KR20210120743A - 일회성 비대칭키를 이용한 전자서명 방법 및 시스템 - Google Patents

일회성 비대칭키를 이용한 전자서명 방법 및 시스템 Download PDF

Info

Publication number
KR20210120743A
KR20210120743A KR1020200037866A KR20200037866A KR20210120743A KR 20210120743 A KR20210120743 A KR 20210120743A KR 1020200037866 A KR1020200037866 A KR 1020200037866A KR 20200037866 A KR20200037866 A KR 20200037866A KR 20210120743 A KR20210120743 A KR 20210120743A
Authority
KR
South Korea
Prior art keywords
signature
digital signature
management server
requester
digital
Prior art date
Application number
KR1020200037866A
Other languages
English (en)
Inventor
정재권
Original Assignee
주식회사 화음
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 화음 filed Critical 주식회사 화음
Priority to KR1020200037866A priority Critical patent/KR20210120743A/ko
Publication of KR20210120743A publication Critical patent/KR20210120743A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

본 발명은 공개키 방법이 갖고 있는 개인키 유출 위험의 문제를 해결하면서도 공개키 방법 수준의 높은 인증, 위조불가, 변경불가, 재사용불가, 부인방지 기능을 제공할 수 있는 전자서명 방법 및 시스템에 관한 것이다.
본 발명은 전자서명 관리 서버가, 가입자로부터 서명 대상 문서와 함께 서명 요청 정보를 받으면, 서명 요청자의 신원을 확인하는 단계; 상기 전자서명 관리 서버가, 서명 요청자에 대응하는 개인키와 공개키를 생성하는 단계; 상기 전자서명 관리 서버가, 고유한 개인키로 상기 서명 요청자의 식별 정보와 공개키에 대한 해시(hash)값을 암호화함으로써 인증서를 생성하는 단계; 상기 서명 요청자에 대응하는 개인키로 서명 대상 문서의 해시값을 암호화함으로써 전자서명 데이터를 생성하는 단계; 상기 전자서명 관리 서버가 상기 서명 대상 문서, 상기 전자서명하여 생성한 전자서명 데이터 및 상기 인증서를 상기 전자서명 관리 서버에 저장하는 단계; 및 상기 전자서명 관리 서버가 상기 서명 대상 문서, 상기 전자서명하여 생성한 전자서명 데이터 및 상기 인증서를 상기 서명 요청을 한 가입자에게 전송하는 단계;를 포함한다.

