KR20030028618A - 네트워크를 이용한 인증서 발급 서비스 방법 - Google Patents

네트워크를 이용한 인증서 발급 서비스 방법 Download PDF

Info

Publication number
KR20030028618A
KR20030028618A KR1020010058322A KR20010058322A KR20030028618A KR 20030028618 A KR20030028618 A KR 20030028618A KR 1020010058322 A KR1020010058322 A KR 1020010058322A KR 20010058322 A KR20010058322 A KR 20010058322A KR 20030028618 A KR20030028618 A KR 20030028618A
Authority
KR
South Korea
Prior art keywords
information
certificate
reference number
public key
hash value
Prior art date
Application number
KR1020010058322A
Other languages
English (en)
Inventor
최지희
Original Assignee
(주) 엘지텔레콤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 엘지텔레콤 filed Critical (주) 엘지텔레콤
Priority to KR1020010058322A priority Critical patent/KR20030028618A/ko
Publication of KR20030028618A publication Critical patent/KR20030028618A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 네트워크를 이용한 인증서 발급 서비스 방법에 관한 것으로, 이동 단말기로부터 PKI 포탈에 인증서를 요청할 때 참조번호, 인가 코드를 그대로 전달하지 않고 참조번호, 인가코드, 공개키 정보를 모두 연관한 값의 해쉬값과 참조번호, 공개키 정보를 전달하는 한편, PKI 포탈서비스부에서는 이동 단말기에서 보내온 참조번호를 통해 자신의 DB내에 저장되어 있는 인가코드를 추출해 내고 단말기에서 보내온 공개키 값과 이 데이터를 연관한 값의 해쉬값을 취하여 단말기에서 보내온 정보가 맞는지 체크함으로써, 사용자 인증을 위해 이동 단말기로부터 PKI 포탈로 전송된 데이터가 중간에서 해킹당한다고 하더라도 해킹을 한 사람은 참조번호와, 해쉬값, 공개키값만 알게 되고, 인가코드를 알지 못하기 때문에 보안성을 유지할 수 있다.

Description

네트워크를 이용한 인증서 발급 서비스 방법{method for certification issuance service using network}
본 발명은 네트워크를 이용한 인증서 발급 서비스 방법에 관한 것이다.
무선인터넷 사용이 증가하면서 가장 크게 대두되는 문제는 다름 아닌 보안문제이다. 무선인터넷에서 필요한 보안은 기지국과 인터넷망 구간에서의 보안과 사용자 신원을 확인하는 인증 등 두 가지로 나눠볼 수 있다. 이외에도 M커머스가 활성화되면 지불과 결제 분야에서의 보안도 필수적이란 전망이다.
2001년 6월 기준 국내 무선 인터넷 접속인구는 250만명. 정보통신부의 집계에 따른 것이다. 이같은 사용인구는 다양한 서비스 개발로 지속적으로 증가할 것이란 예측이다.
이동전화사업자들은 저마다 보안 대책 마련에 부심하다.무선인터넷 보안기술과 솔루션을 제공하는 보안업체들은 자사가 채택하는 무선인터넷 방식에 따라 상이한 입장을 보이고 있는데 이들 두 진영간의 입장은 '새로운 보안표준을 적용하느냐'와 '기존 인터넷 보안기술을 적용하느냐'의 차이다.
WAP 방식을 채택한 진영에서는 MS의 ME방식의 무선인터넷 환경이 기존 인터넷에서 사용하는 보안 프로토콜인 TLS/SSL을 그대로 사용하기가 힘들다고 지적한다. 또 TLS/SSL을 수용할 수 있는 단말기를 만든다고 해도 비용이 만만치 않다는 문제를 지적하고 있다. 이 때문에 전용 보안 프로토콜인 WTLS를 적용해야 한다는 주장이다.
반면 MS의 ME 브라우저를 채택한 진영에서는 WAP 기반의 무선인터넷은 보안 프로토콜을 구현하는 데 많은 표준을 일괄적으로 적용해야 한다는 문제를 지적하고있다. 또 보안 프로토콜 및 데이터의 변환이 반드시 필요해 종단간(End to End) 보안을 보장하지 못할 것 으로 보고 있다. 따라서 기존 인터넷 보안표준인 SSL을 무선환경으로 변환, 구현해야 한다고 주장한다.
인증에 있어서는 크게 사용자 인증 데이터를 통한 인증과 지문인식과 같은 생체인식을 통해 단말기 자체에서 사용자를 인증하는 방식으로 나뉜다. 사용자 인증 데이터를 통한 신원확인은 PKI(Public Key Infra: 공개키기반구조) 기술을 무선인터넷 환경에서 구현한 WPKI(Wireless Public Key Infra: 무선공개키기반구조)를 적용한 솔루션들이 선보이고 있으며, 이동전화 사업자들이 곧 채택할 채비다. 또 생체인식을 통해 단말기 자체에서 사용자를 확인할 수 있는 인증은 국내에선 주로 지문인식을 통한 인증이 개발되고 있다.
WAP 방식을 채택한 통신사에서는 암호화 알고리즘을 이용하거나 지문인식 단말기 그리고 자바기술을 채택한 보안 프로토콜을 활용, 보안문제를 해결하고 있다.
현재 WPKI를 통해 가입자 정보에 대한 기밀성, 무결성, 인증, 부인방지 기능을 구현하고 있으며 무선인터넷 단말기를 이용한 전자상거래, 금융거래, 보안메일 등의 서비스를 곧 선보일 예정이다. 현재 구현하고 있는 보안기술은 E2E 방식의 보안 알고리즘으로 주로 단말기를 이용한 무선인터넷 뱅킹에 적용하고 있다. E2E 방식의 알고리즘은 국내 암호화 일고리즘 표준인 128비트 시드(SEED)알고리즘이 적용된 종단간 보안방식으로 금융감독원의 승인을 얻어 일부 시중 은행이 계좌이체, 무통장조회 등의 서비스를 제공하고 있으며 일부 시중은행과 신용카드 정보조회사 등에도 보안서비스를 제공하고 있다.
또한 이동전화 단말기에 지문인식 인증시스템을 적용한 패스바이오폰 사업을 공동 추진하여 이동통신망과 지문인식 보안시스템을 통해 무선인터넷 뱅킹, 전자상거래에 따른 신용결제 서비스, 신용카드 조회업무, 보안정보조회 서비스를 준비되고 있기도 하다.
또한, 이동전화에 지문인식센서와 관련 소프트웨어를 탑재하여 생체 인증기술을 응용, 무선인터넷 환경에서 보안이 요구되는 정보를 조회할 때 사용자를 인증할 수 있는 지문인식 휴대폰의 기술도 소개되고 있다. 이외에 사용자가 이동전화를 사용하고 있지 않은 상태에서도 근거리통신망을 통해 전자상거래에 대한 신용카드 결재수단으로도 활용토록 할 계획도 소개되고 있다.
CDMA방식의 이동전화에서 자바기술을 적용한 [이지-자바]를 개발하여 보안에 적용되고 있다. 개발중인 이지-자바는 기존 PC의 웹브라우저에서 지원되던 자바기술을 이동전화 단말기상에서 구현한 것이다. 이지-자바는 플래시메모리 300KB와 메인메모리 64KB의 소용량을 요구하면서 자바프로그래밍 언어로 개발된 다양한 애플리케이션을 이동전화상에서 실행할 수 있을 뿐 아니라 보안문제도 해결할 수 있다고 한다.
SSL보안 프로토콜은 40비트와 128비트 암호화 알고리즘과 국내표준인 SEED 알고리즘이 포함되어있어 무선인터넷 뱅킹과 사이버 트레이딩 관련 업무등 보안을 요구하는 인터넷 서비스를 제공할 수 있다고 한다.
무선인터넷 솔루션업체들도 시장 확산의 맥을 짚고 활발히 움직이고 있다. 국내 보안업체들의 무선인터넷 보안기술 개발은 기존 자체 개발했던 PKI나 SSL을무선환경으로 전환해 구축하는 방향으로 관심을 쏟고 있고, 생체인식을 이용한 무선인증도 개발이 한창이다. 주요 보안업체들은 이동전화 단말기 제조업체를 대상으로 협력을 모색하기 보다 이동전화사업자를 대상으로 기술제휴를 서두르고 있다.
WAP 방식의 보안 프로토콜인 WTLS(Wireless Transport Layer Security) 기술개발에 나서고 있으며, WTLS를 지원하는 임베디드 무선 단말기도 개발을 병행하고 있다.
이동전화 단말기용 WTLS를 WAP방식의 단말기에 즉시 포팅이 가능토록 설계됐다고 밝혔다. 무선인터넷용 기본 암호화 알고리즘은 개발이 완료된 상태이고 보안수준은 40비트인 스크램블 암호화 알고리즘을 적용했다.
또한, ME브라우저용 보안 모듈이 개발되고 있다. 소프트포럼이 제공하는 보안 프로토콜은 인터넷 보안표준인 SSL을 무선인터넷용으로 개발된 것으로 SSL 128비트 암호 서비스를 제공하고 있다.
서버에서 넷스케이프 웹서버용 모듈과 아파치 웹서버용 모듈 그리고 IIS용 웹서버 모듈을 각각 제공하고 있으며 운영체계로는 썬 솔라리스 2.2 이상과 유닉스 v.11 이상, IBM AIX와 윈도우즈 NT 4.0 이상이다.
지문인식과 같은 생체인식을 통한 인증분야에서는 이동전화용 지문인증서버 개발을 완료하고 이동통신사업자를 대상으로 포팅을 준비중이며, 무선인터넷용 지문인증 및 암호화 모듈을 장착, 무선인터넷 전자상거래 보안분야에 진출할 동향이다.
이와 같이 이동통신 환경의 발전에 따라 점점더 이동 단말기 사용의 보안성문제가 크게 대두되었다. 특히 전자상거래등을 위한 사용자 인증문제에 있어서 보안문제의 해결은 그 필요성을 더하고 있다.
한편, 전자서명기술은 공개키 암호알고리즘으로 비밀키와 공개키가 사용된다. 공개키 암호알고리즘에서 사용되는 비밀키가 전자서명을 생성하는 생성키가 되고 공개키가 전자서명을 검증하는 검증키 역할을 한다. 그러므로 전자서명기술의 안전한 운영은 서명키(공개키암호알고리즘의 비밀키)와 검증키(공개키암호알고리즘의 공개키)의 안전한 운영에 달려있으며 서명키의 안전한 운영은 비밀키의 안전한 보관을 말하며 검증키의 안전한 운영은 공개키의 안전한 관리를 의미 합니다. 공개키는 공개된 정보이므로 어떻게 공개키 위·변조 문제를 해결하는가 하는 공개키 인증문제로 귀착된다.
이러한 공개키의 인증문제를 해결하기 위해 나온 것이 바로 공개키 기반구조(PKI: Public Key Infrastructure)이다. 즉 신뢰할수 있는 제3자(Certificate Authority)가 전자상거래의 주체가 되는 사용자의 정보와 그의 공개키를 3자의 서명키로 서명한뒤 이를 배포함으로써 공개키의 위변조 문제를 해결할수 있다. 이때, 믿을수있는 제3자를 인증기관이라 하며 사용자의 정보와 공개키를 인증기관이 서명한 데이터를 인증서라고 한다.
따라서, 전자상거래의 주체가 되는 사용자 정보와 그의 공개키를 제 3자에게 전송하여 인증서를 발급받는 과정에서도 보안문제의 해결은 그 필요성을 더하고 있다.
본 발명은 이러한 무선 인터넷 환경에서의 보안 필요성에 의해 안출된 것으로, 무선 인터넷 환경에서 보안성을 유지하면서 인증서를 발급하기 위한 네트워크를 이용한 인증서 발급 서비스 방법을 제공하는데 그 목적이 있다.
도 1은 본 발명에 따른 네트워크를 이용한 인증서 발급 서비스 방법을 수행하기 위한 시스템의 구성 블록도.
도 2는 이동 단말기에서 수행하는 인증서 발급을 위한 흐름도.
도 3은 도 2에서 사용자 인증서를 생성하는 흐름도.
도 4는 도 1의 이동 단말기에서 셀프 사인된 인증서 요청양식을 생성하기 위한 signText함수의 파라메타 특성도.
도 5는 도 1의 PKI 포탈에서 수행하는 인증서 발급을 수행하기 위한 흐름도.
<도면의 주요부분에 대한 부호의 설명>
1 : 이동 단말기 2 : WAP G/W
3 : CP 서버4 : PKI 포탈 서비스부
5 : CA(인증기관)
이러한 목적을 달성하기 위해 본 발명의 네트워크를 이용한 인증서 발급 서비스 방법의 일측면에 의하면, 네트워크를 통해 이동 단말기에 인증서를 발급하는 방법에 있어서, 네트워크를 통해 이동 단말기로부터 사용자 서명이 된 인증서 요청양식정보를 수신하여 검증하고 그 인증서 요청양식 정보에 포함된 서명용 공개키 정보 및 전자 서명값 정보를 추출하는 단계와, 전자 서명값 정보를 파싱하여 전자 서명값 정보내에 포함된 참조번호 정보와, 참조번호, 인가코드, 서명용 공개키정보에 대한 해쉬값을 추출하는 단계와, 참조번호 정보에 상응하는 인가코드 정보를 자체 DB에서 검색하여 독출하는 단계와, 참조번호 정보, 검색된 인가코드 정보, 서명용 공개키 정보에 대한 해쉬값을 산출하고, 그 산출된 해쉬값과 추출된 해쉬값의 일치여부를 판단하는 단계와, 판단결과 서로 일치하는 경우 인증을 수행하여 해당 이동 단말기에 전자 서명용 인증서를 발급하는 단계를 포함한다.
또한, 본 발명에 따른 이동 단말기의 인증서 발급 요청 방법의 일측면에 의하면, 이동 단말기에서 네트워크를 통하여 인증서의 발급을 요청하는 방법에 있어서, 인증 관련 기관으로부터 부여받은 참조번호 정보, 인가코드 정보가 입력되는경우, 그 참조번호 정보 및 인가코드 정보와, 자체 생성된 서명용 공개키 정보에 대한 해쉬값을 산출하는 단계와, WAP SPEC 전자 서명용 인증서를 요청하기 위해 참조번호 정보, 해쉬값을 포함하는 인증서 요청양식 정보를 생성하는 단계와, 생성된 인증서 요청양식 정보를 인증서 요청을 위해 네트워크를 통해 인증 관련 기관에 전송하여 인증서의 발급을 요청하는 단계를 수행한다.
또한, 본 발명에 따른 네트워크를 이용한 인증서 발급 서비스 방법을 수행하기 위한 기록매체의 일측면에 의하면, 네트워크를 이용한 인증서 발급 서비스 방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서, 네트워크를 통해 이동 단말기로부터 사용자 서명이 된 사용자 인증서 요청양식정보를 수신하여 검증하고 그에 따른 서명용 공개키 정보 및 전자 서명값 정보를 추출하는 단계와, 전자 서명값 정보를 파싱하여 전자 서명값 정보내에 포함된 참조번호 정보와, 참조번호, 인가코드, 서명용 공개키정보에 대한 해쉬값을 추출하는 단계와, 참조번호 정보에 상응하는 인가코드 정보를 자체 DB에서 검색하여 독출하는 단계와, 참조번호 정보, 검색된 인가코드 정보, 서명용 공개키 정보에 대한 해쉬값을 산출하고, 그 산출된 해쉬값과 상기 추출된 해쉬값의 일치여부를 판단하는 단계와, 판단결과 서로 일치하는 경우 인증을 수행하여 해당 이동 단말기에 전자 서명용 인증서를 발급하는 단계를 포함한다.
또한, 본 발명에 따른 이동 단말기의 인증서 발급 요청 방법을 수행하기 위한 기록매체의 일측면에 의하면, 이동 단말기의 인증서 발급 요청 방법을 수행하기위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서, 인증 관련 기관으로부터 부여받은 참조번호 정보, 인가코드 정보가 입력되는 경우, 그 참조번호 정보 및 인가코드 정보와, 자체 생성된 서명용 공개키 정보에 대한 해쉬값을 산출하는 단계와, WAP SPEC 전자 서명용 인증서를 요청하기 위해 상기 참조번호 정보, 해쉬값을 포함하는 사용자 인증서 요청양식 정보를 생성하는 단계와, 생성된 사용자 인증서 요청양식을 인증서 요청을 위해 네트워크를 통해 인증 관련 기관에 전송하여 인증서의 발급을 요청하는 단계를 포함한다.
이하 첨부한 도면을 참조하여 본 발명을 상세히 설명하도록 한다.
도 1은 본 발명에 따른 인증서 발급 서비스 방법을 수행하기 위한 시스템의 구성 블록도이다. 도 1을 참조하면, 인증받고자 하는 데이터를 해쉬함수 처리하여 WAP G/W(2)를 통하여 전송하는 이동 단말기(1)와, WAP G/W(2)를 통하여 전송된 인증서를 수신하여 인증정보를 검증하는 PKI 포탈 서비스부(4)와, 실제 인증서를 발급하는 인증기관(CA:Certificate Authority)(5)과, 이동 단말기(1)에 무선인터넷 서비스를 제공하는 컨텐츠 제공자(Contents Provider)서버(3)를 포함하여 구성될 수 있다.
이동 단말기(1)에서는 무선 인터넷 환경에서의 인증을 위해 PKI 포탈서버(5)와 연동하여 사용자 인증를 거쳐서 각종 서비스를 제공받게 된다. 따라서, 사용자 정보 및 서명용 공개키 정보를 암호화하여 인증을 담당하는 PKI 포탈 서비스(5)에 전송해야할 필요가 있다.
이를 위해 이동 단말기(1)에서는 공개키기반의 무선 인터넷 환경에서 사용자 인증을 위해서는 인증관련 기관으로부터 부여받은 참조번호 정보, 인가코드 정보가 입력되는 경우, 그 참조번호 정보 및 인가코드 정보와, 자체 생성된 서명용 공개키 정보에 대한 해쉬값을 산출하여, WAP SPEC 전자 서명용 인증서를 요청하기 위해 참조번호 정보, 해쉬값을 포함하는 인증서 요청양식 정보를 생성하고, 그 생성된 인증서 요청양식 정보를 인증서 요청을 위해 네트워크를 통해 인증기관에 전송하여 인증서의 발급을 요청한다.
PKI 포탈 서비스부(4)에서는 네트워크를 통해 이동 단말기로부터 사용자 서명이 된 인증서 요청양식 정보를 수신하여 검증하고 인증서 요청양식 정보에 포함된 서명용 공개키 정보 및 전자 서명값 정보를 추출하고, 전자 서명값 정보를 파싱하여 전자 서명값 정보내에 포함된 참조번호 정보와, 참조번호, 인가코드, 서명용 공개키정보에 대한 해쉬값을 추출하여, 참조번호 정보에 상응하는 인가코드 정보를 자체 DB에서 검색하여 독출하고, 참조번호 정보, 검색된 인가코드 정보, 서명용 공개키 정보에 대한 해쉬값을 산출하고, 그 산출된 해쉬값과 상기 추출된 해쉬값의 일치여부를 판단하여 판단결과 서로 일치하는 경우 인증을 수행하여 해당 이동 단말기에 전자 서명용 인증서를 발급한다.
