KR20170057549A - 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법 - Google Patents

해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법 Download PDF

Info

Publication number
KR20170057549A
KR20170057549A KR1020150160810A KR20150160810A KR20170057549A KR 20170057549 A KR20170057549 A KR 20170057549A KR 1020150160810 A KR1020150160810 A KR 1020150160810A KR 20150160810 A KR20150160810 A KR 20150160810A KR 20170057549 A KR20170057549 A KR 20170057549A
Authority
KR
South Korea
Prior art keywords
digital signature
signature service
service providing
server
providing server
Prior art date
Application number
KR1020150160810A
Other languages
English (en)
Other versions
KR101977109B1 (ko
Inventor
류호일
최지성
이동욱
Original Assignee
주식회사 마크애니
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 마크애니 filed Critical 주식회사 마크애니
Priority to KR1020150160810A priority Critical patent/KR101977109B1/ko
Priority to US15/054,976 priority patent/US10091004B2/en
Publication of KR20170057549A publication Critical patent/KR20170057549A/ko
Application granted granted Critical
Publication of KR101977109B1 publication Critical patent/KR101977109B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • H04L9/3255Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures using group based signatures, e.g. ring or threshold signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)

Abstract

본 발명은 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법에 관한 것으로, 전자서명 생성을 필요로 하는 주체가 전자서명을 직접 전자서명을 생성하지 않고 간단하고 안전한 방식으로 알려진 해시함수(Hash Function) 및 해시트리(Hash Tree)를 이용하여 다수의 서버(Server) 기반의 전자서명 기반 구조에서 여러 개의 전자문서나 디지털 데이터에 대해 대규모로 동시에 무결성(Integrity)의 전자서명 생성을 안정적으로 수행할 수 있는 효과가 있다.

Description

해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법{LARGE SIMULTANEOUS DIGITAL SIGNATURE SERVICE SYSTEM BASED ON HASH FUNCTION AND METHOD THEREOF}
본 발명은 해시함수(Hash Function) 기반의 전자서명 서비스에 있어서 다수의 서버를 이용하여 대규모 디지털 데이터에 대한 대규모 동시 전자서명(Digital Signature)을 안정적으로 수행할 수 있도록 한 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법에 관한 것이다.
일반적으로, 한글, 워드, PDF 포맷 등의 전자문서(Electronic filing document)는 컴퓨터 등으로 작성되며 디지털 정보로 이루어진 문서를 말한다. 상기 전자문서는 종이로 이루어진 종래의 문서와 달리 데이터 통신망, 인터넷망 등을 통해 빠른 시간 내에 전송될 수 있기 때문에 컴퓨터를 이용한 통신기술이 발달됨에 따라 그 이용이 급속도로 증가되고 있는 추세이다.
그러나, 상기 전자문서는 통신망을 통해 디지털 신호로 상대방에게 전송되기 때문에 문서의 보안이 취약한 단점을 갖는다. 그래서, 상기 전자문서의 신뢰도를 향상시키기 위한 하나의 방법으로 전자서명(Digital Signature)을 첨부시키는 방법이 이용된다.
이러한 전자서명은 전자문서나 디지털 데이터(또는 메시지)를 보낸 사람의 신원이 진정한 본인임을 증명하기 위하여 디지털 정보로 이루어진 인장(Seal), 사인(Signature) 또는 암호 형태의 서명을 말한다. 이것은 또한 전달된 전자문서나 디지털 데이터의 원래 내용이 변조되지 않았다는 것을 보증하기 위해 사용될 수 있다. 따라서, 사용자는 인장을 사용하여 문서에 직접 날인을 하거나 사인하는 대신 디지털 정보로 이루어진 전자서명을 전자문서나 디지털 데이터에 첨부시키게 된다.
즉, 상기 전자서명은 온라인 계약, 전자인감 등이 요구되는 전자거래에는 해당 전자문서나 디지털 데이터의 인증을 위하여 이용될 수 있으며, 최근 법률적 효력을 가지면서 전자거래의 신뢰성을 보장하는 수단으로 적극 이용되고 있다.
또한, 상기 전자서명은 전자문서에서나 웹(Web)상의 전자계약 또는 전자청약 등의 서비스에서 서명자에 의해 수행된다. 이러한 전자서명에는 전자서명을 인증하기 위한 공인인증서가 이용될 수 있다. 상기 공인인증서는 국가가 공인한 기관에서 발급하는 인증서로서 서명자를 확인하거나 또는 서명자의 전자서명이 진본임을 확인해준다.
이와 같이 전자서명을 사용함으로써 얻어질 수 있는 부가적인 이득은, 전자서명이 쉽게 전송될 수 있고, 쉽게 부인할 수 없으며, 다른 사람이 흉내낼 수 없고, 타임 스탬프(Time Stamp)가 자동으로 유지될 수 있다는 것이다. 상기 전자서명은 그것이 암호화되었든 아니든 상관없이, 어떠한 종류의 전자문서나 디지털 데이터에도 사용될 수 있으므로, 전자문서나 디지털 데이터가 변조되지 않고 온전히 도착했다는 사실과 송신자의 신원에 대해 수신 측에서 확신을 가질 수 있다.
한편, 종래의 전자서명 방법으로 사용자가 소정의 컴퓨터에 미리 전자서명을 저장해 놓고 필요시마다 저장된 전자서명을 전자문서에 첨부시키는 방법이 이용된다. 이때, 상기 전자서명으로는 예를 들어, 스캐닝 과정을 통해 디지털 정보로 변환된 사용자의 직인 또는 사인이 이용된다.
그러나, 이러한 종래의 전자서명 방법은 사용자의 직인 또는 사인을 스캐닝하여 컴퓨터에 저장하여야 하기 때문에 전자서명의 등록절차가 복잡하며, 특정한 형태의 통신망을 통해 제공되기 때문에 전자서명을 등록할 수 있는 사용자의 자격이 제한된다. 또한, 상기 전자문서의 수신인이 문서에 첨부된 서명의 진위 여부를 확인할 수 없기 때문에 문서에 대한 신뢰도가 낮은 단점이 있다.
더욱이, 근래에 들어 컴퓨터를 이용한 범죄 기술이 고도로 발달됨에 따라 전자문서의 전송 과정에서 통신망을 통한 전자문서 및/또는 전자서명의 변조 또는 위조가 이루어지는 경우 이를 확인할 수 없어 전자서명은 그 본래의 목적을 다하지 못하게 된다.
이러한 문제점을 해결하기 위하여 최근에는 공개키 암호화를 이용하여 설계된 공개키 기반 구조를 이용한 전자서명 방법이 이용되고 있다. 현재 정보통신기술발전 및 고속 인터넷 이용 확산에 따라 사회 여러 분야에서 정보 보호에 대한 수요가 증가하고 있으며, 이에 국내외의 정부 및 기업에서는 공개키 기반 구조를 이용한 암호 및 전자서명을 이용하여 전자서명 된 문서의 유통을 활성화하고 있다.
즉, 상기 공개키 기반 구조를 이용한 전자서명 방법은, 특정 문서를 전자적으로 작성하고, 상기 문서를 특수한 소프트웨어를 사용해서 해시(hash)된 메시지를 만든다. 그 다음에 상기 해시를 암호화하기 위해 공개-개인키 발급기관으로부터 이전에 받았던 개인키를 사용한다. 암호화된 해시는 그 메시지에 대한 전자서명이 되는 것이다.
그러나, 종래의 공개키 기반 구조를 이용한 전자서명 방법은, 공개키 기반을 이용하여 전자서명을 하기 위해서는 연산장치 자원을 많이 필요로 하므로 사물인터넷(Internet of Things, IoT) 환경에서 대규모 동시 전자서명을 위한 사물의 전자서명 생성에 부적합하다.
한편, 해시함수 기반의 전자서명 시스템은 사물인터넷(IoT) 환경에서 각 사물에서 전자서명의 생성을 가능하게 하는 기술로서, 사물의 제한된 연산장치 자원을 이용하여 전자서명을 하는 대신, 전자서명을 수행에 특화된 서버에 서명을 생성하기 위한 데이터를 중앙 집중적으로 모아 일괄적으로 수행하는 방식이다.
이때, 전자서명의 신뢰는 해시함수 기반의 전자서명 시스템에서는 공증값에 의한 신뢰를 기반으로 하기 때문에 복수로 존재 가능한 전자서명 시스템이 상호 연동하여 동일한 공증값을 생성하게 함으로서 공증값 및 서명에 대한 신뢰를 높일 수 있다.
또한, 전자서명의 효율성과 신뢰성을 높이기 위해 동일 공증값 생성을 어떻게 할 것인가에 대한 문제는 해시트리(Hash Tree)를 어떻게 분산처리하는 것이 더 효율적이고 안전한가에 대한 문제로 귀결된다. 해당 문제에 대해 종래의 방법에서는 하나의 거대한 해시트리를 부분 해시트리의 트리 계층적 구조로 표현하고, 각 부분 해시트리를 처리하는 서버를 개별적으로 할당함으로서 문제를 해결하였다. 이러한 종래의 해결방법은 연산 효율적인 측면에서 최적화되어 있는 방법이다.
그러나, 종래의 계층적 분산처리 방법에서는 상위 계층에 속하는 부분 해시트리의 연산을 담당하는 서버에서 실패가 발생하는 경우, 하위 연결 시스템 전체의 실패를 유발시키는 문제점을 가지고 있다.
국내특허등록 제10-0241349호
본 발명은 전술한 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은 전자서명 생성을 필요로 하는 주체가 전자서명을 직접 전자서명을 생성하지 않고 간단하고 안전한 방식으로 알려진 해시함수(Hash Function) 및 해시트리(Hash Tree)를 이용하여 다수의 서버(Server) 기반의 전자서명 기반 구조에서 여러 개의 전자문서나 디지털 데이터에 대해 대규모로 동시에 무결성(Integrity)의 전자서명 생성을 안정적으로 수행할 수 있도록 한 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법을 제공하는데 있다.
본 발명의 다른 목적은 해시기반의 전자서명 시스템에서 전자서명을 생성하기 위해 반드시 수행해야 하는 해시트리의 계산 과정을 더 안정적인 방법을 이용하여 분산처리할 수 있도록 한 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법을 제공하는데 있다.
전술한 목적을 달성하기 위하여 본 발명의 제1 측면은, 다수의 전자서명 대상단말; 각 전자서명 대상단말의 전자서명 생성 요청에 응답하여 해시트리의 해시체인에 대한 분산처리 기반으로 대규모 동시 전자서명 서비스를 제공하는 다수의 전자서명 서비스 제공서버; 각 전자서명 서비스 제공서버로부터 고유 인증정보를 제공받아 이를 바탕으로 전자서명 서비스 수행 권한에 따라 대규모 전자서명 생성에 대하여 병렬적인 분산처리를 수행할 수 있도록 기 설정된 계층적 구조의 해시트리를 구성하는 전자서명 서비스 구성서버; 및 각 전자서명 대상단말로부터 전자서명 서비스 접속 요청에 응답하여 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버로 접속될 수 있도록 중계하는 전자서명 서비스 중계서버를 포함하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템을 제공하는 것이다.
여기서, 상기 전자서명 서비스 구성서버를 통해 상기 전자서명 서비스 제공서버를 신규로 등록할 경우, 해당 신규 전자서명 서비스 제공서버는, 고유 인증정보를 이용하여 상기 전자서명 서비스 구성서버로 전자서명 서비스 연동 인증을 위한 고유 인증토큰 발급 요청메시지를 전송하고, 상기 전자서명 서비스 구성서버는, 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증정보를 제공받아 기 저장된 고유 인증정보와 비교하여 해당 신규 전자서명 서비스 제공서버가 전자서명 서비스 수행 권한이 있는 경우, 해당 고유 인증정보에 대한 고유 인증토큰을 생성 및 암호화함과 아울러 전자서명 서비스 연동정보를 생성 및 암호화하여 해당 신규 전자서명 서비스 제공서버로 전송하며, 해당 신규 전자서명 서비스 제공서버는, 상기 전자서명 서비스 구성서버로부터 암호화된 고유 인증토큰 및 전자서명 서비스 연동정보를 복호화하고, 복호화 된 전자서명 서비스 연동정보 내의 접속대상 전자서명 서비스 제공서버의 목록에 따라 고유 인증토큰을 이용하여 전자서명 서비스 연동 인증에 대한 승인 요청메시지를 전송하고, 해당 접속대상 전자서명 서비스 제공서버는, 상기 전자서명 서비스 구성서버와 연동하여 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증토큰을 복호화하고, 복호화 성공 시 전자서명 서비스 연동 인증승인 결과를 해당 신규 전자서명 서비스 제공서버로 전송함이 바람직하다.
바람직하게, 상기 전자서명 서비스 연동정보는, 접속대상 전자서명 서비스 제공서버의 목록, 처리를 담당할 부분 해시트리의 위치 및 서비스 권한 정보를 포함하고, 상기 전자서명 서비스 제공서버가 특정한 서버 관리자에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 서버 관리자의 아이디/패스워드(ID/PW), 생체특징정보, OTP(One Time Password) 및 PKI(Public Key Infrastructure) 기반의 개인키에 의해 생성된 인증정보 중 적어도 어느 하나의 서버 관리자 고유식별 정보를 포함하며, 상기 전자서명 서비스 제공서버가 특정한 서버 하드웨어에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함할 수 있다.
바람직하게, 각 전자서명 대상단말은, 상기 전자서명 서비스 중계서버로 전자서명 서비스 접속을 위한 요청메시지를 전송하고, 상기 전자서명 서비스 중계서버는, 각 전자서명 대상단말로부터 전자서명 서비스 접속을 위한 요청메시지를 제공받아 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버에 접속하기 위한 전자서명 서비스 제공서버의 접속정보를 생성하여 해당 전자서명 대상단말로 전송하며, 해당 전자서명 대상단말은, 상기 전자서명 서비스 중계서버로부터 전송된 전자서명 서비스 제공서버의 접속정보를 이용하여 해당 전자서명 서비스 제공서버에 접속할 수 있다.
바람직하게, 상기 전자서명 서비스 제공서버의 접속정보는, 전자서명 서비스 제공서버의 고유 IP 주소, 네트워크 프로토콜 종류 및 메시지 프로토콜 종류 중 적어도 어느 하나의 정보를 포함할 수 있다.
바람직하게, 각 전자서명 대상단말로부터 전송된 개체인증정보를 제공받아 기 저장된 개체인증정보와 비교하여 일치할 경우, 고유 인증토큰을 생성 및 암호화하여 해당 전자서명 대상단말로 전송하는 인증서버가 더 포함되되, 각 전자서명 서비스 제공서버는, 상기 인증서버와 연동하여 각 전자서명 대상단말로부터 전송된 고유 인증토큰을 복호화하고, 복호화 성공 시 인증승인 결과를 해당 전자서명 대상단말로 전송하고, 해당 전자서명 대상단말은, 기 설정된 해시함수에 의해 생성된 전자서명 대상데이터의 해시값과 함께 개체식별정보를 상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버로 전송하며, 상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버는, 해당 전자서명 대상단말로부터 전송된 전자서명 대상데이터의 해시값과 개체식별정보를 결합하여 신규 해시값을 생성하고, 상기 생성된 신규 해시값을 이용하여 상기 구성된 해시트리의 해시체인을 기반으로 고유 전자서명을 생성하고 이를 해당 전자서명 대상단말로 전송할 수 있다.
바람직하게, 각 전자서명 대상단말이 특정 사용자에 의해 전자서명을 요청하기 위한 사용자 단말로 이루어질 경우, 상기 개체인증정보는, 사용자의 회원 아이디/패스워드(ID/PW), 주민번호, 전화번호, 생체특징정보, OTP(One Time Password), PKI(Public Key Infrastructure) 및 공인 인증서 정보 중 적어도 어느 하나의 사용자 고유식별 정보를 포함하며, 각 전자서명 대상단말이 데이터 통신이 가능한 전자기기로 이루어질 경우, 상기 개체인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증 정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함할 수 있다.
바람직하게, 각 전자서명 서비스 제공서버는, 상기 생성된 신규 해시값을 메모리 큐(Queue)에 임시적으로 저장한 후, 상기 메모리 큐에 임시적으로 저장된 신규 해시값을 기 설정된 시간간격으로 리드(Read)하여 상기 해시트리의 구성에 사용되도록 하며, 상기 구성된 해시트리의 해시체인과 연계된 전자서명 서비스 제공서버와 연동하여 상기 구성된 해시트리의 루트값을 연산하고 이를 통해 고유 전자서명을 생성할 수 있다.
본 발명의 제2 측면은, 다수의 전자서명 대상단말, 다수의 전자서명 서비스 제공서버 및 전자서명 서비스 중계서버를 포함하는 시스템을 이용하여 해시함수 기반의 대규모 동시 전자서명을 서비스하는 방법으로서, (a) 상기 전자서명 서비스 구성서버를 통해 각 전자서명 서비스 제공서버로부터 고유 인증정보를 제공받아 이를 바탕으로 전자서명 서비스 수행 권한에 따라 대규모 전자서명 생성에 대하여 병렬적인 분산처리를 수행할 수 있도록 기 설정된 계층적 구조의 해시트리를 구성하는 단계; (b) 상기 전자서명 서비스 중계서버를 통해 각 전자서명 대상단말로부터 전자서명 서비스 접속 요청에 응답하여 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버로 접속될 수 있도록 중계하는 단계; 및 (c) 상기 단계(b)에서 선택된 전자서명 서비스 제공서버를 통해 각 전자서명 대상단말의 전자서명 생성 요청에 응답하여 상기 단계(a)에서 구성된 해시트리의 해시체인에 대한 분산처리 기반으로 대규모 동시 전자서명 서비스를 제공하는 단계를 포함하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법을 제공하는 것이다.
여기서, 상기 단계(a)에서, 상기 전자서명 서비스 구성서버를 통해 상기 전자서명 서비스 제공서버를 신규로 등록할 경우, 해당 신규 전자서명 서비스 제공서버를 통해 고유 인증정보를 이용하여 상기 전자서명 서비스 구성서버로 전자서명 서비스 연동 인증을 위한 고유 인증토큰 발급 요청메시지를 전송하는 단계와, 상기 전자서명 서비스 구성서버를 통해 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증정보를 제공받아 기 저장된 고유 인증정보와 비교하여 해당 신규 전자서명 서비스 제공서버가 전자서명 서비스 수행 권한이 있는 경우, 해당 고유 인증정보에 대한 고유 인증토큰을 생성 및 암호화함과 아울러 전자서명 서비스 연동정보를 생성 및 암호화하여 해당 신규 전자서명 서비스 제공서버로 전송하는 단계와, 해당 신규 전자서명 서비스 제공서버를 통해 상기 전자서명 서비스 구성서버로부터 암호화된 고유 인증토큰 및 전자서명 서비스 연동정보를 복호화한 후, 복호화 된 전자서명 서비스 연동정보 내의 접속대상 전자서명 서비스 제공서버의 목록에 따라 고유 인증토큰을 이용하여 전자서명 서비스 연동 인증에 대한 승인 요청메시지를 전송하는 단계와, 해당 접속대상 전자서명 서비스 제공서버를 통해 상기 전자서명 서비스 구성서버와 연동하여 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증토큰을 복호화한 후, 복호화 성공 시 전자서명 서비스 연동 인증승인 결과를 해당 신규 전자서명 서비스 제공서버로 전송하는 단계를 포함함이 바람직하다.
바람직하게, 상기 전자서명 서비스 연동정보는, 접속대상 전자서명 서비스 제공서버의 목록, 처리를 담당할 부분 해시트리의 위치 및 서비스 권한 정보를 포함하고, 상기 전자서명 서비스 제공서버가 특정한 서버 관리자에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 서버 관리자의 아이디/패스워드(ID/PW), 생체특징정보, OTP(One Time Password) 및 PKI(Public Key Infrastructure) 기반의 개인키에 의해 생성된 인증정보 중 적어도 어느 하나의 서버 관리자 고유식별 정보를 포함하며, 상기 전자서명 서비스 제공서버가 특정한 서버 하드웨어에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함할 수 있다.
바람직하게, 상기 단계(b)는, (b-1) 각 전자서명 대상단말을 통해 상기 전자서명 서비스 중계서버로 전자서명 서비스 접속을 위한 요청메시지를 전송하는 단계; 및 (b-2) 상기 전자서명 서비스 중계서버를 통해 상기 단계(b-1)에서 전송된 전자서명 서비스 접속을 위한 요청메시지를 제공받아 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버에 접속하기 위한 전자서명 서비스 제공서버의 접속정보를 생성하여 해당 전자서명 대상단말로 전송하는 단계를 포함하되, 해당 전자서명 대상단말을 통해 상기 단계(b-2)에서 전송된 전자서명 서비스 제공서버의 접속정보를 이용하여 해당 전자서명 서비스 제공서버에 접속할 수 있다.
바람직하게, 상기 단계(b-2)에서, 상기 전자서명 서비스 제공서버의 접속정보는, 전자서명 서비스 제공서버의 고유 IP 주소, 네트워크 프로토콜 종류 및 메시지 프로토콜 종류 중 적어도 어느 하나의 정보를 포함할 수 있다.
바람직하게, 상기 단계(c)는, (c-1) 각 전자서명 대상단말을 통해 별도의 인증서버로 개체인증정보를 전송하여 개체인증 승인을 요청하는 단계; (c-2) 상기 인증서버를 통해 상기 단계(c-1)에서 전송된 개체인증정보와 기 저장된 개체인증정보를 비교하여 일치할 경우, 고유 인증토큰을 생성 및 암호화하여 해당 전자서명 대상단말로 전송하는 단계; (c-3) 각 전자서명 대상단말을 통해 상기 단계(c-2)에서 전송된 고유 인증토큰을 상기 전자서명 서비스 제공서버로 전송하여 개체인증 승인을 요청하는 단계; (c-4) 상기 전자서명 서비스 제공서버를 통해 상기 인증서버와 연동하여 상기 단계(c-3)에서 전송된 고유 인증토큰을 복호화하고, 복호화 성공 시 인증승인 결과를 해당 전자서명 대상단말로 전송하는 단계; (c-5) 해당 전자서명 대상단말을 통해 기 설정된 해시함수에 의해 생성된 전자서명 대상데이터의 해시값과 함께 개체식별정보를 상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버로 전송하여 전자서명을 요청하는 단계; 및 (c-6) 상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버를 통해 상기 단계(c-5)에서 전송된 전자서명 대상데이터의 해시값과 개체식별정보를 결합하여 신규 해시값을 생성한 후, 상기 생성된 신규 해시값을 이용하여 상기 구성된 해시트리의 해시체인을 기반으로 고유 전자서명을 생성하고 이를 해당 전자서명 대상단말로 전송하는 단계를 포함할 수 있다.
바람직하게, 각 전자서명 대상단말이 특정 사용자에 의해 전자서명을 요청하기 위한 사용자 단말로 이루어질 경우, 상기 개체인증정보는, 사용자의 회원 아이디/패스워드(ID/PW), 주민번호, 전화번호, 생체특징정보, OTP(One Time Password), PKI(Public Key Infrastructure) 및 공인 인증서 정보 중 적어도 어느 하나의 사용자 고유식별 정보를 포함하며, 각 전자서명 대상단말이 데이터 통신이 가능한 전자기기로 이루어질 경우, 상기 개체인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증 정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함할 수 있다.
바람직하게, 상기 단계(c-6)에서, 각 전자서명 서비스 제공서버는, 상기 생성된 신규 해시값을 메모리 큐(Queue)에 임시적으로 저장한 후, 상기 메모리 큐에 임시적으로 저장된 신규 해시값을 기 설정된 시간간격으로 리드(Read)하여 상기 해시트리의 구성에 사용되도록 하며, 상기 구성된 해시트리의 해시체인과 연계된 전자서명 서비스 제공서버와 연동하여 상기 구성된 해시트리의 루트값을 연산하고 이를 통해 고유 전자서명을 생성할 수 있다.
본 발명의 제3 측면은, 상술한 해시함수 기반의 대규모 동시 전자서명 서비스 방법을 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법은 컴퓨터로 판독할 수 있는 기록매체에 컴퓨터로 판독할 수 있는 코드로 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체에는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
예컨대, 컴퓨터가 읽을 수 있는 기록매체로는 롬(ROM), 램(RAM), 시디-롬(CD-ROM), 자기 테이프, 하드디스크, 플로피 디스크, 이동식 저장장치, 비휘발성 메모리(Flash Memory), 광 데이터 저장장치 등이 있다.
이상에서 설명한 바와 같은 본 발명의 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법에 따르면, 전자서명 생성을 필요로 하는 주체가 전자서명을 직접 전자서명을 생성하지 않고 간단하고 안전한 방식으로 알려진 해시함수(Hash Function) 및 해시트리(Hash Tree)를 이용하여 다수의 서버(Server) 기반의 전자서명 기반 구조에서 여러 개의 전자문서나 디지털 데이터에 대해 대규모로 동시에 무결성(Integrity)의 전자서명 생성을 안정적으로 수행할 수 있는 이점이 있다.
또한, 본 발명에 따르면, 전자서명의 생성 규모를 더욱 크게 증가시킬 수 있으며, 전자서명 서비스를 제공하는 서버의 실패 문제에 대해 더 안정적인 서비스를 제공할 수 있는 이점이 있다.
도 1은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 시스템을 설명하기 위한 전체적인 블록 구성도이다.
도 2는 본 발명의 일 실시예에 적용된 해시트리의 분산처리 과정을 설명하기 위한 개념도이다.
도 3은 본 발명의 일 실시예에 적용된 해시트리의 분산처리 과정 중 전자서명 서비스 제공서버에서 처리하는 과정을 설명하기 위한 개념도이다.
도 4는 본 발명의 일 실시예에 적용된 해시트리 분산처리 과정 중 다수의 전자서명 서비스 제공서버가 동기화하는 과정을 설명하기 위한 개념도이다.
도 5는 본 발명의 일 실시예에 적용된 해시트리 분산처리 방법 중 동기화 대상 전자서명 서비스 제공서버의 선택 방법을 설명하기 위한 개념도이다.
도 6은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법을 설명하기 위한 전체적인 흐름도이다.
도 7은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 신규 전자서명 서비스 제공서버의 등록 과정을 설명하기 위한 동작흐름도이다.
도 8은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 전자서명 대상단말의 중계 과정을 설명하기 위한 동작흐름도이다.
도 9는 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 개체인증 과정을 설명하기 위한 동작흐름도이다.
도 10은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 전자서명 서비스 제공서버간의 동기화 과정을 설명하기 위한 동작흐름도이다.
전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다.
제1, 제2 등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.
이하, 첨부 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다. 그러나, 다음에 예시하는 본 발명의 실시예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시예에 한정되는 것은 아니다. 본 발명의 실시예는 당업계에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공되어지는 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 시스템을 설명하기 위한 전체적인 블록 구성도이고, 도 2는 본 발명의 일 실시예에 적용된 해시트리의 분산처리 과정을 설명하기 위한 개념도이며, 도 3은 본 발명의 일 실시예에 적용된 해시트리의 분산처리 과정 중 전자서명 서비스 제공서버에서 처리하는 과정을 설명하기 위한 개념도이며, 도 4는 본 발명의 일 실시예에 적용된 해시트리 분산처리 과정 중 다수의 전자서명 서비스 제공서버가 동기화하는 과정을 설명하기 위한 개념도이며, 도 5는 본 발명의 일 실시예에 적용된 해시트리 분산처리 방법 중 동기화 대상 전자서명 서비스 제공서버의 선택 방법을 설명하기 위한 개념도이다.
도 1 내지 도 5를 참조하면, 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 시스템은, 크게 다수의 전자서명 대상단말(100-1 내지 100-N), 다수의 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 구성서버(300) 및 전자서명 서비스 중계서버(400) 등을 포함하여 이루어진다. 또한, 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 시스템은 인증서버(500) 등을 더 포함할 수 있다.
여기서, 각 전자서명 대상단말(100-1 내지 100-N)은 통신망(10)을 통해 각 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 구성서버(300), 전자서명 서비스 중계서버(400) 및 인증서버(500)와 서로 연결되어 있으며, 이때 통신망(10)은 대용량, 장거리 음성 및 데이터 서비스가 가능한 대형 통신망의 고속 기간 망인 통신망이며, 인터넷(Internet) 또는 고속의 멀티미디어 서비스를 제공하기 위한 와이파이(WiFi), 와이브로(Wibro), 와이맥스(Wimax) 등을 포함하는 차세대 무선망일 수 있다.
상기 인터넷은 TCP/IP 프로토콜 및 그 상위계층에 존재하는 여러 서비스, 즉 HTTP(Hyper Text Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol), SNMP(Simple Network Management Protocol), NFS(Network File Service), NIS(Network Information Service) 등을 제공하는 전 세계적인 개방형 컴퓨터 네트워크 구조를 의미하며, 각 전자서명 대상단말(100-1 내지 100-N)이 각 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 구성서버(300), 전자서명 서비스 중계서버(400) 및 인증서버(500)에 접속될 수 있게 하는 환경을 제공한다. 한편, 상기 인터넷은 유선 또는 무선 인터넷일 수도 있고, 이외에도 유선 공중망, 무선 이동 통신망, 또는 휴대 인터넷 등과 통합된 코어망 일 수도 있다.
만약, 통신망(10)이 이동 통신망일 경우 동기식 이동 통신망일 수도 있고, 비동기식 이동 통신망일 수도 있다. 상기 비동기식 이동 통신망의 실시 예로서, WCDMA(Wideband Code Division Multiple Access) 방식의 통신망을 들 수 있다. 이 경우 도면에 도시되진 않았지만, 상기 이동 통신망은 예컨대, RNC(Radio Network Controller) 등을 포함할 수 있다. 한편, 상기 WCDMA망을 일 예로 들었지만, 3G LTE망, 4G망, 5G망 등 차세대 통신망, 그 밖의 IP를 기반으로 한 IP 망일 수 있다. 이러한 통신망(10)은 각 전자서명 대상단말(100-1 내지 100-N)과 각 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 구성서버(300), 전자서명 서비스 중계서버(400) 및 인증서버(500) 상호 간의 신호 및 데이터를 상호 전달하는 역할을 수행한다.
또한, 각 전자서명 대상단말(100-1 내지 100-N)은 전자서명 서비스 중계서버(400)로 전자서명 서비스 접속을 위한 요청메시지를 전송하고, 전자서명 서비스 중계서버(400)로부터 전송된 전자서명 서비스 제공서버의 접속정보를 이용하여 해당 전자서명 서비스 제공서버(200-1 내지 200-N)에 접속하는 기능을 수행한다.
또한, 각 전자서명 대상단말(100-1 내지 100-N)은 개체인증을 위하여 인증서버(500)로 고유한 개체인증정보를 전송하여 개체인증 승인을 요청하고, 상기 요청된 개체인증이 성공적으로 승인될 경우 인증서버(500)로부터 암호화된 고유 인증토큰을 제공받는 기능을 수행한다.
또한, 각 전자서명 대상단말(100-1 내지 100-N)은 인증서버(500)로부터 암호화된 고유 인증토큰을 제공받아 이를 이용하여 전자서명 서비스 제공서버(200-1 내지 200-N)로 개체인증 승인을 재요청하고, 상기 재요청된 개체인증이 성공적으로 승인될 경우 전자서명 서비스 제공서버(200-1 내지 200-N)로부터 개체인증 승인 결과를 제공받는 기능을 수행한다.
또한, 각 전자서명 대상단말(100-1 내지 100-N)은 전자서명 서비스 제공서버(200-1 내지 200-N)로부터 개체인증 승인 결과를 제공받을 경우, 기 설정된 해시함수(Hash Function)를 이용하여 전자서명을 받고자 하는 디지털 데이터(이하, '전자서명 대상데이터'라 칭함)의 해시값을 생성하고, 상기 생성된 전자서명 대상데이터의 해시값과 함께 고유 개체식별정보를 전자서명 서비스 제공서버(200-1 내지 200-N)로 전송하여 전자서명을 요청하는 기능을 수행한다.
이때, 상기 해시함수는 임의의 길이의 이진 문자열을 고정된 길이의 이진 문자열로 매핑(Mapping)하여 주는 함수(Function)로서, 데이터를 자르고, 치환하거나 위치를 바꾸는 방법들로 결과를 만들어 내며, 이 결과를 해시값(Hash Value)이라 한다. 이러한 상기 해시함수는 데이터의 무결성, 인증, 부인 방지들에서 응용되는 중요한 함수 가운데 하나이다.
한편, 상기 고유 개체식별정보는 전자서명을 받고자 하는 개체를 식별할 수 있는 정보로서, 서명부가정보 등과 같이 보안적으로 민감하지 않은 정보로 이루어짐이 바람직하다. 예컨대, 전자서명을 받고자 하는 개체가 전자기기일 경우 이전의 인증과정에서 생성된 임시인증정보(예컨대, 세션키 등) 등을 포함할 수 있다.
또한, 각 전자서명 대상단말(100-1 내지 100-N)은 전자서명 서비스 제공서버(200-1 내지 200-N)로부터 생성된 고유 전자서명을 제공받아 별도의 저장수단(미도시)에 전자서명 대상데이터별로 대응되도록 데이터베이스(DB)화하여 저장 및 관리하는 기능을 수행한다.
이러한 각 전자서명 대상단말(100-1 내지 100-N)은 크게 두 가지 즉, 특정 사용자에 의해 작성된 전자문서나 디지털 데이터(또는 메시지)의 전자서명을 요청하기 위한 사용자 단말과 데이터 통신이 가능한 전자기기로 구현될 수 있다.
여기서, 상기 사용자 단말은 예컨대, 데스크탑 PC(Personal Computer), 노트북 PC 등 컴퓨터인 것이 일반적이지만, 이에 한정되는 것은 아니며, 모든 종류의 유무선 통신 장치일 수 있다.
예를 들어, 상기 사용자 단말은 무선 인터넷 또는 휴대 인터넷을 통하여 통신하는 다양한 이동 단말을 포함하고, 이외에도 팜(Palm) PC, 스마트폰(Smart phone), 모바일 게임기(Mobile play-station), 통신 기능이 있는 DMB(Digital Multimedia Broadcasting)폰, 태블릿 PC, 아이패드(iPad) 등 각 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 구성서버(300), 전자서명 서비스 중계서버(400) 및 인증서버(500)에 접속하기 위한 사용자 인터페이스를 갖는 모든 유무선 가전/통신 장치를 포괄적으로 의미할 수 있다.
특히, 상기 사용자 단말이 통상의 스마트폰으로 구현될 경우, 상기 스마트폰은 일반 핸드폰(일명 피처폰(feature phone))과는 달리 사용자가 원하는 다양한 애플리케이션(Application) 프로그램을 다운로드받아 자유롭게 사용하고 삭제가 가능한 오픈 운영체제를 기반으로 한 폰(Phone)으로서, 일반적으로 사용되는 음성/영상통화, 인터넷 데이터통신 등의 기능뿐만 아니라, 모바일 오피스 기능을 갖춘 모든 모바일 폰 또는 음성통화 기능이 없으나 인터넷 접속 가능한 모든 인터넷폰 또는 테블릿(Tablet) PC를 포함하는 통신기기로 이해함이 바람직하다.
이러한 상기 스마트폰은 다양한 개방형 운영체계를 탑재한 스마트폰으로 구현될 수 있으며, 상기 개방형 운영체계로는 예컨대, 노키아(NOKIA)사의 심비안, 림스(RIMS)사의 블랙베리, 애플(Apple)사의 아이폰, 마이크로소프트사(MS)의 윈도즈 모바일, 구글(Google)사의 안드로이드, 삼성전자의 바다 등으로 이루어질 수 있다.
이와 같이 상기 스마트폰은 개방형 운영체계를 사용하므로 폐쇄적인 운영체계를 가진 휴대폰과 달리 사용자가 임의로 다양한 애플리케이션 프로그램을 설치하고 관리할 수 있다.
즉, 상기 스마트폰은 기본적으로 제어부, 메모리부, 화면출력부, 키입력부, 사운드 출력부, 사운드 입력부, 카메라부, 무선망 통신모듈, 근거리 무선 통신모듈 및 전원 공급을 위한 배터리 등을 구비한다.
한편, 데이터 통신이 가능한 전자기기는, 전자서명을 받고자 하는 디지털 데이터를 출력하는 모든 종류의 유무선 데이터 통신이 가능한 전자 장치일 수 있다. 예를 들면, 사물인터넷(Internet of Things, IoT) 환경에서 대규모 동시 전자서명을 위한 사물(예컨대, 감시용 CCTV 카메라, 스마트폰, PC, 자동차, 냉장고, 세탁기, 시계 등)로 이루어질 수 있다.
만약, 각 전자서명 대상단말(100-1 내지 100-N)이 특정 사용자에 의해 전자서명을 요청하기 위한 사용자 단말로 이루어질 경우, 상기 개체인증정보는 예컨대, 사용자의 회원 아이디/패스워드(ID/PW), 주민번호, 전화번호, 생체특징정보, OTP(One Time Password), PKI(Public Key Infrastructure) 및 공인 인증서 정보 중 적어도 어느 하나의 사용자 고유식별 정보를 포함함이 바람직하지만, 이에 국한하지 않으며, 특정 사용자를 구별할 수 있는 모든 사용자의 고유식별 정보들을 포함할 수 있다.
이때, 상기 생체특징정보는 위변조가 불가능한 요소로 예를 들어, 지문, 홍채, 얼굴, 혈관, 성문, 서명, 음성, 망막, 손금 등이 가능하다. 상기 지문 또는 홍채 하나만을 등록할 수도 있으며 필요에 따라서는 여러 종류를 모두 등록하여 생체 정보로서 활용할 수 있다.
한편, 각 전자서명 대상단말(100-1 내지 100-N)이 데이터 통신이 가능한 전자기기로 이루어질 경우, 상기 개체인증정보는 예컨대, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증 정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함함이 바람직하지만, 이에 국한하지 않으며, 기기를 식별할 수 있는 모든 기기 식별 정보들을 포함할 수 있다.
그리고, 각 전자서명 서비스 제공서버(200-1 내지 200-N)는 통신망(10)을 통해 각 전자서명 대상단말(100-1 내지 100-N), 전자서명 서비스 구성서버(300), 전자서명 서비스 중계서버(400) 및 인증서버(500)와 서로 연결되어 있으며, 여러 개의 전자문서나 디지털 데이터에 대해 대규모로 동시에 무결성(Integrity)의 전자서명 생성하여 제공하기 위한 서버로서, 각 전자서명 대상단말(100-1 내지 100-N)의 전자서명 생성 요청에 응답하여 해시트리의 해시체인에 대한 분산처리 기반으로 대규모 동시 전자서명 서비스를 제공하는 기능을 수행한다.
또한, 각 전자서명 서비스 제공서버(200-1 내지 200-N)는 인증서버(500)와 연동하여 각 전자서명 대상단말(100-1 내지 100-N)로부터 전송된 고유 인증토큰을 복호화(Decryption)하는 기능을 수행한다.
또한, 각 전자서명 서비스 제공서버(200-1 내지 200-N)는 각 전자서명 대상단말(100-1 내지 100-N)로부터 전송된 고유 인증토큰을 복호화 성공 시 인증승인 결과를 해당 전자서명 대상단말(100-1 내지 100-N)로 전송하는 기능을 수행한다.
또한, 각 전자서명 서비스 제공서버(200-1 내지 200-N)는 각 전자서명 대상단말(100-1 내지 100-N)로부터 전송된 전자서명 대상데이터의 해시값과 개체식별정보를 결합하여 신규 해시값을 생성하는 기능을 수행한다.
또한, 각 전자서명 서비스 제공서버(200-1 내지 200-N)는 상기 생성된 신규 해시값을 이용하여 전자서명 서비스 구성서버(300)에 의해 구성된 해시트리의 해시체인을 기반으로 고유 전자서명을 생성하고 이를 해당 전자서명 대상단말(100-1 내지 100-N)로 전송하는 기능을 수행한다.
또한, 각 전자서명 서비스 제공서버(200-1 내지 200-N)는 상기 생성된 신규 해시값을 메모리 큐(Queue)에 임시적으로 저장한 후, 상기 메모리 큐에 임시적으로 저장된 신규 해시값을 기 설정된 시간간격으로 리드(Read)하여 상기 해시트리의 구성에 사용되도록 할 수 있으며, 상기 구성된 해시트리의 해시체인과 연계된 전자서명 서비스 제공서버와 연동하여 상기 구성된 해시트리의 루트값을 연산하고 이를 통해 고유 전자서명을 생성할 수 있다.
한편, 본 발명의 일 실시예에 적용된 각 전자서명 서비스 제공서버(200-1 내지 200-N)를 통해 상기 메모리 큐에 임시적으로 저장된 신규 해시값을 기 설정된 시간간격으로 리드(Read)하여 상기 해시트리의 구성에 사용함이 바람직하지만, 이에 국한하지 않으며, 기 설정된 데이터의 양이나 수를 기준으로 상기 메모리 큐에 저장된 순서에 따라 순차적으로 신규 해시값을 리드(Read)하여 상기 해시트리의 구성에 사용할 수도 있다.
다른 한편, 상기 해시트리(Hash Tree)는, 해시값들로 구성된 트리(tree)를 의미한다. 상기 해시트리는 트리(tree) 각각의 잎(leaf) 노드는 데이터 블록을 해시한 값을 나타내고, 트리의 중간 노드는 적어도 하나 이상의 자식 노드들을 갖는다.
따라서, 트리의 중간 노드는 자식 노드들의 해시값을 조합한 해시값을 갖는다. 최상위의 루트(Root) 노드는 모든 자식 노드들의 데이터 블록을 대표하는 해시값을 갖는다.
이러한 상기 해시트리는 통상적인 머클 해시트리(Merkle Hash Tree) 구조를 사용함이 바람직하며, 이는 여러 블록으로 나뉜 데이터에 대한 무결성 검증에 효율적이다. 그리고, 상기 해시트리의 높이를 적절히 조절함으로써 대규모 무결성 검증이 가능하다.
상기와 같은 해시트리의 구조로 키(Key)를 사용하지 않고, 해시트리의 특성을 이용한 데이터의 고유값을 생성할 수 있고, 대수적 연산이 불필요하며, 선형적인 해시 연산만을 수행할 수 있으며, 대규모 해시트리 생성을 통한 대량의 데이터에 대한 해시체인을 생성할 수 있다.
특히, 각 전자서명 서비스 제공서버(200-1 내지 200-N)는 해시트리에 기반한 전자서명 생성과정을 전자서명 서비스 구성서버(300)에 의해 분할하여 처리하는 기능을 수행한다.
이때, 각 전자서명 서비스 제공서버(200-1 내지 200-N)가 수행하는 전자서명 서비스의 대상은 전자서명 서비스 중계서버(400)의 중계과정을 거쳐 각 전자서명 서비스 구성서버(200)에 접속한 전자서명 대상단말(100-1 내지 100-N)을 대상으로 한다.
또한, 각 전자서명 서비스 제공서버(200-1 내지 200-N)에 대해 전자서명 생성의 대상으로 하는 요청은 인증서버(500)를 통해 개체인증을 성공적으로 승인 받은 전자서명 대상단말(100-1 내지 100-N)로부터의 요청만을 대상으로 한다.
한편, 도 2에서는 전자서명 서비스 제공서버(200-1 내지 200-N)의 수가 8개인 경우를 표현한다. 해시트리를 이용한 대규모 동시 전자서명 서비스를 제공하기 위해서 전자서명 서비스 제공서버(200-1 내지 200-N)는 도 2와 같이 전자서명을 위해 생성되는 해당 시점의 단일 해시트리(600)를 구성하고, 해당 단일 해시트리(600)에 대해 전자서명 서비스 제공서버(200-1 내지 200-N)를 이용하여 병렬적으로 분산처리한다. 이때, 단일 해시트리(600)를 구성하는 하위 부분트리(611 내지 618)는 전자서명 서비스 제공서버(200-1 내지 200-N)에서 개별적으로 처리된다.
즉, 하위 부분트리(611 내지 618)와는 달리 상위 부분트리(610)는 해시트리의 리프(leaf) X0 내지 X7 에서 시작되는 루트 해시값 X0,7 까지의 해시체인에 대해서 전자서명 서비스 제공서버(200-1 내지 200-N)에서 나누어 처리한다. 특히, 나누는 방법은 하위 부분트리(611 내지 618)의 루트 해시값이자 상위 부분트리(610)의 리프 해시값에 해당되는 값에 의존하여 결정된다.
상기 도 2에서의 경우에는 하위 부분트리(617) 및 상위 부분트리(610)의 해시체인(620)이 전자서명 서비스 제공서버(200-7)에서 계산된다. 이때, 전자서명 서비스 제공서버(200-7)에서 처리 대상이 되는 해시트리의 노드를 표현한 것이 도 3이다.
즉, 하위 부분트리(617)는 완전 이진트리로 표현되는 해시트리이며, 해시체인(620)은 {X6; 011(2); X7, X4,5, X0,3}라는 수학 기호로 표현한다. 이때, 해시체인(620)에 포함되는 해시 값 X7, X4,5, X0,3 은 하위 부분트리(617)에서 계산되지 않는데, 이 값들은 전자서명 서비스 제공서버(200-7) 이외의 전자서명 서비스 제공서버 (200-1 내지 200-6 및 200-8 내지 200-N)에서 계산된 해시 값 X7, X4,5, X0,3 을 전송 받아 계산에 이용한다.
도 3에서 설명된 전자서명 서비스 제공서버(200-7)에서의 처리 대상이 되는 노드 중에서 전자서명 서비스 제공서버(200-1 내지 200-6 및 200-8 내지 200-N)에서 계산된 노드 X7, X4,5, X0,3 의 해시값은 도 4와 같이 전송된다.
즉, 노드 X7 의 해시값은 노드 X7 을 포함하는 전자서명 서비스 제공서버(200-8)가 유일하므로, 해당 서버에서 전송 받는다. 노드 X4,5 의 해시값은 노드 X4 와 X5 를 포함하는 2개의 전자서명 서비스 제공서버(200-5 및 200-6)에서 전송 받는다. 그리고, 노드 X0,3 의 해시값은 노드 X0, X1, X2, X3 의 해시값을 포함하는 4개의 전자서명 서비스 제공서버(200-1 내지 200-4)에서 전송 받는다. 또한, 전자서명 서비스 제공서버(200-7)에서는 노드의 해시값을 전송 받기도 하지만, 자신이 계산한 노드 X6, X6,7, X4,7 의 해시값도 전자서명 서비스 제공서버(200-1 내지 200-6 및 200-8 내지 200-N)에 전송한다.
상기의 도 3 및 도 4에서는 특히, 전자서명 서비스 제공서버(200-7)에 대해서 루트 노드 X0,7 의 해시값을 계산하는 과정을 설명하였다. 일반적으로는 전자서명 서비스 제공서버(200-1 내지 200-N)에서 노드의 해시값을 공유하기 위해서 다른 전자서명 서비스 제공서버(200-1 내지 200-N) 중에서 상호연결의 대상으로 선택하는 방법은 다수 존재한다. 이러한 선택 방법은 도 5에서와 같이 NxN 행렬로 표현가능한데, 행렬의 요소값이 '0' 인 경우에는 상호 접속하지 않음을 의미하며, 요소값이 '1' 인 경우에는 상호 접속함을 의미한다. 이 행렬은 수학적으로 전치행렬과 동치가 된다. 따라서, 도 5의 행렬은 위삼각행렬 또는 아래삼각행렬에 해당하는 요소만으로 유일하게 결정될 수 있다.
즉, 전자서명 서비스 제공서버(200-1 내지 200-N) 에 대해서 최소한의 상호연결을 고려하는 경우에는 트리의 성질로부터 그 접속 수가 'log2 N' 이 된다. 한편, 최대한의 상호연결을 고려하는 경우에는 그 접속 수가 'N-1' 이 된다.
특히, 전자서명 서비스 제공서버(200-1 내지 200-N)가 16개로 구성되어 최소한의 상호연결을 고려하는 경우, 그 중 일례로서 도 5와 같은 행렬이 있다. 도 5 의 행렬 이외에도 도 5에서 선으로 구분된 부분행렬은, 부분행렬이 표현 가능한 소체 Z2 상의 벡터 공간에서 길이 '1'의 자명한 기저 벡터를 나열하는 순서에 대한 치환의 결과로 얻을 수 있는 모든 행렬이 될 수 있다. 다만, 행렬의 대각 요소를 포함하는 회색배경의 각 부분행렬의 값은 바뀌지 않고 언제나 일정하다. 이와 같은 규칙은 전자서명 서비스 제공서버(200-1 내지 200-N)의 수가 임의의 경우에 대해서도 적용 가능하다.
한편, 전자서명 서비스 제공서버(200-1 내지 200-N) 사이에서 최소한의 상호접속을 고려하지 않는 경우, 상기한 대로 최소한의 상호접속을 고려한 행렬에서 얻어지는 접속관계 이외에 임의의 대상으로 상호접속을 추가함으로서 얻을 수 있다.
그리고, 전자서명 서비스 구성서버(300)는 통신망(10)을 통해 각 전자서명 대상단말(100-1 내지 100-N), 각 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 중계서버(400) 및 인증서버(500)와 서로 연결되어 있으며, 각 전자서명 서비스 제공서버(200-1 내지 200-N)로부터 고유 인증정보를 제공받아 이를 바탕으로 전자서명 서비스 수행 권한에 따라 대규모 전자서명 생성에 대하여 병렬적인 분산처리를 수행할 수 있도록 기 설정된 계층적 구조의 해시트리를 구성하는 기능을 수행한다.
이러한 전자서명 서비스 구성서버(300)를 통해 전자서명 서비스 제공서버(200-1 내지 200-N)를 신규로 등록할 경우, 해당 신규 전자서명 서비스 제공서버(예컨대, 200-N)는 고유 인증정보를 이용하여 전자서명 서비스 구성서버(300)로 서비스 연동 인증을 위한 고유 인증토큰 발급 요청메시지를 전송한다.
이때, 전자서명 서비스 구성서버(300)는 해당 신규 전자서명 서비스 제공서버(200-N)로부터 전송된 고유 인증정보를 제공받아 기 저장된 고유 인증정보와 비교하여 해당 신규 전자서명 서비스 제공서버(200-N)가 전자서명 서비스 수행 권한이 있는 경우, 해당 고유 인증정보에 대한 고유 인증토큰을 생성 및 암호화함과 아울러 전자서명 서비스 연동정보를 생성 및 암호화하여 해당 신규 전자서명 서비스 제공서버(200-N)로 전송한다.
한편, 상기 전자서명 서비스 연동정보는 예컨대, 접속대상 전자서명 서비스 제공서버의 목록, 처리를 담당할 부분 해시트리의 위치 및 서비스 권한 정보 등을 포함함이 바람직하다.
또한, 전자서명 서비스 제공서버(200-1 내지 200-N)가 특정한 서버 관리자에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는 예컨대, 서버 관리자의 아이디/패스워드(ID/PW), 생체특징정보, OTP(One Time Password) 및 PKI(Public Key Infrastructure) 기반의 개인키에 의해 생성된 인증정보 중 적어도 어느 하나의 서버 관리자 고유식별 정보를 포함함이 바람직하다.
또한, 전자서명 서비스 제공서버(200-1 내지 200-N)가 특정한 서버 하드웨어에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는 예컨대, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함함이 바람직하다.
그리고, 전자서명 서비스 중계서버(400)는 통신망(10)을 통해 각 전자서명 대상단말(100-1 내지 100-N), 각 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 구성서버(300) 및 인증서버(500)와 서로 연결되어 있으며, 각 전자서명 대상단말(100-1 내지 100-N)로부터 전자서명 서비스 접속 요청에 응답하여 현재 이용 가능한 전자서명 서비스 제공서버들 중 임의로 선택된 어느 하나의 전자서명 서비스 제공서버로 접속될 수 있도록 중계하는 기능을 수행한다.
즉, 전자서명 서비스 중계서버(400)는 각 전자서명 대상단말(100-1 내지 100-N)로부터 전자서명 서비스 접속을 위한 요청메시지를 제공받아 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버에 접속하기 위한 전자서명 서비스 제공서버의 접속정보를 생성하여 해당 전자서명 대상단말(100-1 내지 100-N)로 전송한다.
이때, 상기 전자서명 서비스 제공서버의 접속정보는 예컨대, 전자서명 서비스 제공서버의 고유 IP 주소, 네트워크 프로토콜 종류 및 메시지 프로토콜 종류 중 적어도 어느 하나의 정보를 포함함이 바람직하다.
그리고, 인증서버(500)는 통신망(10)을 통해 각 전자서명 대상단말(100-1 내지 100-N), 각 전자서명 서비스 제공서버(200-1 내지 200-N), 전자서명 서비스 구성서버(300) 및 전자서명 서비스 중계서버(400)와 서로 연결되어 있으며, 각 전자서명 대상단말(100-1 내지 100-N)로부터 전송된 고유한 개체인증정보를 제공받아 별도의 데이터베이스(DB)에 기 저장된 고유한 개체인증정보와 비교하여 일치할 경우, 고유 인증토큰을 암호화(Encryption)하여 생성하고 이를 해당 전자서명 대상단말(100-1 내지 100-N)로 전송하는 기능을 수행한다.
또한, 인증서버(500)는 각 전자서명 서비스 제공서버(200-1 내지 200-N)와 연동되며, 상기 암호화된 인증토큰에 대한 암호화/복호화 키를 서로 공유하여 상기 고유 인증토큰을 암호화 및 복호화할 수 있도록 하는 기능을 수행한다.
이때, 상기 고유 인증토큰은 전자적인 정보로서, 전자서명 서비스를 이용하려는 각 전자서명 대상단말(100-1 내지 100-N)이 정상적으로 등록되어 있는 전자서명 대상단말임을 알리기 위해 전자서명 서비스 제공서버(200-1 내지 200-N) 측에 전송할 개체인증정보를 인증서버(500)가 암호화한 것이다.
이러한 고유 인증토큰은 예컨대, 대칭 키 또는 비대칭 키를 이용한 대칭 암호화(Symmetric Cryptosystem) 또는 비대칭 암호화(Asymmetric Cryptosystem) 방식으로 암호화 및 복호화를 수행할 수 있다.
이하에는 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법에 대하여 상세하게 설명하기로 한다.
도 6은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법을 설명하기 위한 전체적인 흐름도이다.
도 1 내지 도 6을 참조하면, 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법은, 먼저, 전자서명 서비스 구성서버(300)를 통해 각 전자서명 서비스 제공서버(200-1 내지 200-N)로부터 고유 인증정보를 제공받아 이를 바탕으로 전자서명 서비스 수행 권한에 따라 대규모 전자서명 생성에 대하여 병렬적인 분산처리를 수행할 수 있도록 기 설정된 계층적 구조의 해시트리를 구성한다(S10).
이후에, 전자서명 서비스 중계서버(300)를 통해 각 전자서명 대상단말(100-1 내지 100-N)로부터 전자서명 서비스 접속 요청에 응답하여 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버로 접속될 수 있도록 중계한다(S20).
그런 다음, 상기 단계 S20에서 선택된 전자서명 서비스 제공서버(200-1 내지 200-N)를 통해 각 전자서명 대상단말(100-1 내지 100-N)의 전자서명 생성 요청에 응답하여 상기 단계 S10에서 구성된 해시트리의 해시체인에 대한 분산처리 기반으로 대규모 동시 전자서명 서비스를 제공한다(S30).
도 7은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 신규 전자서명 서비스 제공서버의 등록 과정을 설명하기 위한 동작흐름도이다.
도 7을 참조하면, 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법은, 다수의 전자서명 서비스 제공서버(200-1 내지 200-N)가 전술한 도 5와 같은 상호연결 상태에서 전술한 도 2와 같이 대규모 동시 전자서명 서비스를 분산하여 처리해야 한다. 도 7은 이때, 전자서명 서비스 제공서버(200-1 내지 200-N)가 도 5와 같은 상호연결 상태가 되기 위해 수행되는 과정을 설명한다.
즉, 전자서명 서비스 제공서버(200-1 내지 200-N)는 최초에는 어떠한 전자서명 서비스 제공서버(200-1 내지 200-N)와도 상호연결되지 않은 상태에 있으며, 전자서명 서비스 구성서버(300)에게 인증 받지 않은 상태이다.
이때, 전자서명 서비스 제공서버(200-1 내지 200-N)가 대규모 동시 전자서명 서비스 방법을 수행하기 위해서는 전자서명 서비스 구성서버(300)에 의해 해시트리 구성을 위한 전자서명 서비스 제공서버로 인증 받아야 하며, 현재 기 인증된 전자서명 서비스 제공서버와 상호연결을 통해 도 5와 같은 상호연결 상태를 만들어야 한다.
최초에 전자서명 서비스 제공서버(200-1)가 대규모 동시 전자서명 서비스 방법을 수행하기 위해서는 전자서명 서비스 구성서버(300)에 의해 해시트리 구성을 위한 전자서명 서비스 제공서버로 인증 받아야 한다. 이 때는 도 7에서 전자서명 서비스 제공서버(200-N)와 전자서명 서비스 구성서버(300)가 수행하는 과정만을 수행한다.
일반적으로 아직 대규모 동시 전자서명 서비스 방법을 수행하고 있지 않은 전자서명 서비스 제공서버(200-N)가 현재 대규모 동시 전자서명 서비스 방법을 수행하고 있는 전자서명 서비스 제공서버(200-1 내지 200-(N-1))가 있는 상태에서 대규모 동시 전자서명 서비스 방법을 수행하기 위해서는 다음과 같은 과정을 거친다.
즉, 전자서명 서비스 제공서버(200-N)는 전자서명 서비스 구성서버(300)로 고유한 서버인증정보 즉, 고유 인증정보를 전송하여 고유 인증토큰 발급을 요청한다(S100).
이때, 전자서명 서비스 제공서버(200-N)가 특정한 서버 관리자에 종속적으로 대규모 동시 전자서명 서비스 방법을 수행하는 경우, 상기 고유 인증정보는 예컨대, 서버 관리자의 아이디/패스워드, 생체특징정보, OTP, PKI의 개인키에 의해 생성된 인증정보 중 적어도 어느 하나의 서버 관리자 고유식별 정보를 포함함이 바람직하다.
한편, 전자서명 서비스 제공서버(200-N)가 특정한 서버 하드웨어에 종속적으로 대규모 동시 전자서명 서비스 방법을 수행하는 경우, 상기 고유 인증정보는 예컨대, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC 주소, 기기의 고유 IP 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI의 개인키에 의해 생성된 기기의 인증정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함함이 바람직하다.
이후에, 전자서명 서비스 구성서버(300)를 통해 상기 단계 S100에서 전송된 고유 인증정보에 대해서 별도의 데이터베이스(DB)에 기 저장된 고유 인증정보를 이용하여 전자서명 서비스 제공서버(200-N)가 대규모 동시 전자서명 서비스 방법을 수행할 수 있는 권한이 있는지를 판단한다(S110).
상기 단계 S110에서의 판단 결과, 전자서명 서비스 제공서버(200-N)가 대규모 동시 전자서명 서비스 방법을 수행할 수 있는 권한이 있는 경우, 서버 인증 승인 결과로서 고유 인증정보에 대한 고유 인증토큰을 생성하여 암호화한 후(S120), 전자서명 서비스 연동정보를 생성하여 암호화한다(S130). 그런 다음, 상기 단계 S120과 단계 S130에서 기 생성된 암호화된 데이터를 전자서명 서비스 제공서버(200-N)에 전송한다(S140).
이때, 상기 단계 S130에서 생성하는 전자서명 서비스 연동정보는 예컨대, 접속대상 전자서명 서비스 제공서버(200-1 내지 200-(N-1))의 목록, 처리를 담당할 부분 해시트리의 위치, 서비스 권한 정보 등을 포함함이 바람직하다.
이후에, 상기 단계 S140을 통해 전송된 전자서명 서비스 연동정보는 전자서명 서비스 제공서버(200-N)에서 복호화한다(S150). 그런 다음, 전자서명 서비스 제공서버(200-N)에서는 상기 단계 S150에서 복호화하여 얻을 수 있는 접속대상 전자서명 서비스 제공서버(200-1 내지 200-(N-1))의 목록을 따라 고유 인증토큰을 이용하여 서비스 연동 인증에 대한 승인을 요청한다(S160).
다음으로, 전자서명 서비스 제공서버(200-1 내지 200-(N-1))에서는 전자서명 서비스 구성서버(300)와 연동하여 상기 단계 S160에서 전송된 고유 인증토큰에 대한 복호화를 수행한 후(S170), 복호화를 성공할 경우 전자서명 서비스 연동 인증 승인 결과를 전자서명 서비스 연동 인증 승인 요청한 해당 전자서명 서비스 제공서버(200-N)로 전송하여 전자서명 서비스 연동 인증 승인을 최종적으로 완료한다(S180).
한편, 상기 고유 인증토큰은 예컨대, 대칭키 또는 비대칭키를 이용한 대칭 암호(Symmetric Cryptography) 또는 비대칭 암호(Asymmetric Cryptography) 방식으로 암호화 및 복호화를 수행함이 바람직하다.
도 8은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 전자서명 대상단말의 중계 과정을 설명하기 위한 동작흐름도이다.
도 8을 참조하면, 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법은, 전자서명 대상단말(100-1 내지 100-N)이 특정 전자서명 서비스 제공서버(200-1 내지 200-N)에 접속해야 한다. 이때, 전자서명 서비스 제공서버(200-1 내지 200-N)는 다수 존재하는데 전자서명 서비스 중계서버(400)가 어느 서버에 접속해야 하는지를 결정해주는 역할을 한다.
즉, 도 8에 도시된 바와 같이, 전자서명 대상단말(100-1 내지 100-N)은 전자서명 서비스 중계서버(400)로 전자서명 서비스 접속을 위한 중계 요청메시지를 전송한다(S200).
이후에, 전자서명 서비스 중계서버(400)는 전자서명 서비스 제공서버(200-1 내지 200-N) 중에서 현재 이용 가능한 전자서명 서비스 제공서버를 하나 선택하여(S210), 해당 전자서명 서비스 제공서버(200-1 내지 200-N)에 접속하기 위한 전자서명 서비스 제공서버의 접속정보를 생성한다(S220).
이때, 상기 전자서명 서비스 제공서버의 접속정보는 예컨대, 전자서명 서비스 제공서버의 고유 IP 주소, 네트워크 프로토콜 종류, 메시지 프로토콜 종류 등을 포함함이 바람직하다.
그런 다음, 상기 단계 S220에서 생성된 전자서명 서비스 제공서버의 접속정보는 접속 중계를 요청하였던 해당 전자서명 대상단말(100-1 내지 100-N)에 전송한다(S230). 이후에, 전자서명 대상단말(100-1 내지 100-N)은 수신한 전자서명 서비스 제공서버의 접속정보를 이용하여 전자서명 서비스 제공서버(200-1 내지 200-N)에 접속한다(S240).
도 9는 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 개체인증 과정을 설명하기 위한 동작흐름도이다.
도 9를 참조하면, 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법은, 먼저 전자서명 대상데이터에 대한 고유한 전자서명을 받기 전에 전자서명을 받고자 하는 개체인증 과정을 수행해야 한다.
즉, 도 9에 도시된 바와 같이, 전자서명을 받고자 하는 각 전자서명 대상단말(100-1 내지 100-N)을 통해 인증서버(500)로 고유한 개체인증정보를 전송하여 개체인증 승인을 요청 즉, 고유 개체인증정보를 이용하여 고유 인증토큰 발급을 요청한다(S300).
이때, 각 전자서명 대상단말(100-1 내지 100-N)이 특정 사용자에 의해 전자서명을 요청하기 위한 사용자 단말로 이루어질 경우, 상기 고유한 개체인증정보는 예컨대, 사용자의 회원 아이디/패스워드(ID/PW), 주민번호, 전화번호, 생체특징정보, OTP(One Time Password), PKI(Public Key Infrastructure) 및 공인 인증서 정보 중 적어도 어느 하나의 사용자 고유식별 정보를 포함함이 바람직하다.
한편, 각 전자서명 대상단말(100-1 내지 100-N)이 데이터 통신이 가능한 전자기기로 이루어질 경우, 상기 고유한 개체인증정보는 예컨대, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증 정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함함이 바람직하다.
이후에, 인증서버(500)를 통해 상기 단계 S300에서 전송된 고유한 개체인증정보와 별도의 데이터베이스(DB)에 기 저장된 고유한 개체인증정보를 비교하여 일치하는지 판단한다(S310).
상기 단계 S310에서의 판단 결과, 상기 단계 S300에서 전송된 고유한 개체인증정보와 별도의 데이터베이스(DB)에 기 저장된 고유한 개체인증정보가 일치할 경우, 개체인증 승인 결과로 고유한 개체인증정보에 대한 고유 인증토큰을 암호화하여 생성한 후(S320), 상기 단계 S320에서 생성된 고유 인증토큰을 개체인증 승인 요청한 해당 전자서명 대상단말(100-1 내지 100-N)로 전송한다(S330).
그런 다음, 각 전자서명 대상단말(100-1 내지 100-N)을 통해 상기 단계 S330에서 전송된 고유 인증토큰을 전자서명 서비스 제공서버(200-1 내지 200-N)로 전송하여 개체인증 승인을 요청한다(S340).
이후에, 전자서명 서비스 제공서버(200-1 내지 200-N)를 통해 인증서버(500)와 연동하여 상기 단계 S340에서 전송된 고유 인증토큰에 대해 복호화를 수행한 후(S350), 복호화를 성공할 경우 개체인증 승인 결과를 개체인증 승인 요청한 해당 전자서명 대상단말(100-1 내지 100-N)로 전송하여 개체인증 승인을 최종적으로 완료한다(S360).
한편, 상기 고유 인증토큰은 예컨대, 대칭 키 또는 비대칭 키를 이용한 대칭 암호화(Symmetric Cryptosystem) 또는 비대칭 암호화(Asymmetric Cryptosystem) 방식으로 암호화 및 복호화를 수행함이 바람직하다.
전술한 바와 같이, 전자서명을 받기 위한 전처리 과정으로 개체인증 과정을 완료하게 되면, 다음으로 전자서명을 생성하는 과정을 수행하게 된다.
즉, 전자서명을 받고자 하는 각 전자서명 대상단말(100-1 내지 100-N)을 통해 기 설정된 해시함수를 이용하여 전자서명 대상데이터의 해시값을 생성한 후, 각 전자서명 대상단말(100-1 내지 100-N)을 통해 상기 생성된 전자서명 대상데이터의 해시값과 함께 개체식별정보를 전자서명 서비스 제공서버(200-1 내지 200-N)로 전송하여 전자서명을 요청한다.
그런 다음, 전자서명 서비스 제공서버(200-1 내지 200-N)를 통해 상기 전송된 전자서명 대상데이터의 해시값과 개체식별정보를 결합하여 신규 해시값을 생성한 후, 상기 생성된 신규 해시값을 이용하여 전자서명 서비스 구성서버(300)에 의해 구성된 해시트리의 해시체인을 기반으로 고유 전자서명을 생성하고 이를 해당 전자서명 대상단말(100-1 내지 100-N)로 전송한다.
이때, 전자서명 서비스 제공서버(200-1 내지 200-N)는 상기 생성된 신규 해시값을 메모리 큐(Queue)에 임시적으로 저장한 후, 상기 메모리 큐에 임시적으로 저장된 신규 해시값을 기 설정된 시간간격으로 리드(Read)하여 상기 해시트리의 구성에 사용되도록 할 수 있으며, 상기 구성된 해시트리의 해시체인과 연계된 전자서명 서비스 제공서버와 연동하여 상기 구성된 해시트리의 루트값을 연산하고 이를 통해 고유 전자서명을 생성할 수 있다.
도 10은 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법 중 전자서명 서비스 제공서버간의 동기화 과정을 설명하기 위한 동작흐름도이다.
도 1 내지 도 10을 참조하면, 전자서명 대상단말(100-1 내지 100-N)이 전자서명 서비스 제공서버(200-1 내지 200-N)에 전송한 전자서명 생성 요청은 도 2 내지 도 4에서 설명한 과정에 의해 생성되는데, 이때 도 4에서의 노드 해시값의 공유는 도 10과 같은 과정을 통해 수행된다.
이때, 상기 전자서명 생성 요청은 예컨대, 전자서명을 발급하기 위한 전자서명 대상 메시지의 해시값을 포함한다.
먼저, 전자서명 서비스 제공서버(200-1 내지 200-N)는 전자서명 대상단말(100-1 내지 100-N)로부터 수신한 전자서명 생성요청을 일정 시간 간격 혹은 일정 요청 수 간격 동안 큐(Queue)를 통해 모아두었다가, 해당 전자서명 생성 요청에 포함되어 있는 해시값과 임의로 생성된 난수 값을 리프(leaf)로 하는 해시트리를 계산한다(S400).
이때, 해당 해시트리는 예컨대, 도 2 및 도 3에서 도시된 해시트리(617)이다. 그러나, 도 3에서 전자서명 서비스 제공서버(200-7)가 도시된 것과는 달리, 도 9에서는 전자서명 서비스 제공서버(200-1)를 중심으로 도시되었다.
이어서, 상기 해시트리의 루트값으로부터 시작되는 해시체인을 해시체인의 길이에 따라 다음과 같은 과정을 반복적으로 수행하여 구성한다(S410 내지 S440).
즉, 이전 해시체인의 계산값을 이번 단계의 연동대상 전자서명 서비스 제공서버(200-2 내지 200-N)에 전송하여 공유한다(S410). 이때, 이전 해시체인 계산값이 없으면 입력 해시값은 해시트리의 루트값이다. 공유된 해시체인의 결과값을 이전 해시체인의 계산값과 연접하고, 해당 연접된 값에 대한 해시값을 이번 단계의 해시체인 계산값으로 한다(S420).
이번 단계의 해시체인 계산값을 이번 단계의 연동대상 전자서명 서비스 제공서버(200-2 내지 200-N)에 전송하여 공유한다(S430). 이번 단계의 연동대상 전자서명 서비스 제공서버(200-2 내지 200-N)에서도 해당 단계의 해시체인 계산값을 전자서명 서비스 제공서버(200-1)로 전송하므로, 전자서명 서비스 제공서버(200-1)에서는 계산한 해시체인 계산값과 수신한 해시체인 계산값을 비교한다. 비교 결과, 두 계산 값이 동일한 경우 다음 단계를 진행하고, 서로 동일하지 않은 경우에는 이전 단계로 되돌아간다(S440).
해시체인에 대한 계산이 완료되면, 그 때 얻어진 계산값이 해시트리의 루트값으로서 계산된 것이므로 전자서명 생성이 완료된다(S450).
한편, 본 발명의 일 실시예에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다.
예컨대, 컴퓨터가 읽을 수 있는 기록매체로는 롬(ROM), 램(RAM), 시디-롬(CD-ROM), 자기 테이프, 하드디스크, 플로피디스크, 이동식 저장장치, 비휘발성 메모리(Flash Memory), 광 데이터 저장장치 등이 있다.
또한, 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
전술한 본 발명에 따른 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법에 대한 바람직한 실시예에 대하여 설명하였지만, 본 발명은 이에 한정되는 것이 아니고 특허청구범위와 발명의 상세한 설명 및 첨부한 도면의 범위 안에서 여러 가지로 변형하여 실시하는 것이 가능하고 이 또한 본 발명에 속한다.
100-1 내지 100-N : 전자서명 대상단말,
200-1 내지 200-N : 전자서명 서비스 제공서버,
300 : 전자서명 서비스 구성서버,
400 : 전자서명 서비스 중계서버,
500 : 인증서버

Claims (17)

  1. 다수의 전자서명 대상단말;
    각 전자서명 대상단말의 전자서명 생성 요청에 응답하여 해시트리의 해시체인에 대한 분산처리 기반으로 대규모 동시 전자서명 서비스를 제공하는 다수의 전자서명 서비스 제공서버;
    각 전자서명 서비스 제공서버로부터 고유 인증정보를 제공받아 이를 바탕으로 전자서명 서비스 수행 권한에 따라 대규모 전자서명 생성에 대하여 병렬적인 분산처리를 수행할 수 있도록 기 설정된 계층적 구조의 해시트리를 구성하는 전자서명 서비스 구성서버; 및
    각 전자서명 대상단말로부터 전자서명 서비스 접속 요청에 응답하여 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버로 접속될 수 있도록 중계하는 전자서명 서비스 중계서버를 포함하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  2. 제1 항에 있어서,
    상기 전자서명 서비스 구성서버를 통해 상기 전자서명 서비스 제공서버를 신규로 등록할 경우,
    해당 신규 전자서명 서비스 제공서버는, 고유 인증정보를 이용하여 상기 전자서명 서비스 구성서버로 전자서명 서비스 연동 인증을 위한 고유 인증토큰 발급 요청메시지를 전송하고,
    상기 전자서명 서비스 구성서버는, 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증정보를 제공받아 기 저장된 고유 인증정보와 비교하여 해당 신규 전자서명 서비스 제공서버가 전자서명 서비스 수행 권한이 있는 경우, 해당 고유 인증정보에 대한 고유 인증토큰을 생성 및 암호화함과 아울러 전자서명 서비스 연동정보를 생성 및 암호화하여 해당 신규 전자서명 서비스 제공서버로 전송하며,
    해당 신규 전자서명 서비스 제공서버는, 상기 전자서명 서비스 구성서버로부터 암호화된 고유 인증토큰 및 전자서명 서비스 연동정보를 복호화하고, 복호화 된 전자서명 서비스 연동정보 내의 접속대상 전자서명 서비스 제공서버의 목록에 따라 고유 인증토큰을 이용하여 전자서명 서비스 연동 인증에 대한 승인 요청메시지를 전송하고,
    해당 접속대상 전자서명 서비스 제공서버는, 상기 전자서명 서비스 구성서버와 연동하여 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증토큰을 복호화하고, 복호화 성공 시 전자서명 서비스 연동 인증승인 결과를 해당 신규 전자서명 서비스 제공서버로 전송하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  3. 제2 항에 있어서,
    상기 전자서명 서비스 연동정보는, 접속대상 전자서명 서비스 제공서버의 목록, 처리를 담당할 부분 해시트리의 위치 및 서비스 권한 정보를 포함하고,
    상기 전자서명 서비스 제공서버가 특정한 서버 관리자에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 서버 관리자의 아이디/패스워드(ID/PW), 생체특징정보, OTP(One Time Password) 및 PKI(Public Key Infrastructure) 기반의 개인키에 의해 생성된 인증정보 중 적어도 어느 하나의 서버 관리자 고유식별 정보를 포함하며,
    상기 전자서명 서비스 제공서버가 특정한 서버 하드웨어에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  4. 제1 항에 있어서,
    각 전자서명 대상단말은, 상기 전자서명 서비스 중계서버로 전자서명 서비스 접속을 위한 요청메시지를 전송하고,
    상기 전자서명 서비스 중계서버는, 각 전자서명 대상단말로부터 전자서명 서비스 접속을 위한 요청메시지를 제공받아 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버에 접속하기 위한 전자서명 서비스 제공서버의 접속정보를 생성하여 해당 전자서명 대상단말로 전송하며,
    해당 전자서명 대상단말은, 상기 전자서명 서비스 중계서버로부터 전송된 전자서명 서비스 제공서버의 접속정보를 이용하여 해당 전자서명 서비스 제공서버에 접속하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  5. 제4 항에 있어서,
    상기 전자서명 서비스 제공서버의 접속정보는, 전자서명 서비스 제공서버의 고유 IP 주소, 네트워크 프로토콜 종류 및 메시지 프로토콜 종류 중 적어도 어느 하나의 정보를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  6. 제1 항에 있어서,
    각 전자서명 대상단말로부터 전송된 개체인증정보를 제공받아 기 저장된 개체인증정보와 비교하여 일치할 경우, 고유 인증토큰을 생성 및 암호화하여 해당 전자서명 대상단말로 전송하는 인증서버가 더 포함되되,
    각 전자서명 서비스 제공서버는, 상기 인증서버와 연동하여 각 전자서명 대상단말로부터 전송된 고유 인증토큰을 복호화하고, 복호화 성공 시 인증승인 결과를 해당 전자서명 대상단말로 전송하고,
    해당 전자서명 대상단말은, 기 설정된 해시함수에 의해 생성된 전자서명 대상데이터의 해시값과 함께 개체식별정보를 상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버로 전송하며,
    상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버는, 해당 전자서명 대상단말로부터 전송된 전자서명 대상데이터의 해시값과 개체식별정보를 결합하여 신규 해시값을 생성하고, 상기 생성된 신규 해시값을 이용하여 상기 구성된 해시트리의 해시체인을 기반으로 고유 전자서명을 생성하고 이를 해당 전자서명 대상단말로 전송하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  7. 제6 항에 있어서,
    각 전자서명 대상단말이 특정 사용자에 의해 전자서명을 요청하기 위한 사용자 단말로 이루어질 경우, 상기 개체인증정보는, 사용자의 회원 아이디/패스워드(ID/PW), 주민번호, 전화번호, 생체특징정보, OTP(One Time Password), PKI(Public Key Infrastructure) 및 공인 인증서 정보 중 적어도 어느 하나의 사용자 고유식별 정보를 포함하며,
    각 전자서명 대상단말이 데이터 통신이 가능한 전자기기로 이루어질 경우, 상기 개체인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증 정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  8. 제6 항에 있어서,
    각 전자서명 서비스 제공서버는, 상기 생성된 신규 해시값을 메모리 큐(Queue)에 임시적으로 저장한 후, 상기 메모리 큐에 임시적으로 저장된 신규 해시값을 기 설정된 시간간격으로 리드(Read)하여 상기 해시트리의 구성에 사용되도록 하며,
    상기 구성된 해시트리의 해시체인과 연계된 전자서명 서비스 제공서버와 연동하여 상기 구성된 해시트리의 루트값을 연산하고 이를 통해 고유 전자서명을 생성하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 시스템.
  9. 다수의 전자서명 대상단말, 다수의 전자서명 서비스 제공서버 및 전자서명 서비스 중계서버를 포함하는 시스템을 이용하여 해시함수 기반의 대규모 동시 전자서명을 서비스하는 방법으로서,
    (a) 상기 전자서명 서비스 구성서버를 통해 각 전자서명 서비스 제공서버로부터 고유 인증정보를 제공받아 이를 바탕으로 전자서명 서비스 수행 권한에 따라 대규모 전자서명 생성에 대하여 병렬적인 분산처리를 수행할 수 있도록 기 설정된 계층적 구조의 해시트리를 구성하는 단계;
    (b) 상기 전자서명 서비스 중계서버를 통해 각 전자서명 대상단말로부터 전자서명 서비스 접속 요청에 응답하여 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버로 접속될 수 있도록 중계하는 단계; 및
    (c) 상기 단계(b)에서 선택된 전자서명 서비스 제공서버를 통해 각 전자서명 대상단말의 전자서명 생성 요청에 응답하여 상기 단계(a)에서 구성된 해시트리의 해시체인에 대한 분산처리 기반으로 대규모 동시 전자서명 서비스를 제공하는 단계를 포함하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  10. 제9 항에 있어서,
    상기 단계(a)에서, 상기 전자서명 서비스 구성서버를 통해 상기 전자서명 서비스 제공서버를 신규로 등록할 경우,
    해당 신규 전자서명 서비스 제공서버를 통해 고유 인증정보를 이용하여 상기 전자서명 서비스 구성서버로 전자서명 서비스 연동 인증을 위한 고유 인증토큰 발급 요청메시지를 전송하는 단계와,
    상기 전자서명 서비스 구성서버를 통해 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증정보를 제공받아 기 저장된 고유 인증정보와 비교하여 해당 신규 전자서명 서비스 제공서버가 전자서명 서비스 수행 권한이 있는 경우, 해당 고유 인증정보에 대한 고유 인증토큰을 생성 및 암호화함과 아울러 전자서명 서비스 연동정보를 생성 및 암호화하여 해당 신규 전자서명 서비스 제공서버로 전송하는 단계와,
    해당 신규 전자서명 서비스 제공서버를 통해 상기 전자서명 서비스 구성서버로부터 암호화된 고유 인증토큰 및 전자서명 서비스 연동정보를 복호화한 후, 복호화 된 전자서명 서비스 연동정보 내의 접속대상 전자서명 서비스 제공서버의 목록에 따라 고유 인증토큰을 이용하여 전자서명 서비스 연동 인증에 대한 승인 요청메시지를 전송하는 단계와,
    해당 접속대상 전자서명 서비스 제공서버를 통해 상기 전자서명 서비스 구성서버와 연동하여 해당 신규 전자서명 서비스 제공서버로부터 전송된 고유 인증토큰을 복호화한 후, 복호화 성공 시 전자서명 서비스 연동 인증승인 결과를 해당 신규 전자서명 서비스 제공서버로 전송하는 단계를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  11. 제10 항에 있어서,
    상기 전자서명 서비스 연동정보는, 접속대상 전자서명 서비스 제공서버의 목록, 처리를 담당할 부분 해시트리의 위치 및 서비스 권한 정보를 포함하고,
    상기 전자서명 서비스 제공서버가 특정한 서버 관리자에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 서버 관리자의 아이디/패스워드(ID/PW), 생체특징정보, OTP(One Time Password) 및 PKI(Public Key Infrastructure) 기반의 개인키에 의해 생성된 인증정보 중 적어도 어느 하나의 서버 관리자 고유식별 정보를 포함하며,
    상기 전자서명 서비스 제공서버가 특정한 서버 하드웨어에 종속적으로 대규모 동시 전자서명 서비스를 수행하는 경우, 상기 고유 인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  12. 제9 항에 있어서,
    상기 단계(b)는,
    (b-1) 각 전자서명 대상단말을 통해 상기 전자서명 서비스 중계서버로 전자서명 서비스 접속을 위한 요청메시지를 전송하는 단계; 및
    (b-2) 상기 전자서명 서비스 중계서버를 통해 상기 단계(b-1)에서 전송된 전자서명 서비스 접속을 위한 요청메시지를 제공받아 현재 이용 가능한 전자서명 서비스 제공서버들 중 선택된 어느 하나의 전자서명 서비스 제공서버에 접속하기 위한 전자서명 서비스 제공서버의 접속정보를 생성하여 해당 전자서명 대상단말로 전송하는 단계를 포함하되,
    해당 전자서명 대상단말을 통해 상기 단계(b-2)에서 전송된 전자서명 서비스 제공서버의 접속정보를 이용하여 해당 전자서명 서비스 제공서버에 접속하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  13. 제12 항에 있어서,
    상기 단계(b-2)에서, 상기 전자서명 서비스 제공서버의 접속정보는, 전자서명 서비스 제공서버의 고유 IP 주소, 네트워크 프로토콜 종류 및 메시지 프로토콜 종류 중 적어도 어느 하나의 정보를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  14. 제9 항에 있어서,
    상기 단계(c)는,
    (c-1) 각 전자서명 대상단말을 통해 별도의 인증서버로 개체인증정보를 전송하여 개체인증 승인을 요청하는 단계;
    (c-2) 상기 인증서버를 통해 상기 단계(c-1)에서 전송된 개체인증정보와 기 저장된 개체인증정보를 비교하여 일치할 경우, 고유 인증토큰을 생성 및 암호화하여 해당 전자서명 대상단말로 전송하는 단계;
    (c-3) 각 전자서명 대상단말을 통해 상기 단계(c-2)에서 전송된 고유 인증토큰을 상기 전자서명 서비스 제공서버로 전송하여 개체인증 승인을 요청하는 단계;
    (c-4) 상기 전자서명 서비스 제공서버를 통해 상기 인증서버와 연동하여 상기 단계(c-3)에서 전송된 고유 인증토큰을 복호화하고, 복호화 성공 시 인증승인 결과를 해당 전자서명 대상단말로 전송하는 단계;
    (c-5) 해당 전자서명 대상단말을 통해 기 설정된 해시함수에 의해 생성된 전자서명 대상데이터의 해시값과 함께 개체식별정보를 상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버로 전송하여 전자서명을 요청하는 단계; 및
    (c-6) 상기 전자서명 서비스 중계서버에 의해 선택된 전자서명 서비스 제공서버를 통해 상기 단계(c-5)에서 전송된 전자서명 대상데이터의 해시값과 개체식별정보를 결합하여 신규 해시값을 생성한 후, 상기 생성된 신규 해시값을 이용하여 상기 구성된 해시트리의 해시체인을 기반으로 고유 전자서명을 생성하고 이를 해당 전자서명 대상단말로 전송하는 단계를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  15. 제14 항에 있어서,
    각 전자서명 대상단말이 특정 사용자에 의해 전자서명을 요청하기 위한 사용자 단말로 이루어질 경우, 상기 개체인증정보는, 사용자의 회원 아이디/패스워드(ID/PW), 주민번호, 전화번호, 생체특징정보, OTP(One Time Password), PKI(Public Key Infrastructure) 및 공인 인증서 정보 중 적어도 어느 하나의 사용자 고유식별 정보를 포함하며,
    각 전자서명 대상단말이 데이터 통신이 가능한 전자기기로 이루어질 경우, 상기 개체인증정보는, 기기의 이름, 기기의 비밀번호, 기기의 일련번호, 기기의 종류, 기기의 제조회사, 기기의 MAC(Media Access Control) 주소, 기기의 고유 IP(Internet Protocol) 주소, 기기의 모델 및 기기의 버전, 기기의 비밀키, PKI 기반의 개인키에 의해 생성된 기기의 인증 정보 중 적어도 어느 하나의 기기 고유식별 정보를 포함하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  16. 제14 항에 있어서,
    상기 단계(c-6)에서, 각 전자서명 서비스 제공서버는, 상기 생성된 신규 해시값을 메모리 큐(Queue)에 임시적으로 저장한 후, 상기 메모리 큐에 임시적으로 저장된 신규 해시값을 기 설정된 시간간격으로 리드(Read)하여 상기 해시트리의 구성에 사용되도록 하며,
    상기 구성된 해시트리의 해시체인과 연계된 전자서명 서비스 제공서버와 연동하여 상기 구성된 해시트리의 루트값을 연산하고 이를 통해 고유 전자서명을 생성하는 것을 특징으로 하는 해시함수 기반의 대규모 동시 전자서명 서비스 방법.
  17. 제9 항 내지 제16 항 중 어느 한 항의 방법을 컴퓨터로 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
KR1020150160810A 2015-11-17 2015-11-17 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법 KR101977109B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150160810A KR101977109B1 (ko) 2015-11-17 2015-11-17 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법
US15/054,976 US10091004B2 (en) 2015-11-17 2016-02-26 Large-scale simultaneous digital signature service system based on hash function and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150160810A KR101977109B1 (ko) 2015-11-17 2015-11-17 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20170057549A true KR20170057549A (ko) 2017-05-25
KR101977109B1 KR101977109B1 (ko) 2019-08-28

Family

ID=58691467

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150160810A KR101977109B1 (ko) 2015-11-17 2015-11-17 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US10091004B2 (ko)
KR (1) KR101977109B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019124610A1 (ko) * 2017-12-21 2019-06-27 문인식 블록체인을 이용한 개인정보 분리 후 분산 저장 및 조합을 통한 인증 방법
KR102048025B1 (ko) * 2019-04-25 2019-11-22 주식회사 티이이웨어 인증 프로토콜에 기반하여 문서를 안전하고 편리하게 승인하는 시스템 및 방법
KR102038088B1 (ko) 2019-04-03 2019-11-26 주식회사 한국정보보호경영연구소 디지털 인감을 제공하는 블록체인 기반의 전자문서 관리 시스템
KR102171463B1 (ko) * 2020-02-28 2020-10-29 주식회사 에이오엔 데이터 보안 방법, 데이터 보안 인증서버, 및 데이터 보안 장치
KR20210005061A (ko) * 2018-05-04 2021-01-13 인테그리티 시큐리티 서비시즈 엘엘씨 클로킹 권한 시스템

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101772554B1 (ko) 2016-02-02 2017-08-30 주식회사 코인플러그 파일에 대한 노터리 서비스를 제공하고 상기 노터리 서비스를 사용하여 기록된 파일에 대한 검증을 수행하는 방법 및 서버
US20180004841A1 (en) * 2016-07-04 2018-01-04 Synergex Group System and method for retrieving a signature on a secondary device using a device request
US10484181B2 (en) * 2016-12-12 2019-11-19 Datiphy Inc. Streaming non-repudiation for data access and data transaction
US11563567B2 (en) * 2017-09-27 2023-01-24 Visa International Service Association Secure shared key establishment for peer to peer communications
MX2020008574A (es) * 2018-02-16 2020-12-07 Boloro Global Ltd Sistema y método de lotería, apuestas deportivas y juego autenticados que cumplan con la ley sharia.
WO2019245924A1 (en) * 2018-06-19 2019-12-26 Docusign, Inc. File validation using a blockchain
FR3094521A1 (fr) * 2019-03-29 2020-10-02 Orange Procédés et dispositifs permettant de prouver la connaissance d’une donnée par un utilisateur d’une chaîne de blocs
US11601284B2 (en) * 2019-06-14 2023-03-07 Planetway Corporation Digital signature system based on a cloud of dedicated local devices
US11405217B2 (en) * 2019-07-02 2022-08-02 Schneider Electric USA, Inc. Ensuring data consistency between a modular device and an external system
CN111181723B (zh) * 2019-09-09 2021-10-15 腾讯科技(深圳)有限公司 物联网设备间离线安全认证的方法和装置
CN110912707B (zh) * 2019-11-22 2021-09-10 腾讯科技(深圳)有限公司 基于区块链的数字证书处理方法、装置、设备及存储介质
US11743053B2 (en) * 2019-12-03 2023-08-29 Keisuke Kido Electronic signature system and tamper-resistant device
WO2021145894A1 (en) * 2020-01-17 2021-07-22 Planetway Corporation Digital signature system using reliable servers
KR102357698B1 (ko) * 2020-02-24 2022-02-14 황순영 부분 해시값을 이용한 개인키 관리 방법
US11575661B2 (en) * 2020-07-22 2023-02-07 Tailscale Inc. Centralized management of private networks
CN114422510B (zh) * 2020-10-13 2024-04-30 腾讯科技(深圳)有限公司 业务处理方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100241349B1 (ko) 1997-09-11 2000-02-01 정선종 문서의 전자적 공증 방법
KR20060050505A (ko) * 2004-10-22 2006-05-19 삼성전자주식회사 네트워크 시스템에서의 키 관리방법
KR101388930B1 (ko) * 2012-10-19 2014-04-25 소프트포럼 주식회사 분리 서명 기반의 사용자 인증 장치 및 방법

Family Cites Families (57)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6237096B1 (en) * 1995-01-17 2001-05-22 Eoriginal Inc. System and method for electronic transmission storage and retrieval of authenticated documents
US6301659B1 (en) * 1995-11-02 2001-10-09 Silvio Micali Tree-based certificate revocation system
WO2001011843A1 (en) * 1999-08-06 2001-02-15 Sudia Frank W Blocked tree authorization and status systems
US20040186996A1 (en) * 2000-03-29 2004-09-23 Gibbs Benjamin K. Unique digital signature
US20020184504A1 (en) * 2001-03-26 2002-12-05 Eric Hughes Combined digital signature
JP3994057B2 (ja) * 2001-04-18 2007-10-17 インターナショナル・ビジネス・マシーンズ・コーポレーション エッジ・サーバ・コンピュータを選択する方法およびコンピュータ・システム
WO2005017809A2 (en) * 2003-08-15 2005-02-24 Docomo Communications Laboratories Usa, Inc. Method and apparatus for authentication of data streams with adaptively controlled losses
US7523171B2 (en) * 2003-09-09 2009-04-21 International Business Machines Corporation Multidimensional hashed tree based URL matching engine using progressive hashing
US8719576B2 (en) * 2003-12-22 2014-05-06 Guardtime IP Holdings, Ltd Document verification with distributed calendar infrastructure
KR20070034603A (ko) * 2004-06-25 2007-03-28 페퍼코인 아이엔씨 지불 처리 방법 및 시스템
US7406597B2 (en) * 2004-10-29 2008-07-29 International Business Machines Corporation Methods for efficiently authenticating multiple objects based on access patterns
US20090157735A1 (en) * 2005-05-13 2009-06-18 Gentry Craig B Method and apparatus for secure and small credits for verifiable service provider metering
US8019988B2 (en) * 2005-08-22 2011-09-13 The State Of Oregon Acting By And Through The State Board Of Higher Education On Behalf Of The University Of Oregon Security protocols for hybrid peer-to-peer file sharing networks
WO2007087363A2 (en) * 2006-01-24 2007-08-02 Brown University Efficient content authentication in peer-to-peer networks
US7707136B2 (en) * 2006-03-31 2010-04-27 Amazon Technologies, Inc. System and method for providing high availability data
JP4359622B2 (ja) * 2007-01-22 2009-11-04 富士通株式会社 電子署名プログラム、および電子署名装置
JP4584300B2 (ja) * 2007-12-19 2010-11-17 富士通株式会社 電子署名プログラム、コンピュータにより読み取り可能な記録媒体、電子署名装置、電子署名方法
JP5230792B2 (ja) * 2009-02-26 2013-07-10 富士通株式会社 画像管理方法、画像管理プログラム、画像管理システム
US8682903B2 (en) * 2009-06-30 2014-03-25 International Business Machines Corporation System and method for synchronized content directories on cluster devices
US8477379B2 (en) * 2009-10-06 2013-07-02 Hewlett-Packard Development Company, L.P. Secure document workflow
JP5105291B2 (ja) * 2009-11-13 2012-12-26 セイコーインスツル株式会社 長期署名用サーバ、長期署名用端末、長期署名用端末プログラム
JP5336403B2 (ja) * 2010-02-24 2013-11-06 富士通株式会社 ノード装置およびコンピュータプログラム
EP2543215A2 (en) * 2010-03-05 2013-01-09 InterDigital Patent Holdings, Inc. Method and apparatus for providing security to devices
US9705730B1 (en) * 2013-05-07 2017-07-11 Axcient, Inc. Cloud storage using Merkle trees
US8924365B2 (en) * 2011-02-08 2014-12-30 Wavemarket, Inc. System and method for range search over distributive storage systems
US8799247B2 (en) * 2011-02-11 2014-08-05 Purdue Research Foundation System and methods for ensuring integrity, authenticity, indemnity, and assured provenance for untrusted, outsourced, or cloud databases
US8874921B2 (en) * 2011-06-20 2014-10-28 Guardtime IP Holdings, Ltd. System and method for generating keyless digital multi-signatures
KR101930263B1 (ko) * 2012-03-12 2018-12-18 삼성전자주식회사 클라우드 게이트웨이의 콘텐츠 관리 장치 및 방법
ES2912265T3 (es) * 2012-08-30 2022-05-25 Triad Nat Security Llc Autenticación multifactor utilizando comunicación cuántica
US20140245020A1 (en) * 2013-02-22 2014-08-28 Guardtime Ip Holdings Limited Verification System and Method with Extra Security for Lower-Entropy Input Records
GB2512324B (en) * 2013-03-26 2020-12-09 Cloudtomo Ltd Improvements in or relating to public-key certificate management
US20160110261A1 (en) * 2013-05-07 2016-04-21 Axcient, Inc. Cloud storage using merkle trees
DE102013209612A1 (de) * 2013-05-23 2014-11-27 Siemens Aktiengesellschaft Verfahren zum Durchführen eines automatischen Öffnens eines Fahrzeugs oder eines Bezahl-Vorgangs sowie zugehörige Vorrichtung
US9853819B2 (en) * 2013-08-05 2017-12-26 Guardtime Ip Holdings Ltd. Blockchain-supported, node ID-augmented digital record signature method
US9473306B2 (en) * 2013-08-05 2016-10-18 Guardtime IP Holdings, Ltd. Document verification with ID augmentation
US9268969B2 (en) * 2013-08-14 2016-02-23 Guardtime Ip Holdings Limited System and method for field-verifiable record authentication
WO2015024603A1 (en) * 2013-08-23 2015-02-26 Nec Europe Ltd. Method and system for authenticating a data stream
US20160119152A1 (en) * 2013-12-02 2016-04-28 Guardtime Ip Holdings Limited Non-deterministic time generation and event-association system
US9178708B2 (en) * 2013-12-02 2015-11-03 Guardtime Ip Holdings Limited Non-deterministic time systems and methods
US9614682B2 (en) * 2014-04-11 2017-04-04 Guardtime IP Holdings, Ltd. System and method for sequential data signatures
US10356094B2 (en) * 2014-06-30 2019-07-16 Vescel, Llc Uniqueness and auditing of a data resource through an immutable record of transactions in a hash history
US10396992B2 (en) * 2014-06-30 2019-08-27 Vescel, Llc Authentication of a user and/or a device through parallel synchronous update of immutable hash histories
SG10201808109QA (en) * 2014-07-11 2018-10-30 Loyyal Corp Distributed ledger protocol to incentivize transactional and non-transactional commerce
WO2016043757A1 (en) * 2014-09-18 2016-03-24 Hewlett Packard Enterprise Development Lp Data to be backed up in a backup system
US20160098730A1 (en) * 2014-10-01 2016-04-07 The Filing Cabinet, LLC System and Method for Block-Chain Verification of Goods
US20160098723A1 (en) * 2014-10-01 2016-04-07 The Filing Cabinet, LLC System and method for block-chain verification of goods
EP3259873B1 (en) * 2015-02-20 2018-12-12 Telefonaktiebolaget LM Ericsson (publ) Method of providing a hash value for a piece of data, electronic device and computer program
EP3259871B1 (en) * 2015-02-20 2020-09-16 Telefonaktiebolaget LM Ericsson (publ) Method of providing a hash value for a piece of data, electronic device and computer program
US9473510B2 (en) * 2015-02-25 2016-10-18 Guardtime IP Holdings, Ltd. System and method for location verification
US10158492B2 (en) * 2015-02-25 2018-12-18 Guardtime Ip Holdings Limited Blockchain-supported device location verification with digital signatures
US9911007B2 (en) * 2015-02-27 2018-03-06 Guardtime IP Holdings, Ltd. Redundant fail-safe synchronization in a data authentication infrastructure
US20160306373A1 (en) * 2015-04-16 2016-10-20 Fujitsu Limited Authenticated down-sampling of time-series data
US9697340B2 (en) * 2015-06-14 2017-07-04 Guardtime IP Holdings, Ltd. System and methods with assured one-time, replay-resistant passwords
US10277608B2 (en) * 2015-08-20 2019-04-30 Guardtime Ip Holdings Limited System and method for verification lineage tracking of data sets
US10425428B2 (en) * 2015-08-20 2019-09-24 Guardtime Sa Verification lineage tracking and transfer control of data sets
KR101658501B1 (ko) * 2015-09-03 2016-09-22 주식회사 마크애니 해시함수 기반의 전자서명 서비스 시스템 및 그 방법
US9626653B2 (en) * 2015-09-21 2017-04-18 Adobe Systems Incorporated Document distribution and interaction with delegation of signature authority

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100241349B1 (ko) 1997-09-11 2000-02-01 정선종 문서의 전자적 공증 방법
KR20060050505A (ko) * 2004-10-22 2006-05-19 삼성전자주식회사 네트워크 시스템에서의 키 관리방법
KR101388930B1 (ko) * 2012-10-19 2014-04-25 소프트포럼 주식회사 분리 서명 기반의 사용자 인증 장치 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Ahto Buldas et al., "Keyless Signatures’ Infrastructure: How to Build Global Distributed Hash-Trees" (2013.)* *

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019124610A1 (ko) * 2017-12-21 2019-06-27 문인식 블록체인을 이용한 개인정보 분리 후 분산 저장 및 조합을 통한 인증 방법
KR20210005061A (ko) * 2018-05-04 2021-01-13 인테그리티 시큐리티 서비시즈 엘엘씨 클로킹 권한 시스템
KR102038088B1 (ko) 2019-04-03 2019-11-26 주식회사 한국정보보호경영연구소 디지털 인감을 제공하는 블록체인 기반의 전자문서 관리 시스템
KR102048025B1 (ko) * 2019-04-25 2019-11-22 주식회사 티이이웨어 인증 프로토콜에 기반하여 문서를 안전하고 편리하게 승인하는 시스템 및 방법
KR102171463B1 (ko) * 2020-02-28 2020-10-29 주식회사 에이오엔 데이터 보안 방법, 데이터 보안 인증서버, 및 데이터 보안 장치

Also Published As

Publication number Publication date
US10091004B2 (en) 2018-10-02
KR101977109B1 (ko) 2019-08-28
US20170141924A1 (en) 2017-05-18

Similar Documents

Publication Publication Date Title
KR101977109B1 (ko) 해시함수 기반의 대규모 동시 전자서명 서비스 시스템 및 그 방법
KR101658501B1 (ko) 해시함수 기반의 전자서명 서비스 시스템 및 그 방법
Wazid et al. AKM-IoV: Authenticated key management protocol in fog computing-based Internet of vehicles deployment
US11880831B2 (en) Encryption system, encryption key wallet and method
Park et al. BPPS: Blockchain-enabled privacy-preserving scheme for demand-response management in smart grid environments
EP1610202B1 (en) Using a portable security token to facilitate public key certification for devices in a network
Mektoubi et al. New approach for securing communication over MQTT protocol A comparaison between RSA and Elliptic Curve
CA2772136C (en) System and method for providing credentials
US10742426B2 (en) Public key infrastructure and method of distribution
GB2490483A (en) Digital signature method generating strong cryptographic parameter form weak security parameter.
US11367065B1 (en) Distributed ledger system for electronic transactions
CN109981287B (zh) 一种代码签名方法及其存储介质
CN109905877B (zh) 通信网络系统的消息验证方法、通信方法和通信网络系统
CN101183942A (zh) 基于客户端证书的安全会话认证方法及设备
CN113743939A (zh) 基于区块链的身份认证方法、装置及系统
WO2019110399A1 (en) Two-party signature device and method
CN112003696A (zh) Sm9密钥生成方法、系统、电子设备、装置及存储介质
WO2021098152A1 (zh) 基于区块链的数据处理方法、装置及计算机设备
Hosen et al. SPTM-EC: A security and privacy-preserving task management in edge computing for IIoT
CN114039753A (zh) 一种访问控制方法、装置、存储介质及电子设备
CN114553590A (zh) 数据传输方法及相关设备
Djellali et al. User authentication scheme preserving anonymity for ubiquitous devices
CN112364335B (zh) 标识身份鉴别方法、装置及电子设备和存储介质
CN110784318B (zh) 群密钥更新方法、装置、电子设备、存储介质及通信系统
CN114268437A (zh) 数据处理方法、区块链节点、系统和计算机可读存储介质

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right