KR102325725B1 - 디지털 인증서 관리 방법 및 장치 - Google Patents
디지털 인증서 관리 방법 및 장치 Download PDFInfo
- Publication number
- KR102325725B1 KR102325725B1 KR1020207009708A KR20207009708A KR102325725B1 KR 102325725 B1 KR102325725 B1 KR 102325725B1 KR 1020207009708 A KR1020207009708 A KR 1020207009708A KR 20207009708 A KR20207009708 A KR 20207009708A KR 102325725 B1 KR102325725 B1 KR 102325725B1
- Authority
- KR
- South Korea
- Prior art keywords
- digital certificate
- management
- verification
- request message
- key
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 디지털 인증서 관리 방법 및 장치를 개시한다. 상기 방법은 디지털 인증서 신청 장치는 디지털 인증서 발급 장치와 보안 데이터 채널의 확립에 대해 협상하는 단계; 디지털 인증서 신청 장치는 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하는 단계; 디지털 인증서 발급 장치는 디지털 인증서 관리 요청 메시지를 수신하고 디지털 인증서 신청 장치로 디지털 인증서의 관리 검증 요청 메시지를 송신하는 단계; 디지털 인증서 신청 장치는 디지털 인증서의 관리 검증 요청 메시지를 수신하고 디지털 인증서 발급 장치로 디지털 인증서의 관리 검증 응답 메시지를 송신하는 단계; 디지털 인증서 발급 장치는 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신하는 단계; 및 디지털 인증서 신청 장치는 디지털 인증서 관리 응답 메시지를 수신하고 디지털 인증서 발급 장치로 디지털 인증서 관리 확인 메시지를 송신하는 단계를 포함한다. 본 발명은 디지털 인증서의 관리의 보안성을 효과적으로 향상시킨다.
Description
본 출원은, 2017년 9월 7일에 중국 특허청에 출원된 출원 번호 제201710802333.X호, "디지털 인증서 관리 방법 및 장치"를 발명 명칭으로 하는 중국 특허 출원의 우선권을 주장하며, 상기 중국 특허 출원의 전체 내용은 참조로서 출원에 통합되어 본 출원의 일 부분으로 한다.
본 발명은 네트워크 보안의 기술 분야에 속한 것으로서 보다 상세하게는 디지털 인증서 관리 방법 및 장치에 관한 것이다.
네트워크 보안 기술의 발전에 따라, 네트워크 정보 전송의 기밀성 및 무결성을 보장하는 방법에 대한 연구가 중요한 이슈가 되었다. 디지털 인증서를 사용하는 것은 네트워크 통신 엔티티의 신원을 인증하는 방식이며, 디지털 인증서 기술은 데이터를 암호화하고 신원 등을 인증하는 데 사용될 수 있다. 일반적으로 디지털 인증서 발급 장치에 의해 디지털 인증서 신청 장치에 발행되는 디지털 인증서는 디지털 인증서 신청 장치의 신원을 인식하는 데 사용될 수 있다.
종래 기술에는, 무선 근거리 통신망 (WLAN) 내에서 디지털 인증서를 신청, 업데이트 및 발행하는 데 사용되는 디지털 인증서의 자동 신청 방법이 있다. 상기 방법에서, 디지털 인증서 신청 장치는 디지털 인증서 발급 장치가 새로운 디지털 인증서를 생성하도록 디지털 인증서 신청 장치가 지원하는 디지털 인증서 생성 방법을 알리기 위해 WLAN을 통해 디지털 인증서 발급 장치로 메시지를 전송할 수 있다. 이 방법에서, 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이에 전송된 메시지는 플레인텍스트로 전송되고 두 장치는 메시지가 변조되지 않았다는 것을 결정하기 위해 메시지의 무결성을 검사한다. 이러한 방식으로 데이터의 신뢰성과 기밀성을 효과적으로 보호하지 못하고 데이터의 무결성만을 보장 할 수 있다. 특히, 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치가 다른 네트워크 형태를 통해 데이터를 인터랙션할 때, 메시지가 플레인텍스트로 전송되기 때문에 이러한 방식으로 보안성이 낮다는 단점이 있다.
본 발명은 디지털 인증서 관리 방법 및 장치를 제공하여, 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이에 데이터 전송을 위한 보안 채널이 확립될 수 있고, 두 장치 간에 전송되는 메시지가 암호화된 방식으로 전송되어 디지털 인증서 관리의 보안성이 효과적으로 향상된다.
이를 고려하여, 본 발명은 다음과 같은 기술적 해결책을 제공한다.
제 1 측면에서, 본 발명에 따른 디지털 인증서 관리 방법은, 디지털 인증서 신청 장치는 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하는 단계 - 상기 보안 키에는 적어도 데이터 통신 키가 포함됨; 디지털 인증서 신청 장치는 상기 보안 데이터 채널을 사용하여 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하는 단계 - 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화됨; 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서의 관리 검증 요청 메시지를 송신하는 단계 - 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화됨; 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서의 관리 검증 응답 메시지를 송신하는 단계 - 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화됨; 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신하는 단계 - 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화됨; 디지털 인증서 신청 장치는 상기 디지털 인증서 관리 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 확인 메시지를 송신하는 단계 - 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화됨; 및 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 확인 메시지를 수신하여 처리하는 단계를 포함한다.
제 2 측면에서, 본 발명에 따른 디지털 인증서 신청 장치는, 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하도록 구성된 보안 데이터 채널 확립 유닛 - 상기 보안 키는 데이터 통신 키를 포함함; 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서 관리 확인 메시지를 송신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 송신 유닛; 상기 데이터 통신 키를 사용하여 상기 인증서 관리 요청 메시지를 암호화하고, 또한 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 암호화하고, 또한 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 확인 메시지를 암호화하도록 구성된 암호화 유닛; 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서 관리 응답 메시지를 수신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 수신 유닛; 수신된 상기 디지털 인증서의 관리 검증 요청 메시지를 처리하여 디지털 인증서의 관리 검증 응답 메시지를 생성하고, 또한 수신된 상기 디지털 인증서 관리 응답 메시지를 처리하여 디지털 인증서 관리 확인 메시지를 생성하도록 구성된 처리 유닛을 포함한다.
제 3 측면에서, 본 발명에 따른 디지털 인증서 신청을 위한 장치는 메모리 및 하나 이상의 프로그램을 포함하고, 상기 하나 이상의 프로그램은 상기 메모리에 저장되고 하나 이상의 프로세서에 의해 상기 하나 이상의 프로그램에 포함된 다음의 동작의 수행에 사용되는 명령을 실행하도록 구성되고: 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하고, 상기 보안 키에는 적어도 데이터 통신 키가 포함되고, 디지털 인증서 관리 요청 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 요청 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서의 관리 검증 요청 메시지를 처리하여 디지털 인증서의 관리 검증 응답 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서 관리 응답 메시지를 수신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서 관리 응답 메시지를 처리하여 디지털 인증서 관리 확인 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 확인 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서 관리 확인 메시지를 송신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화된다.
제 4 측면에서, 본 발명에 따른 디지털 인증서 발급 장치는 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 신청 장치와 협상하도록 구성된 보안 데이터 채널 확립 유닛 - 상기 보안 키에는 적어도 데이터 통신 키가 포함됨; 상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 송신된 디지털 인증서 관리 요청 메시지를 수신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 송신된 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 전송된 디지털 인증서 관리 확인 메시지를 수신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 수신 유닛; 수신된 상기 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서의 관리 검증 요청 메시지를 생성하고, 또한 수신된 상기 디지털 인증서의 관리 검증 응답 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하고, 또한 수신된 상기 디지털 인증서 관리 확인 메시지를 처리하도록 구성된 처리 유닛; 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 암호화하고, 또한 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 응답 메시지를 암호화하도록 구성된 암호화 유닛; 및 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서의 관리 검증 요청 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 송신 유닛을 포함한다.
제 5 측면에서, 본 발명에 따른 디지털 인증서 발행을 위한 장치는 메모리 및 하나 이상의 프로그램을 포함하고, 상기 하나 이상의 프로그램은 상기 메모리에 저장되고 하나 이상의 프로세서에 의해 상기 하나 이상의 프로그램에 포함된 다음의 동작의 수행에 사용되는 명령을 실행하도록 구성되고: 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 신청 장치와 협상하고, 상기 보안 키는 데이터 통신 키를 포함하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서 관리 요청 메시지를 수신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서 관리 요청 메시지를 처리하여 디지털 인증서의 관리 검증 요청 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서의 관리 검증 요청 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서의 관리 검증 응답 메시지를 처리하여 디지털 인증서 관리 응답 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 응답 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서 관리 확인 메시지를 수신하고, 상기 디지털 인증서 관리 확인 메시지를 처리하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화된다.
본 발명에 따른 디지털 인증서 관리 방법 및 장치에서, 디지털 인증서 신청 장치는 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하고, 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이의 메시지 인터랙션프로 세스에서 생성된 데이터 통신 키를 사용하여 메시지를 암호화함으로써, 데이터 전송의 보안을 효과적으로 향상 시키며, 양한 장면 하에서의 디지털 인증서 자동 신청, 조회, 업데이트, 취소, 철회 및 리스트 획득 등에 적용될 수 있다. 한편 디지털 인증서 발급 장치 공개 키 및 개인 키에 관한 검증을 이용하여, 디지털 인증서 신청 장치에 “공개 키에 대응하는 개인 키” 가 있는지 여부를 검출하여 디지털 인증서 요청 장치의 공개 키 및 개인 키가 교체되었거나 잘못되었는지를 검출하도록 한다. 디지털 인증서 발급 장치는 정확한 공개 키 및 개인 키를 갖는 디지털 인증서 신청 장치와 만 메시지를 인터랙션할 수 있으며, 이에 따라 디지털 인증서 신청 장치의 프라이버시 데이터의 누출을 피하고 디지털 인증서 관리 프로세스의 보안을 추가로 보장할 수있다.
본 발명에 따른 실시예의 기술안을 보다 명확하게 설명하기 위해 이하 실시예의 서술에 필요된 도면을 간략하게 설명한다. 이하 서술한 도면은 단지 본 발명의 일부 실시예에 불과함은 자명하며 해당 분야의 통상의 기술을 가진 자라면 창조력을 발휘하지 않는 한 이들의 도면에 따라 다른 도면을 얻을 수도 있다.
도 1은 본 발명의 실시예에 적용될 수 있는 개략적인 응용 장면이다.
도 2는 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다.
도 3은 본 발명의 다른 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다.
도 4는 본 발명의 다른 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다.
도 5는 본 발명의 실시예에 의해 제공되는 보안 데이터 채널의 협상 및 확립의 개략도이다.
도 6은 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 자동 신청, 조회, 업데이트 및 발행을위한 방법에서의 메시지 컨텐츠의 개략도이다.
도 7은 일 예시적 실시예에 따라 도시된 디지털 인증서 신청 장치의 블록도이다.
도 8은 다른 일 예시적 실시예따라 도시된 디지털 인증서 신청을 위한 장치의 블록도이다.
도 9는 일 예시적 실시예따라 도시된 디지털 인증서 발급 장치의 블록도이다.
도 10은 다른 일 예시적 실시예따라 도시된 디지털 인증서 발행을 위한 장치의 블록도이다.
도 1은 본 발명의 실시예에 적용될 수 있는 개략적인 응용 장면이다.
도 2는 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다.
도 3은 본 발명의 다른 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다.
도 4는 본 발명의 다른 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다.
도 5는 본 발명의 실시예에 의해 제공되는 보안 데이터 채널의 협상 및 확립의 개략도이다.
도 6은 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 자동 신청, 조회, 업데이트 및 발행을위한 방법에서의 메시지 컨텐츠의 개략도이다.
도 7은 일 예시적 실시예에 따라 도시된 디지털 인증서 신청 장치의 블록도이다.
도 8은 다른 일 예시적 실시예따라 도시된 디지털 인증서 신청을 위한 장치의 블록도이다.
도 9는 일 예시적 실시예따라 도시된 디지털 인증서 발급 장치의 블록도이다.
도 10은 다른 일 예시적 실시예따라 도시된 디지털 인증서 발행을 위한 장치의 블록도이다.
본 발명의 실시예는 디지털 인증서 관리 방법 및 장치를 제공하여 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이에 데이터 전송을 위한 보안 채널이 확립될 수 있고, 두 장치 간에 전송되는 메시지가 암호화된 방식으로 전송되어 디지털 인증서 관리의 보안성이 효과적으로 향상된다.
본 발명의 목적, 기술안 및 장점을 보다 명료하게 나타내기 위해 이하 도면을 참조하면서 본 발명을 설명한다. 여기서 서술한 실시예는 본 발명의 일부 실시예에 불과하며 전 실시예가 아닌 것은 자명하다. 본 발명을 기반으로 하여 통상의 기술을 가진 자라면 창조력을 발휘하지 않으면서 얻은 다른 실시예도 본 발명의 보호 범위에 속한다.
도 1을 참조하면, 도 1은 본 발명 컨텐츠의 실시예에서의 예시적인 적용 장면이다. 본 발명의 실시예에서 제공되는 방법 및 장치는 도 1에 도시된 바와 같은 장면에 적용될 수 있으며, 여기서 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 네트워크를 통해 연결될 수 있다. 상기 연결은 임의의 형태 일 수 있으며 유선 및/또는 무선 연결 (예 : WLAN, LAN, 셀룰러 및 동축 케이블)일 수 있다. 예시로서 도 1에 기술된 바와 같이, 디지털 인증서 신청 장치는 스마트 폰, 비 스마트 폰, 태블릿 PC, 랩톱 PC, 데스크탑 PC, 소형 컴퓨터, 중형 컴퓨터, 대형 컴퓨터와 같은 현재 존재하고 있거나 연구 개발되고 있거나 앞으로 연구 개발될 장치를 포함하나 이에 한정되지 않는다. 디지털 인증서 신청 장치는 각각의 적응 형 네트워크 형태를 통해 디지털 인증서 발급 장치 (인증 센터의 CA 서버 등)로 인증서 다운로드 및 업데이트를 신청할 수 있다. 본 발명의 실시예는 무선 동작 네트워크, 항공, 교통, 전력, 방송 및 라디오, 금융, 의료, 교육, 산업 및 상업과 같은 다수의 산업에 적용될 수 있음을 이해해야 한다. 물론, 상기 적용 장면은 본 발명의 이해를 용이하게 하기 위해 단지 예시되어 있ㅇ르 뿐 본 발명의 실시예는 전혀 이에 제한되지 않는다. 반대로, 본 발명의 실시예는 임의의 적합한 장면에 적용될 수 있다.
이하, 도 2 내지 도 6을 참조하여 본 발명의 일 실시예에 도시된 디지털 인증서 관리 방법을 설명한다.
도 2를 참조하면, 도 2는 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다. 도 2에 도시된 바와 같이, 이 방법은 다음 단계들을 포함할 수 있다.
단계 S201에서, 디지털 인증서 신청 장치는 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상한다. 상기 보안 키는 데이터 통신 키를 포함한다.
특정 구현에서, 디지털 인증서 신청자는 디지털 인증서 발급자에게 디지털 인증서를 다운로드하기 위한 인증 코드를 요청할 수 있다. 예를 들어, 디지털 인증서 신청자는 디지털 인증서 신청 장치 일 수 있고, 디지털 인증서 발급자는 예를 들어 디지털 인증서 발급 장치 일 수 있다. 본 발명는 인증 코드를 요청하는 특정 방식을 정의하지 않는다. 예를 들어, 디지털 인증 신청자는 단문 메시지, 이메일, 전용 요청 등을 통해 디지털 인증 발급자에게 인증 코드를 요청할 수 있다. 디지털 인증 발급자는 특정 방식을 통해 인증 코드를 디지털 인증 신청자에게 전송할 수 있다. 예를 들어, 디지털 인증서 발급자는 단문 메시지, 이메일, 전용 메시지 등의 방식을 통해 인증 코드를 디지털 인증서 신청자에게 전송할 수 있다. 일반적으로 인증 코드는 디지털 인증서 발급자 자체에 의해 생성된다. 인증 코드는 디지털 인증 신청자가 인증 코드를 요청할 때 실시간으로 생성될 수 있으며 사용을 위해 미리 생성될 수도 있다. 형태에서, 인증 코드는 특정 길이 요건을 갖는 문자 및/또는 숫자 및/또는 기호 등의 조합일 수 있다. 인증 코드에는 특정 사용 기간이 있으며 사용 기간을 벗어나면 인증 코드가 효력을 잃는다. 사용 프로세스에서 디지털 인증 발급자가 다른 디지털 인증 신청자에게 할당한 인증 코드는 달라야 한다.
특정 구현에서, 디지털 인증서 신청 장치는 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립에 대해 디지털 인증서 발급 장치와 협상할 수 있다. 상기 보안 데이터 채널은 보안 데이터 전송을 수행하도록 구성된다. 보안 데이터 채널을 확립하는 과정에서, 디지털 인증서 신청 장치는 인증 코드를 사용하여 보안 키를 생성할 수 있다. 상기 보안 키는 하나 이상의 키를 포함할 수 있으며, 하나 이상의 키는 데이터 통신 키를 포함한다. 상기 보안 키는 데이터 세션 키를 더 포함할 수 있다. 상기 데이터 통신 키는 보안 데이터 채널에서 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이에서 전송된 메시지를 암호화하도록 구성된다. 보안 키는 디지털 인증서 신청 장치 측 및 디지털 인증서 발급 장치 측 모두에서 생성되므로 메시지의 암호화 및 암호 해독을 용이하게 한다. 데이터 세션 키는 인증서 요청 데이터 또는 인증서 응답 데이터를 암호화하도록 구성될 수 있다. 상기 인증서 요청 데이터는 구체적으로 디지털 인증서 관리 요청 메시지에 포함된 데이터이다. 상기 인증서 응답 데이터는 구체적으로 디지털 인증서 관리 응답 메시지에 포함된 데이터이다.
단계 S202에서, 디지털 인증서 신청 장치는 상기 보안 데이터 채널을 사용하여 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화된다.
본 발명에서, 디지털 인증서 관리 요청 메시지는 암호화에 의해 처리된다. 특히, 단계 S201에서 생성된 데이터 통신 키는 암호화에 사용되어, 메시지의 전송 보안을 효과적으로 향상시킨다. 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터는 1 차 암호화를 위해 처리될 수 있고 2 차 암호화를 위해 처리될 수도 있음에 유의해야한다. 예를 들어, 상기 디지털 인증서 관리 요청 메시지가 보안 데이터 채널로 전송될 수 있는 경우, 이 메시지는 데이터 통신 키를 사용하여 암호화된 후에만 디지털 인증서 발급 장치로 전송될 수 있다. 다른 예를 들어, 상기 디지털 인증서 관리 요청 메시지가 전송되기 전에, 보안 키들 중의 키 예컨대 데이터 세션 키를 사용하여 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터를 암호화한다. 보안 데이터가 채널에서 전송될 때, 메시지는 2 차 암호화를 위해 처리된다. 보안을 고려할 때 두 번 암호화에 사용되는 보안 키 (즉, 데이터 통신 키와 데이터 세션 키)는 다르다. 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 암호화 횟수, 암호화 알고리즘 및 암호화에 사용된 키의 유형 (즉, 데이터 통신 키 및 데이터 세션 키)을 미리 약정할 수 있다.
단계 S203에서, 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화된다.
구체적으로 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 요청 메시지를 수신한 후, 먼저 생성된 보안 키를 사용하여 상기 디지털 인증서 관리 요청 메시지를 해독하고, 디지털 인증서 관리 요청 메시지에 포함된 데이터에 따라 처리를 수행하여 디지털 인증서 관리 응답 메시지를 생성한 다음 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신한다.
예를 들어, 상기 디지털 인증서 관리 요청 메시지가 단계 (S202)에서 전송되기 전에, 보안 키, 예를 들어 보안 키들 중의 키 세트 예컨대 데이터 세션 키를 사용하여 디지털 인증서 관리 요청 메시지에 포함된 데이터를 암호화한다. 보안 데이터 채널에서 전송될 때, 데이터는 데이터 통신 키를 사용하여 2 차 암호화를 위해 처리된다. 이에 대응하여, 상기 디지털 인증서 관리 응답 메시지는 또한 데이터 세션 키 및 데이터 통신 키를 사용하여 2 번 암호화될 수 있다. 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 암호화 횟수, 암호화 알고리즘 및 암호화에 사용된 키의 유형 (즉, 데이터 통신 키 및 데이터 세션 키)을 미리 약정할 수 있다.
단계 S204에서, 디지털 인증서 신청 장치는 상기 디지털 인증서 관리 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 확인 메시지를 송신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화된다.
상기 디지털 인증서 관리 응답 메시지는 데이터 통신 키를 통해 암호화된다.
구체적으로 디지털 인증서 신청 장치는 상기 디지털 인증서 관리 응답 메시지를 처리하여 처리 결과를 획득하고 디지털 인증서 관리 확인 메시지를 생성한다.
특정 구현에서, 본 발명은 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이의 인터랙션에 사용된 메시지 및 인터랙션 방식에 대해 한장하지 않으며 상기 정보 인터랙션가 실시 가능하고 디지털 인증서의 자동 신청, 조회, 업데이트 및 발행을 구현하도록 할 수만 있으면 된다. 디지털 인증서의 자동 신청, 조회, 업데이트 및 발행은 본 발명의 보호 범위에 관한 것이다. 일부 실시예에서, 디지털 인증서 관리 요청 메시지는 디지털 인증서 신청 정보, 디지털 인증서 획득 정보, 디지털 인증서 취소 정보, 디지털 인증서 철회 리스트 정보 등을 포함할 수 있다. 상기 디지털 인증서 관리 응답 메시지는 디지털 인증서 응답 정보를 포함한다.
특정 구현에서, 디지털 인증서 신청 장치는 디지털 인증서 관리 응답 메시지를 해독 및 검사하여 메시지 컨텐츠를 획득하고 디지털 인증서 등을 설치 및 업데이트하기 위한 요구 사항에 따라 사용할 디지털 인증서를 결정한다.
본 발명의 특정 구현에서, 디지털 인증서 관리 요청 메시지는 인증서 요청 데이터를 포함하고 상기 디지털 인증서 관리 응답 메시지는 인증서 응답 데이터를 포함하는 것으로 이해될 수 있다. 인증서 요청 데이터 및/또는 인증서 응답 데이터의 암호화 여부에 따라 다음과 같은 복수의 실시예가 포함될 수 있다.
(1)인증서 요청 데이터 및 인증서 응답 데이터는 플레인텍스트이다. 디지털 인증서 관리 요청 메시지 및 디지털 인증서 관리 응답 메시지는 보안 채널의 데이터 통신 키를 통해 암호화되어 1 차 암호화를 완료한다.
이때, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되는 것은 구체적으로 상기 디지털 인증서의 관리요청 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화된다. 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되는 것은 구체적으로 상기 디지털 인증서 관리 응답 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화된다.
(2)상기 보안 키가 데이터 세션 키를 더 포함하는 경우, 데이터 세션 키는 1 차 암호화를 위한 인증서 요청 데이터를 처리하는 데 사용되지만, 인증서 응답 데이터는 암호화되지 않고 플레인텍스트로서 기능한다. 데이터 통신 키는 디지털 인증서 관리 요청 메시지를 2 차적으로 암호화하는 데 사용되고 데이터 통신 키는 주로 디지털 인증서 관리 응답 메시지를 암호화하는 데 사용된다.
이때, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되는 것은 구체적으로 상기 디지털 인증서의 관리요청 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화되기 전 상기 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터는 상기 데이터 세션 키로 암호화된다.
이때, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되는 것은 상기 디지털 인증서 관리 응답 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화된다.
(3)상기 보안 키가 데이터 세션 키를 추가로 포함하는 경우, 데이터 세션 키는 1 차 암호화를 위한 인증서 요청 데이터를 처리하는 데 사용되고, 데이터 세션 키는 또한 1 차 암호화를 위한 인증서 응답 데이터를 처리하는 데 사용된다. 인증서 응답 데이터 및 인증서 요청 데이터에 사용된 세션 키는 암호화 방식에 대응된다. 데이터 통신 키는 디지털 인증서 관리 요청 메시지 및 디지털 인증서 관리 응답 메시지에서 각각 2 차 암호화를 수행하는 데 사용된다.
이때, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되는 것은 구체적으로 상기 디지털 인증서의 관리요청 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화되기 전 상기 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터는 상기 데이터 세션 키로 암호화된다.
이때, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되는 것은 구체적으로 상기 디지털 인증서 관리 응답 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화되기 전 상기 디지털 인증서 관리 응답 메시지에 포함된 인증서 응답 데이터는 상기 데이터 세션 키로 암호화된다.
특정 구현에서, 디지털 인증서 관리 확인 메시지는 암호화를 위해 처리되며 구체적으로 S201에서 생성된 데이터 통신 키를 사용하여 암호화 처리된 것이며 이에 따라 메시지 전송의 보안을 효과적으로 향상시킨다.
단계 S205에서, 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 확인 메시지를 수신하여 처리한다.
본 발명의 실시예에서, 디지털 인증서 신청 장치는 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하고, 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이의 메시지 인터랙션 과정에서 생성된 보안 키로 메시지를 암호화함으로써, 데이터 전송의 보안을 효과적으로 향상 시키며, 다양한 장면 하에서의 디지털 인증서 자동 신청, 조회, 업데이트, 취소 및 철회 등에 적용될 수 있다.
본 발명에서, 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이에서 메시지를 인터랙션하는 과정에서, 메시지가 전송된 후 특정 시간 내에 응답 메시지가 수신되지 않으면, 메시지는 다시 전송되어야 한다.
다른 실시예에서, 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서 관리 요청 메시지에 포함된 디지털 인증서가 암호화 또는 키 교환을 수행하도록 구성된 경우, 디지털 인증서 발급 장치는 공개 키 및 개인 키가 상기 디지털 인증서 신청 장치와 관련이 있거나, 그리고 디지털 인증서 발급 장치와 디지털 인증서 신청 장치 사이에서 디지털 인증서의 관리 검증 요청 메시지 및 디지털 인증서의 관리 검증 응답 메시지를 인터랙션을 해야할지를 판단한다. 구체적으로 도 3을 참조하면, 도 3은 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다. 본 실시예에서, 도 3에 도시된 바와 같이, 단계 S302 이후에, 방법은 다음 단계들을 더 포함할 수 있다.
단계 S303에서, 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서의 관리 검증 요청 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화된다.
구체적으로 상기 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 요청 메시지를 해독하고, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터에 따라 처리하여 디지털 인증서의 관리 검증 요청 메시지를 생성한다.
상기 디지털 인증서의 관리 검증 요청 메시지에는 인증서 검증 요청 정보가 포함되며 상기 인증서 검증 요청 정보는 대비 값 및 검증 값 암호문을 포함한다.
단계 S304에서, 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서의 관리 검증 응답 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화된다.
상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화된다.
단계 S305에서, 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화된다.
일부 실시예들에서, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 암호화 기능(즉, 개인 키가 암호 해독 교환을 정의함)을 수행하도록 구성될 때 단계 S303에서의 디지털 인증서 발급 장치가 디지털 인증서의 관리 검증 요청 메시지를 생성하는 단계는 구체적으로 다음관 같다.
단계 S3031에서, 상기 디지털 인증서 발급 장치는 하나의 검증 값을 생성하고, 상기 검증 값은 상기 디지털 인증서 신청 장치의 공개 키를 통해 암호화되어 상기 검증 값 암호문을 생성하고, 상기 검증 값은 대비 값을 생성하도록 계산되고, 상기 검증 값 암호문 및 상기 대비 값을 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 생성한다.
단계 S304는 구체적으로 다음을 포함한다 :
단계 S3041에서, 상기 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치의 개인 키를 사용하여 상기 검증 값 암호문을 해독하여 상기 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 생성된 상기 새로운 대비 값이 수신된 상기 대비 값과 일치하는지 여부를 판단하고, 일치하면 상기 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하며, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성하여 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신한다.
단계 S305는 구체적으로 다음과 같다 :
단계 S3051에서, 상기 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 응답 메시지를 수신한 후 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 해독하여 상기 검증 값을 획득하고, 상기 검증 값이 상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 전송하기 전에 생성된 검증 값과 일치하는지의 여부를 비교하고, 일치하면 상기 디지털 인증서 발급 장치는 공개 키 및 개인 키가 상기 디지털 인증서 신청 장치에 속한다고 결장할 수 있으며, 상기 디지털 인증서 관리 응답 메시지를 생성하고, 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신한다.
일부 실시예들에서, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 키 교환 기능 (즉, 공개 키 및 개인 키가 키 교환을 정의함)을 수행하도록 구성될 때, 단계 S303에서의 디지털 인증서 발급 장치가 디지털 인증서의 관리 검증 요청 메시지를 생성하는 단계는 구체적으로 다음과 같다.
단계 S3032에서 상기 디지털 인증서 발급 장치는 상기 디지털 인증서 신청 장치와 키를 교환한 후 공유 키를 생성하고 상기 디지털 인증서 발급 장치는 하나의 검증 값을 생성하고, 상기 검증 값은 상기 공유 키를 통해 암호화되어 검증 값 암호문을 생성하고, 상기 검증 값은 대비 값을 생성하도록 계산되고, 상기 검증 값 암호문 및 상기 대비 값을 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 생성한다.
본 실시예에서, 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치의 키 교환 방식은 한정되어 있지 않다는 것을 유의할 필요가있다. 디지털 인증서 신청 장치의 공개 키와 개인 키는 모두 키 교환에 참여한다.
단계 S304는 구체적으로 다음과 같다 :
단계 S3042에서, 상기 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치가 상기 디지털 인증서 발급 장치와 키를 교환한 후 공유 키를 생성하고, 상기 공유 키를 사용하여 상기 검증 값 암호문을 해독하여 상기 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 상기 새로운 대비 값이 수신된 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성하고, 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신한다.
단계 S305는 구체적으로 다음과 같다 :
단계 S3052에서, 상기 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 응답 메시지를 수신한 후 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 해독하여 상기 검증 값을 획득하고, 상기 검증 값이 상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 전송하기 전에 생성된 검증 값과 일치하는지의 여부를 비교하고, 일치하면 상기 디지털 인증서 발급 장치는 공개 키 및 개인 키가 상기 디지털 인증서 신청 장치에 속하는 것으로 결정하고 상기 디지털 인증서 관리 응답 메시지를 생성하고, 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신한다.
본 실시예에서, 단계 S301 내지 S302는 단계 S201 내지 S202를 참조하여 실행되고 단계 S306 내지 S307은 단계 S204 내지 S205를 참조하여 실행되고 여기서 반복하여 설명하지 않는다.
본 실시예에서, 검증 값은 난수 또는 다른 숫자 일 수 있다. 대비 값을 생성하기 위해 검증 값을 계산하는 방식은 제한되지 않으며, 이는 해싱(hashing) 또는 순환 중복 검사 (cyclic redundancy check, CRC) 등일 수 있다.
본 기술 분야의 통상의 지식을 가진자가 특정 장면 하에서 본 발명의 실시예를보다 명확하게 이해하도록하기 위해, 본 발명의 실시예를 설명하기 위해 특정 예가 아래에서 사용될 것이다. 특정 예는 당업자가 본 발명를보다 명확하게 이해하기위한 것일뿐, 본 발명의 실시예는 특정 예에 한정되지 않는다는 것을 알아야한다.
도 4를 참조하면, 도 4는 본 발명의 다른 실시예에 의해 제공되는 디지털 인증서 관리 방법의 흐름도이다. 도 4에 도시된 바와 같이, 방법은 다음 단계들을 포함할 수 있다.
단계 S401에서, 디지털 인증서 신청 장치는 인증 코드를 획득한다.
특정 구현에서, 디지털 인증서 신청 장치는 디지털 인증서 발급 장치에 디지털 인증서를 다운로드하기 위한 인증 코드를 요청하고 디지털 인증서 발급 장치에 의해 송신된 인증 코드를 획득한다.
단계 S402에서, 디지털 인증서 신청 장치는 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상한다.
특정 구현에서, 디지털 인증서 발행 프로세스에서 정보 전송의 보안을 보장하기 위해, 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 그들 사이에 보안 데이터 채널의 확립을 협상할 수 있다. 디지털 인증서 신청 장치는 인증 코드를 사용하여 보안 데이터 채널의 데이터 전송을 위한 보안 키를 생성한다.
본 발명은 인증 코드가 데이터 전송을 위한 공유 보안 키를 생성하는 데 사용될 수 있는 한, 보안 채널을 확립하는 방식을 한정하지 않는다. 특정 구현에서, 보안 데이터 채널을 확립하기 위해 다음 방식이 채택될 수 있다 :
단계 S402A에서, 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 보안 데이터 채널에 대한 협상을 한다.
단계 S402B에서, 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 협상 프로세스에서 획득된 인증 코드 및 난수 및 신원 정보를 사용하여 보안 채널의 보안 키를 생성한다.
상기 보안 키는 데이터 통신 키를 포함할 수 있으며 데이터 세션 키를 더 포함할 수 있다. 상기 데이터 통신 키는 상기 데이터 인증서 신청 장치와 디지털 인증서 발급 장치가 보안 데이터 채널에서 메시지를 인터랙션할 때 메시지를 암호화하여 전송하는 데에 사용된다. 상기 데이터 세션 키는 메시지 전송 전에 메시지에 포함된 인증서 요청 데이터 및/또는 인증서 응답 데이터를 암호화하는 데에 사용된다 .
단계 S402C에서, 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 무결성 검사 코드를 통해 보안 채널 확인 메시지를 인증한다.
특정 구현에서, 보안 데이터 채널의 협상 및 확립을 위한 도 4의 개략도가 참조될 수 있다. 구체적으로 상기 디지털 인증서 신청 장치와 디지털 인증서 발급 장치가 보안 데이터 채널의 확립에 대한 협상은 구체적으로 디지털 인증서 신청 장치는 디지털 인증서 발급 장치로 제 1 난수, 제 1 신원 정보를 송신하고, 및 상기 디지털 인증서 발급 장치에 의해 송신된 제 2 난수, 제 2 신원 정보를 수신한다. 상기 제 1 난수는 디지털 인증서 신청 장치에 의해 무작위로 생성되며, 상기 제 1 신원 정보는 구체적으로 상기 디지털 인증서 신청 장치의 신원 식별자 일 수 있고: 예를 들어 IP 주소, MAC 주소, 전자 메일 주소, 전체 도메인 이름 문자열 또는 IMSI (International Mobile Subscriber Identity) 등 일 수 있다. 상기 제 2 난수는 디지털 인증서 발급 장치에 의해 무작위로 생성된 것이다. 상기 제 2 신원 정보는 구체적으로 디지털 인증서 발급 장치의 신원자 일 수 있고: 예를 들어 IP주소, MAC주소, 전자 메일 주소, 전체 도메인 이름 문자열 또는 IMSI (International Mobile Subscriber Identity) (IMSI)등일 수 있다. 디지털 인증서 신청 장치와 디지털 인증서 발급 장치가 난수, 신원 정보를 인터랙션하는 프로세스는 디지털 인증서 신청 장치에 의해 개시될 수 있고, 또한 디지털 인증서 발급 장치에 의해 개시될 수 있다. 본 발명는 특정 인터랙션 방식을 한정하지 않는다.
일부 실시예들에서, 상기 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치가 인증 코드 및 협상 프로세스에서 획득된 난수 및 신원 정보를 사용하여 보안 채널의 보안 키를 생성하는 것을 구체적으로 상기 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 인증 코드, 상기 제 1 난수, 상기 제 1 신원 정보, 상기 제 2 난수 및 상기 제 2 신원 정보를 사용하여 보안 키를 생성한다. 디지털 인증서 신청 장치 측과 디지털 인증서 발급 장치 측에서 생성된 보안 키는 동일한다. 상기 보안 키는 하나 이상의 키 세트를 포함할 수 있다. 예를 들어, 보안 키는 데이터 전송을 위해 구성된 데이터 통신 키를 포함할 수 있고, 무결성을 검사하기 위한 무결성 검사 키를 더 포함할 수 있으며, 인증서 요청 데이터 및/또는 인증서 응답 데이터를 암호화하도록 구성된 데이터 세션 키를 더 포함할 수 있다.
일부 실시예들에서, 상기 보안 키는 무결성 검사 키를 더 포함한다. 상기 디지털 인증서 신청 장치와 디지털 인증서 발급 장치가를 통해 보안 채널의 키를 확인하는 것은 구체적으로, 상기 디지털 인증서 신청 장치 및 디지털 인증서 발급 장치는 난수, 상기 무결성 검사 키를 사용하여 무결성 검사 코드를 생성하고, 상기 무결성 검사 코드를 사용하여 보안 채널 확인 메시지를 인증한다.
단계 S403에서, 디지털 인증서 신청 장치는 상기 보안 데이터 채널을 사용하여 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신한다.
특정 구현에서, 디지털 인증서 신청 장치는 보안 데이터 채널을 통해 기밀로 유지된 후, 인증서 관리 요청 메시지를 디지털 인증서 발급 장치로 전송한다. 디지털 인증서 신청 장치에 디지털 인증서 발급 장치가 발급한 디지털 인증서가 없는 경우, 인증서 관리 요청 메시지는 신청하는 새로운 디지털 인증서에 포함된 인증서 정보를 포함해야 한다. 디지털 인증서 신청 장치가 디지털 인증서 발급 장치에 의해 발급된 디지털 인증서를 포함하는 경우, 디지털 인증서 신청 장치에 의해 전송된 디지털 인증서 관리 요청 메시지에 포함된 기존 디지털 인증서의 정보는 디지털 인증서 발급 장치로 하여금 인증서를 조회하고 업데이트하도록 구성된다.
일부 실시예들에서, 디지털 인증서 관리 요청 메시지는 디지털 인증서 신청 정보, 디지털 인증서 획득 정보, 디지털 인증서 취소 정보, 디지털 인증서 철회 리스트 정보 등을 포함할 수 있다. 특정 구현에서, 디지털 인증서 신청 정보, 디지털 인증서 획득 정보, 디지털 인증서 철회 정보 또는 디지털 인증서 취소 리스트 정보는 표 1에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 메시지 | 유형 값 | 의미 (정보 유형) |
| 디지털 인증서 관리 요청 메시지 | 2 | 인증서 신청 |
| 4 | 인증서 획득 | |
| 5 | 인증서 취소 | |
| 6 | 인증서 철회 리스트 |
일례로 예시하기 위해, 디지털 인증서 관리 요청 메시지의 정보 유형 값이 2 인 경우, 상기 정보는 구체적으로 새로운 디지털 인증서를 신청하는 데 사용되는 인증서 신청 정보이다. 디지털 인증서 관리 요청 메시지에서 정보의 유형 값이 4 인 경우, 상기 정보는 구체적으로 기존 디지털 인증서를 조회하거나 업데이트하는 데 사용되는 인증서 획득 정보이다. 디지털 인증 관리 요청 메시지에서 정보의 유형 값이 5 인 경우, 상기 정보는 구체적으로 기존 디지털 인증을 취소하는 데 사용되는 인증서 취소 정보이다. 디지털 인증서 관리 요청 메시지에서 정보의 유형 값이 6 인 경우, 상기 정보는 구체적으로 인증서 철회 리스트을 요청하는 데 사용되는 인증서 철회 리스트 정보이다.
특정 구현에서, 인증서 신청 정보의 필드 포맷은 표 2에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 인증서 생성 방식 | 인증서 요청 데이터 |
특정 구현에서, 인증서 획득 정보의 필드 포맷은 표 3에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 발급 장치 명칭 | 일련 번호 |
특정 구현에서, 인증서 취소 정보의 필드 포맷은 표 4에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 발급 장치 명칭 | 일련 번호 | 취소 원인 |
특정 구현에서, 인증서 철회 리스트 정보의 필드 포맷은 표 5에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 발급 장치 명칭 |
본 발명은 인증서 신청 정보에 포함된 인증서 요청 데이터를 제한하지 않는다.
일부 실시예들에서, 상기 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함한다.
여기서, 인증서 요청 정보는 버전, 주체 이름, 주체 공개 키 정보 및 확장을 포함할 수 있다. 이러한 정보 요소는 간결하며 인증서 발급의 기본 요구 사항을 충족할 수 있다. 서명 값은 디지털 인증서 신청 장치가 공개 키 및 개인 키 쌍을 로컬로 생성한 후 서명 알고리즘 식별자에 대응하는 서명 알고리즘을 사용하여 개인 키로 인증서 요청 정보를 계산한 후 획득된 값이다. 디지털 인증서 발급 장치는 인증서 요청 정보의 보유자 공개 키 정보에 따라 서명을 검사한 후 공개 키 및 개인 키가 디지털 인증서 신청 장치에 속하는지 여부를 결정한다. 공개 키와 개인 키가 엔티티와 관련되어 있는지는 서명 알고리즘 ID 및 서명 값을 통해 인증될 수 있다.
일부 다른 실시예들에서, 인증서 요청 데이터의 인증서 요청 정보는 또한 더 통합된 정보 : 일련 번호, 발급자 이름 및 유효 기간을 포함할 수 있다. 이 정보들은 인증서 발급 기능을 확장할 수 있다. 예를 들어, 디지털 인증 신청자는 인증의 특정 정보 등을 제한해야한다. 이 경우, 상기 인증서 요청 데이터는 암호화될 수 있다. 특히, 인증서 요청 데이터는 디지털 인증서 신청 장치가 보안 데이터 채널을 확립한 후 생성된 데이터 세션 키로 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 암호화한 후에 획득된 데이터이다. 또한, 상기 실시예에 기초하여, 디지털 인증서 신청 장치 및/또는 디지털 인증서 발급 장치가 둘 이상의 암호화 알고리즘을 지원하는 경우, 상기 인증서 요청 데이터는 암호화 알고리즘 식별자를 더 포함할 수 있다. 이에 대응하여, 상기 인증 요청 데이터는 구체적으로 암호화 알고리즘 식별자 정보 및 암호화 알고리즘 식별자 정보에 대응하는 암호화 알고리즘 및 데이터 세션 키를 사용함으로써 상기 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 암호화한 후에 획득된 데이터를 포함한다. 이러한 인증서 요청 데이터의 구조적 요소는 보다 통합되고 더 넓은 기능을 발휘한다. 공개 키와 개인 키가 관련된 엔터티를 인증하는 동안 인증서 요청 데이터에 대해 기밀 보호가 수행된다. 한편, 보안 데이터 채널이 있는 경우에 인증서 요청 데이터의 이러한 구조를 채택하면 인증서 요청 데이터에 대한 기밀 보호를 두 번 실현할 수 있어 데이터 전송의 보안을 더욱 향상시킬 수 있다.
단계 S404에서, 디지털 인증서 신청 장치는 상기 보안 데이터 채널을 사용하여 디지털 인증서 발급 장치에 의해 전송된 디지털 인증서 검증 요청 메시지를 수신한다.
여기서 디지털 인증서 관리 검증 요청 메시지는 데이터 통신 키를 통해 암호화된다.
특정 구현에서, 디지털 인증서 발급 장치가 공개 키 및 개인 키가 디지털 인증서 신청 장치에 속하는지 여부를 결정함이 필요한 경우, 디지털 인증서 발급 장치는 보안 데이터 채널을 통해 기밀로 유지된 후, 디지털 인증서 관리 검증 요청 메시지를 디지털 인증서 신청 장치로 전송한다. 상기 디지털 인증서의 관리 검증 요청 메시지에는 인증 디지털 인증서 신청 장치의 공개 키 및 개인 키의 소속을 판단하기 위한 인증서 검증 요청 정보가 포함된다. 디지털 인증서의 관리 검증 요청 메시지는 표 6에 도시된 형태를 채택할 수 있지만 이에 제한되지는 않는다.
| 메시지 | 유형 값 | 의미 (정보 유형 ) |
| 디지털 인증서의 관리 검증 요청 메시지 | 7 | 인증서 검증 요청 |
인증서 검증 요청 정보의 필드 포맷은 표 7에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 대비 값 | 검증 값 암호문 |
일부 실시예들에서, 상기 디지털 인증서의 관리 검증 요청 메시지에 포함된 인증서 검증 요청 정보는 알고리즘 식별자, 임시 공개 키 등을 더 포함한다.
특정 구현에서, 디지털 인증서 발급 장치는 디지털 인증서의 사용에 따라 공개 키 및 개인 키가 어느 것에 관련되는지 인증할 필요가 있는지를 결정한다. 디지털 인증서가 암호화 또는 키 교환을 수행하도록 구성된 경우, 디지털 인증서 발급 장치는 공개 키 및 개인 키와 관련된 것을 인증한다. 특히, 디지털 인증서 발급 장치는 검증 값을 생성하고, 검증 값은 대비 값을 생성하도록 계산된다. 인증서의 다른 사용법에 따라 검증 키를 암호화하기 위해 다른 키가 사용된다. 인증서가 암호화하도록 구성된 경우, 디지털 인증서 신청 장치의 공개 키는 검증 값을 암호화하여 검증 값 암호문을 생성하는 데 사용된다. 인증서가 키 교환을 수행하도록 구성된 경우, 디지털 키 발급 장치 및 디지털 인증서 신청 장치가 키 교환을 수행 한 후 공유 키가 생성되고, 공유 키는 검증 값 암호문을 생성하기 위해 검증 값을 암호화하는 데 사용된다. 디지털 인증서 발급 장치는 상기 대비 값 및 상기 검증 값 암호문을 디지털 인증서의 관리 검증 요청 메시지에 포함시킨다.
단계 S405에서, 디지털 인증서 신청 장치는 상기 디지털 인증서 발급 장치로 디지털 인증서의 관리 검증 응답 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화된다.
특정 구현에서, 상기 디지털 인증서 신청 장치는 수신된 상기 디지털 인증서의 관리 검증 요청 메시지를 처리하여 디지털 인증서의 관리 검증 응답 메시지를 생성한다.
일부 실시예들에서, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 암호화 기능 (즉, 개인 키가 암호 해독 교환을 정의 함)을 수행하도록 구성될 때, 상기 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치의 개인 키를 사용하여 상기 검증 값 암호문를 해독하여 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 생성된 상기 새로운 대비 값이 수신된 상기 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성한다.
일부 실시예들에서, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 키 교환 기능 (즉, 공개 키 및 개인 키가 키 교환을 정의 함)을 수행하도록 구성될 때, 상기 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치가 상기 디지털 인증서 발급 장치와 키를 교환한 후 공유 키를 생성하고, 상기 공유 키를 사용하여 상기 검증 값 암호문을 해독하여 상기 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 상기 새로운 대비 값이 수신된 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성한다.
특정 구현에서, 디지털 인증서 신청 장치는 보안 데이터 채널을 통해 기밀로 유지된 후, 인증서 관리 검증 응답 메시지를 디지털 인증서 발급 장치로 전송한다. 디지털 인증서의 관리 검증 응답 메시지는 인증서 검증 응답 정보를 포함한다. 디지털 인증서의 관리 검증 응답 메시지는 표 8에 도시된 형태를 채택할 수 있지만 이에 제한되지는 않는다.
| 메시지 | 유형 값 | 의미 (정보 유형 ) |
| 디지털 인증서의 관리 검증 응답 메시지 | 8 | 인증서 인증 응답 |
인증서 검증 응답 정보의 필드 포맷은 표 9에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 검증 값 |
단계 S406에서, 디지털 인증서 신청 장치는 상기 보안 데이터 채널을 사용하여 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서 관리 응답 메시지를 수신한다.
상기 디지털 인증서 관리 응답 메시지는 데이터 통신 키를 통해 암호화된다.
또한, 디지털 인증서 신청 장치는 요구 사항에 따라 사용할 디지털 인증서를 결정한다.
특정 구현에서, 디지털 인증서 발급 장치는 보안 데이터 채널을 통해 기밀로 유지된 후 인증서 관리 응답 메시지를 디지털 인증서 신청 장치로 전송한다. 디지털 인증서 발급 장치는 디지털 인증서 신청 장치가 새로운 디지털 인증서를 신청할 필요하 있다고 판단하면, 디지털 인증서 관리 응답 메시지는 디지털 인증서 발급 장치가 디지털 인증서 신청 정보에 포함된 인증서 요청 데이터에 따라 생성된 새로운 디지털 인증서를 포함한다. 디지털 인증서 발급 장치는디지털 인증서 신청 장치가 기존 디지털 인증서를 조회 또는 업데이트해야 한다고 결정하면, 디지털 인증서 관리 응답 메시지에는 조회 또는 업데이트된 디지털 인증서가 포함된다.
특정 구현에서, 디지털 인증서 발급 장치는 디지털 인증서 관리 요청 메시지에서 정보의 유형에 따라 결정 및 처리를 한다. 디지털 인증서 신청 정보가 수신되고 보호를 신처한 인증서 정보가 존재한다고 결정되면, 새로운 디지털 인증서는 인증서 요청 데이터에 따라 발행된다. 인증서 획득 정보에 포함된 기존 디지털 인증서의 정보가 존재하는 경우, 기존 디지털 인증서는 발급 장치 명칭 및 일련 번호에 따라 조회된다. 인증서 취소 정보에 포함된 발급 장치 명칭 및 일련 번호가 있으면 발급 장치 명칭 및 일련 번호에 따라 기존 디지털 인증서가 취소된다. 인증서 철회 리스트가 존재하면, 발급 장치 명칭에 따라 인증서 철회 리스트가조회된다. 디지털 증명서 발급 장치는 상기 인증서를 디지털 인증서 관리 응답 메시지에 포함시킨다. 디지털 인증서 관리 응답 메시지는 표 10에 도시된 형태를 채택할 수 있지만 이에 제한되지는 않는다.
| 메시지 | 유형 값 | 의미 (정보 유형 ) |
| 디지털 인증서 관리 응답 메시지 | 3 | 인증서 응답 |
인증서 응답 정보 포맷은 표 11에 도시된 형태를 채택할 수 있지만, 이에 제한되지는 않는다.
| 인증서 생성 유형 | 인증서 응답 데이터 |
인증서 생성 유형은 표 12에 도시된 바와 같이 서로 다른 인증서 보유자에 대응하는 인증서 유형을 나열할 수 있다.
| 유형 값 | 의미 |
| 1 | 클라이언트 인증서 |
| 2 | AS인증서 |
| 3 | CA인증서 |
| 4 | 인증서 철회 리스트 |
여기서 AS 인증서는 인증 서버 인증서이고 CA 인증서는 인증 센터 인증서이다.
특정 구현에서, 디지털 인증서 관리 응답 메시지는 암호화된다. 특히, 보안 채널을 갖는 경우, 생성된 데이터 통신 키는 암호화에 사용되어 메시지의 전송 보안을 향상시킨다. 상기 디지털 인증서 관리 응답 메시지는 1 차 암호화를 위해 처리될 수 있고 2 차 암호화를 위해 처리될 수도 있다는 점에 유의해야한다. 예를 들어, 상기 디지털 인증서 관리 요청 메시지가 전송되기 전에, 보안 키들 중 하나의 키 세트, 예를 들어, 데이터 세션 키를 사용하여 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터를 암호화한다. 보안 데이터 채널로 전송될 때, 데이터는 데이터 통신 키를 사용하여 2 차 암호화를 위해 처리된다. 대응하여, 상기 디지털 인증서 관리 응답 메시지는 또한 상기 데이터 세션 키 및 데이터 통신 키를 사용하여 2 차 암호화를 위해 포함된 인증서 응답 데이터를 처리할 수 있다. 또한, 디지털 인증서 신청 장치 및/또는 디지털 인증서 발급 장치가 둘 이상의 암호화 알고리즘을 지원하는 경우, 상기 인증서 응답 데이터는 암호화 알고리즘 식별자를 더 포함할 수 있다. 대응하여, 상기 인증서 응답 데이터는 구체적으로 암호화 알고리즘 식별자 및 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘 및 상기 데이터 세션 키를 사용하여 인증서 응답 데이터를 암호화함으로써 획득된 데이터를 포함한다.
단계 S407에서, 디지털 인증서 신청 장치는 상기 보안 데이터 채널을 사용하여 디지털 인증서 발급 장치로 디지털 인증서 관리 확인 메시지를 송신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화된다.
본 발명의 실시예에서, 안전하고 신뢰할 수 있는 데이터 전송 채널은 상기 S401 및 S402 메시지를 통해 확립되고, 디지털 인증서의 자동 신청, 조회 및 업데이트는 상기 S403, S406 및 S407 메시지를 인터랙션함으로써 실현된다.및 S404 및 S405에서 디지털 인증서 검증 요청 메시지와 디지털 인증서 관리 금증 응답 메시지 사이의 인터랙션을 통해 엔티티의 공개 키 및 개인 키의 소속에 관한 인증함으로써, 디지털 인증서 관리가 더욱 효과적이며 보다 안전하고 안정적이다. 도 6에 도시된 바와 같이,도 6은 디지털 인증서의 자동 신청, 조회, 업데이트 및 발행을 위한 방법에서의 메시지 컨텐츠의 개략도이다. 도 6에 도시된 바와 같이, 디지털 인증서 관리 요청 메시지는 구체적으로 디지털 인증서 신청 정보, 디지털 인증서 획득 정보, 디지털 인증서 취소 정보 및 디지털 인증서 철회 리스트 정보 등을 포함할 수 있다. 상기 디지털 인증서 관리 응답 메시지는 디지털 인증서 응답 정보 등을 포함할 수 있다. 디지털 인증서 관리 확인 메시지는 디지털 인증서 신청 장치와 디지털 인증서 발급 장치 사이의 연결을 해제하도록 구성될 수 있다. 디지털 인증서 관리 검증 요청 메시지는 디지털 인증서 검증 요청 정보 등을 포함할 수 있다. 디지털 인증서 관리 검증 응답 메시지는 디지털 인증서 검증 응답 정보 등을 포함할 수 있다.
본 발명에서 제공되는 디지털 인증서 관리 방법은 디지털 인증서 신청 장치 측으로부터 설명되었다. 본 발명에서 제공되는 방법은 또한 디지털 인증서 발급 장치 측에 적용될 수 있고, 그 처리는 도 2 내지도 6에 도시된 예에 대응하여 수행될 수 있음을 당업자는 이해할 수 있다. 예를 들어, 인증서 발급 장치 측에 적용되는 상기 방법에 있어서, 디지털 인증서 발급 장치가 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 신청 장치와 협상하고, 상기 보안 키는 데이터 통신 키를 포함하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서 관리 요청 메시지를 수신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서 관리 요청 메시지를 처리하여 디지털 인증서의 관리 검증 요청 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서의 관리 검증 요청 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서의 관리 검증 응답 메시지를 처리하여 디지털 인증서 관리 응답 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 응답 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서 관리 확인 메시지를 수신하고, 상기 디지털 인증서 관리 확인 메시지를 처리하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화된다.
일부 실시예들에서, 상기 디지털 인증서 발급 장치가 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 신청 장치와 협상하는 것은 구체적으로 상기 디지털 인증서 발급 장치는 디지털 인증서 신청 장치와 보안 데이터 채널에 대해 협상하는 단계; 상기 디지털 인증서 발급 장치와 디지털 인증서 신청 장치는 인증 코드 및 협상 프로세스에서 획득된 난수, 신원 정보를 사용하여 보안 채널의 보안 키를 생성하는 단계; 상기 디지털 인증서 발급 장치와 디지털 인증서 신청 장치는 무결성 검사 코드를 통해 보안 채널 확인 메시지를 인증하는 단계를 포함한다.
일부 실시예들에서, 상기 디지털 인증서 발급 장치와 디지털 인증서 신청 장치가 보안 데이터 채널에 대해 협상하는 것을 구체적으로 상기 디지털 인증서 발급 장치는 디지털 인증서 신청 장치로 제 2 난수, 제 2 신원 정보를 송신하는 단계; 및 상기 디지털 인증서 신청 장치에 의해 송신된 제 1 난수, 제 1 신원 정보를 수신하는 단계를 포함한다.
일부 실시예들에서, 상기 디지털 인증서 발급 장치와 디지털 인증서 신청 장치가 인증 코드 및 협상 프로세스에서 획득된 난수, 신원 정보를 사용하여 보안 채널의 보안 키를 생성하는 것은 구체적으로 상기 디지털 인증서 발급 장치는 인증 코드, 상기 제 1 난수, 상기 제 1 신원 정보, 상기 제 2 난수 및 상기 제 2 신원 정보를 사용하여 보안 키를 생성한다.
특정 구현은 도 2 내지 도 6에 기술된 방법을 참조함으로써 실현될 수 있다.
도 7을 참조하면,도 7은 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 신청 장치의 개략도이다.
디지털 인증서 신청 장치 (700)는,
획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하도록 구성된 보안 데이터 채널 확립 유닛 (701) - 상기 보안 키는 데이터 통신 키를 포함됨;
상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서 관리 확인 메시지를 송신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 송신 유닛 (702);
상기 데이터 통신 키를 사용하여 상기 인증서 관리 요청 메시지를 암호화하고, 또한 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 암호화하고, 또한 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 확인 메시지를 암호화하도록 구성된 암호화 유닛 (703);
상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서 관리 응답 메시지를 수신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 수신 유닛 (704); 및
수신된 상기 디지털 인증서의 관리 검증 요청 메시지를 처리하여 디지털 인증서의 관리 검증 응답 메시지를 생성하고, 또한 수신된 상기 디지털 인증서 관리 응답 메시지를 처리하여 디지털 인증서 관리 확인 메시지를 생성하도록 구성된 처리 유닛 (705)을 포함한다.
일부 실시예들에서, 상기 암호화 유닛 (703)은 구체적으로, 상기 보안 데이터 채널의 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 암호화한다.
일부 실시예들에서, 상기 수신 유닛 (704)은 수신된 상기 디지털 인증서의 관리 검증 요청 메시지에는 인증서 검증 요청 정보가 포함되며 상기 인증서 검증 요청 정보는 대비 값 및 검증 값 암호문을 포함한다.
일부 실시예들에서, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 암호화 기능을 수행하도록 구성된 경우, 상기 처리 유닛 (705)은 구체적으로,
상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치의 개인 키를 사용하여 상기 검증 값 암호문를 해독하여 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 생성된 상기 새로운 대비 값이 수신된 상기 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성한다;
상기 디지털 인증서의 관리 검증 응답 메시지는 인증서 검증 응답 정보를 포함한다.
일부 실시예들에서, 상기 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 키 교환 기능을 수행하도록 구성된 경우, 상기 처리 유닛 (705)은 구체적으로,
상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치가 상기 디지털 인증서 발급 장치와 키를 교환한 후 공유 키를 생성하고, 상기 공유 키를 사용하여 상기 검증 값 암호문을 해독하여 상기 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 상기 새로운 대비 값이 수신된 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성한다.
일부 실시예들에서, 상기 송신 유닛 (702)에 의해 송신된 상기 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함하고, 상기 인증서 요청 정보는 버전, 보유자 명칭, 보유자 공개 키 정보 및 확장을 포함한다. 상기 암호화 유닛 (703)은 구체적으로, 상기 보안 데이터 채널의 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 요청 메시지를 암호화한다.
일부 실시예들에서, 상기 암호화 유닛 (703)은 또한 상기 보안 키가 데이터 세션 키를 포함할 때, 상기 디지털 인증서의 관리요청 메시지가 상기 보안 데이터 채널의 데이터 통신 키로 암호화되기 전 상기 데이터 세션 키를 사용하여 상기 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터를 암호화한다.
여기서 인증서 요청 정보에는 일련 번호, 발급자 명칭 및 유효 기간도 포함된다.
또한, 상기 디지털 인증서 신청 장치가 2 개 이상의 암호화 알고리즘을 지원할 때, 송신 유닛 (702)에 의해 전송된 인증서 요청 데이터는 암호화 알고리즘 식별자를 더 포함하고, 구체적으로 암호화 알고리즘 식별자, 및 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘, 상기 데이터 세션 키를 사용하여 상기 인증서 요청 정보, 상기 서명 알고리즘 식별자 및 상기 서명 값을 암호화 하여 얻은 데이터를 포함한다. 한편 상기 암호화 유닛 (703)은 구체적으로, 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘, 상기 데이터 세션 키를 사용하여 상기 인증서 요청 정보, 상기 서명 알고리즘 식별자 및 상기 서명 값을 암호화한다.
일부 실시예들에서, 상기 송신 유닛 (702)은 제 1 송신 유닛, 제 2 송신 유닛, 제 3 송신 유닛 및 제 4 송신 유닛을 포함한다. 상기 제 1 송신 유닛은 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 신청 정보를 송신하여 새로운 디지털 인증서를 신청하도록 하고, 상기 디지털 인증서 신청 정보는 인증서 생성 방식 및 인증서 요청 데이터를 포함한다.
및/또는, 상기 제 2 송신 유닛은 상기 보안 데이터 채널을 통해상기 디지털 인증서 발급 장치로 디지털 인증서 획득 정보를 송신하여 기종 디지털 인증서를 조회 또는 업데이트하도록 한다. 상기 디지털 인증서 획득 정보는 발급 장치 명칭 및 일련 번호필드를 포함한다.
및/또는, 제 3 송신 유닛은 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 취소 정보를 송신하여 기존 디지털 인증서의 취소를 신청하도록 하고, 상기 디지털 인증서 취소 정보는 발급 장치 명칭, 일련 번호 및 취소 원인 필드를 포함한다.
및/또는, 제 4 송신 유닛은 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 철회 리스트 정보를 송신하여 디지털 인증서 철회 리스트를 요청하도록 하고, 상기 디지털 인증서 철회 리스트 정보는 발급 장치 명칭 필드를 포함한다.
일부 실시예들에서, 상기 보안 데이터 채널 확립 유닛 (701)은 보안 데이터 채널의 확립에 대해 디지털 인증서 발급 장치와 협상하도록 구성된 보안 유닛; 디지털 인증서 발급 장치와 인증 코드 및 협상 프로세스에서 획득된 난수, 신원 정보를 사용하여 보안 채널의 보안 키를 생성하도록 구성된 키 생성 유닛; 및 디지털 인증서 발급 장치와 무결성 검사 코드를 사용하여 보안 채널 확인 메시지를 인증하도록 구성된 키 확인 유닛을 포함한다.
일부 실시예들에서, 상기 협상 유닛은 구체적으로, 디지털 인증서 발급 장치로 제 1 난수, 제 1 신원 정보를 송신하고, 및 상기 디지털 인증서 발급 장치에 의해 송신된 제 2 난수, 제 2 신원 정보를 수신한다. 상기 키 생성 유닛은 구체적으로, 상기 디지털 인증서 신청 장치와 디지털 인증서 발급 장치가 인증 코드, 상기 제 1 난수, 상기 제 1 신원 정보, 상기 제 2 난수 및 상기 제 2 신원 정보를 사용하여 보안 키를 생성한다.
일부 실시예들에서, 상기 키 생성 유닛생성된 보안 키는 무결성 검사 키를 더 포함한다. 상기 키 확인 유닛은 구체적으로, 상기 디지털 인증서 신청 장치와 디지털 인증서 발급 장치가 난수, 상기 무결성 검사 키를 사용하여 무결성 검사 코드를 생성하고, 상기 무결성 검사 코드를 사본 발명의 장치에 대한 각 유닛 또는 모듈의 설정은 도 2 내지 6에 도시된 방법을 참조함으로써 실현될 수 있으며 더 이상 설명하지 않는다. 디지털 인증서 관리 장치는 별도의 장치 일 수 있으며 또한 디지털 인증서 발급 장치와 통합되거나 디지털 인증서 발급 장치의 일부로 존재할 수 있으며, 여기서는 제한되지 않으며 유의해야한다.
도 8을 참조하면, 도 8은 적어도 하나의 프로세서 (801) (CPU와 같은), 메모리 (802) 및 적어도 하나의 통신 버스 (803)를 포함하는 본 발명의 다른 실시예에 의해 제공되는 디지털 인증서 신청 장치의 블록도이다. 상기 통신 버스 (803)는 이들 장치들 사이의 연결 통신을 실현하도록 구성된 것이다. 프로세서 (801)는 컴퓨터 프로그램과 같은 메모리 (802)에 저장된 실행 가능한 모듈을 실행하도록 구성된다. 메모리 (802)는 랜덤 액세스 메모리 (RAM)를 포함할 수 있고, 적어도 하나의 자기 디스크 메모리와 같은 비 휘발성 메모리(non-volatile memory)를 더 포함할 수 있다. 하나 이상의 프로그램이 메모리에 저장되고 하나 이상의 프로세서 (801)에 의해 하나 이상의 프로그램에 포함된 다음의 동작의 수행에 사용되는 명령을 실행하도록 구성되고: 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하고, 상기 보안 키에는 적어도 데이터 통신 키가 포함되고, 디지털 인증서 관리 요청 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 요청 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서의 관리 검증 요청 메시지를 처리하여 디지털 인증서의 관리 검증 응답 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서 관리 응답 메시지를 수신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서 관리 응답 메시지를 처리하여 디지털 인증서 관리 확인 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 확인 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서 관리 확인 메시지를 송신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화된다.
일부 실시예들에서, 프로세서 (801) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 신청 정보를 송신하여 새로운 디지털 인증서를 신청하도록 하고, 상기 디지털 인증서 신청 정보는 인증서 생성 방식 및 인증서 요청 데이터를 포함한다.
일부 실시예들에서, 프로세서 (801) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 획득 정보를 송신하여 기존 디지털 인증서를 조회 또는 업데이트하도록 한다. 상기 디지털 인증서 획득 정보는 발급 장치 명칭 및 일련 번호필드를 포함한다.
일부 실시예들에서, 프로세서 (801) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 취소 정보를 송신하여 기존 디지털 인증서의 취소를 신청하도록 하고, 상기 디지털 인증서 취소 정보는 발급 장치 명칭, 일련 번호 및 취소 원인 필드를 포함한다.
일부 실시예들에서, 프로세서 (801) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 철회 리스트 정보를 송신하여 디지털 인증서 철회 리스트를 요청하도록 하고, 상기 디지털 인증서 철회 리스트 정보는 발급 장치 명칭 필드를 포함한다.
일부 실시예들에서, 프로세서 (801) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 디지털 인증서 발급 장치와 보안 데이터 채널에 대해 협상하고; 디지털 인증서 발급 장치와 인증 코드 및 협상 프로세스에서 획득된 난수, 신원 정보를 사용하여 보안 채널의 보안 키를 생성하고; 디지털 인증서 발급 장치와 무결성 검사 코드를 사용하여 보안 채널 확인 메시지를 인증한다.
일부 실시예들에서, 프로세서 (801) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 디지털 인증서 발급 장치로 제 1 난수, 제 1 신원 정보를 송신하고, 및 상기 디지털 인증서 발급 장치에 의해 송신된 제 2 난수, 제 2 신원 정보를 수신하고; 디지털 인증서 발급 장치와 인증 코드, 상기 제 1 난수, 상기 제 1 신원 정보, 상기 제 2 난수 및 상기 제 2 신원 정보를 사용하여 보안 키를 생성한다.
일부 실시예들에서, 프로세서 (801) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 디지털 인증서 발급 장치와 난수, 상기 무결성 검사 키를 사용하여 무결성 검사 코드를 생성하고, 상기 무결성 검사 코드를 사용하여 보안 채널 확인 메시지를 인증한다.
도 9를 참조하면, 도 9는 본 발명의 일 실시예에 의해 제공되는 디지털 인증서 발급 장치의 개략도이다.
디지털 인증서 발급 장치 (900)는 :
인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 신청 장치와 협상하고, 상기 보안 키는 데이터 통신 키를 포함되도록 구성된 보안 데이터 채널 확립 유닛 (901);
상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 송신된 디지털 인증서 관리 요청 메시지를 수신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 송신된 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 전송된 디지털 인증서 관리 확인 메시지를 수신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 수신 유닛 (902);
수신된 상기 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서의 관리 검증 요청 메시지를 생성하고, 또한 수신된 상기 디지털 인증서의 관리 검증 응답 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하고, 또한 수신된 상기 디지털 인증서 관리 확인 메시지를 처리하도록 구성된 처리 유닛 (903);
상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 암호화하고, 또한 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 응답 메시지를 암호화하도록 구성된 암호화 유닛 (904); 및
상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서의 관리 검증 요청 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 송신 유닛 (905)을 포함한다.
일부 실시예들에서, 상기 송신 유닛 (905)에 의해 송신된 상기 디지털 인증서 관리 응답 메시지에 인증서 응답 데이터가 포함된다. 상기 암호화 유닛 (904)은 구체적으로, 상기 보안 데이터 채널의 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 응답 메시지를 암호화한다. 상기 수신 유닛 (902)에 의해 수신된 상기 디지털 인증서 관리 요청 메시지에 포함된 인증서 요청 데이터는 인증서 요청 정보, 서명 알고리즘 식별자 및 서명 값을 포함한다. 상기 인증서 요청 정보는 버전, 보유자 명칭, 보유자 공개 키 정보 및 확장을 포함한다.
일부 실시예들에서, 상기 암호화 유닛 (904)은 또한 상기 보안 키가 데이터 세션 키를 더 포함할 때 상기 디지털 인증서 관리 응답 메시지가 상기 보안 데이터 채널의 데이터 통신 키로 암호화되기 전, 상기 데이터 세션 키를 사용하여 상기 디지털 인증서 관리 응답 메시지에 포함된 인증서 응답 데이터를 암호화한다. 상기 인증서 요청 정보에는 일련 번호, 발급자 명칭 및 유효 기간도 포함된다.
일부 실시예에서, 디지털 인증서 발급 장치가 둘 이상의 암호화 알고리즘을 지원할 때, 전송 유닛 (905)에 의해 전송된 인증서 응답 데이터는 암호화 알고리즘 식별자를 더 포함하고, 구체적으로 암호화 알고리즘 식별자, 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘, 상기 데이터 세션 키를 사용하여 상기 인증서 응답 데이터를 암호화하여 얻은 데이터를 포함한다. 한편 상기 암호화 유닛 (904)은 구체적으로, 상기 암호화 알고리즘 식별자에 대응하는 암호화 알고리즘, 상기 데이터 세션 키를 사용하여 상기 인증서 응답 데이터를 암호화한다.
일부 실시예들에서, 상기 보안 데이터 채널 확립 유닛 (901) 은, 디지털 인증서 신청 장치와 보안 데이터 채널에 대해 협상하도록 구성된 협상 유닛; 디지털 인증서 신청 장치와 인증 코드 및 협상 프로세스에서 획득된 난수, 신원 정보를 사용하여 보안 채널의 보안 키를 생성하도록 구성된 키 생성 유닛; 및 디지털 인증서 신청 장치와 무결성 검사 코드를 사용하여 보안 채널 확인 메시지를 인증하도록 구성된 키 확인 유닛을 포함한다.
일부 실시예에서, 상기 협상 유닛은 구체적으로 디지털 인증서 신청 장치, 제 2 난수 및 제 2 신원 정보를 전송하고, 디지털 인증서 신청 장치에 의해 전송된 제 1 난수 및 제 1 신원 정보를 수신하도록 구성된다. 상기 키 생성 유닛은 구체적으로, 인증 코드, 상기 제 1 난수, 상기 제 1 신원 정보, 상기 제 2 난수 및 상기 제 2 신원 정보를 사용하여 보안 키를 생성한다.
일부 실시예들에서, 상기 키 생성 유닛에 의해 생성된 보안 키는 무결성 검사 키를 더 포함한다. 상기 키 확인 유닛은 구체적으로, 디지털 인증서 신청 장치와 난수, 상기 무결성 검사 키를 사용하여 무결성 검사 코드를 생성하고, 상기 무결성 검사 코드를 사용하여 보안 채널 확인 메시지를 인증한다.
도 10을 참조하면, 도 10은 적어도 하나의 프로세서 (1001) (예를 들어 CPU), 메모리 (1002) 및 적어도 하나의 통신 버스 (1003)를 포함하는 본 발명의 다른 실시예에 의해 제공되는 디지털 인증서 발급 장치의 블록도이다. 상기 적어도 하나의 통신 버스 (1003)는 이들 장치들 사이의 연결 통신을 실현하도록 구성된다. 상기 프로세서 (1001)는 컴퓨터 프로그램과 같은 메모리 (1002)에 저장된 실행 가능 모듈을 실행하도록 구성된다. 메모리 (1002)는 랜덤 액세스 메모리 (RAM)를 포함할 수 있고, 적어도 하나의 자기 디스크 메모리와 같은 비 휘발성 메모리(non-volatile memory)를 더 포함할 수 있다. 하나 이상의 프로그램이 메모리에 저장되고 하나 이상의 프로세서 (1001)에 의해 하나 이상의 프로그램에 포함된 다음의 동작의 수행에 사용되는 명령을 실행하도록 구성되고: 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 신청 장치와 협상하고, 상기 보안 키는 데이터 통신 키를 포함하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서 관리 요청 메시지를 수신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서 관리 요청 메시지를 처리하여 디지털 인증서의 관리 검증 요청 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서의 관리 검증 요청 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 디지털 인증서의 관리 검증 응답 메시지를 처리하여 디지털 인증서 관리 응답 메시지를 생성하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 응답 메시지를 암호화하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치에 의해 송신된 디지털 인증서 관리 확인 메시지를 수신하고, 상기 디지털 인증서 관리 확인 메시지를 처리하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화된다.
일부 실시예들에서, 프로세서 (1001) 는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 디지털 인증서 신청 장치와 보안 데이터 채널에 대해 협상하고, 디지털 인증서 신청 장치와 인증 코드 및 협상 프로세스에서 획득된 난수, 신원 정보를 사용하여 보안 채널의 보안 키를 생성하고, 디지털 인증서 신청 장치와 무결성 검사 코드를 사용하여 보안 채널 확인 메시지를 인증한다.
일부 실시예들에서, 프로세서 (1001)는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 디지털 인증서 신청 장치로 제 2 난수, 제 2 신원 정보를 송신하고, 및 상기 디지털 인증서 신청 장치에 의해 송신된 제 1 난수, 제 1 신원 정보를 수신한다.
일부 실시예들에서, 프로세서 (1001)는 구체적으로 하나 이상의 프로그램에 포함된 명령을 실행하도록 구성되고: 인증 코드, 상기 제 1 난수, 상기 제 1 신원 정보, 상기 제 2 난수 및 상기 제 2 신원 정보를 사용하여 보안 키를 생성한다.
당업자는 전술 한 방법 및 장치가 대응 관계를 갖고 있음을 이해할 것이다.
본 명세서를 고려하고 본 명세서의 개시를 실시한 후, 당업자는 본 발명의 다른 실시예를 생각하기 쉽다. 본 발명은 임의의 변형, 사용 또는 적응적인 변경을 포함하는 것을 목적으로한다. 임의의 변형, 사용 또는 적응적인 변경은 본 발명의 일반적인 원리에 따르고, 공개되지 않은 기술 분야에서의 통상적인 지식 또는 통상적으로 사용된 기술적 수단을 포함한다. 본 명세서 및 실시예는 단지 예시적인 것으로 간주된다. 본 발명의 진정한 범위 및 사상은 다음의 청구 범위에 의해 특정된다.
본 발명은 상기 설명되고 첨부 도면에 도시된 정확한 구조로 제한되지 않으며, 본 발명의 범위를 벗어나지 않고 다양한 수정 및 변경이 이루어질 수 있음을 이해해야 한다. 본 발명의 범위는 단지 첨부된 청구 범위에 의해 정의된다.
본 발명의 바람직한 실시예는 본 발명을 제한하지 않은 사상 및 원칙하여세 설명되었다. 본 발명의 사상 및 원리 내에서 이루어진 임의의 수정, 균등 대체, 개선 등은 본 발명의 보호 범위에 포함되어야 한다.
문맥 상에서, 제 1, 제 2 등과 같은 관계 용어는 임의의 이러한 실제 관계의 존재를 반드시 요구하거나 암시하지 않고 단지 하나의 엔티티 또는 오퍼레이션을 다른 엔티티 또는 오퍼레이션과 구별하기 위해 사용된다는 것을 유의할 필요가 있다. 또는 이러한 엔티티 또는 작업 간의 순서. 또한, "포함하다", "포괄하다" 또는 이의 임의의 다른 변형의 용어는 비 독점적인 포함을 포함하도록 의도되며, 따라서 일련의 요소를 포함하는 프로세스, 방법, 물품 또는 장치는 이들 요소뿐만 아니라 추가로 포함된다. 명확하게 나열되지 않은 다른 요소 또는 그러한 프로세스, 방법, 기사 또는 장치에 내재된 요소를 포함한다. 더 이상의 제한이 없는 경우, "하나를 포함하는 ..."이라는 문장으로 정의된 요소는 해당 요소의 프로세스, 방법, 물품 또는 장치에 포함된 동일한 추가 요소의 존재를 배제하지 않는다. 본 발명은 프로그램 모듈과 같은 컴퓨터에 의해 실행되는 컴퓨터 실행 가능 명령의 일반적인 맥락에서 설명될 수 있다. 일반적으로, 프로그램 모듈은 특정 작업을 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 객체, 컴포넌트, 데이터 구조 등을 포함한다. 본 발명은 또한 통신 네트워크를 통해 연결된 원격 처리 장치를 통해 작업이 수행되는 분산 컴퓨팅 환경에서 실시될 수 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 저장 장치 내의 로컬 및 원격 컴퓨터 저장 매체에 위치될 수 있다.
본 명세서의 다양한 실시예는 점진적으로 설명되며, 다양한 실시예 간의 동일하거나 유사한 부분은 서로를 참조할 수 있다. 각 실시예는 다른 실시예와의 차이점을 설명하는 데 중점을 둔다. 특히, 장치 실시예의 경우, 방법 실시예와 실질적으로 유사하기 때문에 간단히 설명된다. 관련 사항은 방법 실시예의 명령의 일부를 참조한다. 전술한 장치 실시예는 단지 예시적인 것으로서, 분리 구성 요소로서 설명된 유닛은 물리적으로 분리될 수 있거나 또한 물리적으로 분리될 수 없고, 유닛으로서 표현되는 구성 요소는 물리적 유닛일 수도 있고 아닐 수도 있다. 한 장소에 위치하거나 복수의 네트워크 유닛으로 분배될 수도 있다. 실시예의 솔루션의 목적은 실제 요구 사항에 따라 모듈의 일부 또는 전부를 선택함으로써 실현될 수 있다. 창조적 노력을 기울이지 않아도, 당업자는 해결책을 이해하고 구현할 수 있다. 상술한 것은 본 발명의 특정 실시예일 뿐이다. 당업자라면, 본 발명의 원리를 벗어나지 않는 전제 조건에서, 복수의 개선 및 변형이 추가로 이루어질 수 있음을 이해해야 한다. 이러한 개선 및 변형은 또한 본 발명의 보호 범위에서 고려되어야 한다.
700: 디지털 인증서 신청 장치
701: 보안 데이터 채널 확립 유닛
702: 송신 유닛
703: 암호화 유닛
704: 수신 유닛
705: 처리 유닛
801: 프로세서
802: 메모리
803: 통신 버스
900: 디지털 인증서 발급 장치
901: 보안 데이터 채널 확립 유닛
902: 수신 유닛
903: 처리 유닛
904: 암호화 유닛
905: 송신 유닛
1001: 프로세서
1002: 메모리
1003: 통신 버스
701: 보안 데이터 채널 확립 유닛
702: 송신 유닛
703: 암호화 유닛
704: 수신 유닛
705: 처리 유닛
801: 프로세서
802: 메모리
803: 통신 버스
900: 디지털 인증서 발급 장치
901: 보안 데이터 채널 확립 유닛
902: 수신 유닛
903: 처리 유닛
904: 암호화 유닛
905: 송신 유닛
1001: 프로세서
1002: 메모리
1003: 통신 버스
Claims (23)
- 디지털 인증서 신청 장치는 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하는 단계 - 상기 보안 키에는 적어도 데이터 통신 키가 포함됨;
디지털 인증서 신청 장치는 상기 보안 데이터 채널을 사용하여 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하는 단계 - 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화됨;
디지털 인증서 발급 장치는 상기 디지털 인증서 관리 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서의 관리 검증 요청 메시지를 송신하는 단계 - 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화됨;
디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서의 관리 검증 응답 메시지를 송신하는 단계 - 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화됨;
디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신하는 단계 - 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화됨;
디지털 인증서 신청 장치는 상기 디지털 인증서 관리 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 확인 메시지를 송신하는 단계 - 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화됨;
디지털 인증서 발급 장치는 상기 디지털 인증서 관리 확인 메시지를 수신하여 처리하는 단계를 포함하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 1 항에 있어서,
상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되는 경우,
상기 디지털 인증서의 관리 검증 요청 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화되고,
상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되는 경우,
상기 디지털 인증서의 관리 검증 응답 메시지는 상기 보안 데이터 채널의 데이터 통신 키로 암호화되는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 1 항 또는 제 2 항에 있어서,
상기 디지털 인증서 발급 장치가 상기 디지털 인증서 관리 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서의 관리 검증 요청 메시지를 송신하는 경우,
상기 디지털 인증서 발급 장치는 상기 디지털 인증서 관리 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 요청 메시지를 해독하고, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터에 따라 처리하여 디지털 인증서의 관리 검증 요청 메시지를 생성하고,
상기 디지털 인증서의 관리 검증 요청 메시지에는 인증서 검증 요청 정보가 포함되며 상기 인증서 검증 요청 정보는 대비 값 및 검증 값 암호문을 포함하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 3 항에 있어서,
상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 암호화 기능을 수행하도록 구성된 경우, 상기 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 생성하는 것은,
상기 디지털 인증서 발급 장치는 하나의 검증 값을 생성하고, 상기 검증 값은 상기 디지털 인증서 신청 장치의 공개 키를 통해 암호화되어 상기 검증 값 암호문을 생성하고, 상기 검증 값은 대비 값을 생성하도록 계산되고, 상기 검증 값 암호문 및 상기 대비 값을 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 생성하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 4 항에 있어서,
상기 디지털 인증서 신청 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서의 관리 검증 응답 메시지를 송신하는 경우,
상기 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치의 개인 키를 사용하여 상기 검증 값 암호문을 해독하여 상기 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 생성된 상기 새로운 대비 값이 수신된 상기 대비 값과 일치하는지 여부를 판단하고, 일치하면 상기 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하며, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성하여 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 5 항에 있어서,
상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신하는 경우,
상기 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 응답 메시지를 수신한 후 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 해독하여 상기 검증 값을 획득하고, 상기 검증 값이 상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 전송하기 전에 생성된 검증 값과 일치하는지의 여부를 비교하고, 일치하면 상기 디지털 인증서 발급 장치는 공개 키 및 개인 키가 상기 디지털 인증서 신청 장치에 속한다고 결장할 수 있으며, 상기 디지털 인증서 관리 응답 메시지를 생성하고, 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 3 항에 있어서,
상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 키 교환 기능을 수행하도록 구성된 경우, 상기 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 생성는 것은,
상기 디지털 인증서 발급 장치는 상기 디지털 인증서 신청 장치와 키를 교환한 후 공유 키를 생성하고 상기 디지털 인증서 발급 장치는 하나의 검증 값을 생성하고, 상기 검증 값은 상기 공유 키를 통해 암호화되어 검증 값 암호문을 생성하고, 상기 검증 값은 대비 값을 생성하도록 계산되고, 상기 검증 값 암호문 및 상기 대비 값을 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 생성하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 7 항에 있어서,
상기 디지털 인증서 신청 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서의 관리 검증 응답 메시지를 송신하는 경우,
상기 디지털 인증서 신청 장치는 상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치가 상기 디지털 인증서 발급 장치와 키를 교환한 후 공유 키를 생성하고, 상기 공유 키를 사용하여 상기 검증 값 암호문을 해독하여 상기 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 상기 새로운 대비 값이 수신된 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성하고, 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신하고,
상기 디지털 인증서의 관리 검증 응답 메시지는 인증서 검증 응답 정보를 포함하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 제 8 항에 있어서,
상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 디지털 인증서 관리 응답 메시지를 송신하는 경우,
상기 디지털 인증서 발급 장치는 상기 디지털 인증서의 관리 검증 응답 메시지를 수신한 후 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 해독하여 상기 검증 값을 획득하고, 상기 검증 값이 상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 전송하기 전에 생성된 검증 값과 일치하는지의 여부를 비교하고, 일치하면 상기 디지털 인증서 발급 장치는 공개 키 및 개인 키가 상기 디지털 인증서 신청 장치에 속하는 것으로 결정하고 상기 디지털 인증서 관리 응답 메시지를 생성하고, 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하는 것을 특징으로 하는 디지털 인증서 관리 방법. - 획득된 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 발급 장치와 협상하도록 구성된 보안 데이터 채널 확립 유닛 - 상기 보안 키는 데이터 통신 키를 포함함;
상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 디지털 인증서 관리 요청 메시지를 송신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서의 관리 검증 응답 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치로 상기 디지털 인증서 관리 확인 메시지를 송신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 송신 유닛;
상기 데이터 통신 키를 사용하여 상기 인증서 관리 요청 메시지를 암호화하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 암호화하고, 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 확인 메시지를 암호화하도록 구성된 암호화 유닛;
상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서의 관리 검증 요청 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 발급 장치에 의해 송신된 디지털 인증서 관리 응답 메시지를 수신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 수신 유닛;
수신된 상기 디지털 인증서의 관리 검증 요청 메시지를 처리하여 디지털 인증서의 관리 검증 응답 메시지를 생성하고, 또한 수신된 상기 디지털 인증서 관리 응답 메시지를 처리하여 디지털 인증서 관리 확인 메시지를 생성하도록 구성된 처리 유닛을 포함하는 것을 특징으로 하는 디지털 인증서 신청 장치. - 제 10 항에 있어서,
상기 암호화 유닛은,
상기 보안 데이터 채널의 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 암호화하는 것을 특징으로 하는 디지털 인증서 신청 장치. - 제 10 항 또는 제 11 항에 있어서,
상기 수신된 상기 디지털 인증서의 관리 검증 요청 메시지에는 인증서 검증 요청 정보가 포함되며 상기 인증서 검증 요청 정보는 대비 값 및 검증 값 암호문을 포함하는 것을 특징으로 하는 디지털 인증서 신청 장치. - 제 12 항에 있어서,
상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 암호화 기능을 수행하도록 구성된 경우, 상기 처리 유닛은,
상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치의 개인 키를 사용하여 상기 검증 값 암호문를 해독하여 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 생성된 상기 새로운 대비 값이 수신된 상기 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성하고,
상기 디지털 인증서의 관리 검증 응답 메시지는 인증서 검증 응답 정보를 포함하는 것을 특징으로 하는 디지털 인증서 신청 장치. - 제 12 항에 있어서,
상기 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 키 교환 기능을 수행하도록 구성된 경우, 상기 처리 유닛은,
상기 디지털 인증서의 관리 검증 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 해독하여 상기 검증 값 암호문 및 상기 대비 값을 획득하고, 상기 디지털 인증서 신청 장치가 상기 디지털 인증서 발급 장치와 키를 교환한 후 공유 키를 생성하고, 상기 공유 키를 사용하여 상기 검증 값 암호문을 해독하여 상기 검증 값을 획득하고, 상기 검증 값을 계산하여 새로운 대비 값을 생성하고, 상기 새로운 대비 값이 수신된 대비 값과 일치하는지 여부를 판단하고, 일치하면 디지털 인증서 신청 장치가 공개 키 및 개인 키의 소속을 인증할 수 있다고 결정하고, 상기 검증 값을 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 생성하는 것을 특징으로 하는 디지털 인증서 신청 장치. - 삭제
- 인증 코드를 사용하여 보안 데이터 채널의 확립 및 보안 키의 생성에 대해 디지털 인증서 신청 장치와 협상하도록 구성된 보안 데이터 채널 확립 유닛 - 상기 보안 키에는 적어도 데이터 통신 키가 포함됨;
상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 송신된 디지털 인증서 관리 요청 메시지를 수신하고, 상기 디지털 인증서 관리 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 송신된 디지털 인증서의 관리 검증 응답 메시지를 수신하고, 상기 디지털 인증서의 관리 검증 응답 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 디지털 인증서 신청 장치에 의해 상기 보안 데이터 채널을 통해 전송된 디지털 인증서 관리 확인 메시지를 수신하고, 상기 디지털 인증서 관리 확인 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 수신 유닛;
수신된 상기 디지털 인증서 관리 요청 메시지를 처리하고 디지털 인증서의 관리 검증 요청 메시지를 생성하고, 또한 수신된 상기 디지털 인증서의 관리 검증 응답 메시지를 처리하고 디지털 인증서 관리 응답 메시지를 생성하고, 또한 수신된 상기 디지털 인증서 관리 확인 메시지를 처리하도록 구성된 처리 유닛;
상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 암호화하고, 또한 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 응답 메시지를 암호화하도록 구성된 암호화 유닛; 및
상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서의 관리 검증 요청 메시지를 송신하고, 상기 디지털 인증서의 관리 검증 요청 메시지는 상기 데이터 통신 키를 통해 암호화되고, 또한 상기 보안 데이터 채널을 통해 상기 디지털 인증서 신청 장치로 상기 디지털 인증서 관리 응답 메시지를 송신하고, 상기 디지털 인증서 관리 응답 메시지는 상기 데이터 통신 키를 통해 암호화되도록 구성된 송신 유닛을 포함하는 것을 특징으로 하는 디지털 인증서 발급 장치. - 제 16 항에 있어서,
상기 암호화 유닛은,
상기 보안 데이터 채널의 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 암호화하는 것을 특징으로 하는 디지털 인증서 발급 장치. - 제 16 항 또는 제 17 항에 있어서,
상기 처리 유닛은,
상기 디지털 인증서 관리 요청 메시지를 수신한 후, 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서 관리 요청 메시지를 해독하고, 상기 디지털 인증서 관리 요청 메시지에 포함된 데이터에 따라 처리하여 디지털 인증서의 관리 검증 요청 메시지를 생성하고,
상기 송신 유닛에 의해 송신된 상기 디지털 인증서의 관리 검증 요청 메시지에는 인증서 검증 요청 정보가 포함되며 상기 인증서 검증 요청 정보는 대비 값 및 검증 값 암호문을 포함하는 것을 특징으로 하는 디지털 인증서 발급 장치. - 제 18 항에 있어서,
상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 암호화 기능을 수행하도록 구성된 경우, 상기 처리 유닛은 또한,
하나의 검증 값을 생성하고, 상기 검증 값은 상기 디지털 인증서 신청 장치의 공개 키를 통해 암호화되어 상기 검증 값 암호문을 생성하고, 상기 검증 값은 대비 값을 생성하도록 계산되고, 상기 검증 값 암호문 및 상기 대비 값을 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 생성하는 것을 특징으로 하는 디지털 인증서 발급 장치. - 제 19 항에 있어서,
상기 처리 유닛은 또한,
상기 디지털 인증서의 관리 검증 응답 메시지를 수신한 후 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 해독하여 상기 검증 값을 획득하고, 상기 검증 값이 상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 전송하기 전에 생성된 검증 값과 일치하는지의 여부를 비교하고, 일치하면 상기 디지털 인증서 발급장치는 공개 키 및 개인 키가 디지털 인증서 신청 장치에 속한 것으로 결정하고, 상기 디지털 인증서 관리 응답 메시지를 생성하는 것을 특징으로 하는 디지털 인증서 발급 장치. - 제 18 항에 있어서,
상기 디지털 인증서 관리 요청 메시지에 포함된 데이터 관리를 위해 요청된 디지털 인증서가 키 교환 기능을 수행하도록 구성된 경우, 상기 처리 유닛은,
상기 디지털 인증서 신청 장치와 키를 교환한 후 공유 키를 생성하고 검증 값을 생성하고, 상기 검증 값은 상기 공유 키를 통해 암호화되어 검증 값 암호문을 생성하고, 상기 검증 값은 대비 값을 생성하도록 계산되고, 상기 검증 값 암호문 및 상기 대비 값을 사용하여 상기 디지털 인증서의 관리 검증 요청 메시지를 생성하는 것을 특징으로 하는 디지털 인증서 발급 장치. - 제 21 항에 있어서,
상기 처리 유닛은 또한,
상기 디지털 인증서의 관리 검증 응답 메시지를 수신한 후 먼저 상기 데이터 통신 키를 사용하여 상기 디지털 인증서의 관리 검증 응답 메시지를 해독하여 상기 검증 값을 획득하고, 상기 검증 값이 상기 디지털 인증서 발급 장치가 상기 디지털 인증서의 관리 검증 요청 메시지를 전송하기 전에 생성된 검증 값과 일치하는지의 여부를 비교하고, 일치하면 상기 디지털 인증서 발급 장치는 공개 키 및 개인 키가 상기 디지털 인증서 신청 장치에 속하는 것으로 결정하고 상기 디지털 인증서 관리 응답 메시지를 생성하는 것을 특징으로 하는 디지털 인증서 발급 장치. - 삭제
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710802333.X | 2017-09-07 | ||
| CN201710802333.XA CN109474432B (zh) | 2017-09-07 | 2017-09-07 | 数字证书管理方法及设备 |
| PCT/CN2018/104647 WO2019047927A1 (zh) | 2017-09-07 | 2018-09-07 | 数字证书管理方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200044117A KR20200044117A (ko) | 2020-04-28 |
| KR102325725B1 true KR102325725B1 (ko) | 2021-11-11 |
Family
ID=65633517
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020207009708A KR102325725B1 (ko) | 2017-09-07 | 2018-09-07 | 디지털 인증서 관리 방법 및 장치 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11323433B2 (ko) |
| EP (1) | EP3681101B1 (ko) |
| JP (1) | JP7292263B2 (ko) |
| KR (1) | KR102325725B1 (ko) |
| CN (1) | CN109474432B (ko) |
| WO (1) | WO2019047927A1 (ko) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108768664B (zh) * | 2018-06-06 | 2020-11-03 | 腾讯科技(深圳)有限公司 | 密钥管理方法、装置、系统、存储介质和计算机设备 |
| US11671264B1 (en) * | 2020-09-18 | 2023-06-06 | Amazon Technologies, Inc. | Validating certificate information before signing |
| CN112738122B (zh) * | 2021-01-04 | 2023-02-21 | 北京全路通信信号研究设计院集团有限公司 | 一种轨道交通领域复杂场景下的在线密钥管理系统及方法 |
| CN113079006B (zh) * | 2021-03-29 | 2021-11-30 | 上海纬百科技有限公司 | 针对密钥的信息处理方法、电子设备及存储介质 |
| CN113301523B (zh) * | 2021-04-14 | 2022-09-16 | 江铃汽车股份有限公司 | 一种v2x车载终端数字证书的申请、更新方法及系统 |
| CN114189337A (zh) * | 2021-11-18 | 2022-03-15 | 山东云海国创云计算装备产业创新中心有限公司 | 一种固件烧录方法、装置、设备以及存储介质 |
| WO2024063800A1 (en) * | 2022-09-21 | 2024-03-28 | Tbcasoft, Inc. | Verification of digital credentials and digital signatures |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020069361A1 (en) | 2000-08-31 | 2002-06-06 | Hideaki Watanabe | Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium |
| US20130019093A1 (en) | 2010-04-01 | 2013-01-17 | Nokia Siemens Networks Oy | Certificate authority |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4130809B2 (ja) | 2003-11-04 | 2008-08-06 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 端末間の暗号化通信チャネルを構築する方法及びそのための装置並びにプログラム |
| US20020165912A1 (en) * | 2001-02-25 | 2002-11-07 | Storymail, Inc. | Secure certificate and system and method for issuing and using same |
| US9331990B2 (en) * | 2003-12-22 | 2016-05-03 | Assa Abloy Ab | Trusted and unsupervised digital certificate generation using a security token |
| JP2007329731A (ja) | 2006-06-08 | 2007-12-20 | Hitachi Ltd | 証明書更新方法、システム及びプログラム |
| KR100853182B1 (ko) * | 2006-09-29 | 2008-08-20 | 한국전자통신연구원 | 다중 도메인에서 대칭키 기반 인증 방법 및 장치 |
| JP4938408B2 (ja) | 2006-10-12 | 2012-05-23 | Kddi株式会社 | アドレス管理システム、アドレス管理方法およびプログラム |
| CN101828358B (zh) | 2007-06-27 | 2012-07-04 | 环球标志株式会社 | 服务器认证书发行系统 |
| CN101547095B (zh) * | 2009-02-11 | 2011-05-18 | 广州杰赛科技股份有限公司 | 基于数字证书的应用服务管理系统及管理方法 |
| US8707031B2 (en) | 2009-04-07 | 2014-04-22 | Secureauth Corporation | Identity-based certificate management |
| US8868913B1 (en) * | 2011-09-29 | 2014-10-21 | Juniper Networks, Inc. | Automatically authenticating a host key via a dynamically generated certificate using an embedded cryptographic processor |
| CN103186719B (zh) * | 2011-12-27 | 2016-10-12 | 方正国际软件(北京)有限公司 | 一种面向移动终端的数字版权保护方法及系统 |
| EP2634993B1 (en) * | 2012-03-01 | 2017-01-11 | Certicom Corp. | Devices and methods for connecting client devices to a network |
| CN103856477B (zh) * | 2012-12-06 | 2018-01-02 | 阿里巴巴集团控股有限公司 | 一种可信计算系统及相应的认证方法和设备 |
| CN104579662B (zh) * | 2013-10-21 | 2018-11-13 | 航天信息股份有限公司 | 基于wpki和时间戳的移动终端身份认证方法和系统 |
| CN105812136A (zh) * | 2014-12-30 | 2016-07-27 | 北京握奇智能科技有限公司 | 一种更新方法及系统、安全认证设备 |
| CN104683359B (zh) | 2015-03-27 | 2017-11-21 | 成都三零瑞通移动通信有限公司 | 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法 |
| US11153297B2 (en) * | 2016-12-06 | 2021-10-19 | Vmware, Inc. | Systems and methods to facilitate certificate and trust management across a distributed environment |
-
2017
- 2017-09-07 CN CN201710802333.XA patent/CN109474432B/zh active Active
-
2018
- 2018-09-07 KR KR1020207009708A patent/KR102325725B1/ko active IP Right Grant
- 2018-09-07 EP EP18853006.7A patent/EP3681101B1/en active Active
- 2018-09-07 US US16/645,149 patent/US11323433B2/en active Active
- 2018-09-07 WO PCT/CN2018/104647 patent/WO2019047927A1/zh unknown
- 2018-09-07 JP JP2020513694A patent/JP7292263B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020069361A1 (en) | 2000-08-31 | 2002-06-06 | Hideaki Watanabe | Public key certificate using system, public key certificate using method, information processing apparatus, and program providing medium |
| US20130019093A1 (en) | 2010-04-01 | 2013-01-17 | Nokia Siemens Networks Oy | Certificate authority |
Also Published As
| Publication number | Publication date |
|---|---|
| US11323433B2 (en) | 2022-05-03 |
| EP3681101A1 (en) | 2020-07-15 |
| JP2020533853A (ja) | 2020-11-19 |
| US20200328902A1 (en) | 2020-10-15 |
| CN109474432A (zh) | 2019-03-15 |
| CN109474432B (zh) | 2021-11-02 |
| JP7292263B2 (ja) | 2023-06-16 |
| EP3681101A4 (en) | 2020-08-05 |
| EP3681101B1 (en) | 2021-03-24 |
| WO2019047927A1 (zh) | 2019-03-14 |
| KR20200044117A (ko) | 2020-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102325725B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
| KR102290342B1 (ko) | 디지털 인증서 관리 방법 및 장치 | |
| US9847882B2 (en) | Multiple factor authentication in an identity certificate service | |
| CN1753359B (zh) | 实现传输SyncML同步数据的方法 | |
| CN101296086B (zh) | 接入认证的方法、系统和设备 | |
| JP6471112B2 (ja) | 通信システム、端末装置、通信方法、及びプログラム | |
| JP2010158030A (ja) | セキュア通信をイニシャライズし、装置を排他的にペアリングする方法、コンピュータ・プログラムおよび装置 | |
| CN103763356A (zh) | 一种安全套接层连接的建立方法、装置及系统 | |
| CN101212293A (zh) | 一种身份认证方法及系统 | |
| JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
| JP2009071707A (ja) | 鍵共有方法、鍵配信システム | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| CN107409043B (zh) | 基于中央加密的存储数据对产品的分布式处理 | |
| WO2017069155A1 (ja) | 通信装置、通信方法、およびコンピュータプログラム | |
| KR102053993B1 (ko) | 인증서를 이용한 사용자 인증 방법 | |
| JP2013236185A (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
| AU2012311701B2 (en) | System and method for the safe spontaneous transmission of confidential data over unsecure connections and switching computers | |
| CN116318637A (zh) | 设备安全入网通信的方法和系统 | |
| KR20030082855A (ko) | 무선랜 보안 방법 | |
| JP2017108238A (ja) | 通信装置および通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |