KR20090071307A - Verification method, method and terminal for certificate management - Google Patents

Verification method, method and terminal for certificate management Download PDF

Info

Publication number
KR20090071307A
KR20090071307A KR1020080022184A KR20080022184A KR20090071307A KR 20090071307 A KR20090071307 A KR 20090071307A KR 1020080022184 A KR1020080022184 A KR 1020080022184A KR 20080022184 A KR20080022184 A KR 20080022184A KR 20090071307 A KR20090071307 A KR 20090071307A
Authority
KR
South Korea
Prior art keywords
certificate
terminal
certification authority
authority server
rights object
Prior art date
Application number
KR1020080022184A
Other languages
Korean (ko)
Other versions
KR100947119B1 (en
Inventor
박정숙
박현우
전성익
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20090071307A publication Critical patent/KR20090071307A/en
Application granted granted Critical
Publication of KR100947119B1 publication Critical patent/KR100947119B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates

Abstract

A method for verifying a certificate, a method for managing a certificate and a terminal therefor are provided to map a right object to a certificate of a user one to one and issue the right object through a legality verification unit of the certificate of the right object, thereby reducing inconvenience that all users separately keep certificates. Verification of a certificate is requested to a certificate organization server(200). A message including a right object is received from the certificate organization server. The right object comprises right information about the certificate and signature information of the certificate organization server. The right object is transmitted to a terminal(100) of a transaction person in electronic commerce.

Description

인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는 단말{Verification method, method and terminal for certificate management}Certificate verification method, certificate management method and terminal performing the same {Verification method, method and terminal for certificate management}

본 발명은 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는 단말에 관한 것이다. The present invention relates to a certificate verification method, a certificate management method and a terminal performing the same.

본 발명은 정보통신부 및 정보통신연구진흥원의 IT성장동력기술개발의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2006-S-041-02, 과제명: 차세대 모바일 단말기의 보안 및 신뢰 서비스를 위한 공통 보안 핵심 모듈 개발].The present invention is derived from a study conducted as part of the IT growth engine technology development of the Ministry of Information and Communication and the Ministry of Information and Communication Research and Development. Development of common security core modules].

최근에는 전자상거래, 뱅킹 등의 서비스가 유선 망뿐만 아니라 무선 망을 통해서도 활발히 제공되며, 공개키 기반구조(Public Key Infrastructure, PKI)는 이를 지원하기 위한 정보보호 기반 구조로 폭넓게 활용되고 있다. 이러한 PKI 방식에서는 공개 키와 이에 대응하는 개인 키를 사전에 생성하고, 실제 데이터 전송 시 수신자의 공개 키로 데이터를 암호화해서 전송하면, 수신자는 자신의 개인 키를 이용하여 수신된 데이터를 해독하는 방식을 사용한다.Recently, services such as e-commerce and banking are actively provided through wireless networks as well as wired networks, and public key infrastructure (PKI) is widely used as an information protection infrastructure to support this. In this PKI method, if a public key and a corresponding private key are generated in advance, and the data is encrypted and transmitted with the recipient's public key in actual data transmission, the receiver uses a private key to decrypt the received data. use.

한편, PKI 방식에서는 전자서명이 매우 중요하며, 전자서명 정보가 서명자에게 귀속된다는 사실 등을 확인 및 증명하는 전자적 정보인 인증서 또한 매우 중 요하다. 이러한 인증서는 제 3자인 합법적인 인증기관이 발급하여 배포하고, 인증기관은 발급한 인증서를 보관한다.  On the other hand, the digital signature is very important in the PKI scheme, and the certificate, which is electronic information that confirms and proves that the digital signature information belongs to the signer, is also very important. These certificates are issued and distributed by a legitimate certification authority, which is a third party, and the certification authority keeps the issued certificates.

따라서, 인증기관에서는 사용자 개개인에 대한 인증서, 공개 키 등의 보안정보를 체계적으로 관리해야 하며, 사용자의 요청에 일일이 응답해야 하는 번거로움이 있다. 또한, 인증기관의 서버에 결함이 발생할 경우, 사용자는 잘못된 공개 키를 발급받거나, 사용자 인증에 어려움을 겪을 수 있어 불편을 초래할 수도 있다. Therefore, the certification authority must systematically manage security information such as certificates and public keys for individual users, and there is a hassle of having to respond to user requests one by one. In addition, when a defect occurs in the server of the certification authority, the user may be issued an incorrect public key or may have difficulty in user authentication, which may cause inconvenience.

본 발명이 이루고자 하는 기술적 과제는 인증기관의 부담을 최소화하는 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는 단말을 제공하는 것이다.The technical problem to be achieved by the present invention is to provide a certificate verification method, a certificate management method and a terminal performing the same to minimize the burden on the certification authority.

상기한 목적을 달성하기 위한 본 발명의 특징에 따른 단말의 인증서 관리 방법은,Certificate management method of the terminal according to a feature of the present invention for achieving the above object,

사용자 정보를 포함하는 인증서를 생성하는 단계; 인증기관 서버로 상기 인증서의 검증을 요청하는 단계; 상기 인증서에 대한 권한정보 및 상기 인증기관 서버의 서명정보가 포함된 권리객체를 포함하는 메시지를 상기 인증기관 서버로부터 수신하는 단계; 및 전자상거래 수행 시, 상기 인증서와 상기 인증서의 적법성 검증에 사용되는 상기 권리객체를 상기 거래 대상자의 단말로 전달하는 단계를 포함한다.Generating a certificate including user information; Requesting verification of the certificate to a certification authority server; Receiving a message from the certification authority server including a rights object including the authority information of the certificate and signature information of the certification authority server; And transmitting the certificate and the rights object used for verifying the legality of the certificate to the terminal of the transaction target when the electronic commerce is performed.

또한, 본 발명의 다른 특징에 따른 인증기관 서버의 인증서 검증 방법은,In addition, the certificate verification method of the certification authority server according to another aspect of the present invention,

단말로부터 사용자정보 및 공개 키가 포함된 인증서를 포함하는 인증서 검증 요청 메시지를 수신하는 단계; 상기 사용자정보에 기초해 상기 인증서의 적법성을 검증하는 단계; 상기 인증서의 적법성이 검증되면, 상기 인증서의 권한 정보 및 상기 인증기관 서버의 서명정보를 포함하는 권리객체를 발급하는 단계; 상기 인증서와 상기 권리객체를 매핑하는 단계; 및 상기 권리객체가 포함된 메시지를 상기 공개 키로 암호화하여 상기 단말로 전달하는 단계를 포함한다.Receiving a certificate verification request message including a certificate including a user information and a public key from the terminal; Verifying the validity of the certificate based on the user information; Issuing a rights object including authority information of the certificate and signature information of the certification authority server when the validity of the certificate is verified; Mapping the certificate and the rights object; And encrypting the message including the right object with the public key and transmitting the encrypted message to the terminal.

또한, 본 발명의 또 다른 특징에 따른 단말은,In addition, the terminal according to another feature of the present invention,

개인 키 및 공개 키 쌍을 생성하고, 상기 개인 키를 보호메모리에 저장하는 신뢰 플랫폼 모듈; 인증서 생성 요청이 입력되면, 상기 신뢰 플랫폼 모듈로 상기 개인 키 및 상기 공개 키 쌍의 생성을 요청하고, 사용자정보 및 상기 공개 키를 포함하는 인증서를 생성하며, 상기 인증서의 검증 요청을 인증기관 서버로 전달하고, 상기 인증기관 서버로부터 상기 인증서의 권한정보 및 상기 인증기관 서버의 서명정보를 포함하는 권리객체를 수신하는 인증서 관리모듈; 및 상기 인증서 및 상기 권리객체를 저장하는 인증서 저장모듈을 포함한다.A trust platform module for generating a private key and a public key pair and storing the private key in a protected memory; If a certificate generation request is input, request the generation of the private key and the public key pair to the trust platform module, generate a certificate including the user information and the public key, and send the request for verification of the certificate to the certification authority server. A certificate management module which transmits and receives a rights object including the authority information of the certificate and the signature information of the certification authority server from the certification authority server; And a certificate storage module for storing the certificate and the rights object.

본 발명에 따르면, 인증기관은 권리객체(Right Objects)를 사용자의 인증서와 일대일 매핑하여 인증서의 적법성 검증 수단으로 발급함으로써, 모든 사용자들의 인증서를 별도로 보관해야 하는 번거로움을 줄이고, 그에 따른 인증기관의 부담을 최소화하는 효과가 있다. According to the present invention, the certification authority maps Right Objects one-to-one with a user's certificate and issues it as a means for validating the certificate, thereby reducing the hassle of storing all users' certificates separately, The effect is to minimize the burden.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.DETAILED DESCRIPTION Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art may easily implement the present invention. As those skilled in the art would realize, the described embodiments may be modified in various different ways, all without departing from the spirit or scope of the present invention. In the drawings, parts irrelevant to the description are omitted in order to clearly describe the present invention, and like reference numerals designate like parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a part is said to "include" a certain component, it means that it can further include other components, without excluding other components unless specifically stated otherwise. In addition, the term "module" described in the specification means a unit for processing at least one function or operation, which may be implemented by hardware or software or a combination of hardware and software.

이제 아래에서는 본 발명의 실시 예에 따른 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는 단말에 대하여 도면을 참고로 하여 상세하게 설명한다.Hereinafter, a certificate verification method, a certificate management method, and a terminal performing the same according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시 예에 따른 인증서를 생성하고 관리하는 시스템을 도시한 구조도이다. 1 is a structural diagram showing a system for generating and managing a certificate according to an embodiment of the present invention.

도 1을 보면, 시스템은 단말(100) 및 인증기관 서버(200)를 포함한다.Referring to FIG. 1, the system includes a terminal 100 and a certification authority server 200.

단말(100)은 인증서 관리모듈(110), 인증서 저장모듈(120) 및 신뢰 플랫폼 모듈(Trusted Platform Module, TPM)(130)을 포함한다.The terminal 100 includes a certificate management module 110, a certificate storage module 120, and a trusted platform module (TPM) 130.

인증서 관리모듈(110)은 사용자가 인증서의 생성을 요청하면, TPM(130)에 공개 키 및 개인 키 생성을 요청하고, 사용자로부터 입력 받은 사용자 정보 및 공개 키를 포함하는 인증서를 생성한다. 또한, 사용자가 요청에 따라 생성된 인증서의 수정, 삭제 등의 작업을 수행한다. When the user requests the generation of a certificate, the certificate management module 110 requests the TPM 130 to generate a public key and a private key, and generates a certificate including the user information and the public key received from the user. In addition, the user performs an operation such as modifying or deleting a certificate generated on request.

또한, 인증서 관리모듈(110)은 새롭게 생성되거나 수정된 인증서에 대한 적법성을 검증받기 위해 해당 인증서를 인증기관 서버(200)에 전달하고, 인증기관 서버(200)로부터 인증서의 적법성 검증 결과인 권리객체(Rights Objects)를 수신한다. 이후, 단말(100)은 전자상거래 시 거래 대상자에게 전자서명인 인증서와 해당 인증서의 적법성을 증명하기 위한 권리객체를 함께 전달한다. 인증기관 서버(200)로부터 검증된 인증서와 인증기관 서버(200)로부터 수신한 권리객체는 인증서 저장모듈(120)에 저장된다. In addition, the certificate management module 110 transfers the certificate to the certification authority server 200 in order to verify the validity of the newly created or modified certificate, and the rights object that is the result of the validity verification of the certificate from the certification authority server 200. Receive Rights Objects. Thereafter, the terminal 100 transmits a certificate, which is an electronic signature, and a right object for proving the legality of the certificate, to the transaction subject during electronic commerce. The certificate verified from the certification authority server 200 and the rights object received from the certification authority server 200 are stored in the certificate storage module 120.

TPM(130)은 인증서 관리모듈(110)의 요청에 따라 개인 키 및 공개 키를 생성하고, 생성된 개인 키는 TPM(130) 내에 접근이 제한되는 보호메모리(Protected Memory, PS)(미도시)에 저장한다. 이와 같이, TPM(130) 내에서 개인 키 및 공개 키 생성 과정을 수행하고, 생성된 개인 키는 외부에 공개하지 않고 TPM(130) 내에서 바로 PS에 저장하는 방법은, 개인 키를 외부에 노출시키지 않음으로써 단말(100)의 안전성을 높이는 효과가 있다. The TPM 130 generates a private key and a public key at the request of the certificate management module 110, and the generated private key is protected memory (PS) (not shown) in which access is restricted in the TPM 130. Store in As such, a method of performing a private key and a public key generation process in the TPM 130 and storing the generated private key in the PS directly within the TPM 130 without exposing it to the outside may expose the private key to the outside. By not doing so, there is an effect of increasing the safety of the terminal 100.

인증기관 서버(200)는 단말(100)로부터 인증서 인증 요청이 발생하면, 단말(100)로부터 수신한 인증서에 포함된 사용자 정보 등을 이용하여 해당 인증서의 적법성을 확인한다. 그리고, 해당 인증서가 적법하다고 판단되면, 해당 인증서에 대한 권리객체를 생성하여 단말(100)로 전달한다. 여기서, 권리객체란 특정 인증서에 대한 제한 정보 및 권한 정보를 포함하는 소프트웨어 객체 즉, 특정 인증서에 대한 라이센스를 의미한다. 한편, 인증기관 서버(200)는 인증기관의 공개 키로 암호화된 권리객체를 단말(100)로 전달한다. When a certificate authentication request is generated from the terminal 100, the certification authority server 200 confirms the legality of the corresponding certificate by using user information included in the certificate received from the terminal 100. If it is determined that the certificate is legitimate, a rights object for the certificate is generated and transmitted to the terminal 100. Here, the rights object means a software object that includes restriction information and authority information for a specific certificate, that is, a license for a specific certificate. Meanwhile, the certification authority server 200 transmits the rights object encrypted with the certification authority's public key to the terminal 100.

다음의 표 1은 인증기관 서버(200)이 발급하는 권리객체의 구성 요소들을 나타낸다.Table 1 below shows the components of the rights object issued by the certification authority server 200.

표 1. 권리객체Table 1. Rights Objects

Figure 112008017378312-PAT00001
Figure 112008017378312-PAT00001

표 1을 보면, 권리객체는 해당 인증서의 유효기간, 사용 가능한 횟수, 인증서와의 바인딩(binding) 정보, 인증기관 서명정보를 포함한다. 여기서, 인증서 바인딩 정보는 인증서에 대한 권한 정보로서, 인증기관 서버(200)가 발급한다. 또한, 인증기관 서명정보는 인증서가 적법함을 증명하는 인증기관 서버(200)의 서명정보이다. 본 발명의 실시 예에서는 인증기관 서버(200)가 사용자 별 인증서 및 공개 키를 별도로 보관하지 않으며, 이에 따라 권리객체가 전자상거래 시 사용자에 대한 권한정보를 검증하는 수단으로서 사용된다. In Table 1, the rights object includes the validity period of the certificate, the number of times it can be used, the binding information with the certificate, and the certificate authority signature information. Here, the certificate binding information is the authority information for the certificate, issued by the certification authority server 200. In addition, the certification authority signature information is signature information of the certification authority server 200 which proves that the certificate is legitimate. In an embodiment of the present invention, the certification authority server 200 does not separately store a certificate and a public key for each user. Accordingly, a rights object is used as a means for verifying authority information for a user in an electronic commerce.

즉, 인증기관 서버(200)는 이러한 권리객체를 발급한 후, 추후 사용자가 전자상거래 대상자로부터 수신한 인증서의 적법성을 확인하기 위해 권리객체를 인증기관 서버(200)로 전달하면, 전달되는 권리객체에 포함된 정보를 바탕으로 적법성을 검증하여 알려준다. 따라서, 인증기관 서버(200)는 사용자들에게 발급한 인증서 를 별도로 보관할 필요가 없다.That is, the certification authority server 200 issues such a rights object, and then, if the user later transfers the rights object to the certification authority server 200 to confirm the legality of the certificate received from the e-commerce subject, the rights object delivered. Verifies the validity of the information based on the information contained in the information. Therefore, the certification authority server 200 does not need to keep separate certificates issued to users.

도 2는 본 발명의 실시 예에 따른 인증서 생성 과정을 도시한 흐름도이다.2 is a flowchart illustrating a certificate generation process according to an embodiment of the present invention.

도 2를 보면, 사용자가 인증서 발급을 요청하면(S101), 단말(100)은 우선 개인 키 및 공개 키 쌍을 생성한다(S102). 이때, 생성된 개인 키는 TPM(130) 내의 PS에 저장하며(S103), 추후 전자상거래 대상자로부터 수신되는 데이터를 해독하는데 사용한다. Referring to FIG. 2, when a user requests for issuance of a certificate (S101), the terminal 100 first generates a private key and a public key pair (S102). At this time, the generated private key is stored in the PS in the TPM 130 (S103), and used to decrypt data received from an e-commerce subject later.

이후, 단말(100)은 사용자가 입력한 사용자정보와 생성된 공개 키를 포함하는 인증서를 생성한다(S104). 그리고, 생성된 인증서와 해당 인증서에 대한 검증 요청 즉, 적법성 검증 요청을 인증기관 서버(200)로 전달한다(S105).Thereafter, the terminal 100 generates a certificate including the user information input by the user and the generated public key (S104). In addition, the generated certificate and a verification request for the corresponding certificate, that is, a validity verification request, are transmitted to the certification authority server 200 (S105).

인증기관 서버(200)는 단말(100)로부터 인증서에 대한 검증이 요청되면, 인증서에 포함된 사용자정보 등을 검토하여 적법성을 확인하고, 해당 인증서의 적법성이 인증되면 해당 인증서에 대한 권리객체를 발급한다(S106). 여기서, 인증기관 서버(200)는 인증서의 적법성을 검증하기 위해 인증서에 포함된 사용자정보에 대응되는 사용자의 신용정보를 확인하고, 확인된 신용정보에 기초해 인증서의 적법성을 확인한다. When the certification authority server 200 requests verification of a certificate from the terminal 100, the user authority included in the certificate is reviewed to check the validity, and when the validity of the certificate is authenticated, a right object for the certificate is issued. (S106). Here, the certification authority server 200 confirms the credit information of the user corresponding to the user information included in the certificate to verify the validity of the certificate, and verifies the validity of the certificate based on the verified credit information.

이후, 인증기관 서버(200)는 발급한 권리객체 및 인증서가 불법적인 사용자에 의해 사용되는 것을 방지하기 위해 해당 권리객체와 인증서를 일 대 일 매핑하고(S107), 사용자가 권리객체에 임의로 접근하여 수정하는 것을 방지하기 위해 인증기관의 공개 키로 권리객체를 암호화한다(S108). 그리고, 암호화된 권리객체를 포함하는 메시지를 인증서에 포함된 공개 키로 암호화하여 단말(100)로 전달한 다(S109). Thereafter, the certification authority server 200 maps the rights object and the certificate one-to-one in order to prevent the issued rights object and certificate from being used by an illegal user (S107), and the user randomly accesses the rights object. In order to prevent modification, the rights object is encrypted with the public key of the certification authority (S108). Then, the message including the encrypted rights object is encrypted with the public key included in the certificate and transmitted to the terminal 100 (S109).

이를 수신한 단말(100)은 자신의 개인 키를 이용하여 메시지를 해독하여 권리객체를 획득하고, 획득한 권리객체를 인증서와 함께 인증서 저장모듈(120)에 저장한다(S110). 그리고, 인증서 발급이 완료되었음을 사용자에게 통보한다(S111).Upon receiving this, the terminal 100 decrypts a message using its own private key to obtain a rights object, and stores the obtained rights object together with the certificate in the certificate storage module 120 (S110). Then, the user is notified that the certificate issuance is completed (S111).

이후, 단말(100)은 해당 인증서를 전자 상거래 시 사용자에 대한 권리 검증의 수단으로 사용하며, 인증서의 적법성을 증명하기 위해 권리객체를 인증서와 함께 거래 대상 단말로 전달한다.Thereafter, the terminal 100 uses the certificate as a means of verifying the rights of the user during electronic commerce, and transmits the rights object to the transaction target terminal together with the certificate to prove the legality of the certificate.

도 3은 본 발명의 실시 예에 따른 인증서 수정 방법을 도시한 흐름도이다.3 is a flowchart illustrating a certificate modification method according to an embodiment of the present invention.

도 3을 보면, 사용자가 인증서 수정을 요청하면(S201), 단말(100)은 저장된 인증서를 삭제하고(S202), 새롭게 인증서를 생성한다(S203). 이때, 단말(100)은 사용자로부터 입력 받은 사용자정보와 미리 생성된 공개 키를 이용하여 인증서를 새로 생성한다. Referring to FIG. 3, when the user requests a certificate modification (S201), the terminal 100 deletes the stored certificate (S202) and generates a new certificate (S203). At this time, the terminal 100 generates a new certificate by using the user information input from the user and the public key generated in advance.

한편, 단말(100)은 인증서가 생성되면 인증서의 검증을 위해 인증서를 인증기관 서버(200)로 전달하고, 인증기관 서버(200)는 해당 인증서에 포함된 사용자정보에 대응되는 사용자의 신용정보를 확인하여 인증서의 적법성이 검증되면 권리객체를 생성하여 단말(100)로 전달한다(S204 내지 S208). Meanwhile, when the certificate is generated, the terminal 100 transmits the certificate to the certification authority server 200 for verification of the certificate, and the certification authority server 200 transmits the credit information of the user corresponding to the user information included in the corresponding certificate. If the legality of the certificate is verified by checking, a right object is generated and transmitted to the terminal 100 (S204 to S208).

이후, 단말(100)은 새로 생성한 인증서와 함께 인증기관 서버(200)로부터 전달 받은 권리객체를 인증서 저장모듈(120)에 저장하고(S209), 인증서 수정이 완료되었음을 사용자에게 통보한다(S210).Thereafter, the terminal 100 stores the rights object received from the certification authority server 200 together with the newly generated certificate in the certificate storage module 120 (S209), and notifies the user that the certificate modification is completed (S210). .

도 4는 본 발명의 실시 예에 따른 인증서 삭제 방법을 도시한 흐름도이다.4 is a flowchart illustrating a certificate deleting method according to an embodiment of the present invention.

도 4를 보면, 단말(100)은 사용자로부터 인증서 삭제를 요청 받으면(S301), TPM(130) 내부의 PS에 저장된 개인 키를 삭제하고(S302), 인증서 저장모듈(120)에 저장된 인증서 및 권리객체를 삭제한다(S303). 그리고, 인증서 삭제가 완료되었음을 사용자에게 통보한다(S304).Referring to FIG. 4, when the terminal 100 receives a request for deleting a certificate from the user (S301), the terminal 100 deletes the private key stored in the PS inside the TPM 130 (S302), and stores the certificate and the right stored in the certificate storage module 120. The object is deleted (S303). Then, the user is notified that the deletion of the certificate is completed (S304).

이와 같이 단말(100)은 사용자로부터 인증서 삭제 요청을 받으면, 인증기관 서버(200)에 요청하는 작업 없이 간단하게 단말(100) 내 저장된 개인 키, 인증서 및 권리객체를 삭제함으로써 인증서 삭제 작업을 완료할 수 있다.As such, when the terminal 100 receives the certificate deletion request from the user, the terminal 100 may complete the certificate deletion operation by simply deleting the private key, certificate, and right object stored in the terminal 100 without requesting the certification authority server 200. Can be.

도 5는 본 발명의 실시 예에 따른 전자상거래 이용 시 거래 대상자 간에 인증서를 검증하는 방법을 도시한 흐름도이다. 5 is a flowchart illustrating a method of verifying a certificate between transaction partners when using e-commerce according to an embodiment of the present invention.

도 5를 보면, 사용자 A가 사용자 B와의 전자상거래를 수행하고자 하는 경우, 사용자 A의 단말 A(100-1)는 사용자 B의 단말 B(100-2)로 공개 키를 요청한다(S401). 이에 따라, 단말 B(100-2)는 자신의 공개 키를 단말 A(100-1)로 전달한다(S402).Referring to FIG. 5, when user A intends to perform electronic commerce with user B, user A's terminal A 100-1 requests a public key from user B's terminal B 100-2 (S401). Accordingly, the terminal B 100-2 transmits its public key to the terminal A 100-1 (S402).

이를 수신한 단말 A(100-1)는 자신의 인증서 및 권리객체가 포함된 메시지를 단말 B(100-2)의 공개 키를 이용하여 암호화하고(S403), 암호화된 메시지를 단말 B(100-2)로 전달한다(S404).Upon receiving this, the terminal A 100-1 encrypts the message including its certificate and the rights object using the public key of the terminal B 100-2 (S403), and encrypts the encrypted message to the terminal B (100-). 2) to (S404).

암호화된 메시지를 수신한 단말 B(100-2)은 자신의 개인 키를 이용하여 수신한 메시지를 해독하여 사용자 A의 인증서 및 권리객체를 획득한다(S405). 그리고, 획득한 권리객체를 인증기관 서버(200)로 전달하여 적법성 검증을 요청한다(S406). Upon receiving the encrypted message, the terminal B 100-2 decrypts the received message using its private key to obtain a certificate and a rights object of the user A (S405). Then, the acquired right object is transferred to the certification authority server 200, and a request for legality verification is performed (S406).

따라서, 인증기관 서버(200)는 해당 권리객체를 해독하여 권리객체에 포함된 정보를 획득하고, 획득한 정보들이 올바른지 판단하여 권리객체에 대한 검증과정을 수행한다(S407). 즉, 인증서가 유효기간 내에 있는지, 인증서의 사용 가능 횟수가 정해져 있다면 현재 인증서의 사용횟수가 그 안에 포함되는지 등을 판단한다. Therefore, the certification authority server 200 decodes the rights object to obtain information included in the rights object, determines whether the obtained information is correct, and performs a verification process on the rights object (S407). That is, it is determined whether the certificate is within the validity period, or if the number of available certificates of the certificate is determined, whether the number of use of the current certificate is included therein.

그리고, 검증결과를 사용자 B의 공개 키로 암호화한다(S408). 이후, 인증기관 서버(200)는 암호화된 검증결과를 단말 B(100-2)로 전달하고(S409), 단말 B(100-2)는 이를 바탕으로 단말 A의 인증서에 대한 적법성을 판단한다. The verification result is then encrypted with the public key of the user B (S408). Thereafter, the certification authority server 200 transmits the encrypted verification result to the terminal B 100-2 (S409), and the terminal B 100-2 determines the legality of the certificate of the terminal A based on this.

한편, 전술한 설명에서는 사용자 A 대한 인증 과정만을 예로 들어 설명하였으나, 본 발명에서는 전자상거래 이용 시 거래 대상자인 사용자 상호 간에 인증 과정이 수행되어야 하므로 사용자 B에 대한 인증 과정 또한 필요하며, 이는 전술한 인증 과정과 동일하므로 상세한 설명은 생략한다. Meanwhile, in the above description, only the authentication process for user A has been described as an example. However, in the present invention, an authentication process for user B is also required because an authentication process must be performed between users who are subjects of transactions when using e-commerce. Since the process is the same, detailed description is omitted.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다. The embodiments of the present invention described above are not implemented only through the apparatus and the method, but may be implemented through a program for realizing a function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded. Implementation may be easily implemented by those skilled in the art from the description of the above-described embodiments.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the embodiments of the present invention have been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements of those skilled in the art using the basic concepts of the present invention defined in the following claims are also provided. It belongs to the scope of rights.

도 1은 본 발명의 실시 예에 따른 인증서 생성하고 관리하기 위한 시스템을 도시한 구조도이다. 1 is a structural diagram showing a system for generating and managing a certificate according to an embodiment of the present invention.

도 2는 본 발명의 실시 예에 따른 인증서 생성 과정을 도시한 흐름도이다.2 is a flowchart illustrating a certificate generation process according to an embodiment of the present invention.

도 3은 본 발명의 실시 예에 따른 인증서 수정 방법을 도시한 흐름도이다.3 is a flowchart illustrating a certificate modification method according to an embodiment of the present invention.

도 4는 본 발명의 실시 예에 따른 인증서 삭제 방법을 도시한 흐름도이다.4 is a flowchart illustrating a certificate deleting method according to an embodiment of the present invention.

도 5는 본 발명의 실시 예에 따른 전자상거래 이용 시 인증서를 검증하는 방법을 도시한 흐름도이다.5 is a flowchart illustrating a method of verifying a certificate when using e-commerce according to an embodiment of the present invention.

Claims (9)

단말의 인증서 관리 방법에 있어서,In the certificate management method of the terminal, 사용자 정보를 포함하는 인증서를 생성하는 단계;Generating a certificate including user information; 인증기관 서버로 상기 인증서의 검증을 요청하는 단계;Requesting verification of the certificate to a certification authority server; 상기 인증서에 대한 권한정보 및 상기 인증기관 서버의 서명정보가 포함된 권리객체를 포함하는 메시지를 상기 인증기관 서버로부터 수신하는 단계; 및Receiving a message from the certification authority server including a rights object including the authority information of the certificate and signature information of the certification authority server; And 전자상거래 수행 시, 상기 인증서와 상기 인증서의 적법성 검증에 사용되는 상기 권리객체를 상기 거래 대상자의 단말로 전달하는 단계Transmitting the certificate and the rights object used to verify the legality of the certificate to the terminal of the transaction subject when performing the e-commerce transaction; 를 포함하는 인증서 관리 방법.Certificate management method comprising a. 제 1항에 있어서,The method of claim 1, 상기 생성하는 단계는,The generating step, 신뢰 플랫폼 모듈을 통해 공개 키 및 개인 키 쌍을 생성하는 단계;Generating a public and private key pair via a trust platform module; 상기 개인 키를 상기 신뢰 플랫폼 모듈 내 보호메모리에 저장하는 단계; 및Storing the private key in a protected memory in the trusted platform module; And 상기 공개 키 및 상기 사용자 정보를 포함하는 상기 인증서를 생성하는 단계Generating the certificate comprising the public key and the user information 를 포함하는 인증서 관리 방법.Certificate management method comprising a. 제 2항에 있어서,The method of claim 2, 상기 인증기관 서버로부터 수신되는 상기 메시지는 상기 공개 키로 암호화된 것이며,The message received from the certificate authority server is encrypted with the public key, 상기 인증기관 서버로부터 수신되는 상기 메시지로부터 상기 개인 키를 이용하여 상기 권리객체를 획득하는 단계Acquiring the rights object from the message received from the certificate authority server using the private key; 를 더 포함하는 인증서 관리 방법.Certificate management method further comprising. 제 3항에 있어서,The method of claim 3, wherein 상기 전달하는 단계는,The delivering step, 상기 거래 대상자의 단말로부터 공개 키를 수신하는 단계; 및Receiving a public key from a terminal of the transaction target; And 상기 인증서 및 상기 권리객체가 포함된 메시지를 상기 거래 대상자의 단말로부터 수신한 공개 키로 암호화하여 상기 거래 대상자의 단말로 전달하는 단계Encrypting the message including the certificate and the right object with a public key received from the terminal of the subject of transaction and delivering the message to the terminal of the subject of transaction; 를 더 포함하는 인증서 관리 방법.Certificate management method further comprising. 제 4항에 있어서,The method of claim 4, wherein 상기 거래처 대상자의 단말은 상기 권리객체를 상기 인증기관 서버로 전달하여 상기 인증서의 검증을 요청하는 인증서 관리 방법.The client terminal of the client subject requesting verification of the certificate by passing the rights object to the certification authority server. 인증기관 서버의 인증서 검증 방법에 있어서,In the certificate verification method of the certification authority server, 단말로부터 사용자정보 및 공개 키가 포함된 인증서를 포함하는 인증서 검증 요청 메시지를 수신하는 단계;Receiving a certificate verification request message including a certificate including a user information and a public key from the terminal; 상기 사용자정보에 기초해 상기 인증서의 적법성을 검증하는 단계;Verifying the validity of the certificate based on the user information; 상기 인증서의 적법성이 검증되면, 상기 인증서의 권한 정보 및 상기 인증기관 서버의 서명정보를 포함하는 권리객체를 발급하는 단계;Issuing a rights object including authority information of the certificate and signature information of the certification authority server when the validity of the certificate is verified; 상기 인증서와 상기 권리객체를 매핑하는 단계; 및Mapping the certificate and the rights object; And 상기 권리객체가 포함된 메시지를 상기 공개 키로 암호화하여 상기 단말로 전달하는 단계Encrypting the message including the right object with the public key and transmitting the encrypted message to the terminal; 를 포함하는 인증서 검증 방법.Certificate verification method comprising a. 제 6항에 있어서,The method of claim 6, 상기 권리객체는 인증서 유효기간 및 인증서 사용횟수를 더 포함하고,The rights object further includes a certificate validity period and the number of use of the certificate, 상기 권리객체는 상기 인증기관 서버의 공개 키로 암호화된 인증서 검증 방법.The rights object is a certificate verification method encrypted with the public key of the certification authority server. 제 7항에 있어서,The method of claim 7, wherein 상기 단말과 전자상거래를 수행하는 거래 대상자 단말로부터 상기 권리객체가 포함된 검증 요청 메시지를 수신하는 단계;Receiving a verification request message including the right object from a transaction target terminal performing an electronic commerce with the terminal; 상기 권리객체에 포함된 내용을 검증하는 단계; 및Verifying contents included in the rights object; And 상기 검증 결과를 상기 거래 대상자 단말로 전달하는 단계Transmitting the verification result to the transaction target terminal 를 더 포함하는 인증서 검증 방법. Certificate verification method further comprising. 개인 키 및 공개 키 쌍을 생성하고, 상기 개인 키를 보호메모리에 저장하는 신뢰 플랫폼 모듈;A trust platform module for generating a private key and a public key pair and storing the private key in a protected memory; 인증서 생성 요청이 입력되면, 상기 신뢰 플랫폼 모듈로 상기 개인 키 및 상기 공개 키 쌍의 생성을 요청하고, 사용자정보 및 상기 공개 키를 포함하는 인증서를 생성하며, 상기 인증서의 검증 요청을 인증기관 서버로 전달하고, 상기 인증기관 서버로부터 상기 인증서의 권한정보 및 상기 인증기관 서버의 서명정보를 포함하는 권리객체를 수신하는 인증서 관리모듈; 및If a certificate generation request is input, request the generation of the private key and the public key pair to the trust platform module, generate a certificate including the user information and the public key, and send the request for verification of the certificate to the certification authority server. A certificate management module which transmits and receives a rights object including the authority information of the certificate and the signature information of the certification authority server from the certification authority server; And 상기 인증서 및 상기 권리객체를 저장하는 인증서 저장모듈Certificate storage module for storing the certificate and the rights object 을 포함하는 단말. Terminal comprising a.
KR1020080022184A 2007-12-26 2008-03-10 Verification method, method and terminal for certificate management KR100947119B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20070137811 2007-12-26
KR1020070137811 2007-12-26

Publications (2)

Publication Number Publication Date
KR20090071307A true KR20090071307A (en) 2009-07-01
KR100947119B1 KR100947119B1 (en) 2010-03-10

Family

ID=41322737

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080022184A KR100947119B1 (en) 2007-12-26 2008-03-10 Verification method, method and terminal for certificate management

Country Status (1)

Country Link
KR (1) KR100947119B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160094126A (en) * 2015-01-30 2016-08-09 중부대학교 산학협력단 Key management and user authentication method using self-extended certification
KR20190033380A (en) * 2017-09-21 2019-03-29 한화테크윈 주식회사 Authenticating a networked camera using a certificate having device binding information
KR20220011370A (en) * 2020-07-21 2022-01-28 박동호 Method for Controlling Login by Using Smart Phone
WO2022124431A1 (en) * 2020-12-08 2022-06-16 주식회사 앰진시큐러스 Method for automating trusted execution environment-based non-contact identity generation and mutual authentication
WO2022155048A1 (en) * 2021-01-15 2022-07-21 Micron Technology, Inc. Server system to control memory devices over computer networks
KR20220112013A (en) * 2021-02-03 2022-08-10 이니텍(주) Method for Issuing Verifiable Credential Including Digital Certificate and Authenticating Method Using the Same
US11483148B2 (en) 2021-01-15 2022-10-25 Micron Technology, Inc. Batch transfer of control of memory devices over computer networks

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101176015B1 (en) 2011-05-26 2012-08-21 페이앤모바일 주식회사 Method and system of authenticating transactions data
US10637848B2 (en) 2016-12-07 2020-04-28 Electronics And Telecommunications Research Institute Apparatus for supporting authentication between devices in resource-constrained environment and method for the same

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001117823A (en) 1999-10-15 2001-04-27 Fuji Xerox Co Ltd Data storage device with access qualification authenticating function
KR100567822B1 (en) * 2003-10-01 2006-04-05 삼성전자주식회사 Method for creating domain based on public key cryptography
US7321970B2 (en) * 2003-12-30 2008-01-22 Nokia Siemens Networks Oy Method and system for authentication using infrastructureless certificates
KR100667186B1 (en) * 2004-12-20 2007-01-12 한국전자통신연구원 Apparatus and method for realizing authentication system of wireless mobile terminal

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160094126A (en) * 2015-01-30 2016-08-09 중부대학교 산학협력단 Key management and user authentication method using self-extended certification
KR20190033380A (en) * 2017-09-21 2019-03-29 한화테크윈 주식회사 Authenticating a networked camera using a certificate having device binding information
KR20220011370A (en) * 2020-07-21 2022-01-28 박동호 Method for Controlling Login by Using Smart Phone
WO2022124431A1 (en) * 2020-12-08 2022-06-16 주식회사 앰진시큐러스 Method for automating trusted execution environment-based non-contact identity generation and mutual authentication
WO2022155048A1 (en) * 2021-01-15 2022-07-21 Micron Technology, Inc. Server system to control memory devices over computer networks
US11483148B2 (en) 2021-01-15 2022-10-25 Micron Technology, Inc. Batch transfer of control of memory devices over computer networks
US11917059B2 (en) 2021-01-15 2024-02-27 Lodestar Licensing Group Llc Batch transfer of control of memory devices over computer networks
KR20220112013A (en) * 2021-02-03 2022-08-10 이니텍(주) Method for Issuing Verifiable Credential Including Digital Certificate and Authenticating Method Using the Same

Also Published As

Publication number Publication date
KR100947119B1 (en) 2010-03-10

Similar Documents

Publication Publication Date Title
KR100947119B1 (en) Verification method, method and terminal for certificate management
CN109150548B (en) Digital certificate signing and signature checking method and system and digital certificate system
US10567370B2 (en) Certificate authority
CN110061846B (en) Method, device and computer readable storage medium for identity authentication and confirmation of user node in block chain
KR102177848B1 (en) Method and system for verifying an access request
US7689828B2 (en) System and method for implementing digital signature using one time private keys
US20100268942A1 (en) Systems and Methods for Using Cryptographic Keys
JP2016096547A (en) Method for non-repudiation, and payment managing server and user terminal therefor
JP2005167527A (en) Certificate management system and method thereof
KR101210260B1 (en) OTP certification device
CN109495268B (en) Two-dimensional code authentication method and device and computer readable storage medium
JP2006340178A (en) Attribute certificate verifying method and device
CN112187709A (en) Authentication method, device and server
ES2665887T3 (en) Secure data system
CN111865988B (en) Certificate-free key management method, system and terminal based on block chain
KR101007375B1 (en) Apparatus and method for managing certificate in smart card
KR20170019308A (en) Method for providing trusted right information, method for issuing user credential including trusted right information, and method for obtaining user credential
US20100313014A1 (en) Downloadable security based on certificate status
KR20220006234A (en) Method for creating decentralized identity able to manage user authority and system for managing user authority using the same
JPH10336172A (en) Managing method of public key for electronic authentication
JP5781678B1 (en) Electronic data utilization system, portable terminal device, and method in electronic data utilization system
JPH05298174A (en) Remote file access system
JP5036500B2 (en) Attribute certificate management method and apparatus
JP2003298574A (en) Electronic apparatus, authentication station, electronic apparatus authentication system, and electronic apparatus authentication method
JP2014022920A (en) Electronic signature system, electronic signature method, and electronic signature program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130304

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20130730

Year of fee payment: 19