KR20020029216A - 인증서 폐지목록 분산 관리 방법 - Google Patents
인증서 폐지목록 분산 관리 방법 Download PDFInfo
- Publication number
- KR20020029216A KR20020029216A KR1020000060053A KR20000060053A KR20020029216A KR 20020029216 A KR20020029216 A KR 20020029216A KR 1020000060053 A KR1020000060053 A KR 1020000060053A KR 20000060053 A KR20000060053 A KR 20000060053A KR 20020029216 A KR20020029216 A KR 20020029216A
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- revocation list
- certificate revocation
- subscriber
- crl
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 분배점 메커니즘을 적용하여 인증서 폐지목록(CRL)을 효과적으로 분산 관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, 인증서 폐지목록 분산 관리 시스템에 적용되는 인증서 폐지목록(CRL : Certificate Revocation List) 분산 관리 방법에 있어서, 상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 제 1 단계; 상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 구조체를 셋팅하여 인증서를 발급하는 제 2 단계; 상기 발급된 인증서 폐지목록에 분배점 메커니즘을 적용하여 상대방 인증서의 유효성을 검증하는 제 3 단계; 및 사용자의 인증서를 폐지하기 위하여 상기 인증서 폐지목록의 분배점을 이용하여 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 제 4 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 인증서 폐지목록 분산 관리 시스템 등에 이용됨.
Description
본 발명은 ITU-T(ITU-Telecommunication Standardization Sector) X.509에서 정의하고 있는 공개키 기반 구조(PKI : Public Key Infrastructure)의 보안 서비스 상에서 인증서 폐지목록(CRL : Certificate Revocation List)을 효과적으로 분산하여 관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
공개키 기반 구조(PKI)는 인터넷과 같은 개방형 또는 분산형 정보통신망 환경에서 사용자 간에 주고받는 정보의 변경 여부를 확인하는 무결성, 사용자의 신분확인을 위한 인증, 사후 자신의 행위에 대한 부인방지 등에 필요한 공개키 암호방식을 이용하는 보안서비스를 효과적으로 광범위하게 이용할 수 있도록 해주는 다수의 인증기관이 계층적으로 연결된 인증 메커니즘이라 할 수 있다.
PKI에 대한 또 다른 표현으로는, 미국 IBM 사가 "인증서의 발행, 검증, 갱신, 취소, 등록의 관리, 키관리, 관련 서비스를 제공하는 인증기관, 등록기관, 저장소들의 시스템"으로, 캐나다 정부는 "거래 당사자간에 안전한 전자거래와 중요정보의 교환을 가능케하는 암호키와 인증서 전달시스템"으로 정의하고 있다. 따라서, PKI는 무결성, 인증, 부인방지 등의 보안서비스 제공을 위한 인증서의 생성, 처리 폐지 등의 과정과 전자서면 생성과 확인에 필요한 비밀키, 공개키 등의 각종 키를 관리하는 하드웨어, 소프트웨어, 정책들의 집합으로 볼 수 있다. 향후, PKI가 전자상거래, 은행, 증권, 보험 등 서로 다른 응용 분야나 환경, 인증기관간, 그리고 국제간에서 효율적으로 이용되려면 공개키 암호방식, PKI 관리 및 운영, 인증서 관련 규격, 인증 정책, 상호인증 등의 분야에서 국내 및 국제 표준화는 반드시 필요하다.
한편, ITU-T X.509에서는 인증 기관이 가입자에게 발급해 주는 인증서 규격에 대해 버전1(version 1, 이하 V1이라 함), 버전 2(version 2, 이하 V2라 함) 및 버전 3(version 3, 이하 V3라 함)을 정의하고 있다. 따라서, 본 발명과 관련된 인증서 폐지목록의 분배점 정보 구조체는 V3에서 정의한 인증서의 확장필드(즉, 첨부된 도 3a 참조)와 인증서 폐지목록 V2의 확장 필드(즉, 첨부된 도 3b 참조)와 관련된다.
이와 같이, 인증서 폐지목록을 효과적으로 관리하기 위한 ITU-T X.509 표준문서에는 사전에 인증서 폐지목록에 분배점을 적용하기 위해서 필요한 기본 정보들을 정의하고 있지만, 구체적으로 어떤 방식으로 인증서 폐지목록에 분배점 메커니즘을 적용할 것인가에 관해서는 정의되어 있지 않다. 여기서, 인증서 폐지목록에 분배점 메커니즘이 적용되지 않는 경우(도 1 참조)에 대한 일예를 도 2를 참조하여 상세히 살펴보면 다음과 같다.
도 2 는 도 1에 적용되는 사용자 단말 환경에서 인증서 폐지목록을 이용한 상대방 인증서의 유효성 검증 과정에 대한 상세 흐름도로서, 해당 가입자에게 적용하게 될 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정이 되었는지를 검증하는 과정을 나타낸 것이다.
도 2에 도시된 바와 같이, 상대방 인증서에 대한 유효성을 검증하기 위해서는 사용자 단말은 해당 가입자로부터 상대방의 서브젝트 네임(SUBJECT_NAME)(이하, s라 칭함)을 입력받아(201) 상대방의 s를 사용하여 상대방 인증서에 관한 "LDAP_SEARCH" 구문을 작성한다(202).
이어서, 상기에서 작성된 구문을 사용하여 디렉토리 서버(204)로 상대방의 인증서를 요청하면(203) 디렉토리 서버(204)는 자신의 s를 이용하여 CRL에 관련된 "LDAP_SEARCH" 구문을 작성한다(205).
그리고, 작성된 구문을 사용하여 다시 디렉토리 서버로 CRL 파일을 전송할 것을 요청하면(206) 디렉토리 서버(204)는 전체 CRL 파일을 전달해준다(207).
그러면, 사용자 단말은 전달받은 CRL 파일을 기반으로 유효시간 범위를 체크하여(208), (205)과정에서 작성된 "LDAP_SEARCH" 구문을 이용해 상대방 인증서로부터 인증서의 일련번호를 추출하고(209), 해당 일련번호가 CRL에 있는지를 확인하여(210), 해당 일련번호가 CRL에 없으면 상대방 인증서의 유효성을 보장하고(211) 해당 일련번호가 CRL에 있으면 상대방 인증서가 비유효함을 인정한다(212).
따라서, 상기와 같은 종래 기술에서는 인증시스템에서 특정 가입자에 대한 인증서를 발급할 때, 인증서를 구성하는 맨더터리(mandatory) 필드 중의 하나인 서브젝트(SUBJECT)를 해쉬함수의 입력 데이터로 정의하여 서브젝트(SUBJECT)에 대응하는 해쉬함수의 결과값을 도출하여 이를 CRL의 DP 기준점으로 사용할 수 있도록 하는 방안이 필수적으로 요구된다.
본 발명은, 상기한 바와 같은 요구에 부응하기 위하여 안출된 것으로, 분배점 메커니즘을 적용하여 인증서 폐지목록(CRL)을 효과적으로 분산 관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
즉, 본 발명은, 인증시스템에서 발급하여 디렉토리 서버에서 상대방 인증서에 대한 유효성 정보를 담고 있는 인증서 폐기목록을 보안 서비스 사용자들이 효과적으로 검색할 수 있도록 하고, 디렉토리 서버로부터 사용자 단말환경으로 다운로드받는 CRL 파일 크기를 최소화시켜 보안서비스를 처리하는데 소요되는 시간을 줄이며, 특정 CRL 노드로의 집중적인 접근을 배제하여 N개의 CRL 노드에균형(balance)있게 CRL 정보를 저장/관리하기 위한 인증서 폐지목록 분산 관리 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다.
도 1 은 일반적인 디렉토리 서버의 인증서 폐지목록 관리 구조에 대한 예시도.
도 2 는 도 1에 적용되는 사용자 단말 환경에서 인증서 폐지목록을 이용한 상대방 인증서의 유효성 검증 과정에 대한 상세 흐름도.
도 3a 및 도 3b 는 ITU-T X.509 표준문서에서, 인증서 폐지목록에 분배점을 적용하였을때, 사용하도록 정의한 데이터 구조체에 대한 예시도.
도 4 는 본 발명이 적용되는 공개키 기반 구조 보안 서비스 시스템에 대한 구성예시도.
도 5 는 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증정책 등록 과정에 대한 일실시예 흐름도.
도 6 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증서 발급 과정에 대한 일실시예 흐름도.
도 7 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 실제 서비스 환경에서의 상대방 인증서의 유효성 검증 과정에 대한 일실시예 흐름도.
도 8 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 특정 인증서 폐지 과정에 대한 일실시예 흐름도.
도 9 는 본 발명에 따른 인증서 폐지목록 분산 관리 방법에 이용되는 디렉토리 서버의 인증서 폐지목록 관리 구조에 대한 예시도.
* 도면의 주요 부분에 대한 부호의 설명
41 : 인증기관(CA)42 : 디렉토리 서버
43 : 사용자 단말
상기 목적을 달성하기 위한 본 발명은, 인증서 폐지목록 분산 관리 시스템에 적용되는 인증서 폐지목록(CRL : Certificate Revocation List) 분산 관리 방법에 있어서, 상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 제 1 단계; 상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 구조체를 셋팅하여 인증서를 발급하는 제 2 단계; 상기 발급된 인증서 폐지목록에 분배점 메커니즘을 적용하여 상대방 인증서의 유효성을 검증하는 제 3 단계; 및 사용자의 인증서를 폐지하기 위하여 상기 인증서 폐지목록의 분배점을 이용하여 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 제 4 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 본 발명은, 프로세서를 구비한 인증서 폐지목록 분산 관리 시스템에, 상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 기능; 상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 구조체를 셋팅하여 인증서를 발급하는 기능; 상기 발급된 인증서 폐지목록에 분배점 메커니즘을 적용하여 상대방 인증서의 유효성을 검증하는 기능; 및 사용자의 인증서를 폐지하기 위하여 상기 인증서 폐지목록의 분배점을 이용하여 인증서 폐지목록을갱신하고, 그 내용을 게시하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명은, 인증시스템에서 발급하여 디렉토리 서버에서 상대방 인증서에 대한 유효성 정보를 담고 있는 인증서 폐기목록을 보안 서비스 사용자들이 효과적으로 검색할 수 있도록 하고, 디렉토리 서버로부터 사용자 단말환경으로 다운로드 받는 CRL 파일 크기를 최소화시켜 전송시간 단축과 그에 따른 가입자 단말 환경에서 보안서비스를 처리하는데 소요되는 시간을 최소화할 수 있는 방안을 제공하며, 디렉토리 서버 측면에서 특정 CRL 노드로의 집중적인 접근을 배제하여 N개의 CRL 노드에 균형(balance)있게 CRL 정보를 저장/관리하여 궁극적으로 인증서 폐지목록 사용에 따른 제반의 비용을 절감시키는 것을 특징으로 한다.
상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.
도 4 는 본 발명이 적용되는 공개키 기반 구조(PKI : Public Key Infrastructure) 보안 서비스 시스템에 대한 구성예시도이다.
도 4에 도시된 바와 같이, 공개키 기반 구조(PKI : Public Key Infrastructure) 보안 서비스 시스템은, 가입자의 인증서 발급/폐지/재발급 업무를 수행하여 디렉토리 서버(42)로 인증서와 인증서 폐지목록을 게시/삭제하기 위한 인증기관(혹은 인증시스템, CA)(41)과, 인증기관(41)이 게시한 인증서/CRL을 서비스 가입자들이 참조할 수 있도록 해당 파일들을 관리하기 위한 디렉토리 서버(42)와,인증기관(41)으로 사용자 인증서 발급/폐지를 요청하고, 서비스 처리시 디렉토리 서버(42)로 접근하여 상대방 인증서와 CRL을 다운로드받아 단말환경에서 보안 서비스를 처리하기 위한 사용자 단말(43)을 구비한다.
도 5 는 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증정책(CPS : Certificate Policy Statement) 등록 과정에 대한 일실시예 흐름도이다.
도 5에 도시된 바와 같이, CA에서 CRL과 관련된 인증정책을 등록하기 위해서는, 먼저 인증시스템에서 예상되는 가입자 수를 기반으로 인증서 폐지목록을 관리하게 될 DIT(Directory Information Tree, 이하 DIT)의 노드 수(number of nodes in DIT, 이하 N이라 칭함)와 해쉬함수(H())를 정의한다(501). 여기서, N은 CA에서 관리하고자 하는 CRL 파일의 개수를 말하고, H()는 CA에서 사용할 해쉬함수를 말한다.
이어서, 가입자 인증서를 구성하는 기본 항목 중의 하나인 서브젝트 네임(SUBJECT_NAME, 이하 S라 함)을 (501)과정에서 정의한 해쉬함수의 입력값으로 정의한다(502).
이후, (501,502)과정을 통해 정의된 함수 및 변수값들을 이용하여 인증서 폐지목록의 분배 구간을 산출한다(503). 이를 수식으로 나타내면 다음의 [수학식1] 및 [수학식2]와 같다.
즉, [수학식1]과 같이 해쉬함수 H()에 S를 대입하여 얻을 수 있는 값을 V로 정의하였을 때, 최대치인 Vmax와 최소치인 Vmin간의 차이를 구하고, 이를 N으로 나누었을 때 얻어지는 값을 인증서 폐지목록의 분배구간값인 I로 정의한다.
그리고 나서, 인증서 폐지목록에 대한 인증정책 등록시, 인증서 폐지목록에 대한 분배점 메커니즘을 적용함을 알리기 위해 해당 변수값(예: crl_dp_flag)을 "yes"로 셋팅한 후(504), 기타 인증정책 등록을 진행한다(505).
도 6 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 인증서 발급 과정에 대한 일실시예 흐름도이다.
도 6에 도시된 바와 같이, CA에서 가입자의 인증서를 발급하기 위해서는 먼저 해당 가입자에게 적용될 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)이 되었는지를 확인하여(601) 이 내용이 설정되지 않았으면 그냥 스킵하고(602), 설정되었으면 해쉬함수의 입력값인 가입자의 서브젝트 네임(SUBJECT_NAME), 즉 S를 추출한다(603).
이어서, 추출된 S에 대한 해쉬값, 즉 Vtmp를 추출한다(Vtmp=H(S))(604).
이후, (605)에서 (607)과정을 통해 (604)과정에서 얻어진 Vtmp가 포함되는 구간값을 추출한다. 이때, (608)에서 (610) 과정에서 인증서 폐지목록의 DN(Distingushied Name)체계를 OU(Organization Unit)는 CRLDP(n)으로,O(Organization)는 SECURITY로, C(Country)는 kr로 부여한다(608,609,610,611).
즉, (605)과정에서 (607)과정은 n값을 구하는 것이다. 또한, (608,609,610,611)과정은 (605)에서(607)과정을 통해 얻은 인증서 폐지목록의 구간값, 즉 n을 구하여 해당 인증서가 폐지되었을 때, 그 정보가 저장될 인증서 폐지목록의 DN을 완성시키는 것이다.
이후, (608,609,610,611)과정을 통해서 정해진 인증서 폐지목록의 DN과 인증서 폐지목록을 발급하는 인증기관의 DN 정보를 도 3a에 도시된 바와 같이, 분배점이름(DistributionPointName) 구조체를 구성하는 풀네임(fullName)과 CRL을 발급하는 CA의 이름(nameRelativeToCRLIssuer)에 채워, 해당 가입자의 인증서 구조체에 분배점이 적용된 가입자의 인증서 폐지목록 정보를 완성시킨다(612).
도 7 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 실제 서비스 환경에서의 상대방 인증서의 유효성 검증 과정에 대한 일실시예 흐름도이다.
도 7에 도시된 바와 같이, 상대방 인증서에 대한 유효성을 검증하기 위해서는 먼저 응용프로그램이나 가입자로부터 상대방의 서브젝트 네임(SUBJECT_NAME)을 입력받아(701) 상대방 인증서에 관한 "LDAP_SEARCH" 구문을 작성한다(702). 이어서, 상기에서 작성된 구문을 사용하여 디렉토리 서버(704)로 상대방의 인증서를 요청하면(703) 디렉토리 서버(704)는 s를 이용하여 다운로드 받은 상대방 인증서로부터 해당되는 도 3a에 도시된 CRL분배점(crlDistributionPoint) 정보를 추출한다(705).
그리고, 성공적으로 추출된 CRL분배점(crlDistributionPoint) 정보에서 풀네임(fullname)을 추출하여 디렉토리 서버(704)로 CRL을 전송해줄 것을 요청하면(706) 디렉토리 서버(704)는 CRL분배점(crlDistributionPoint)에서 정의된 해당 DN의 이름이 부여된 CRL 파일을 전달해준다(707).
그러면, 사용자 단말은 전달받은 CRL 파일을 기반으로 유효시간 범위를 체크하여(708), (705)과정에서 추출된 CRL분배점(crlDistributionPoint) 정보를 이용해 상대방 인증서로부터 인증서의 일련번호를 추출하고(709), 해당 일련번호가 CRL에 있는지를 확인하여(710) 해당 일련번호가 CRL에 없으면 상대방 인증서의 유효성을 보장하고(711), 해당 일련번호가 CRL에 있으면 상대방 인증서가 비유효함을 인정한다(712).
도 8 은 본 발명에 따른 인증서 폐지목록 분산 관리 방법 중 인증시스템의 특정 인증서 폐지 과정에 대한 일실시예 흐름도로서, 인증서 폐지목록의 분배점을 이용하여 적합한 인증서 폐지목록을 갱신하고, 그 내용을 디렉토리 서버에 적절하게 게시하는 과정에 대한 것이다.
도 8에 도시된 바와 같이, CA가 사용자의 인증서를 폐지하기 위해서는 먼저 해당 가입자에게 적용된 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)이 되었는지를 확인하여(801) 이 내용이 설정되지 않았으면 그냥 스킵하고(802), 설정되었으면 인증서 폐지를 요청한 가입자의 인증서를 인증시스템의 데이터베이스(DB)로부터 로드시킨다(803).
이어서, 로드된 가입자 인증서로부터 CRL분배점(crlDistributionPoint) 정보를 추출하고, 이로부터 다시 분배점(DistributionPoint) ->분배점네임(DistributionPointName) -> 풀네임(fullName)을 추출한다(804). 그리고, 추출된 분배점(DistributionPoint) -> 분배점네임(DistributionPointName) -> 풀네임(fullName)의 이름이 부여된 인증서 폐지목록 파일을 해당 인증시스템 데이터베이스(806)를 통해 검색하고(805), 검색된 분배점(DistributionPoint) -> 분배점네임(DistributionPointName) -> 풀네임(fullName)의 이름이 부여된 인증서 폐지목록 파일을 해당 데이터베이스(806)를 통해 로드시킨다(807).
이후, (803)과정을 통해 로드된 가입자의 인증서에서 일련번호를 추출하고 인증서를 폐지하는 사유를 가입자가 보낸 패킷으로부터 추출하고(808), (807)과정에서 로드된 해당 CRL에 해당 가입자 인증서의 일련번호와 폐기사유에 해당하는 코드를 추가하여(809) 해당 CRL 파일을 디렉토리 서버에서 관리하는 DIT의 적정한 노드에 게시하도록 한다(810).
상기와 같이, 본 발명에 대한 인증서 폐지목록에 분배점 메커니즘을 적용하면 도 9에 나타낸 바와 같이 디렉토리 서버에 N개의 노드로 균형있게 분산 관리된다.
즉, 본 발명은 인증시스템에서 발급하여 디렉토리 서버로 개시하는 CRL에 효과적인 DP 메커니즘을 적용함으로써, 보안 서비스 사용자들이 디렉토리 서버에서 상대편 가입자의 인증서 유효 정보가 저장된 CRL을 효과적으로 검색하여 사용자 단말환경으로 다운로드받는 CRL 크기를 최소화시키고, 가입자 단말환경에서 보안을 시행하는데 걸리는 시간을 최소화시키며, N 개의 CRL 노드에 균형있게 CRL 정보를 저장 및 관리하여 특정 노드로의 집중적인 접근을 배제시킨다.
이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
상기한 바와 같은 본 발명은, 첫째로 보안 서비스 사용자 관점에서 보면 디렉토리 서버로부터 사용자 단말환경으로 다운로드받는 CRL의 크기가 적기 때문에, 상대방 인증서의 유효성을 검증하는 시간을 단축시킬 수 있고 사용자 단말환경에서 보안 서비스를 처리하는 시간을 단축시킬 수 있는 효과가 있다.
두번째로, 디렉토리 서버 관점에서 보면 한 개의 파일로 관리하던 CRL을 여러 파일, 즉 여러 노드로 균형(balance)있게 분산 관리할 수 있으므로 특정 CRL 노드로의 집중적인 접근을 배제할 수 있는 효과가 있다.
세번째로, 인증 시스템 관점에서 보면 DP 메커니즘은 CRL이 다수의 CRL로 분리되고 그 크기가 균일하기 때문에 인증시스템에서 관리하는 데이터베이스에서 효과적으로 관리할 수 있을 뿐만 아니라 다양한 포멧의 사용자 이름을 수용할 수 있는 효과가 있다.
Claims (6)
- 인증서 폐지목록 분산 관리 시스템에 적용되는 인증서 폐지목록(CRL : Certificate Revocation List) 분산 관리 방법에 있어서,상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 제 1 단계;상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 구조체를 셋팅하여 인증서를 발급하는 제 2 단계;상기 발급된 인증서 폐지목록에 분배점 메커니즘을 적용하여 상대방 인증서의 유효성을 검증하는 제 3 단계; 및사용자의 인증서를 폐지하기 위하여 상기 인증서 폐지목록의 분배점을 이용하여 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 제 4 단계를 포함하는 인증서 폐지목록 분산 관리 방법.
- 제 1 항에 있어서,상기 제 1 단계는,인증시스템에서 예상되는 가입자 수를 기반으로 인증서 폐지목록을 관리하게 될 DIT(Directory Information Tree)의 노드 수(number of nodes in DIT, 이하 N이라 칭함)와 해쉬함수(H())를 정의하는 제 5 단계;상기 가입자 인증서를 구성하는 기본 항목 중 서브젝트 네임(SUBJECT_NAME)을 해쉬함수의 입력값으로 정의하는 제 6 단계;상기 정의된 함수 및 변수값들을 이용하여 인증서 폐지목록의 분배 구간을 산출하는 제 7 단계; 및상기 산출된 값을 통해 인증서 폐지목록에 대한 해당 변수값(crl_dp_flag)을 셋팅하는 제 8 단계를 포함하는 인증서 폐지목록 분산 관리 방법.
- 제 1 항에 있어서,상기 제 2 단계는,해당 가입자에게 적용될 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)이 되었는지를 확인하여 이 내용이 설정되지 않았으면 스킵하고, 설정되었으면 해쉬함수의 입력값인 가입자의 서브젝트 네임(SUBJECT_NAME)을 추출하는 제 5 단계;상기 추출된 서브젝트 네임(SUBJECT_NAME)에 대한 해쉬값(Vtmp)을 추출하는 제 6 단계;상기 추출된 해쉬값(Vtmp)에 따라 상기 해쉬값이 포함되는 구간값(n)을 추출하거나 상기 추출된 구간값(n)을 구하여 해당 인증서가 폐지되었을 때, 그 정보가 저장될 인증서 폐지목록의 DN(Distingushied Name)을 완성시키는 제 7 단계; 및상기 인증서 폐지목록의 DN을 완성시킨 후에, 정해진 인증서 폐지목록의 DN 정보와 인증서 폐지목록을 발급하는 인증기관의 DN 정보를 이용하여 가입자 인증서를 구성하는 구조체를 셋팅하여 인증서를 발급하는 제 8 단계를 포함하는 인증서 폐지목록 분산 관리 방법.
- 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,상기 제 3 단계는,가입자로부터 상대방의 서브젝트 네임(SUBJECT_NAME)을 입력받아 상대방 인증서에 관한 구문을 작성하는 제 9 단계;상기 작성된 구문을 사용하여 디렉토리 서버로 상대방의 인증서를 요청하고, 상기 요청에 따라 서브젝트 네임(SUBJECT_NAME)을 이용하여 다운로드받은 상대방 인증서로부터 해당 구조체에 관한 정보를 추출하는 제 10 단계;상기 추출된 정보를 이용하여 상기 디렉토리 서버로 인증서 폐지목록 전송을 요청하고, 상기 요청에 따라 해당 DN의 이름이 부여된 상기 인증서 폐지목록을 전송받는 제 11 단계;상기 전송받은 인증서 폐지목록을 기반으로 유효시간 범위를 체크하여, 상대방 인증서로부터 인증서의 일련번호를 추출하는 제 12 단계; 및상기 해당 일련번호가 인증서 폐지목록에 있는지를 확인하여 해당 일련번호가 인증서 폐지목록에 없으면 상대방 인증서의 유효성을 보장하고, 해당 일련번호가 인증서 폐지목록에 있으면 상대방 인증서가 비유효함을 인정하는 제 13 단계를 포함하는 인증서 폐지목록 분산 관리 방법.
- 제 4 항에 있어서,상기 제 4 단계는,상기 가입자에게 적용된 인증정책에서 인증서 폐지목록에 분배점을 적용하도록 설정(crl_dp_flag=yes)이 되었는지를 확인하여 이 내용이 설정되지 않았으면 스킵하고, 설정되었으면 인증서 폐지를 요청한 가입자의 인증서를 데이터베이스(DB)에서 갱신하는 제 14 단계;상기 갱신된 가입자 인증서로부터 구조체에 관한 정보를 추출하여 이름이 부여된 인증서 폐지목록을 해당 데이터베이스를 통해 검색하고, 검색된 인증서 폐지목록을 해당 데이터베이스를 통해 갱신하는 제 15 단계;상기 갱신된 가입자의 인증서에서 일련번호를 추출하고 인증서를 폐지하는 사유를 가입자가 보낸 패킷으로부터 추출하는 제 16 단계; 및상기 제 15 단계에서 갱신된 해당 인증서 폐지목록에 해당하는 가입자 인증서의 일련번호와 폐기사유에 해당하는 코드를 추가하여 해당하는 인증서 폐지목록을 상기 디렉토리 서버에서 관리하는 DIT(Directory Information Tree)의 노드에 게시하는 제 17 단계를 포함하는 인증서 폐지목록 분산 관리 방법.
- 프로세서를 구비한 인증서 폐지목록 분산 관리 시스템에,상기 인증서 폐지목록의 분배구간을 산출하여 상기 인증서 폐지목록에 대한 인증정책을 등록하는 기능;상기 등록된 인증정책에 따라 가입자 인증서를 구성하는 구조체를 셋팅하여 인증서를 발급하는 기능;상기 발급된 인증서 폐지목록에 분배점 메커니즘을 적용하여 상대방 인증서의 유효성을 검증하는 기능; 및사용자의 인증서를 폐지하기 위하여 상기 인증서 폐지목록의 분배점을 이용하여 인증서 폐지목록을 갱신하고, 그 내용을 게시하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020000060053A KR100731491B1 (ko) | 2000-10-12 | 2000-10-12 | 인증서 폐지목록 분산 관리 방법 |
US09/735,921 US6950934B2 (en) | 2000-10-12 | 2000-12-14 | Method for managing certificate revocation list by distributing it |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020000060053A KR100731491B1 (ko) | 2000-10-12 | 2000-10-12 | 인증서 폐지목록 분산 관리 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20020029216A true KR20020029216A (ko) | 2002-04-18 |
KR100731491B1 KR100731491B1 (ko) | 2007-06-21 |
Family
ID=19693160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020000060053A KR100731491B1 (ko) | 2000-10-12 | 2000-10-12 | 인증서 폐지목록 분산 관리 방법 |
Country Status (2)
Country | Link |
---|---|
US (1) | US6950934B2 (ko) |
KR (1) | KR100731491B1 (ko) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020039309A (ko) * | 2002-05-09 | 2002-05-25 | 김경중 | 실시간 인증서 상태정보 조회 시스템 및 방법 |
KR100406008B1 (ko) * | 2001-09-13 | 2003-11-15 | 장홍종 | 무선 통신 상에서의 실시간 인증서 폐지 목록 전송 방법및 시스템 |
KR20040028071A (ko) * | 2002-09-28 | 2004-04-03 | 주식회사 케이티 | 인증기관 환경에서의 인증서 검증 서비스 장치 및 그 방법 |
KR100432103B1 (ko) * | 2001-08-31 | 2004-05-17 | 주식회사 안랩유비웨어 | 인증 및 권한 인가 서비스 시스템 |
KR100698514B1 (ko) * | 2002-03-11 | 2007-03-21 | (주)케이사인 | 효율적인 인증서폐기목록 처리 방법 및 컴퓨터 프로그램제품 |
KR101109403B1 (ko) * | 2009-07-23 | 2012-01-30 | 이성복 | 휴대형 전자기기용 파우치 |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002056537A1 (en) * | 2001-01-09 | 2002-07-18 | Benninghoff Charles F Iii | Method for certifying and unifying delivery of electronic packages |
GB2366141B (en) * | 2001-02-08 | 2003-02-12 | Ericsson Telefon Ab L M | Authentication and authorisation based secure ip connections for terminals |
US6970862B2 (en) * | 2001-05-31 | 2005-11-29 | Sun Microsystems, Inc. | Method and system for answering online certificate status protocol (OCSP) requests without certificate revocation lists (CRL) |
MXPA04011062A (es) * | 2002-05-09 | 2005-02-14 | Matsushita Electric Ind Co Ltd | Aparato de generacion de lista de revocacion de certificado de clave publica, aparato de juicio de renovacion y sistema de autenticacion. |
US20060156391A1 (en) * | 2005-01-11 | 2006-07-13 | Joseph Salowey | Method and apparatus providing policy-based revocation of network security credentials |
US9054879B2 (en) * | 2005-10-04 | 2015-06-09 | Google Technology Holdings LLC | Method and apparatus for delivering certificate revocation lists |
EP1801720A1 (en) * | 2005-12-22 | 2007-06-27 | Microsoft Corporation | Authorisation and authentication |
EP1826695A1 (en) | 2006-02-28 | 2007-08-29 | Microsoft Corporation | Secure content descriptions |
US8468339B2 (en) * | 2006-11-30 | 2013-06-18 | Red Hat, Inc. | Efficient security information distribution |
US8533463B2 (en) * | 2007-08-30 | 2013-09-10 | Red Hat, Inc. | Reduced computation for generation of certificate revocation information |
EP2053531B1 (en) * | 2007-10-25 | 2014-07-30 | BlackBerry Limited | Authentication certificate management for access to a wireless communication device |
US9794248B2 (en) * | 2009-12-23 | 2017-10-17 | Symantec Corporation | Alternative approach to deployment and payment for digital certificates |
TWI600334B (zh) | 2016-03-23 | 2017-09-21 | 財團法人工業技術研究院 | 車輛網路節點之安全憑證管理方法與應用其之車輛網路節 點 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6237096B1 (en) * | 1995-01-17 | 2001-05-22 | Eoriginal Inc. | System and method for electronic transmission storage and retrieval of authenticated documents |
US6367013B1 (en) * | 1995-01-17 | 2002-04-02 | Eoriginal Inc. | System and method for electronic transmission, storage, and retrieval of authenticated electronic original documents |
US5717758A (en) * | 1995-11-02 | 1998-02-10 | Micall; Silvio | Witness-based certificate revocation system |
US6487658B1 (en) * | 1995-10-02 | 2002-11-26 | Corestreet Security, Ltd. | Efficient certificate revocation |
US5666416A (en) * | 1995-10-24 | 1997-09-09 | Micali; Silvio | Certificate revocation system |
US5699431A (en) * | 1995-11-13 | 1997-12-16 | Northern Telecom Limited | Method for efficient management of certificate revocation lists and update information |
US5774552A (en) * | 1995-12-13 | 1998-06-30 | Ncr Corporation | Method and apparatus for retrieving X.509 certificates from an X.500 directory |
US5903651A (en) * | 1996-05-14 | 1999-05-11 | Valicert, Inc. | Apparatus and method for demonstrating and confirming the status of a digital certificates and other data |
US6192131B1 (en) * | 1996-11-15 | 2001-02-20 | Securities Industry Automation Corporation | Enabling business transactions in computer networks |
JP3327377B2 (ja) * | 1997-03-31 | 2002-09-24 | 日本電信電話株式会社 | 認証システムにおける公開鍵証明証管理方法 |
JPH10282883A (ja) * | 1997-04-08 | 1998-10-23 | Oki Electric Ind Co Ltd | 無効ディジタル証明書リストの配布方法 |
KR100243404B1 (ko) * | 1997-09-11 | 2000-02-01 | 정선종 | 인터넷 웹 기반의 인증국 인증서 취소 목록 실시간 조회 방법과그 시스템 |
US6128740A (en) * | 1997-12-08 | 2000-10-03 | Entrust Technologies Limited | Computer security system and method with on demand publishing of certificate revocation lists |
US6226743B1 (en) * | 1998-01-22 | 2001-05-01 | Yeda Research And Development Co., Ltd. | Method for authentication item |
US6314517B1 (en) * | 1998-04-02 | 2001-11-06 | Entrust Technologies Limited | Method and system for notarizing digital signature data in a system employing cryptography based security |
KR100758787B1 (ko) * | 1999-12-18 | 2007-09-14 | 주식회사 케이티 | 온라인 지불서비스 제공을 위한 전자인증서의 유효성 확인 방법과 그를 이용한 계좌이체 기반의 지불서비스 시스템 및 그의 온라인 전자상거래 지불서비스 방법 |
-
2000
- 2000-10-12 KR KR1020000060053A patent/KR100731491B1/ko active IP Right Grant
- 2000-12-14 US US09/735,921 patent/US6950934B2/en not_active Expired - Lifetime
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100432103B1 (ko) * | 2001-08-31 | 2004-05-17 | 주식회사 안랩유비웨어 | 인증 및 권한 인가 서비스 시스템 |
KR100406008B1 (ko) * | 2001-09-13 | 2003-11-15 | 장홍종 | 무선 통신 상에서의 실시간 인증서 폐지 목록 전송 방법및 시스템 |
KR100698514B1 (ko) * | 2002-03-11 | 2007-03-21 | (주)케이사인 | 효율적인 인증서폐기목록 처리 방법 및 컴퓨터 프로그램제품 |
KR20020039309A (ko) * | 2002-05-09 | 2002-05-25 | 김경중 | 실시간 인증서 상태정보 조회 시스템 및 방법 |
KR20040028071A (ko) * | 2002-09-28 | 2004-04-03 | 주식회사 케이티 | 인증기관 환경에서의 인증서 검증 서비스 장치 및 그 방법 |
KR101109403B1 (ko) * | 2009-07-23 | 2012-01-30 | 이성복 | 휴대형 전자기기용 파우치 |
Also Published As
Publication number | Publication date |
---|---|
US6950934B2 (en) | 2005-09-27 |
KR100731491B1 (ko) | 2007-06-21 |
US20020104000A1 (en) | 2002-08-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100731491B1 (ko) | 인증서 폐지목록 분산 관리 방법 | |
US6304974B1 (en) | Method and apparatus for managing trusted certificates | |
US7761467B2 (en) | Method and a system for certificate revocation list consolidation and access | |
Housley et al. | RFC3280: Internet X. 509 public key infrastructure certificate and certificate revocation list (CRL) profile | |
US7743248B2 (en) | System and method for a remote access service enabling trust and interoperability when retrieving certificate status from multiple certification authority reporting components | |
US6553493B1 (en) | Secure mapping and aliasing of private keys used in public key cryptography | |
US6996711B2 (en) | Certification validation system | |
JP4796971B2 (ja) | Ocsp及び分散型ocspのための効率的に署名可能なリアルタイム・クレデンシャル | |
CA2417406C (en) | Digital receipt for a transaction | |
US20030145223A1 (en) | Controlled access to credential information of delegators in delegation relationships | |
US20050114670A1 (en) | Server-side digital signature system | |
US20070245139A1 (en) | URL-based certificate in a PKI | |
KR102280061B1 (ko) | 블록체인 기반의 did를 이용한 법인 관련 증명서 발급 시스템 및 방법 | |
KR20060049718A (ko) | 셀룰러 네트워크를 통한 장치의 안전한 인증서 등록 | |
US8479006B2 (en) | Digitally signing documents using identity context information | |
CN101411117A (zh) | 断言消息签名 | |
CN112199721A (zh) | 认证信息处理方法、装置、设备及存储介质 | |
CN113271311B (zh) | 一种跨链网络中的数字身份管理方法及系统 | |
KR102295113B1 (ko) | 영지식증명을 이용한 블록체인 기반의 전자 계약 관리 시스템 및 그 방법 | |
CN113569298A (zh) | 一种基于区块链的身份生成方法及身份系统 | |
JP2004023406A (ja) | 電子署名付与方法 | |
JP2009031849A (ja) | 電子申請用証明書発行システムおよび電子申請受付システム、並びにそれらの方法およびプログラム | |
US20020152383A1 (en) | Method for measuring the latency of certificate providing computer systems | |
JPH10285156A (ja) | 認証システムにおける利用者情報管理装置 | |
Prasad et al. | Scalable policy driven and general purpose public key infrastructure (PKI) |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130605 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20140603 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20150605 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20160809 Year of fee payment: 10 |
|
FPAY | Annual fee payment |
Payment date: 20170605 Year of fee payment: 11 |