서 발행 장치와 상기 디지털 인증서 요청 장치에 의해, 상기 무결성 검증 코드를 사용함으로써 상기 보안 채널 확인 메시지를 검증하는 단계를 포함하는, 방법.
  10. 디지털 인증서 요청 장치에 있어서,
    획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하도록 구성되는 보안 데이터 채널 설정 유닛 - 상기 보안 키는 데이터 통신 키 및 데이터 세션 키를 포함함 -;
    디지털 인증서 관리 요청 메시지를 상기 데이터 통신 키로 암호화하도록 구성되는 암호화 유닛;
    상기 디지털 인증서 관리 요청 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하도록 구성되는 송신 유닛 - 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키로 암호화되고, 상기 디지털 인증서 관리 요청 메시지는 인증서 요청 데이터를 운반하고, 상기 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함하되, 상기 인증서 요청 정보는 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함하고, 상기 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함함 -;
    디지털 인증서 관리 응답 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로부터 수신하도록 구성되는 수신 유닛 - 상기 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반하며, 상기 디지털 인증서 관리 응답 메시지는 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화되는 방식으로 상기 데이터 통신 키로 암호화됨 -; 및
    상기 디지털 인증서 관리 응답 메시지를 처리하여, 처리 결과를 획득하도록 구성되는 처리 유닛을 포함하고,
    상기 암호화 유닛은:
    상기 디지털 인증서 관리 요청 메시지에 운반되는 상기 인증서 요청 데이터를 상기 데이터 세션 키로 암호화; 및
    상기 디지털 인증서 관리 요청 메시지를 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화를 더 수행하도록 구성되는, 장치.
  11. 제10항에 있어서,
    상기 처리 유닛은 디지털 인증서 관리 확인 메시지를 생성하도록 더 구성되고,
    상기 송신 유닛은 상기 디지털 인증서 관리 확인 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하도록 더 구성되며, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키로 암호화되는, 장치.
  12. 제10항에 있어서,
    상기 디지털 인증서 요청 장치가 2개 이상의 암호화 알고리즘들을 지원하는 경우, 암호화 알고리즘 식별자는 상기 송신 유닛으로부터 송신되는 상기 인증서 요청 데이터에 포함되고,
    상기 송신 유닛으로부터 송신되는 상기 인증서 요청 데이터는 상기 암호화 알고리즘 식별자 및 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 상기 데이터 세션 키로 상기 인증서 요청 정보, 상기 서명 알고리즘 식별자 및 상기 서명 값을 암호화함으로써 획득되는 데이터를 더 포함하고,
    상기 암호화 유닛은 상기 암호화 알고리즘 식별자에 대응하는 상기 암호화 알고리즘을 사용함으로써 상기 데이터 세션 키로 상기 인증서 요청 정보, 상기 서명 알고리즘 식별자 및 상기 서명 값을 암호화하도록 더 구성되는, 장치.
  13. 제10항에 있어서,
    상기 송신 유닛은:
    디지털 인증서 요청 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 전송하여, 새로운 디지털 인증서를 요청하도록 구성되는 제1 송신 유닛 - 상기 디지털 인증서 요청 정보는 인증서 생성 방식 및 인증서 요청 데이터의 필드들을 포함함 -; 또는
    디지털 인증서 획득 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하여, 기존 디지털 인증서에 대해 질의하거나 갱신하도록 구성되는 제2 송신 유닛 - 상기 디지털 인증서 획득 정보는 발행 장치 명 및 일련 번호의 필드들을 포함함 -; 또는
    디지털 인증서 폐기 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하여, 다른 기존 디지털 인증서를 폐기하는 것을 요청하도록 구성되는 제3 송신 유닛 - 상기 디지털 인증서 폐기 정보는 발행 장치 명, 일련 번호 및 폐기 사유의 필드들을 포함함 -; 또는
    디지털 인증서 폐기 목록 정보를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하여, 디지털 인증서 폐기 목록을 요청하도록 구성되는 제4 송신 유닛 - 상기 디지털 인증서 폐기 목록 정보는 발행 장치 명의 필드를 포함함 -을 포함하는, 장치.
  14. 제10항에 있어서,
    상기 보안 데이터 채널 설정 유닛은:
    상기 보안 데이터 채널을 설정하기 위해 상기 디지털 인증서 발행 장치와 협상하도록 구성되는 협상 유닛;
    상기 디지털 인증서 발행 장치와 함께, 협상 동안에 획득되는 난수 및 신원 정보 그리고 인증 코드를 사용함으로써 상기 보안 데이터 채널에서 상기 보안 키를 생성하도록 구성되는 키 생성 유닛; 및
    상기 디지털 인증서 발행 장치와 함께, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하도록 구성되는 키 검증 유닛을 포함하는, 장치.
  15. 제14항에 있어서,
    상기 협상 유닛은 제1 난수 및 제1 신원 정보를 상기 디지털 인증서 발행 장치로 송신하고 제2 난수 및 제2 신원 정보를 상기 디지털 인증서 발행 장치로부터 수신하도록 더 구성되고,
    상기 키 생성 유닛은 상기 디지털 인증서 발행 장치와 함께, 상기 인증 코드, 상기 제1 난수, 상기 제1 신원 정보, 상기 제2 난수 및 상기 제2 신원 정보를 사용함으로써 상기 보안 키를 생성하도록 더 구성되는, 장치.
  16. 제14항 또는 제15항에 있어서,
    상기 키 생성 유닛에 의해 생성되는 상기 보안 키는 무결성 검증 키를 더 포함하고,
    상기 키 검증 유닛은 상기 디지털 인증서 발행 장치와 함께, 상기 난수 및 상기 무결성 검증 키를 사용함으로써 무결성 검증 코드를 생성하고, 상기 디지털 인증서 발행 장치와 함께, 상기 무결성 검증 코드를 사용함으로써 상기 보안 채널 확인 메시지를 검증하도록 더 구성되는, 장치.
  17. 디지털 인증서 요청 장치에 있어서,
    메모리; 및
    상기 메모리에 저장되는 하나 이상의 프로그램들을 포함하며, 상기 하나 이상의 프로그램들은 하나 이상의 프로세서들에 의해 실행될 때, 상기 하나 이상의 프로세서들이 하기 단계들: 즉,
    획득된 인증 코드를 사용함으로써 디지털 인증서 발행 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 상기 보안 키는 데이터 통신 키 및 데이터 세션 키를 포함함 -;
    디지털 인증서 관리 요청 메시지를 상기 데이터 통신 키로 암호화하는 단계;
    상기 디지털 인증서 관리 요청 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로 송신하는 단계 - 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키로 암호화되고, 상기 디지털 인증서 관리 요청 메시지는 인증서 요청 데이터를 운반하고, 상기 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함하되, 상기 인증서 요청 정보는 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함하고, 상기 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함함 -;
    디지털 인증서 관리 응답 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발행 장치로부터 수신하는 단계 - 상기 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반하며, 상기 디지털 인증서 관리 응답 메시지는 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화되는 방식으로 상기 데이터 통신 키로 암호화됨 -; 및
    상기 디지털 인증서 관리 응답 메시지를 처리하여 처리 결과를 획득하는 단계를 수행하게 하는 명령들을 포함하고,
    상기 디지털 인증서 관리 요청 메시지는 다음과 같은 방식:
    상기 디지털 인증서 관리 요청 메시지에 운반되는 상기 인증서 요청 데이터가 상기 데이터 세션 키로 암호화됨; 및
    상기 디지털 인증서 관리 요청 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화됨,
    에 의해 상기 데이터 통신 키로 암호화되는, 장치.
  18. 디지털 인증서 발행 장치에 있어서,
    인증 코드를 사용함으로써 디지털 인증서 요청 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하도록 구성되는 보안 데이터 채널 설정 유닛 - 상기 보안 키는 데이터 통신 키 및 데이터 세션 키를 포함함 -;
    상기 보안 데이터 채널을 통해 상기 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지를 수신하도록 구성되는 수신 유닛 - 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키로 암호화되고, 상기 디지털 인증서 관리 요청 메시지는 인증서 요청 데이터를 운반하고, 상기 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함하되, 상기 인증서 요청 정보는 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함하고, 상기 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함함 -;
    상기 수신된 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하도록 구성되는 처리 유닛 - 상기 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반하며, 상기 디지털 인증서 관리 응답 메시지는 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화되는 방식으로 상기 데이터 통신 키로 암호화됨 -;
    상기 디지털 인증서 관리 응답 메시지를 상기 데이터 통신 키로 암호화하도록 구성되는 암호화 유닛; 및
    상기 디지털 인증서 관리 응답 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 요청 장치로 송신하도록 구성되는 송신 유닛 - 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키로 암호화됨 -을 포함하고,
    상기 디지털 인증서 관리 요청 메시지는 다음과 같은 방식:
    상기 디지털 인증서 관리 요청 메시지에 운반되는 상기 인증서 요청 데이터가 상기 데이터 세션 키로 암호화됨; 및
    상기 디지털 인증서 관리 요청 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화됨,
    에 의해 상기 데이터 통신 키로 암호화되는, 장치.
  19. 제18항에 있어서,
    상기 수신 유닛은 상기 보안 데이터 채널을 통해 상기 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 확인 메시지를 수신하도록 더 구성되고 - 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키로 암호화됨 -,
    상기 처리 유닛은 상기 수신된 디지털 인증서 관리 확인 메시지를 처리하도록 더 구성되는, 장치.
  20. 제18항에 있어서,
    상기 송신 유닛으로부터 송신되는 상기 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반하고,
    상기 암호화 유닛은 상기 보안 데이터 채널에서 상기 데이터 통신 키로 상기 디지털 인증서 관리 응답 메시지를 암호화하도록 더 구성되고,
    상기 수신 유닛에 의해 수신되는 상기 디지털 인증서 관리 요청 메시지에 운반되는 상기 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함하고, 상기 인증서 요청 정보는 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함하는, 장치.
  21. 제20항에 있어서,
    상기 암호화 유닛은 상기 보안 키가 상기 데이터 세션 키를 더 포함하는 경우, 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화되기 전에 상기 데이터 세션 키로 상기 디지털 인증서 관리 응답 메시지에 운반되는 상기 인증서 응답 데이터를 암호화하도록 더 구성되고,
    상기 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함하는, 장치.
  22. 제21항에 있어서,
    상기 디지털 인증서 발행 장치가 2개 이상의 암호화 알고리즘들을 지원하는 경우, 암호화 알고리즘 식별자는 상기 송신 유닛으로부터 송신되는 상기 인증서 응답 데이터에 포함되고,
    상기 인증서 응답 데이터는 상기 암호화 알고리즘 식별자 및 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘을 사용하여 상기 데이터 세션 키로 상기 인증서 응답 데이터를 암호화함으로써 획득되는 데이터를 포함하고,
    상기 암호화 유닛은 상기 암호화 알고리즘 식별자에 대응하는 상기 암호화 알고리즘을 사용함으로써 데이터 세션 키로 상기 인증서 응답 데이터를 암호화하도록 더 구성되는, 장치.
  23. 제18항에 있어서,
    상기 보안 데이터 채널 설정 유닛은:
    상기 보안 데이터 채널을 설정하기 위해 상기 디지털 인증서 요청 장치와 협상하도록 구성되는 협상 유닛; 및
    상기 디지털 인증서 요청 장치와 함께, 상기 협상 동안에 획득되는 난수 및 신원 정보 그리고 상기 인증 코드를 사용함으로써 상기 보안 데이터 채널에서 상기 보안 키를 생성하도록 구성되는 키 생성 유닛; 및
    상기 디지털 인증서 요청 장치와 함께, 무결성 검증 코드를 사용함으로써 보안 채널 확인 메시지를 검증하도록 구성되는 키 검증 유닛을 포함하는, 장치.
  24. 제23항에 있어서,
    상기 협상 유닛은 제2 난수 및 제2 신원 정보를 상기 디지털 인증서 요청 장치로 송신하고 제1 난수 및 제1 신원 정보를 상기 디지털 인증서 요청 장치로부터 수신하도록 더 구성되고,
    상기 키 생성 유닛은 상기 인증 코드, 상기 제1 난수, 상기 제1 신원 정보, 상기 제2 난수 및 상기 제2 신원 정보를 사용함으로써 상기 보안 키를 생성하도록 더 구성되는, 장치.
  25. 제23항 또는 제24항에 있어서,
    상기 키 생성 유닛에 의해 생성되는 상기 보안 키는 무결성 검증 키를 더 포함하고,
    상기 키 검증 유닛은 상기 디지털 인증서 요청 장치와 함께, 상기 난수 및 상기 무결성 검증 키를 사용함으로써 상기 무결성 검증 코드를 생성하고, 상기 무결성 검증 코드를 사용함으로써 상기 보안 채널 확인 메시지를 검증하도록 더 구성되는, 장치.
  26. 디지털 인증서 발행 장치에 있어서,
    메모리; 및
    상기 메모리에 저장되는 하나 이상의 프로그램들을 포함하며, 상기 하나 이상의 프로그램들은 하나 이상의 프로세서들에 의해 실행될 때, 상기 하나 이상의 프로세서들이 하기 단계들: 즉,
    인증 코드를 사용함으로써 디지털 인증서 요청 장치와 협상하여, 보안 데이터 채널을 설정하고 보안 키를 생성하는 단계 - 상기 보안 키는 데이터 통신 키 및 데이터 세션 키를 포함함 -;
    상기 보안 데이터 채널을 통해 상기 디지털 인증서 요청 장치로부터 송신되는 디지털 인증서 관리 요청 메시지를 수신하는 단계 - 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키로 암호화되고, 상기 디지털 인증서 관리 요청 메시지는 인증서 요청 데이터를 포함하고, 상기 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함하되, 상기 인증서 요청 정보는 버전, 소유자 명, 소유자의 공개 키 및 확장자의 정보를 포함하고, 상기 인증서 요청 정보는 일련 번호, 발행자 명 및 유효 기간의 정보를 더 포함함 -;
    상기 수신된 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하는 단계 - 상기 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 운반하며, 상기 디지털 인증서 관리 응답 메시지는 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화되는 방식으로 상기 데이터 통신 키로 암호화됨 -;
    상기 디지털 인증서 관리 응답 메시지를 상기 데이터 통신 키로 암호화하는 단계; 및
    상기 디지털 인증서 관리 응답 메시지를 상기 보안 데이터 채널을 통해 상기 디지털 인증서 요청 장치로 송신하는 단계 - 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키로 암호화됨 -를 수행하게 하는 명령들을 포함하고,
    상기 디지털 인증서 관리 요청 메시지는 다음과 같은 방식:
    상기 디지털 인증서 관리 요청 메시지에 운반되는 상기 인증서 요청 데이터가 상기 데이터 세션 키로 암호화됨; 및
    상기 디지털 인증서 관리 요청 메시지가 상기 보안 데이터 채널에서 상기 데이터 통신 키로 암호화됨,
    에 의해 상기 데이터 통신 키로 암호화되는, 장치.
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
KR1020197022430A 2017-04-01 2018-02-13 디지털 인증서 관리 방법 및 장치 KR102290342B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201710211816.2A CN108667609B (zh) 2017-04-01 2017-04-01 一种数字证书管理方法及设备
CN201710211816.2 2017-04-01
PCT/CN2018/076618 WO2018177045A1 (zh) 2017-04-01 2018-02-13 数字证书管理方法及设备

Publications (2)

Publication Number Publication Date
KR20190099066A KR20190099066A (ko) 2019-08-23
KR102290342B1 true KR102290342B1 (ko) 2021-08-17

Family

ID=63675125

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197022430A KR102290342B1 (ko) 2017-04-01 2018-02-13 디지털 인증서 관리 방법 및 장치

Country Status (6)

Country Link
US (1) US11363010B2 (ko)
EP (1) EP3609121B1 (ko)
JP (1) JP7014806B2 (ko)
KR (1) KR102290342B1 (ko)
CN (1) CN108667609B (ko)
WO (1) WO2018177045A1 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102287921B1 (ko) * 2015-01-22 2021-08-09 에스케이씨 주식회사 그라파이트 시트 및 이의 제조방법
CN108667781A (zh) * 2017-04-01 2018-10-16 西安西电捷通无线网络通信股份有限公司 一种数字证书管理方法及设备
CN108768664B (zh) * 2018-06-06 2020-11-03 腾讯科技(深圳)有限公司 密钥管理方法、装置、系统、存储介质和计算机设备
KR20200089491A (ko) * 2019-01-17 2020-07-27 삼성전자주식회사 공유된 디지털 키를 관리하기 위한 장치 및 방법
CN110046515B (zh) * 2019-04-18 2021-03-23 杭州尚尚签网络科技有限公司 一种基于短效数字证书的安全的电子签名方法
CN110401535B (zh) * 2019-07-19 2023-03-10 广州优路加信息科技有限公司 数字证书生成、安全通信、身份认证方法及装置
CN110737920B (zh) * 2019-09-25 2021-11-09 哈尔滨哈工智慧嘉利通科技股份有限公司 一种数字证书管控方法、装置和注册审核服务器
US11381403B2 (en) * 2019-12-09 2022-07-05 Sap Se Integrating blockchain with off-chain services
CN113765668A (zh) * 2020-06-03 2021-12-07 广州汽车集团股份有限公司 一种车辆数字证书在线安装方法及车辆数字证书管理装置
JP2022020143A (ja) * 2020-07-20 2022-02-01 富士通株式会社 通信プログラム、通信装置、及び通信方法
KR102421562B1 (ko) * 2020-12-21 2022-07-15 한전케이디엔주식회사 암호 라이브러리 관리 시스템 및 방법
CN113301523B (zh) * 2021-04-14 2022-09-16 江铃汽车股份有限公司 一种v2x车载终端数字证书的申请、更新方法及系统
CN115942314A (zh) * 2021-08-06 2023-04-07 华为技术有限公司 一种证书管理方法和装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110302411A1 (en) * 2009-03-23 2011-12-08 Zte Corporation Method and system for updating and using digital certificates
KR101326530B1 (ko) * 2011-11-11 2013-11-08 고려대학교 산학협력단 원격 검침 시스템, 그 시스템에서의 아이디를 이용한 상호 인증을 위한 장치 및 방법

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH08316951A (ja) 1995-05-23 1996-11-29 Hitachi Ltd 無線通信端末、無線基地局及びこれらを有する通信システム
IL125516A0 (en) 1998-07-26 1999-10-28 Vanguard Security Technologies Secure message management system
US20020165912A1 (en) * 2001-02-25 2002-11-07 Storymail, Inc. Secure certificate and system and method for issuing and using same
US20060269061A1 (en) * 2001-01-11 2006-11-30 Cardinalcommerce Corporation Mobile device and method for dispensing authentication codes
JP4043860B2 (ja) 2002-06-27 2008-02-06 株式会社日立コミュニケーションテクノロジー 暗号化通信装置
JP4617763B2 (ja) * 2003-09-03 2011-01-26 ソニー株式会社 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US9331990B2 (en) * 2003-12-22 2016-05-03 Assa Abloy Ab Trusted and unsupervised digital certificate generation using a security token
JP4802539B2 (ja) 2005-04-11 2011-10-26 ソニー株式会社 通信システム、通信装置、および通信方法
US8583929B2 (en) * 2006-05-26 2013-11-12 Alcatel Lucent Encryption method for secure packet transmission
KR100853182B1 (ko) * 2006-09-29 2008-08-20 한국전자통신연구원 다중 도메인에서 대칭키 기반 인증 방법 및 장치
CN100488099C (zh) 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
CN101640590B (zh) 2009-05-26 2012-01-11 深圳市安捷信联科技有限公司 一种获取标识密码算法私钥的方法和密码中心
US9106635B2 (en) * 2012-03-01 2015-08-11 Certicom Corp. System and method for connecting client devices to a network
CN102624531B (zh) * 2012-04-25 2014-12-03 西安西电捷通无线网络通信股份有限公司 一种数字证书自动申请方法和装置及系统
CN103973696B (zh) 2014-05-16 2017-09-19 天地融科技股份有限公司 一种语音通话的数据处理方法
JP6573880B2 (ja) 2014-06-16 2019-09-11 富士通株式会社 更新プログラム及び方法、及び、管理プログラム及び方法
CN105812136A (zh) * 2014-12-30 2016-07-27 北京握奇智能科技有限公司 一种更新方法及系统、安全认证设备
KR101724401B1 (ko) * 2015-05-29 2017-04-07 한국정보인증주식회사 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
CN105208044A (zh) * 2015-10-29 2015-12-30 成都卫士通信息产业股份有限公司 一种适用于云计算的密钥管理方法
SG10201606164TA (en) 2016-07-26 2018-02-27 Huawei Int Pte Ltd System and method for obtaining a common session key between devices
US11153297B2 (en) * 2016-12-06 2021-10-19 Vmware, Inc. Systems and methods to facilitate certificate and trust management across a distributed environment

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110302411A1 (en) * 2009-03-23 2011-12-08 Zte Corporation Method and system for updating and using digital certificates
KR101326530B1 (ko) * 2011-11-11 2013-11-08 고려대학교 산학협력단 원격 검침 시스템, 그 시스템에서의 아이디를 이용한 상호 인증을 위한 장치 및 방법

Also Published As

Publication number Publication date
JP2020505849A (ja) 2020-02-20
JP7014806B2 (ja) 2022-02-01
EP3609121B1 (en) 2021-10-27
EP3609121A1 (en) 2020-02-12
CN108667609A (zh) 2018-10-16
EP3609121A4 (en) 2020-04-01
WO2018177045A1 (zh) 2018-10-04
US20210314170A1 (en) 2021-10-07
US11363010B2 (en) 2022-06-14
KR20190099066A (ko) 2019-08-23
CN108667609B (zh) 2021-07-20

Similar Documents

Publication Publication Date Title
KR102290342B1 (ko) 디지털 인증서 관리 방법 및 장치
KR102325725B1 (ko) 디지털 인증서 관리 방법 및 장치
US9674699B2 (en) System and methods for secure communication in mobile devices
US11134069B2 (en) Method for authorizing access and apparatus using the method
WO2012100677A1 (zh) 用于移动终端的身份管理方法及装置
KR20080053177A (ko) 이동통신시스템에서의 인증키 생성 방법 및 갱신 방법
EP2088530A2 (en) Method for joining user domain and method for exchanging information in user domain
WO2022100356A1 (zh) 身份认证系统、方法、装置、设备及计算机可读存储介质
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
US11695751B2 (en) Peer-to-peer notification system
CN107493294A (zh) 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法
WO2022001225A1 (zh) 身份凭据的申请方法、身份认证的方法、设备及装置
CN110830240B (zh) 一种终端与服务器的通信方法和装置
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
CN112437436B (zh) 一种身份认证方法及装置
CN114553426B (zh) 签名验证方法、密钥管理平台、安全终端及电子设备
CN111835716B (zh) 认证通信方法、服务器、设备及存储介质
CN116318637A (zh) 设备安全入网通信的方法和系统
Anantharaman et al. Scalable identity and key management for publish-subscribe protocols in the Internet-of-Things
CN113727059A (zh) 多媒体会议终端入网认证方法、装置、设备及存储介质
CN112906032A (zh) 基于cp-abe与区块链的文件安全传输方法、系统及介质
CN113163399A (zh) 一种终端与服务器的通信方法和装置
CN107104925A (zh) 用于安全通信的方法、装置及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant