KR20050077568A - Apparatus and method of validity verifying for certificate authority - Google Patents

Apparatus and method of validity verifying for certificate authority Download PDF

Info

Publication number
KR20050077568A
KR20050077568A KR1020040005403A KR20040005403A KR20050077568A KR 20050077568 A KR20050077568 A KR 20050077568A KR 1020040005403 A KR1020040005403 A KR 1020040005403A KR 20040005403 A KR20040005403 A KR 20040005403A KR 20050077568 A KR20050077568 A KR 20050077568A
Authority
KR
South Korea
Prior art keywords
public key
key certificate
validity period
authentication server
server
Prior art date
Application number
KR1020040005403A
Other languages
Korean (ko)
Inventor
박동국
오희수
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020040005403A priority Critical patent/KR20050077568A/en
Publication of KR20050077568A publication Critical patent/KR20050077568A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 서버 공개키 증명서(Public Key Certificate) 유효성 검증 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for validating a server public key certificate.

본 발명은 다수의 클라이언트 서버가 하나의 인증서버에 대한 서버 공개키 증명서의 유효성을 검증하기 위해서, 인증 서버가 전송하는 공개키 증명서의 유효기간 검사, 공개키 증명서 서명 부분 검사, 공개키 증명서 확장필드에 대한 검증을 수행하고, 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일을 추출하고, 추출된 공개키 증명서의 유효기간 시작일과 미리 저장된 유효기간 시작점을 비교하여, 비교결과에 따른 해당 공개키 증명서의 검증 수락 여부를 판단하여, 검증을 수행하도록 한다.According to the present invention, in order to verify the validity of a server public key certificate for a single authentication server by a plurality of client servers, a validity check, a public key certificate signature partial check, and a public key certificate extension field of a public key certificate transmitted by the authentication server are provided. Verify the validity, extract the start date of the validity period of the public key certificate sent by the authentication server, compare the start date of the validity period of the extracted public key certificate with the pre-stored validity period start point, and determine the corresponding public key according to the comparison result. Determine whether to accept the verification of the certificate, and perform the verification.

본 발명에 의하면, 어느 정도 신뢰 관계가 이미 형성된 SSO(Sing Sign On), 포탈 등의 접속인증 등 다수의 클라이언트가 하나의 인증서버에 대해서 공개키 증명서 인증을 하는 환경에서개인 공개키 증명서의 유효기간 정보를 이용하여 유효성 검증을 하여, CRL을 유지 관리하는 부담을 없애고 공개키 인증서 인증 및 유효성 검사 시간을 단축 할 수 있다.According to the present invention, the validity period of a private public key certificate in an environment in which a plurality of clients perform public key certificate authentication for one authentication server, such as connection authentication such as SSO (Sing Sign On) or portal, which has a certain trust relationship established. Information can be validated to eliminate the burden of maintaining CRLs and to reduce public key certificate authentication and validation time.

Description

서버 공개키 증명서 유효성 검증 장치 및 방법{Apparatus and method of validity verifying for certificate authority}Apparatus and method of validity verifying for certificate authority}

본 발명은 서버 공개키 증명서 유효성 검증 장치 및 방법에 관한 것으로, 서버의 공개키 증명서의 유효성을 간단히 증명할 수 있도록 하는 서버 공개키 증명서 유효성 검증 장치 및 방법에 관한 것이다.The present invention relates to an apparatus and method for validating a server public key certificate, and more particularly, to an apparatus and method for validating a server public key certificate for easily verifying the validity of a public key certificate of a server.

PKI(Public-Key Infrastructure; 공개키 기반) 환경에서 공개키 증명서에 대한 검증은 크게 두 부분으로 나뉘며, 1단계로 공개키 증명서 자체에 대한 확인을 하며, 2단계로 공개키 증명서에 대한 상태확인 과정을 거친다.In the public-key infrastructure (PKI) environment, the verification of the public key certificate is divided into two parts. The first step is to verify the public key certificate itself, and the second step is to check the status of the public key certificate. Go through

상기 1단계의 공개키 증명서 자체에 대한 확인은, 공개키 증명서 유효기간 검사, 공개키 증명서 서명 부분검사, 공개키 증명서 확장 필드에 대한 검증으로 이루어진다. The verification of the public key certificate itself in the first step consists of a public key certificate validity check, a public key certificate signature partial check, and a public key certificate extension field.

그리고 2단계의 공개키 증명서에 대한 상태 확인은, 이미 발급된 공개키 증명서에 대한 유효성 검사를 하는 과정이며, 이러한 과정은 공개키 증명서 폐지, 효력정지 등의 트랜잭션(Transaction)으로 인하여 발생한다.In addition, the status check on the public key certificate of the second stage is a process of validating the public key certificate that has already been issued, and this process occurs due to a transaction such as revocation of a public key certificate or suspension of validity.

이러한 유효성 검사는 CA(Certificate Authority)가 유지 관리하는 CRL(Certificate Revocation List) 방식이 대표적인 방법이고, 이를 개선하여 클라이언트와 서버간의 특정 인증서 상태정보를 주고받는 방식의 OCSP(Online Certificate Status Protocol), 클라이언트의 인승서 처리를 서버에 위임하는 SCVP(Simple Certificate validation Protocol) 등 프로토콜을 통하여 이루어진다.Such validation is the typical method of Certificate Revocation List (CRL) maintained by Certificate Authority (CA), which is improved by Online Certificate Status Protocol (OCSP), which sends and receives specific certificate status information between client and server. This is done through protocols such as Simple Certificate Validation Protocol (SCVP) which delegates the processing of a user's certificate to the server.

상기한 CRL 방식은 실제 운용 측면에서 실시간 CRL 유지관리에 대한 운용부담과 온라인 검색에 따른 시간 소요가 상당한 부담이 되고 있어서, 실제 운용상의 문제를 해결하기 위해 민감하지 않은 일부 사이트에서는 CRL 검사를 생략하기도 한다.The CRL method is a burden on the real-time CRL maintenance and online search in terms of actual operation, and some sites that are not sensitive in order to solve the actual operation problem may omit CRL checking. do.

그밖에 무선 PKI 에서 대역폭 및 전송속도와 단말기 성능의 제약으로 X.509 CRL 방식의 적용이 어려워 공개키 증명서 유효기간을 CRL 갱신주기와 비슷하게 해서 별도의 CRL 검증 작업을 하지 않도록 하는 SLC(Short Lived Certificate) 방식을 사용한다.In addition, due to the limitations of bandwidth, transmission speed, and terminal performance in wireless PKI, it is difficult to apply the X.509 CRL method, so the short lived certificate (SLC) prevents additional CRL verification work by making the public key certificate validity similar to the CRL update period. Use the method.

그러나 금융거래와 같이 법 제도상의 강제규정과 함께 보안의 강도가 최상으로 유지되어야 하는 경우의 공개키 증명서의 유효성 검사는 다수의 클라이언트와 복수 개 서버간의 공개키 증명서 상호 인증 환경에서는 인증 대상이 많고 그에 따라 공개키 증명서 상태관리도 복잡해져서 사용자에게 공개키 증명서 인증을 위한 PKI 구축의 비용 및 CRL 유지 관리 비용과 부담을 감수하더라도 CRL 기반으로 해야만 한다.However, the validity of public key certificates in the case where the strength of security is to be maintained with the highest security level along with the legal regulations such as financial transactions is common in the mutual authentication environment of public key certificates between multiple clients and multiple servers. Therefore, the management of public key certificate status is complicated, so even if the user bears the cost and burden of PKI construction and CRL maintenance for public key certificate authentication, it must be based on CRL.

한편, 초고속 유무선 인터넷 접속인증, 인트라넷 접속인증처럼 처음 가보는 사이트 접속이 아닌 어느 정도 신뢰 관계가 이미 형성된 SSO(Single Sign-On; 단일 사용 승인), 포탈 등의 접속인증 등, 다수의 클라이언트가 하나의 인증서버에 대해서만 공개키 방식으로 서버를 인증하는 환경에서는 금융거래와 같이 최상의 보안 강도가 필요 없는 상황이고 PKI 구축 등의 비용 문제로 사용자 공개키 증명서 인증을 생략하고 이용자 인증은 패스워드를 이용하는 것이 일반적이다.On the other hand, there are many clients, such as high-speed wired / wireless Internet access authentication, intranet access authentication, such as SSO (Single Sign-On), portal authentication, etc., which have a certain trust relationship already established, rather than first-time site access. In the environment where the server is authenticated using the public key method for the authentication server only, the best security strength is not required, such as financial transactions, and the user public key certificate authentication is omitted due to the cost of constructing the PKI, and the password is used for the user authentication. to be.

결국, 다수의 클라이언트가 잘 알려져 있는 하나의 서버에 대해서만 공개키 증명서 인증을 하고, 이때의 인증 대상은 하나의 서버이므로 운영부담 및 검색 시간이 많이 걸리는 CRL 기반의 공개키 증명서 유효성 검증 방법이 실제 운용측면에서 비효율적인 문제가 생긴다.As a result, the public key certificate is authenticated to only one server where many clients are well-known, and since the authentication target is one server, the CRL-based public key certificate validation method that requires a lot of operating burden and retrieval time is actually operated. In terms of inefficiency.

또한, 이러한 비효율적인 문제 해결을 위해 CRL 기반의 공개키 증명서 유효성 검증 방법을 사용하지 않으면 보안상의 문제가 발생한다.Also, in order to solve this inefficient problem, security problem occurs when CRL-based public key certificate validation method is not used.

상기한 문제를 해결하기 위해서, 본 발명은 공개키 증명서에 대한 CRL 운용 부담과 시간 소요를 줄이고 증명서 유효성을 검사할 수 있도록 하는 서버 공개키 증명서 유효성 검증 장치 및 방법을 제공함에 그 목적이 있다.In order to solve the above problems, an object of the present invention is to provide an apparatus and method for validating a server public key certificate to reduce the CRL operation burden and time required for the public key certificate and to verify the certificate validity.

본 발명의 하나의 특징에 따른 서버 공개키 증명서 유효성 검증 장치는, Server public key certificate validation apparatus according to an aspect of the present invention,

다수의 클라이언트 서버가 하나의 인증서버에 대한 서버 공개키 증명서의 유효성을 검증하기 위한 장치에 있어서, 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 시작일을 추출하는 공개키 증명서 시작일 추출부; 상기 공개키 증명서 시작일 추출부가 추출한 상기 인증서버로가 전송하는 최초 또는 업데이트 되는 공개키 증명서의 유효기간 시작일을 유효시간 시작점으로 저장하는 유효기간 시작점 정보부; 상기 유효기간 시작점 정보부에 저장된 유효기간 시작점과, 상기 공개키 증명서 시작일 추출부가 추출한 유효기간 시작일을 비교하여 해당 공개키 증명서의 검증 수락 여부를 판단하는 비교부; 및 상기 비교부의 판단결과에 따른 공개키 증명서 검증을 수행하는 인증 처리부를 포함한다.An apparatus for verifying validity of a server public key certificate for a single authentication server by a plurality of client servers, the apparatus comprising: a public key certificate start date extracting unit configured to extract a valid period start date of a public key certificate transmitted by the authentication server; A valid period starting point information unit for storing a valid period starting date of the first or updated public key certificate transmitted by the authentication server extracted by the public key certificate starting date extracting unit as a valid time starting point; A comparison unit comparing the valid period starting point stored in the valid period starting point information unit with the valid period starting date extracted by the public key certificate starting date extracting unit to determine whether to accept the verification of the corresponding public key certificate; And an authentication processing unit for performing public key certificate verification according to the determination result of the comparison unit.

그리고 상기 인증 서버가 전송하는 공개키 증명서는 공개키 증명서 자체의 유효기간 검사, 공개키 증명서 서명 부분 검사, 공개키 증명서 확장필드에 대한 검증을 완료한 것을 특징으로 한다.The public key certificate transmitted by the authentication server is characterized in that the validity check of the public key certificate itself, the public key certificate signature part check, and the verification of the public key certificate extension field are completed.

상기 서버 공개키 증명서 유효성 검증 장치는 상기 인증서버와 공개키 지원 프로토콜(TLS: Transport Layer Security)을 이용하여 공개키 증명서를 송수신하는 것을 특징으로 한다.The apparatus for validating a server public key certificate may be configured to transmit and receive a public key certificate using the authentication server and a public key support protocol (TLS).

본 발명의 하나의 특징에 따른 서버 공개키 증명서 유효성 검증 방법은, Server public key certificate validation method according to an aspect of the present invention,

다수의 클라이언트 서버가 하나의 인증서버에 대한 서버 공개키 증명서의 유효성을 검증하기 위한 방법에 있어서, (a) 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 검사, 공개키 증명서 서명 부분 검사, 공개키 증명서 확장필드에 대한 검증을 수행하는 단계; 및 (b) 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일을 추출하고, 추출된 공개키 증명서의 유효기간 시작일과 미리 저장된 유효기간 시작점을 비교하여, 비교결과에 따른 해당 공개키 증명서의 검증 수락 여부를 판단하여, 검증을 수행하는 단계를 포함한다.A method for validating a server public key certificate for a single authentication server by a plurality of client servers, the method comprising: (a) validity checking of a public key certificate transmitted by the authentication server, partial public key certificate signature inspection, and public disclosure Performing verification on the key certificate extension field; And (b) extracting the start date of the validity period of the public key certificate sent by the authentication server, comparing the start date of the validity period of the extracted public key certificate with the prestored validity period starting point, and verifying the corresponding public key certificate according to the comparison result. Determining whether to accept, and performing verification.

상기 (b) 단계에서, 미리 저장된 유효기간 시작점은, 상기 인증 서버가 최초로 전송하는 공개키 증명서의 유효기간 시작일로 설정하고, 이후로 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 시작일이 미리 저장된 유효기간 시작점 이후의 날짜인 경우, 해당 공개키 증명서의 유효기간 시작일을 유효기간 시작점으로 업데이트하는 것을 특징으로 한다.In the step (b), the validity period start point stored in advance is set to the validity period start date of the public key certificate first transmitted by the authentication server, and then the validity period start date of the public key certificate transmitted by the authentication server is stored in advance. If the date is after the validity period start point, the validity period start date of the corresponding public key certificate is updated to the validity period start point.

상기 (b)단계에서, 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일이 유효기간 시작점보다 이전 날짜인 경우, 해당 공개키 증명서의 검증을 거절하는 단계를 포함한다.In the step (b), if the start date of the validity period of the public key certificate transmitted by the authentication server is earlier than the start date of validity period, and the verification of the public key certificate.

상기 (b) 단계에서, 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일과 유효기간 시작점이 같은 경우, 해당 공개키 증명서의 검증을 수락하는 단계를 포함한다.In the step (b), if the validity period start date and the validity period start point of the public key certificate transmitted by the authentication server includes the step of accepting verification of the corresponding public key certificate.

그리고 상기 (b) 단계에서, 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일이 유효기간 시작점보다 이후의 날짜인 경우, 해당 공개키 증명서의 검증을 수락하는 단계; 및 상기 유효기간 시작점을 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일로 변경하는 단계를 포함한다.And in step (b), accepting verification of the corresponding public key certificate if the start date of the valid period of the public key certificate transmitted by the authentication server is later than the start date of the valid period; And changing the valid period starting point to a valid period starting date of the public key certificate transmitted by the authentication server.

본 발명의 하나의 특징에 따른 기록매체는,A recording medium according to one aspect of the present invention,

다수의 클라이언트 서버가 하나의 인증서버에 대한 서버 공개키 증명서의 유효성을 검증하기 위한 기능을 포함하는 프로그램을 저장한 기록매체에 있어서, (a) 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 검사, 공개키 증명서 서명 부분 검사, 공개키 증명서 확장필드에 대한 검증을 수행하는 기능; 및 (b) 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일을 추출하고, 추출된 공개키 증명서의 유효기간 시작일과 미리 저장된 유효기간 시작점을 비교하여, 비교결과에 따른 해당 공개키 증명서의 검증 수락 여부를 판단하여, 검증을 수행하는 기능을 포함한다.A recording medium storing a program including a function for validating a server public key certificate for a single authentication server by a plurality of client servers, the method comprising: (a) checking the validity period of a public key certificate transmitted by the authentication server Verifying the public key certificate signature portion and verifying the public key certificate extension field; And (b) extracting the start date of the validity period of the public key certificate sent by the authentication server, comparing the start date of the validity period of the extracted public key certificate with the prestored validity period starting point, and verifying the corresponding public key certificate according to the comparison result. It determines whether to accept, and includes a function to perform the verification.

아래에서는 첨부한 도면을 참고로 하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 첨부된 도면은 본 발명을 명확하게 설명하기 위해 본 발명의 설명과 관계없는 부분은 생략하였으며, 동일 또는 유사한 부분에 대해서는 동일한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the accompanying drawings, parts irrelevant to the description of the present invention are omitted in order to clearly describe the present invention, and the same or similar parts are denoted by the same reference numerals.

도 1은 본 발명의 실시 예에 따른 네트워크 구조를 나타낸 블록도이다.1 is a block diagram illustrating a network structure according to an embodiment of the present invention.

도 1을 참조하면, 공개키 기반의 인증방식을 수용하는 네트워크는 사용자 단말(100)과 하나의 서버(400)가 인터넷(300)을 통해 연결되며, 서버(400)는 인터넷(300)을 통해 단말(100)로 접속하기 위해 공개키 증명서를 전송하여 단말기(100)로부터 공개키 증명서 유효성을 증명 받고 접속을 한다.Referring to FIG. 1, in a network that accepts a public key-based authentication scheme, a user terminal 100 and one server 400 are connected through the Internet 300, and the server 400 is connected to the Internet 300. In order to access the terminal 100, the public key certificate is transmitted, and the validity of the public key certificate is verified from the terminal 100.

단말(100)은 노트북, PDA(Personal Digital Assistant) 등으로 사용자가 초고속 유무선 인터넷, 인트라넷, SSO(Sing Sign On), 포탈 등에 접속할 수 있으며, 하나의 서버(400)가 단말(100)에 접속할 수 있도록 단일 공개키 증명서를 발행하고, 인증서버 접속 모듈(200)을 포함하여 서버(400)로부터의 접속을 인증한다.The terminal 100 may be connected to the terminal 100 by a user using a laptop, a personal digital assistant (PDA), and the like, such as a high speed wired or wireless Internet, an intranet, a SSO (Sing Sign On), a portal, and the like. A single public key certificate is issued so as to authenticate the connection from the server 400, including the authentication server connection module 200.

이때, 인증서버 접속 모듈(200)은 공개키 지원 프로토콜(TLS; Transport Layer Security 등)을 통해 단말(100)에 접속하기 위해 서버가 보내는 공개키 증명서의 시작일자 값을 미리 저장해둔 "유효기간 시작점" 값과 비교하고, 검증을 수행한다.At this time, the authentication server access module 200 stores a start date value of a public key certificate sent by the server in advance to access the terminal 100 through a public key support protocol (TLS; Transport Layer Security, etc.). "Compare with the value and perform the verification.

즉, 인증서버 접속 모듈(200)은 유효기간 시작점 정보부(210), 공개키 증명서 시작일 추출부(220), 비교부(230) 및 인증처리부(240)를 포함한다.That is, the authentication server access module 200 includes a valid period starting point information unit 210, a public key certificate start date extraction unit 220, a comparison unit 230, and an authentication processing unit 240.

유효기간 시작점 정보부(210)는 인증서버(400)가 보내는 공개키 증명서의 "유효기간 시작점"을 저장하고, 공개키 증명서 시작일 추출부(220)는 유효기간 시작점 저장 후, 인증서버(400)로부터 전송되어지는 공개키 증명서의 유효기간 시작일을 추출한다.The validity period start point information unit 210 stores the "validity period start point" of the public key certificate sent by the authentication server 400, and the public key certificate start date extraction unit 220 stores the validity period starting point, and then, from the authentication server 400 Extract the start date of the validity period of the public key certificate being transmitted.

비교부(230)는 유효기간 시작점 정보부(210)에 저장된 "유효기간 시작점"과, 공개키 증명서 시작일 추출부(220)가 추출한 시작일을 비교하고, 인증처리부(240)는 상기 비교부(230)의 비교결과에 따라 인증 수락 여부를 판단하고 인증을 수행한다.The comparison unit 230 compares the " valid period start point " stored in the validity period start point information unit 210 with the start date extracted by the public key certificate start date extraction unit 220, and the authentication processing unit 240 is the comparison unit 230. Based on the comparison result, it is determined whether to accept the authentication and perform authentication.

이때, 상기 인증 수락여부 판단을 하기 전에 새로운 공개키 증명서 자체에 대한 검증이 확인되었음을 전제로 한다.At this time, it is assumed that the verification of the new public key certificate itself is confirmed before determining whether to accept the authentication.

즉, 공개키 증명서의 검증을 수행하기 위한 제 1 단계의 공개키 증명서 자체의 검증이 완료된 후, 유효성 검사를 하기 위하여 인증서버 접속모듈(200)이 유효기간 시작일을 비교하여 인증수락 여부를 판단하는 것이다.That is, after the verification of the public key certificate itself in the first step for performing the verification of the public key certificate is completed, the authentication server access module 200 compares the start date of the validity period to determine whether to accept the authentication to validate will be.

상기한 본 발명의 실시 예에 따른 인증서버 접속 모듈(200)이 서버(400)가 단말(100)에 접속하기 위해 전송하는 공개키 증명서를 검증하는 방법은 다음과 같다.The method of verifying the public key certificate transmitted by the server 400 in order to access the terminal 100 by the authentication server access module 200 according to an embodiment of the present invention is as follows.

도 2는 본 발명의 실시 예에 따른 서버 공개키 증명서 유효성 검증 방법의 동작 순서도이다.2 is a flowchart illustrating a method of validating a server public key certificate according to an embodiment of the present invention.

도 2를 참조하면, 서버(400)가 단말(100)에 접속하기 위해서는 먼저 공개키 증명서 자체의 검증이 완료된 공개키 증명서를 인증서버 접속모듈(200)로 전송하여 유효성 검증을 요청한다(S201).Referring to FIG. 2, in order to access the terminal 100, the server 400 first sends a public key certificate, which has been verified for the public key certificate, to the authentication server access module 200 to request validation (S201). .

상기 검증 요청에 따라, 인증서버 접속모듈(200)은 해당 유효성 검증 요청이 최초의 요청인지 여부를 판단하고(S202), 최초의 유효성 검증 요청이라면, 공개키 증명서 시작일 추출부(220)가 서버(400)가 전송한 공개키 증명서의 유효기간 시작일을 추출하여 "유효기간 시작점"으로 설정하여 유효기간 시작점 정보부(210)에 저장한다(S203).According to the verification request, the authentication server connection module 200 determines whether the corresponding validation request is the first request (S202), and if the first validation request, the public key certificate start date extraction unit 220 is the server ( The validity period start date of the public key certificate transmitted by 400 is extracted and set as a "validity period start point" and stored in the validity period start point information unit 210 (S203).

그리고 상기 단계 S202의 판단결과, 서버(400)로부터의 유효성 검증 요청이 최초의 유효성 검증 요청이 아니라면, 유효성 시작점 정보부(210)에 저장된 "유효기간 시작점"과, 서버(400)가 전송한 공개키 증명서의 유효기간 시작일을 비교한다(S205).If the validation request from the server 400 is not the first validation request as a result of the determination in step S202, the " valid period starting point " stored in the validation start point information unit 210 and the public key transmitted by the server 400 The start date of the validity period of the certificate is compared (S205).

단계 S205의 비교결과, "유효기간 시작점"이 해당 증명서의 유효기간 시작일보다 작으면, 새로운 공개키 증명서로 업데이트 된 것으로 인식하여 "유효기간 시작점" 값을 유효시간 시작일로 변경하고(S203), 해당 서버의 공개키 증명서 유효성을 승인한다(S206).As a result of the comparison in step S205, if the "validity start point" is less than the validity start date of the certificate, it is recognized as updated with a new public key certificate and the "validity start point" value is changed to the validity time start date (S203). Validate the public key certificate validity of the server (S206).

또한 단계 S205의 비교결과, "유효기간 시작점"이 해당 증명서의 유효기간 시작일과 같으면, 해당 서버(400)의 공개키 증명서 유효성을 승인한다(S206).In addition, when the comparison result of step S205 indicates that the "valid start point" is equal to the start date of the valid period of the certificate, the validity of the public key certificate of the corresponding server 400 is approved (S206).

그리고 단계 S205의 비교결과, "유효기간 시작점"이 해당 증명서의 유효기간 시작일보다 크면, 즉 "유효기간 시작점"이 해당 증명서의 유효기간 시작일이후의 날짜를 나타내면, 해당 증명서이 유효성을 불허하여 검증이 실패된다(S207).When the comparison result of step S205 indicates that the "validity start point" is greater than the validity start date of the certificate, that is, the "validity start point" indicates a date after the validity period start date of the certificate, the certificate is invalidated and verification fails. (S207).

단계 S207의 결과는, 서버(400)가 전송한 공개키 증명서가 이전에 이미 폐기된 공개키 증명서인 것으로 인식하여, 정상적인 서버(400)가 아닌 외부 공격자로부터의 접속 시도로 판단하여 검증 실패로 처리하게 된다.The result of step S207 recognizes that the public key certificate sent by the server 400 is a previously revoked public key certificate, and judges it as a connection attempt from an external attacker rather than the normal server 400, and processes it as a verification failure. Done.

특히, 상기한 본 발명의 실시 예에 따른 서버 공개키 증명서 유효성 검증 방법의 동작은 공개키 증명서 자체의 검증이 정상적으로 완료된 것을 전제로 수행된다.In particular, the operation of the server public key certificate validation method according to the embodiment of the present invention is performed on the premise that the verification of the public key certificate itself is normally completed.

본 발명의 실시 예에 따른 서버 공개키 증명서 유효성 검증 방법은 프로그램으로 구현되어 컴퓨터로 판독 가능한 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.The server public key certificate validation method according to an embodiment of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. .

이상에서 본 발명의 바람직한 실시 예에 대하여 상세하게 설명하였지만 본 발명은 이에 한정되는 것은 아니며, 그 외에 다양한 변경이나 변형이 가능하다.Although a preferred embodiment of the present invention has been described in detail above, the present invention is not limited thereto, and various other changes and modifications are possible.

이상에서 설명한 바와 같이, 본 발명에 따른 서버 공개키 증명서 유효성 검증 장치 및 방법은 초고속 유무선 인터넷 접속인증, 인트라넷 접속인증처럼 처음 가보는 생소한 사이트 접속이 아닌 어느 정도 신뢰 관계가 이미 형성된 SSO(Sing Sign On), 포탈 등의 접속인증 등 다수의 클라이언트가 하나의 인증서버에 대해서 공개키 증명서 인증을 하는 환경에서 CRL 검색을 통한 공개키 증명서 유효성 검증방식을 대체하여 개인 공개키 증명서의 유효기간 정보를 이용하여 유효성 검증을 함으로써, CRL을 유지 관리하는 부담을 없애고 공개키 인증서 인증 및 유효성 검사 시간을 단축할 수 있는 효과가 있다.As described above, the apparatus and method for validating a server public key certificate according to the present invention is a SSO (Sing Sign On) in which a trust relationship is already established, rather than an unfamiliar site access, such as high-speed wired and wireless Internet access authentication and intranet access authentication. In the environment where multiple clients authenticate public key certificates for one authentication server, such as access authentication such as portal and portal, it replaces the public key certificate validation method through CRL search and uses the valid period information of the private public key certificate. Validation eliminates the burden of maintaining a CRL and reduces public key certificate authentication and validation time.

도 1은 본 발명의 실시 예에 따른 네트워크 구조를 나타낸 블록도이다.1 is a block diagram illustrating a network structure according to an embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 서버 공개키 증명서 유효성 검증 방법의 동작 순서도이다.2 is a flowchart illustrating a method of validating a server public key certificate according to an embodiment of the present invention.

Claims (9)

다수의 클라이언트 서버가 하나의 인증서버에 대한 서버 공개키 증명서의 유효성을 검증하기 위한 장치에 있어서,An apparatus for multiple client servers to validate a server public key certificate for a single authentication server, the apparatus comprising: 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 시작일을 추출하는 공개키 증명서 시작일 추출부;A public key certificate start date extracting unit for extracting a valid period start date of a public key certificate transmitted by the authentication server; 상기 공개키 증명서 시작일 추출부가 추출한 상기 인증서버로가 전송하는 최초 또는 업데이트 되는 공개키 증명서의 유효기간 시작일을 유효시간 시작점으로 저장하는 유효기간 시작점 정보부;A valid period starting point information unit for storing a valid period starting date of the first or updated public key certificate transmitted by the authentication server extracted by the public key certificate starting date extracting unit as a valid time starting point; 상기 유효기간 시작점 정보부에 저장된 유효기간 시작점과, 상기 공개키 증명서 시작일 추출부가 추출한 유효기간 시작일을 비교하여 해당 공개키 증명서의 검증 수락 여부를 판단하는 비교부; 및A comparison unit comparing the valid period starting point stored in the valid period starting point information unit with the valid period starting date extracted by the public key certificate starting date extracting unit to determine whether to accept the verification of the corresponding public key certificate; And 상기 비교부의 판단결과에 따른 공개키 증명서 검증을 수행하는 인증 처리부An authentication processing unit for performing public key certificate verification according to the determination result of the comparison unit 를 포함하는 서버 공개키 증명서 유효성 검증 장치.Server public key certificate validation device comprising a. 제 1항에 있어서,The method of claim 1, 상기 인증 서버가 전송하는 공개키 증명서는 공개키 증명서 자체의 유효기간 검사, 공개키 증명서 서명 부분 검사, 공개키 증명서 확장필드에 대한 검증을 완료한 것을 특징으로 하는 서버 공개키 증명서 유효성 검증 장치.And a public key certificate transmitted from the authentication server, the validity period inspection of the public key certificate itself, the public key certificate signature partial inspection, and the verification of the public key certificate extension field are completed. 제 1항에 있어서,The method of claim 1, 상기 서버 공개키 증명서 유효성 검증 장치는 상기 인증서버와 공개키 지원 프로토콜(TLS: Transport Layer Security)을 이용하여 공개키 증명서를 송수신하는 것을 특징으로 하는 서버 공개키 증명서 유효성 검증 장치.And the server public key certificate validating device transmits and receives a public key certificate using the authentication server and a public key support protocol (TLS). 다수의 클라이언트 서버가 하나의 인증서버에 대한 서버 공개키 증명서의 유효성을 검증하기 위한 방법에 있어서,A method for multiple client servers to validate a server public key certificate for a single authentication server, the method comprising: (a) 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 검사, 공개키 증명서 서명 부분 검사, 공개키 증명서 확장필드에 대한 검증을 수행하는 단계; 및(a) performing a validity check, a public key certificate signature portion check, and a public key certificate extension field of the public key certificate transmitted by the authentication server; And (b) 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일을 추출하고, 추출된 공개키 증명서의 유효기간 시작일과 미리 저장된 유효기간 시작점을 비교하여, 비교결과에 따른 해당 공개키 증명서의 검증 수락 여부를 판단하여, 검증을 수행하는 단계(b) extracting the start date of the validity period of the public key certificate sent by the authentication server, comparing the start date of the validity period of the extracted public key certificate with the prestored validity period starting point, and accepting the verification of the corresponding public key certificate according to the comparison result Determining whether or not to perform verification 를 포함하는 서버 공개키 증명서 유효성 검증 방법.Server public key certificate validation method comprising a. 제 4항에 있어서,The method of claim 4, wherein 상기 (b) 단계에서, 미리 저장된 유효기간 시작점은,In the step (b), the starting point of the validity period stored in advance, 상기 인증 서버가 최초로 전송하는 공개키 증명서의 유효기간 시작일로 설정하고, 이후로 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 시작일이 미리 저장된 유효기간 시작점 이후의 날짜인 경우, 해당 공개키 증명서의 유효기간 시작일을 유효기간 시작점으로 업데이트하는 것을 특징으로 하는 서버 공개키 증명서 유효성 검증 방법.If the start date of the validity period of the public key certificate transmitted by the authentication server for the first time is set, and the start date of the validity period of the public key certificate transmitted by the authentication server is later than the pre-stored validity period start date, A server public key certificate validation method, comprising: updating a validity period start date to a validity period start point. 제 4항에 있어서,The method of claim 4, wherein 상기 (b)단계에서,In step (b), 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일이 유효기간 시작점보다 이전 날짜인 경우, 해당 공개키 증명서의 검증을 거절하는 단계를 포함하는 서버 공개키 증명서 유효성 검증 방법.If the start date of the validity period of the public key certificate transmitted by the authentication server is earlier than the start date of the validity period, refusing to verify the corresponding public key certificate. 제 4항에 있어서,The method of claim 4, wherein 상기 (b) 단계에서,In step (b), 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일과 유효기간 시작점이 같은 경우, 해당 공개키 증명서의 검증을 수락하는 단계를 포함하는 서버 공개키 증명서 유효성 검증 방법.And if the validity period start date and the validity period start point of the public key certificate transmitted by the authentication server are the same, accepting verification of the corresponding public key certificate. 제 4항에 있어서,The method of claim 4, wherein 상기 (b) 단계에서,In step (b), 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일이 유효기간 시작점보다 이후의 날짜인 경우, 해당 공개키 증명서의 검증을 수락하는 단계; 및Accepting verification of the corresponding public key certificate if the start date of the valid period of the public key certificate transmitted by the authentication server is later than the start point of the valid period; And 상기 유효기간 시작점을 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일로 변경하는 단계Changing the validity period start point to the validity period start date of the public key certificate sent by the authentication server; 를 포함하는 서버 공개키 증명서 유효성 검증 방법.Server public key certificate validation method comprising a. 다수의 클라이언트 서버가 하나의 인증서버에 대한 서버 공개키 증명서의 유효성을 검증하기 위한 기능을 포함하는 프로그램을 저장한 기록매체에 있어서,A recording medium storing a program including a function for a plurality of client servers to validate the server public key certificate for one authentication server, (a) 상기 인증 서버가 전송하는 공개키 증명서의 유효기간 검사, 공개키 증명서 서명 부분 검사, 공개키 증명서 확장필드에 대한 검증을 수행하는 기능; 및(a) checking a validity period of a public key certificate transmitted by the authentication server, a public key certificate signature portion check, and a verification of a public key certificate extension field; And (b) 상기 인증 서버가 전송한 공개키 증명서의 유효기간 시작일을 추출하고, 추출된 공개키 증명서의 유효기간 시작일과 미리 저장된 유효기간 시작점을 비교하여, 비교결과에 따른 해당 공개키 증명서의 검증 수락 여부를 판단하여, 검증을 수행하는 기능(b) extracting the start date of the validity period of the public key certificate sent by the authentication server, comparing the start date of the validity period of the extracted public key certificate with the prestored validity period starting point, and accepting the verification of the corresponding public key certificate according to the comparison result The ability to judge whether or not 을 포함하는 프로그램을 저장한 기록매체.Recording medium storing a program comprising a.
KR1020040005403A 2004-01-28 2004-01-28 Apparatus and method of validity verifying for certificate authority KR20050077568A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020040005403A KR20050077568A (en) 2004-01-28 2004-01-28 Apparatus and method of validity verifying for certificate authority

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040005403A KR20050077568A (en) 2004-01-28 2004-01-28 Apparatus and method of validity verifying for certificate authority

Publications (1)

Publication Number Publication Date
KR20050077568A true KR20050077568A (en) 2005-08-03

Family

ID=37265009

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040005403A KR20050077568A (en) 2004-01-28 2004-01-28 Apparatus and method of validity verifying for certificate authority

Country Status (1)

Country Link
KR (1) KR20050077568A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9954851B2 (en) 2015-08-24 2018-04-24 Hyundai Motor Company Method for controlling vehicle security access based on certificate

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9954851B2 (en) 2015-08-24 2018-04-24 Hyundai Motor Company Method for controlling vehicle security access based on certificate

Similar Documents

Publication Publication Date Title
CN108777684B (en) Identity authentication method, system and computer readable storage medium
RU2434340C2 (en) Infrastructure for verifying biometric account data
US7698736B2 (en) Secure delegation using public key authentication
US7437551B2 (en) Public key infrastructure scalability certificate revocation status validation
US8683196B2 (en) Token renewal
US20100042848A1 (en) Personalized I/O Device as Trusted Data Source
KR20190114423A (en) Method for sso service through blockchain, and terminal and server using the same
EP2882156A1 (en) Computer implemented method and a computer system to prevent security problems in the use of digital certificates in code signing and a computer program product thereof
WO2010082253A1 (en) Server authentication method and client terminal
US8966263B2 (en) System and method of network equipment remote access authentication in a communications network
KR20190114434A (en) Method for oauth service through blockchain, and terminal and server using the same
JP2002024177A (en) Electronic notarization system and method
JP2008507892A (en) System and method for implementing a digital signature using a one-time private key
CN108885658B (en) Proof of device authenticity by means of credentials
KR20190114432A (en) Method for oauth service through blockchain, and terminal and server using the same
JP5785875B2 (en) Public key certificate verification method, verification server, relay server, and program
KR20080104594A (en) Online certificate verification apparatus and method for offline device
CN114301617A (en) Identity authentication method and device for multi-cloud application gateway, computer equipment and medium
TW201909013A (en) System and method for identity verification and privacy protection in public blockchain
CN101129043A (en) Method, system, and program product for connecting a client to a network
CN113010871A (en) Electronic calendar certificate verification method based on alliance block chain platform
KR20050077568A (en) Apparatus and method of validity verifying for certificate authority
CN102769606B (en) A kind of network digital identity identifying method based on gene certificate
KR20190114422A (en) Method for sso service through blockchain, and terminal and server using the same
KR20190114421A (en) Method for sso service through blockchain, and terminal and server using the same

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application