KR20100064872A - 인증서유효목록 기반 검증 시스템 및 그 운영 방법 - Google Patents

인증서유효목록 기반 검증 시스템 및 그 운영 방법 Download PDF

Info

Publication number
KR20100064872A
KR20100064872A KR1020080123520A KR20080123520A KR20100064872A KR 20100064872 A KR20100064872 A KR 20100064872A KR 1020080123520 A KR1020080123520 A KR 1020080123520A KR 20080123520 A KR20080123520 A KR 20080123520A KR 20100064872 A KR20100064872 A KR 20100064872A
Authority
KR
South Korea
Prior art keywords
certificate
list
cal
information
validity
Prior art date
Application number
KR1020080123520A
Other languages
English (en)
Inventor
심재훈
Original Assignee
주식회사 훈솔루션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 훈솔루션 filed Critical 주식회사 훈솔루션
Priority to KR1020080123520A priority Critical patent/KR20100064872A/ko
Publication of KR20100064872A publication Critical patent/KR20100064872A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Accounting & Taxation (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명의 목적은 외부의 접속이 원활치 않은 환경 또는 폐쇄망 내에서 PKI 기반하에서 운용되는 디지털인증서의 유효성 확인을 할 때에 효과적으로 적용될 수 있는 시스템 및 방법을 제공하고자 하는 것이다. 본 발명의 시스템은: PKI 기반의 발급된 디지털인증서 중 상기 망 내에서 운용될 수 있는 인증서유효목록(CAL)을 생성할 수 있는 인증서 정보를 등록하고 등록된 목록을 관리하는 인증서유효목록 관리시스템(ACM)과 상기 망 내에서 인증서유효목록이 운용될 수 있도록 주기적으로 인증서유효목록(CAL)을 발급하고 게시하는 인증서유효목록 발급시스템(ACI)을 포함한다. 인증서의 유효성을 확인하고자 하는 전산단말은 상기 발급시스템에 접속하여 인증서의 상태를 확인할 수 있다.
PKI, 인증서, CRL, 폐쇄망, 유효성, 검증

Description

인증서유효목록 기반 검증 시스템 및 그 운영 방법 {System for validation under CAL(Certificate Available Lists) and method for using the system}
본 발명은 폐쇄망 등 외부 접속이 어려워 정상적인 인증서 상태 검증 및 상태 확인 서비스를 받지 못하는 망 내에서 상대방의 PKI 기반 인증서에 대한 검증을 필요로 할 때 효과적으로 적용될 수 있는 시스템 및 방법에 관한 것이다.
PKI(Public Key Infrastructure)란 개방형 또는 분산형 네트워크 시스템에서 보안 요구사항을 만족시키기 위해 만들어진 인증 암호체계 기반의 구조이다. 이 인증체계는 이미 국내외에 구축되어 이용되고 있으며, 특히 국내에서는 많은 사용자가 공인인증기관으로부터 인증서를 발급받아 인터넷뱅킹, 전자문서결재, 보험서류서명 등 다양한 분야에서 이용하고 있다.
PKI에서 공개키와 개인키는 같은 알고리즘을 통하여 한 쌍으로 동시에 만들어지며, 개인키는 사용자에게 주어지고 공개키는 상기 디지털 인증서에 포함된 정보로 공개된다. 개인키를 이용하여 예컨대 어떤 데이터에 서명을 하면, 반드시 쌍이 되는 공개키로만 검증이 가능하므로 개인키 소유자만 할 수 있는 전자서명이 된 다. 따라서 본인 인증과 정보에 대한 무결성 검증 및 본인 실행에 대한 추후 부인방지 등이 가능하게 된다. 여기에서 본인에 대한 확인은 공개키가 포함된 상기 디지털 인증서의 소유자가 누구인지를 통해 확인이 가능하다.
이러한 PKI 인증서 기반의 사용자 인증은 현재 각종 서비스에서 흔하게 적용되어 있다. 그리하여 사용자는 인증서를 통하여 본인임을 확인시켜줌으로써, 그 사용자에게 부여된 권한에 따라 각종 서비스를 수행할 수가 있게 된다.
문제는 이러한 과정 중에서 상대방의 디지털 인증서가 유효한 지에 대한 검증이 불가능할 경우이다. 디지털 인증서에 대한 검증을 수행하지 않을 경우 마치 실제 유효한 인증서와 같은 가짜 인증서를 만들어 제공함으로써 상대방이 실제 당사자인 것처럼 믿게 할 수 있다. 가짜 인증서를 만드는 방법은 인터넷 등에 게시된 많은 도구와 방법을 이용할 경우 어느 정도의 지식을 가진 사람은 구현이 가능하다.
인터넷이 접속 가능한 온라인 상태에서는 공인인증기관 등 각종 디지털 인증서 관련 서비스를 하는 기관에서 인증서의 유효성에 대한 확인이 가능하도록 서비스를 제공하고 있다. 이러한 서비스를 이용하여야만 실제 전자서명을 수행한 상대방이 유효한지에 대한 확인이 가능하다.
실제 공인인증기관 또는 정부인증기관 등 인증기관에서는 이러한 서비스를 위하여 인증서폐지목록(Certificate Revocation List)을 주기적으로 생성하여 게시하거나, 실시간 인증서 상태확인 서비스(OCSP: Online Certificate Status Protocol)를 통해 인증서의 상태 확인을 수행해 준다.
인증서폐지목록이란, 유효기간이 남아 있는 전체 인증서 중에서 여러 가지 이유로 이용할 수 없는 인증서의 정보들을 리스트로 만들어 발급 인증기관의 전자서명키로 서명하여 게시하는 것으로 보통 1~2일 정도의 유효기간을 가지고 있으며 따라서 거의 비슷한 주기로 발급을 한 다음 특정 URL 또는 LDAP 등에 게시하도록 하고 있다.
그러나, 폐쇄망 등에서는 이러한 서비스를 받을 수 없으며, 따라서 디지털 인증서 기반의 각종 서비스를 원래의 목적한 바대로 수행할 수 없게 되는 것이다.
일반적으로 인증시스템이 인증서폐지목록을 운영하는 이유는 발급한 인증서 개수가 많으며 유효한 인증서가 유효하지 않은 인증서보다 많기 때문에 효율적이기 때문이다. 또한 인증서폐지목록에는 순수한 폐지 정보 뿐 아니라, 효력정지, 폐지 사유 등 다양한 정보가 들어가 있어 추가적인 활용이 가능하다. 그러나 폐쇄망에서는 이러한 인증서폐지목록을 이용하기에는 적절치 않다. 외부망으로부터 주기적으로 다운로드하여 내부망으로 전달하는 것도 쉽지 않을 뿐 아니라, 다양한 내부망 서비스를 위해 특정 위치에 게시하는 것도 인증서 내부의 인증서폐지목록 참조 값과 일치하지 않으므로 쉽지 않다. 또한 별도로 인증서폐지목록을 내부에서 생성하여 처리하는 것도 인증서 폐지목록 대상 전체를 알아야 하므로 불가능하다.
본 발명의 목적은 외부의 접속이 원활치 않은 환경 또는 폐쇄망 내에서 PKI 기반하에서 운용되는 디지털인증서의 유효성 확인을 할 때에 효과적으로 적용될 수 있는 시스템 및 방법을 제공하고자 하는 것이다. 본 발명의 다른 목적은, 그 유효성 확인이 가능하도록 인증서유효목록(CAL) 기반 시스템 및 운영방법을 제공하고자 하는 것이다.
본 발명의 시스템은: PKI 기반의 발급된 디지털인증서 중 상기 망 내에서 운용될 수 있는 인증서유효목록(CAL)을 생성할 수 있는 인증서 정보를 등록하고 등록된 목록을 관리하는 인증서유효목록 관리시스템(ACM)과; 망 내에서 인증서유효목록이 운용될 수 있도록 주기적으로 인증서유효목록을 발급하고 게시하는 인증서유효목록 발급시스템(ACI)과; 상기 인증서유효목록 발급시스템(ACI)에 직접 또는 인증서유효목록 발급시스템이 게시해 놓은 특정 위치에 접속하여 인증서의 상태를 확인하는 이용자 에이전트(UAG)를 포함한다.
바람직하게, 상기 시스템에서 인증서유효목록 발급시스템(ACI)은 인증서유효목록을 전자서명하여 발급하는 것이 적절하므로, 이용자 에이전트(UAG)는 인증서유효목록 발급시스템의 인증서 정보에 대해 미리 인지하고 있도록 하는 방법을 제공한다.
본 발명에 따르면, 정상적인 인증서 검증서비스를 받을 수 없는 환경에서도 신뢰할 수 있는 디지털 인증서에 대한 정보를 획득할 수 있다. 따라서 디지털 인증서 기반의 네트워크 보안, 로그인 등을 비롯한 각종 PKI 기반 서비스를 제공함에 있어 안전성과 신뢰성이 보장된다.
위에 기재된 또는 기재되지 않은 본 발명의 특징과 효과들은, 이하에서 도면을 참조하여 설명하는 실시 예 기재를 통하여 더욱 명백해질 것이다. 도 1은 본 발명에 따른 인증서유효목록 기반 검증 시스템의 구성도이고, 도 2는 도 1 시스템의 등록 및 게시 운영 흐름도이고, 도 3은 도 1 시스템의 인증서유효목록 정보 획득 및 이용 흐름도이다.
도 1을 참조하면, 본 발명의 시스템은 인증서유효목록 관리시스템(ACM)(10), 인증서유효목록 발급시스템(ACI)(20) 및 이용자 에이전트(UAG)(40)으로 구성된다. 본 시스템의 사용자는 이미 PKI 기반의 인증체계에서 발급받은 인증서를 소유한 자이다. 또한, 본 발명의 시스템을 이용하는 응용서비스(41)와 응용서비스가 검증하고 자하는 검증 대상(30)과 검증 대상의 인증서(31) 등이 있다.
도 2를 참조하면, 상기 ACM(10)을 통해 관리자는 관리 대상 인증서들(11)을 ACI에 등록한다. 이때 등록하는 것은 인증서 자체를 등록할 수도 있고, 인증서정보 일 수도 있다. 여기서 인증서 정보란 유효인증서목록 생성에 필요한 인증서 구별 정보들로서, 인증서의 발급자 정보와 인증서의 시리얼번호 등이 대상이 될 수 있다. 또는 인증서 구별 정보로는 인증서 자체 또는 인증서 내부 공개키를 해쉬함수를 이용하여 산출한 해쉬값일 수도 있다. 또한, ACM은 ACI와 독립된 별도의 시스템이거나 또는 ACI의 일부로서 등록 기능을 수행하는 모듈일 수 있다.
또한, 관리자는 ACM(10)을 통해 필요에 따라 새로운 인증서 또는 인증서 구별 정보를 등록할 수 있으며 또는 기 등록된 인증서 또는 인증서 구별 정보를 인증서유효목록 생성의 대상에서 제외할 수 있다.
상기 ACI(20)는 전달받은 인증서 또는 인증서 구별 정보를 데이터베이스 등을 통해 관리한다. 인증서가 전달되었을 경우에는 인증서로부터 인증서 구별 정보를 획득해 놓는다. 발급 주기가 되면 ACI는 인증서유효목록 발급 대상이 되는 모든 인증서 구별 정보를 모아 인증서유효목록(22)으로 발급하고 특정 위치에 게시한다. 여기서 특정 위치란 이용자 에이전트(UAG)가 접근 가능하고 미리 알고 있는 위치를 말하여 웹서비스, FTP 서비스 또는 LDAP 등의 다양한 방법을 이용할 수 있다. 또는 ACI에 직접 접속하여 획득할 수도 있다.
도 3을 참조하면, 상기 이용자 에이전트(UAG)는 응용 서비스(41)로부터 전달 받은 인증서 검증 대상(30)의 디지털 인증서(31)가 유효한지를 상기 ACI(20)이 게시해 놓은 인증서유효목록(22)을 통해 확인한다. 응용 서비스(41)는 UAG의 인증서 검증을 통해 유효 여부를 확인한 후 서비스 제공 여부를 판단하게 된다. 이때 이용자 에이전트(UAG) 입장에서는 인증서유효목록(CAL)의 전자서명 자체의 유효성을 확 인할 수 없는 문제가 발생하게 된다. 이러한 문제는 이용자 에이전트(UAG)가 인증서유효목록 발급시스템(ACI)의 인증서 또는 인증서 정보를 기 획득해 놓음으로써 해결이 된다. 즉, UAG가 가지고 있는 신뢰할 수 있는 인증서유효목록 발급시스템(ACI)의 인증서로 전자서명된 인증서유효목록(CAL)을 신뢰할 수 있게 된다.
상기 인증서유효목록(CAL)(22)의 구성은 유효기간, 다음 발급 일시, 발급 대상이 되는 인증서 구별정보 목록 등으로 이루어질 수 있으며, 발급자인 상기 인증서유효목록 발급시스템(ACI)(20)의 전자서명을 추가함으로써 구성된다. 추가적으로 인증서유효목록에 대한 설명과, 발급 시리얼번호, 정책 정보 등이 포함될 수 있다.
도 1은 본 발명에 따른 인증서유효목록 기반 검증 시스템의 구성도.
도 2는 도 1 시스템의 등록 및 게시 운영 흐름도.
도 3은 도 1 시스템의 인증서유효목록 정보 획득 및 이용 흐름도.
<도면의 주요부분에 대한 부호의 설명>
10. 인증서유효목록 관리시스템(ACM)
11. 관리 대상 인증서들
20. 인증서유효목록 발급시스템(ACI)
21. 데이터베이스
22. 인증서유효목록(CAL)
30. 검증 대상
31. 검증 대상의 인증서
40. 이용자 에이전트(UAG)
41. 응용 서비스

Claims (7)

  1. PKI 기반의 발급된 디지털인증서 중 운용될 수 있는 인증서유효목록(CAL)을 생성할 수 있는 인증서 정보를 등록하고 등록된 목록을 관리하는 인증서유효목록 관리시스템(ACM)과;
    인증서유효목록(CAL)을 발급하고 게시하는 인증서유효목록 발급시스템(ACI)과;
    상기 인증서유효목록(CAL)을 획득하여 인증서의 상태를 확인하는 이용자 에이전트(UAG);
    를 포함하는 것을 특징으로 하는 인증서유효목록 기반 검증 시스템.
  2. 제1항에 있어서,
    인증서유효목록(CAL)의 구성은 유효기간, 다음 발급 일시, 발급 대상이 되는 인증서 구별정보 목록 등으로 이루어질 수 있으며, 발급자인 상기 인증서유효목록 발급시스템(ACI)의 전자서명을 추가함으로써 구성되는 것을 특징으로 하는 인증서유효목록 기반 검증 시스템.
  3. 제1항 또는 제2항에 있어서,
    상기 인증서유효목록 발급시스템(ACI)이 주기적으로 인증서유효목록(CAL)의 유효기간 내에 새로운 유효기간과 다음 발급 일시를 가지는 인증서유효목록(CAL)을 발급하는 것을 특징으로 하는 인증서유효목록 기반 검증 시스템.
  4. 제1항에 있어서,
    상기 인증서유효목록 관리시스템(ACM)은 별도의 시스템으로 존재하거나 또는 인증서유효목록 발급시스템(ACI)의 한 모듈로서 인증서에 대한 등록 및 관리 기능을 수행할 수 있는 것을 특징으로 하는 인증서유효목록 기반 검증 시스템.
  5. 제2항에 있어서,
    상기 인증서유효목록(CAL)의 구성 중 인증서 구별정보는: 인증서 발급자 정보와 인증서의 일련번호; 또는 인증서 자체의 해쉬 산출 값; 또는 인증서 내의 공개키 정보에 대한 해쉬 산출 값; 중 하나 이상의 정보를 포함하는 것을 특징으로 하는 인증서유효목록 기반 검증 시스템.
  6. 제1항에 있어서,
    상기 이용자 에이전트(UAG)는 인증서유효목록 발급시스템(ACI)의 디지털인증서 자체; 또는 인증서의 해쉬 산출 값; 또는 인증서 공개키 정보의 해쉬 산출 값; 중 하나 이상의 정보를 기 획득하여 인증서유효목록 발급시스템(ACI)의 인증서가 일치할 경우 별도의 유효성 검증 없이 전자서명된 인증서유효목록(CAL)에 대해 전자서명 검증만으로 신뢰할 수 있는 것을 특징으로 하는 인증서유효목록 기반 검증 시스템.
  7. 인증서유효목록 정보를 통해 인증서를 검증하기 위해 대상이 되는 디지털인증서의 정보를 인증서유효목록 관리시스템(ACM)을 통해 등록하고, 인증서유효목록 발급시스템(ACI)는 등록된 인증서 유효목록 발급 대상 정보를 취합하여 주기적으로 인증서유효목록정보를 생성하여 인증서유효목록 발급시스템(ACI)이 직접 게시하거나 또는 특정 위치 게시하는 제1단계;
    상대방의 인증서를 확인해야 하는 응용 서비스에서 검증 대상의 인증서를 획득하여 이용자 에이전트(UAG)에 전달하여 유효 여부를 확인하는 제2단계;
    인증서를 전달 받은 이용자 에이전트(UAG)가 인증서유효목록 발급시스템(ACI)에 직접 접속 또는 이미 알려진 특정 게시 위치에 접속하여 인증서유효목록(CAL)을 획득한 후 인증서유효목록(CAL)의 전자서명 검증을 수행한 후 상기 제2단계로부터 전달 받은 인증서 정보가 인증서유효목록(CAL)에 포함되었는지를 확인한 후 포함되었을 경우에만 유효 여부를 판단해 주는 제3단계;
    이용자 에이전트(UAG)를 통해 검증 대상 인증서의 유효 여부를 확인한 후 서비스 제공 여부를 확인한 후 서비스를 수행하는 제4단계;
    를 포함하는 것을 특징으로 하는 인증서유효목록 기반 검증 시스템의 운영 방법
KR1020080123520A 2008-12-05 2008-12-05 인증서유효목록 기반 검증 시스템 및 그 운영 방법 KR20100064872A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080123520A KR20100064872A (ko) 2008-12-05 2008-12-05 인증서유효목록 기반 검증 시스템 및 그 운영 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080123520A KR20100064872A (ko) 2008-12-05 2008-12-05 인증서유효목록 기반 검증 시스템 및 그 운영 방법

Publications (1)

Publication Number Publication Date
KR20100064872A true KR20100064872A (ko) 2010-06-15

Family

ID=42364414

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080123520A KR20100064872A (ko) 2008-12-05 2008-12-05 인증서유효목록 기반 검증 시스템 및 그 운영 방법

Country Status (1)

Country Link
KR (1) KR20100064872A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220112013A (ko) * 2021-02-03 2022-08-10 이니텍(주) 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220112013A (ko) * 2021-02-03 2022-08-10 이니텍(주) 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법

Similar Documents

Publication Publication Date Title
CA3015695C (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US9853818B2 (en) Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer
CN103080958B (zh) 用于在分发电子文档的系统中产生/发行分发证书的方法
RU2434340C2 (ru) Инфраструктура верификации биометрических учетных данных
EP2232761B1 (en) Binding a digital certificate to multiple trust domains
CN108476139B (zh) 匿名通信系统及用于向该通信系统加入的方法
AU2007286004B2 (en) Compliance assessment reporting service
US20040128504A1 (en) Method for producing certificate revocation lists
US20040210597A1 (en) Method, system and computer program product for facilitating digital certificate state change notification
JP2023503607A (ja) 自動デジタル証明書検証のための方法およびデバイス
JP2006340178A (ja) 属性証明書検証方法及び装置
Ahmed et al. Turning trust around: smart contract-assisted public key infrastructure
CN111989892A (zh) 认证系统及认证程序
KR101407945B1 (ko) 부분 연결성을 제공하는 익명 인증 서비스 방법
CN103701612A (zh) 一种标识私钥获取与发放方法
KR100760028B1 (ko) 전자서명 인증서의 장기검증방법 및 시스템
CN104518880A (zh) 一种基于随机抽样检测的大数据可信性验证方法及系统
KR20100064872A (ko) 인증서유효목록 기반 검증 시스템 및 그 운영 방법
JP7222436B2 (ja) 保証制御方法、情報処理装置および保証制御プログラム
CN114329610A (zh) 区块链隐私身份保护方法、装置、存储介质及系统
Wang et al. Domain based certification and revocation
Gandhi et al. Certificate policy and certification practice statement for root CA Indonesia
CN110955917B (zh) 一种对涉及多个参与方的电子凭据进行验证的方法及系统
JP2006139693A (ja) 匿名証明発行システム及びその方法
Nóbrega Gonçalves et al. Verifiable Contracting: A Use Case for Onboarding and Contract Offering in Financial Services with eIDAS and Verifiable Credentials

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application