CA(5)는 PKI 포탈 서비스부(4)와 연동하여 보안적격 여부와 그리고 메시지의 암호화와 복원을 위한 공개키들을 발급하고 관리하는 네트웍 상의 기관이다. 공개키 기반구조의 일부로서, CA(5)는 디지털 인증서 요구자에 의해 제공되는 정보를 검증하기 위한 등록기관(RA)과 함께 안전성 등을 검사한다. 만약 등록기관이 요구자의 정보를 입증하면, 인증기관은 인증서를 발급할 수 있다. 공개키 기반구조 구현에 따라 조금씩 다르지만, 인증서는 대개 소유자의 공개키, 인증서의 유효기간, 소유자의 이름 및 기타 공개키 소유자에 관한 다른 정보들을 포함한다.
CP 서버(3)는 이동 단말기(1)에 WAP환경에서 각종 무선 인터넷 컨텐츠를 제공하는 컨텐츠 제공서버이다.
이와 같이 구성된 시스템에서는, 이동 단말기로부터 PKI 포탈에 인증서를 요청할 때 참조번호, 인가 코드를 그대로 전달하지 않고 참조번호, 인가코드, 공개키 정보를 모두 연관한 값의 해쉬값과 참조번호, 공개키 정보를 전달하는 한편, PKI 포탈서비스부에서는 이동 단말기에서 보내온 참조번호를 통해 자신의 DB내에 저장되어 있는 인가코드를 추출해 내고 단말기에서 보내온 공개키 값과 이 데이터를 연관한 값의 해쉬값을 취하여 단말기에서 보내온 정보가 맞는지 체크함으로써, 사용자 인증을 위해 이동 단말기로부터 PKI 포탈로 전송된 데이터가 중간에서 해킹당한다고 하더라도 해킹을 한 사람은 참조번호와, 해쉬값, 공개키값만 알게 되고, 인가코드를 알지 못하기 때문에 보안성을 유지할 수 있게 된다.
도 2는 이동 단말기(1)에서 수행하는 인증서 발급 요청양식 정보를 생성하기 위한 흐름도를 도시하고 있다. 도 2를 참조하면, 사용자가 PKI 포탈 서비스부(4)를 방문하여 대면등록하는 절차에서 발급받은 참조번호, 인가코드(또는 ID, Password)를 입력받는다(S10). 그 참조번호 및 인가코드를 가지고 WAP spec을 사용하여 인증서를 요청하기 위한 사용자 인증서 요청양식을 생성한다. 예를 들면 WAP spec에서 정의된 signText함수를 사용하여 인증서 요청양식을 생성한다(S20). 그리고 그 생성된 인증서 요청양식을 PKI 포탈 서비스부(4)에 전송하여 인증을 요청한다.
도 3을 참조하여 사용자 인증 요청 양식을 생성하는 단계(S20)에 대하여 좀더 상세히 살펴보도록 하자. 도 3을 참조하면, 먼저 참조번호, 인가코드, 서명용 공개키를 해쉬함수 처리하여 해쉬값을 생성한다(S21). 그 해쉬값을 왑프로토콜에 맞는 인증서 요청양식 정보를 생성하기 위한 함수를 사용하여 인증서 요청양식을 생성한다. 예를 들면, WAP spec에서 정의된 signText함수의 입력 파라메타로, 참조번호, 해쉬값을 사용한다(S22) 함수의 결과값으로 입력한 참조번호, 해쉬값과 그에 대한 전자서명 값, 셀프 사인된(selfsign)된 인증서로 구성된 인증서 요청양식을 생성한다(S23).
셀프 사인된(Selfsign)된 사용자 인증서라는 것은 단말기에서 생성한 공개키 정보를 표준 인증서 양식에 삽입하고, 그 공개키에 해당하는 개인키로 전자서명하여 PKI 포탈에 전송함으로써, 개인의 인증정보가 전송될 수 있게 하는 것이다.
도 4는 이동 단말기에서 인증서 요청양식을 생성하기 위한 signText함수의 파라메타 특성도를 도시하고 있다. 도 4에 도시된 바와 같이 WAP Spec 1.2에서는 WML script인 signText 함수를 이용하여 사용자 인증서 요청양식을 생성하도록 하고 있다.
인증서 요청양식을 생성하기 위한 함수, 예를 들면, Crypto.SignText()함수에서 signed string은 전자서명할 Text Data와, 리턴 데이터 값에 어떤 데이터를 넣을지를 결정하는 option 필드, Key ID 필드에 사용자 공개키 값을 넣을지, CA 공개키 값을 넣을지, 어떤 값도 넣지 않을지를 결정하는 Key ID type 필드와 그 KeyID Type에 기반한 데이터 정보를 포함하게 된다. 이를 연산식으로 표시하면 다음과 같다.
SignedString = Crypto.signText(stringTosign, options, keyIdType, KeyID)
도 4에 도시된 Crypto.signText()함수의 각 파라메터에 대하여 좀 더 상세히 살펴보도록 하자.
Options는 리턴 데이터값에 어떤 데이터를 넣을지 결정하는 필드이다. 0x0001인 경우에는 전자서명하기를 원했던 원본 데이터를 리턴하고, 0x0002인 경우에는 키해쉬값만을 리턴하고, 0x0004인 경우에는 인증서를 리턴한다. 또한 이 필드는 Ored together이므로, 0x0005인 경우, 0x0001과 0x0004를 모두 지원하는 원본 데이터와 인증서를 함께 리턴하게 된다.
KeyIdType은 ID field에 어떤 값이 들어갈지 결정하는 필드로서, value값이 0인 경우에는 keyId 필드에 null이 들어가게 되며, value값이 1인 경우에는 keyId 필드에 사용자 공개키의 해쉬값이 포함되어 진다. 또한 value값이 2인 경우에는 keyId CA 공개키의 해쉬값이 포함되어 진다.
따라서 Cryto.SignText()함수를 호출하여 사용자 전자서명용 인증서를 요청할 경우에는 다음과 같은 파라메타를 사용한다.
Request=Crpto.SignText(참조번호+":"+H(M1), 5, 0"")
여기서 M1은 참조번호 + 인가코드 + 서명용 공개키 정보이고, H(M1)은 M1 메시지의 해쉬값을 취한 값이다.
즉, 리턴 데이터값에 어떤 데이터를 넣을지 결정하는 필드인 Options을 살펴보면, 0x0005인 경우에 해당하므로, 참조번호와 해쉬값을 포함하는 원본 데이터와, 그 참조번호 및 해쉬값을 포함하는 인증서 요청양식을 함께 리턴하게 된다.
이에 따라 인증서 요청양식을 생성하기 위한 함수, 예를 들면, Crypto.signText()함수의 리턴값으로 참조번호와 H(M1)을 포함하는 전자서명값과 사용자의 공개키를 담고 있는 셀프 사인이 된 인증서 요청양식이 생성된다. 그러면 이를 PKI 포탈에 전송하면 된다.
한편, 전자서명 및 키분배용 인증서를 같이 요청할 경우에는 다음과 같은 파라메타를 사용한다.
Request=Crpto.SignText(참조번호+":"+H(M1)+":"+키분배용공개키정보,5, 0"")
여기서 M1은 참조번호 + 인가코드 + 서명용 공개키 정보 + 키분배용 공개키 정보이고, H(M1)은 M1 메시지 해쉬값을 취한 값이다.
즉, 리턴 데이터값에 어떤 데이터를 넣을지 결정하는 필드인 Options을 살펴보면, 0x0005인 경우에 해당하므로, 참조번호와 해쉬값과 키분배용 공개키정보를 포함하는 원본 데이터와, 그 참조번호 및 해쉬값과 키분배용 공개키 정보를 포함하는 인증서 요청양식을 함께 리턴하게 된다.
앞에서 설명한 절차와 같이 Crypto.signText()함수의 리턴값으로 나온 인증서 요청양식을 PKI 포탈 서비스부(4)에 전송하여, 키분배용 인증서와 전자서명용 인증서를 발급받게 된다.
도 5는 도1의 PKI 포탈 서비스부(4)에서 수행하는 인증서 발급을 수행하기 위한 흐름도를 도시하고 있다.
도 5를 참조하면, 단말기(1)로부터 인증서 요청양식을 수신하는 경우(S41), 인증서 요청양식을 파싱하여 참조번호, 해쉬값, 셀프 사인된 인증서 요청양식을 추출한다(S42). 셀프 사인된 인증서 요청양식으로부터 인증서 검증 및 공개키 정보를 추출한다.(S43) 인증서 검증 및 공개키 정보가 추출되면 그 추출된 정보를 가지고 전자서명 값을 검증하고 이를 통해 POP 확인이 된다.(S44). 그리고 처음 PKI 포탈에서 각 사용자와 대면 등록시 각 사용자에게 발급해 준 참조번호와 인가코드가 DB에 저장되어 있으므로, 파싱해서 나온 참조번호를 근거하여 DB로부터 인가코드를 독출해 낸다.(S45)
이렇게 검색된 인가코드와 이동단말기(1)로부터 수신한 참조번호를 이용하여 해쉬값을 검증한다.(S46)
해쉬값을 검증하는 것은 이동 단말기(1)로부터 수신한 참조번호와, 공개키와, 자체의 DB내에 저장된 인가코드를 해쉬함수처리하여 해쉬값을 구하고, 그 해쉬값이 이동 단말기(1)로부터 수신한 해쉬값과의 동일여부를 비교하는 것이다.
이렇게 검증된 해쉬값이 이동 단말기(1)로부터 전송된 해쉬값과 일치하는지의 여부를 판단하여(S47) 일치하지 하지 않는 경우 이동 단말기(1)에 selfsign된 사용자 인증서를 재요청하고(S48), 일치하는 경우에는 사용자 인증을 수행하고 그에 따른 인증서를 이동 단말기(1)에 전송한다(S49).
이상에서 본 발명의 실시예에 대해 상세히 설명한 바와 같이 본 발명의 분야에 속하는 통상의 지식을 가진 자라면 본 발명의 정신 및 범위를 벗어나지 않는 범위내에서 얼마든지 본 발명을 변형 또는 변경하여 실시할 수 있음을 알 수 있을 것이다.
본 발명에 의하면, 이동 단말기로부터 PKI 포탈 서비스부에 인증서를 요청할 때 참조번호, 인가 코드를 그대로 전달하지 않고 참조번호, 인가코드, 공개키 정보를 모두 연관한 값의 해쉬값과 참조번호, 공개키 정보를 전달하는 한편, PKI 포탈에서는 이동 단말기에서 보내온 참조번호를 통해 자신의 DB내에 저장되어 있는 인가코드를 검색해 내고 단말기에서 보내온 공개키 값과 이 데이터를 연관한 값의 해쉬값을 취하여 단말기에서 보내온 정보가 맞는지 체크하게 된다.
이렇게 함으로써, 사용자 인증을 위해 이동 단말기로부터 PKI 포탈로 전송된 데이터가 중간에서 해킹당하다고 하더라도 해킹을 한 사람은 참조번호와, 해쉬값, 공개키값을 알게 되고, 인가코드를 알지 못하기 때문에 보안성을 유지할 수 있다.
아울러, 이동 단말기로부터 PKI 포탈로 전송된 데이터가 중간에서 해커에 의해 해킹되어 변조가 된다고 하더라도 PKI 포탈에서 이동 단말기로부터 전송된 참조번호를 참고하여 자신의 DB에 저장된 인가코드를 가지고 해쉬함수를 돌려 해쉬값을 비교함으로써 이동 단말기로부터 전송된 데이터가 PKI 포탈에 무사히 도달되었는지의 여부를 쉽게 판단할 수 있게 된다.
이와 같이 본 발명에 의하면, 이동통신 환경에서 사용자의 인증시 개선된 보안성을 유지할 수 있는 효과를 제공할 수 있게 된다.

Claims (6)

  1. 네트워크를 통해 이동 단말기에 인증서를 발급하는 방법에 있어서,
    네트워크를 통해 이동 단말기로부터 사용자 서명이 된 인증서 요청양식정보를 수신하여 검증하고 상기 인증서 요청양식 정보에 포함된 서명용 공개키 정보 및 전자 서명값 정보를 추출하는 단계와,
    상기 전자 서명값 정보를 파싱하여 전자 서명값 정보내에 포함된 참조번호 정보와, 상기 참조번호, 인가코드, 서명용 공개키정보에 대한 해쉬값을 추출하는 단계와,
    상기 참조번호 정보에 상응하는 인가코드 정보를 자체 DB에서 검색하여 독출하는 단계와,
    상기 참조번호, 검색된 인가코드, 서명용 공개키 정보에 대한 해쉬값을 산출하고, 그 산출된 해쉬값과 상기 추출된 해쉬값의 일치여부를 판단하는 단계와,
    판단결과 서로 일치하는 경우 인증을 수행하여 해당 이동 단말기에 전자 서명용 인증서를 발급하는 단계를 포함하는 네트워크를 이용한 인증서 발급 서비스 방법.
  2. 제 1항에 있어서, 상기 전자 서명값은,
    사용자에 의해 전자 서명용 및 키분배용 인증서의 발급이 요청된 경우에는,키분배용 공개키 정보를 더 포함하는 네트워크를 이용한 인증서 발급 서비스 방법.
  3. 이동 단말기에서 네트워크를 통하여 인증서의 발급을 요청하는 방법에 있어서,
    인증 관련기관으로부터 부여받은 참조번호, 인가코드 정보가 입력되는 경우, 그 참조번호 및 인가코드 정보와, 자체 생성된 서명용 공개키 정보에 대한 해쉬값을 산출하는 단계와,
    WAP SPEC 전자 서명용 인증서를 요청하기 위해 상기 참조번호 정보, 해쉬값을 포함하는 인증서 요청양식 정보를 생성하는 단계와,
    생성된 인증서 요청양식 정보를 인증서 요청을 위해 네트워크를 통해 인증 관련 기관에 전송하여 인증서의 발급을 요청하는 단계를 수행하는 이동 단말기의 인증서 발급 요청 방법.
  4. 제 3항에 있어서, 상기 전자 서명값은,
    사용자에 의해 전자 서명용 및 키분배용 인증서의 발급이 요청된 경우에는, 키분배용 공개키 정보를 더 포함하는 이동 단말기의 인증서 발급 요청 방법.
  5. 네트워크를 이용한 인증서 발급 서비스 방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서,
    네트워크를 통해 이동 단말기로부터 사용자 서명이 된 사용자 인증서 요청양식정보를 수신하여 검증하고 그에 따른 서명용 공개키 정보 및 전자 서명값 정보를 추출하는 단계와,
    상기 전자 서명값 정보를 파싱하여 전자 서명값 정보내에 포함된 참조번호 정보와, 상기 참조번호, 인가코드, 서명용 공개키정보에 대한 해쉬값을 추출하는 단계와,
    상기 참조번호 정보에 상응하는 인가코드 정보를 자체 DB에서 검색하여 독출하는 단계와,
    상기 참조번호 정보, 검색된 인가코드 정보, 서명용 공개키 정보에 대한 해쉬값을 산출하고, 그 산출된 해쉬값과 상기 추출된 해쉬값의 일치여부를 판단하는 단계와,
    판단결과 서로 일치하는 경우 인증을 수행하여 해당 이동 단말기에 전자 서명용 인증서를 발급하는 단계를 포함하는 기록매체.
  6. 이동 단말기의 인증서 발급 요청 방법을 수행하기 위하여, 디지탈 처리장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지탈 처리장치에 의해 판독될 수 있는 기록매체에 있어서,
    인증 관련 기관으로부터 부여받은 참조번호 정보, 인가코드 정보가 입력되는 경우, 그 참조번호 정보 및 인가코드 정보와, 자체 생성된 서명용 공개키 정보에 대한 해쉬값을 산출하는 단계와,
    WAP SPEC 전자 서명용 인증서를 요청하기 위해 상기 참조번호 정보, 해쉬값을 포함하는 사용자 인증서 요청양식 정보를 생성하는 단계와,
    생성된 사용자 인증서 요청양식을 인증서 요청을 위해 네트워크를 통해 인증 관련 기관에 전송하여 인증서의 발급을 요청하는 단계를 포함하는 기록매체.
KR1020010058322A 2001-09-20 2001-09-20 네트워크를 이용한 인증서 발급 서비스 방법 KR20030028618A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010058322A KR20030028618A (ko) 2001-09-20 2001-09-20 네트워크를 이용한 인증서 발급 서비스 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010058322A KR20030028618A (ko) 2001-09-20 2001-09-20 네트워크를 이용한 인증서 발급 서비스 방법

Publications (1)

Publication Number Publication Date
KR20030028618A true KR20030028618A (ko) 2003-04-10

Family

ID=29562065

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010058322A KR20030028618A (ko) 2001-09-20 2001-09-20 네트워크를 이용한 인증서 발급 서비스 방법

Country Status (1)

Country Link
KR (1) KR20030028618A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100929488B1 (ko) * 2009-02-20 2009-12-03 주식회사 한국무역정보통신 서버 기반의 전자서명 위임 시스템 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1996028913A1 (en) * 1995-03-10 1996-09-19 Bell Communications Research, Inc. Key escrow method with warrant bounds
US5799086A (en) * 1994-01-13 1998-08-25 Certco Llc Enhanced cryptographic system and method with key escrow feature
JP2000115160A (ja) * 1998-10-05 2000-04-21 Ntt Data Corp 公開鍵証明証発行システム、方法及び記録媒体
KR20010004469A (ko) * 1999-06-29 2001-01-15 이계철 통신시스템에서 공개키를 이용한 인증 및 키 일치 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5799086A (en) * 1994-01-13 1998-08-25 Certco Llc Enhanced cryptographic system and method with key escrow feature
WO1996028913A1 (en) * 1995-03-10 1996-09-19 Bell Communications Research, Inc. Key escrow method with warrant bounds
JP2000115160A (ja) * 1998-10-05 2000-04-21 Ntt Data Corp 公開鍵証明証発行システム、方法及び記録媒体
KR20010004469A (ko) * 1999-06-29 2001-01-15 이계철 통신시스템에서 공개키를 이용한 인증 및 키 일치 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100929488B1 (ko) * 2009-02-20 2009-12-03 주식회사 한국무역정보통신 서버 기반의 전자서명 위임 시스템 및 방법

Similar Documents

Publication Publication Date Title
US9900163B2 (en) Facilitating secure online transactions
US7925878B2 (en) System and method for creating a trusted network capable of facilitating secure open network transactions using batch credentials
US9813236B2 (en) Multi-factor authentication using a smartcard
US7539861B2 (en) Creating and storing one or more digital certificates assigned to subscriber for efficient access using a chip card
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
CN1972189B (zh) 生物体认证系统
US7366904B2 (en) Method for modifying validity of a certificate using biometric information in public key infrastructure-based authentication system
CN110290134B (zh) 一种身份认证方法、装置、存储介质及处理器
JPH113033A (ja) クライアント−サーバ電子取引においてクライアントの本人確認を確立する方法、それに関連するスマートカードとサーバ、および、ユーザが検証者と共に操作を行うことが認可されるかどうかを決定する方法とシステム
JP2009510644A (ja) 安全な認証のための方法及び構成
US7690027B2 (en) Method for registering and enabling PKI functionalities
JP2003534589A (ja) 認証システム及び方法
US20120310840A1 (en) Authentication method, payment authorisation method and corresponding electronic equipments
US20030076961A1 (en) Method for issuing a certificate using biometric information in public key infrastructure-based authentication system
CN112565294A (zh) 一种基于区块链电子签名的身份认证方法
Pampori et al. Securely eradicating cellular dependency for e-banking applications
KR101868564B1 (ko) 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법
KR100349888B1 (ko) 이동 단말에서 마이크로 익스플로워를 이용한 공개키인증시스템 및 인증방법
KR20170099339A (ko) 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법
KR20030028618A (ko) 네트워크를 이용한 인증서 발급 서비스 방법
CN111541708A (zh) 一种基于电力配电的身份认证方法
KR100406525B1 (ko) 무선 공개키 기반 구조에서의 인증서 발급 요청/처리 장치및 그 방법과 그를 이용한 인증서 발급 시스템
TWI828001B (zh) 使用多安全層級驗證客戶身分與交易服務之系統及方法
KR20020020135A (ko) 무선 인터넷을 위한 종단간 보안 시스템 및 보안 방법
Li et al. Digital Signature Technology of Mobile Phone Verification Code based on Biometrics

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application