Description

일회성 비대칭키를 이용한 전자서명 방법 및 시스템{Method and apparaus for digital signature using temporary asymmetric cryptographic key}
본 발명은 일회성 비대칭키를 이용한 전자서명에 관한 것으로서, 보다 구체적으로는 일회성 비대칭키의 발급, 인증, 관리 및 개인키의 관리나 분실할 필요가 없는 전자서명의 방법 및 시스템에 관한 것이다.
전자 서명(Digital Signature)은 인터넷 환경에서 문서의 서명자를 인증(Authentication)하고 서명된 문서가 변조되지 않았음을 보장하기 위하여 사용되고 있다. 전자서명 방법으로써 비대칭 암호화 방식 즉, 공개키 방법이 쓰이고 있는데, 공개키 방법은 개인키로 암호화된 문서는 개인키에 대응되는 공개키로만 복호화할 수 있고, 개인키에 대응되는 공개키로부터 개인키를 알아내는 것이 사실상 불가능하다는 것을 이용하여, 개인키로 문서의 해시값을 암호화(서명)하여 문서와 전자서명 생성정보를 공개키와 함께 전달하면 이를 전달받은 자는 전자서명생성정보를 공개키로 복호화하여 문서로부터 계산한 해시값과 비교함으로써 서명자와 문서의 진위를 확인하는 방법으로써, 위조불가(Unforgeable), 인증(Authentication), 재사용 불가(Not Reusable), 변경 불가(Unalterable), 부인 방지(Non Repudiation)의 기능을 제공한다.
공개키 방법에 의한 전자서명은 높은 수준의 인증, 위조불가, 부인 방지 기능을 제공할 수 있지만, 이는 공개키에 대응되는 사용자의 신분을 누군가가 높은 신뢰도로 인증해주어야 하며, 개인키를 다른 사람이 알 수 없도록 안전하게 관리하는 것을 전제로 한다.
따라서 관리 소홀, 해킹 등의 이유로 개인키가 타인에게 유출되면 타인이 개인키를 이용하여 문서에 대한 서명을 할 수 있기 때문에 유출된 시점으로부터 문서에 대한 위조불가, 인증, 변경 불가, 부인 방지 등의 기능을 담보할 수 없게 되는 문제가 있다.
이러한 이유로 공개키 방법을 사용하지 않고, 서명 대상 문서에 서명 이미지 삽입, 아이피 주소(Internet Protocol Address) 및 타임스탬프 삽입 등의 방법을 이용한 전자서명이 사용되기도 하나, 이러한 전자서명 방법은 공개키 방법보다 훨씬 낮은 수준의 인증, 위조불가, 변경 불가, 부인방지 기능을 제공하는 문제점이 있다.
본 발명은 위와 같이 공개키 방법이 갖고 있는 개인키 유출 위험의 문제를 해결하면서도 공개키 방법과 동등하거나 그 이상의 수준의 인증, 위조불가, 변경불가, 재사용불가, 부인방지 기능을 제공할 수 있는 방법으로써 일회성 비대칭키를 발급하고 인증기관이 인증하며 해당 비대칭키의 개인키로 문서를 전자서명하는 방법을 제공하는 것을 목적으로 한다.
상기의 목적을 달성하기 위한 본 발명의 제1측면은 개인키 유출을 원천적으로 방지하고 전자서명의 신뢰도를 향상시키는 전자서명 방법으로서, (a) 전자서명 관리 서버가, 전자서명 요청자로부터 서명 대상 문서 정보와 함께 서명 요청 정보를 받으면, 서명 대상 문서 정보를 서버에 저장하고, 서명 요청자의 신원을 확인하는 단계; (b) 상기 전자서명 관리 서버가, 서명 요청자에 대응하는 개인키와 공개키를 생성하는 단계; (c) 상기 전자서명 관리 서버가, 고유한 개인키로 상기 서명 요청자의 식별정보와 공개키에 대한 해시(Hash)값을 암호화함으로써 인증서를 생성하는 단계; (d) 상기 서명 요청자에 대응하는 개인키로 서명 대상 문서의 해시값을 암호화함으로써 전자서명 데이터를 생성하는 단계; (e) 상기 전자서명 관리 서버가 상기 서명 대상 문서 정보, 상기 전자서명하여 생성한 전자서명 데이터, 서명 요청자의 공개키 및 상기 인증서를 상기 전자서명 관리 서버에 저장하는 단계; 및 (f) 상기 전자서명 관리 서버가 상기 전자서명하여 생성한 전자서명 데이터, 상기 서명 요청자 공개키 및 상기 인증서를 상기 서명 요청을 한 가입자에게 전송하는 단계;를 포함한다.
상기 (f) 서명 요청자의 신원을 확인하는 단계는, 상기 전자서명 관리 서버가, 서명요청자에게 신원 확인을 요청하면, 서명 요청자는 인증서버에 신원 인증을 요청하고 인증서버가 인증 결과를 전자서명 관리 서버에 송신하는 단계를 포함할 수 있다.
상기 (d) 전자서명 관리 서버에 저장하는 단계는, 상기 전자서명 관리 서버가 상기 서명 요청자에 대응하는 개인키를 암호화 하여 저장하거나 전자서명이 완료된 직후 삭제 하는 단계를 포함할 수 있다.
본 발명의 제 2측면은, 개인키 유출을 원천적으로 방지하고 전자서명의 신뢰도를 향상시키는 전자서명 시스템으로서, 전자서명 요청자의 서명 대상 문서와 전자서명 요청 정보를 수신하고 전자서명 결과를 송신하는 통신부; 전자서명 관리 서버가, 서명 요청자로부터 서명 대상 문서 정보와 함께 서명 요청 정보를 받으면, 서명 대상 문서 정보를 서버에 저장하고, 서명 요청자의 신원을 확인하는 단계, 상기 전자서명 관리 서버가, 서명 요청자에 대응하는 개인키와 공개키를 생성하는 단계, 상기 전자서명 관리 서버가, 고유한 개인키로 상기 서명 요청자의 식별정보와 공개키에 대한 해시값을 암호화함으로써 인증서를 생성하는 단계, 상기 서명 요청자에 대응하는 개인키로 서명 대상 문서의 해시값을 암호화함으로써 전자서명 정보를 생성하는 단계, 상기 전자서명 관리 서버가 상기 서명 대상 문서 정보, 상기 전자서명하여 생성한 전자서명 데이터, 상기 서명 요청자의 공개키, 개인키 및 상기 인증서를 상기 전자서명 관리 서버에 저장하는 단계, 상기 전자서명 관리 서버가 상기 전자서명하여 생성한 전자서명 데이터, 공개키 및 상기 인증서를 상기 서명 요청을 한 가입자에게 전송하는 단계 및 상기 전자서명 관리 서버가 상기 서명 요청자에 대응하는 개인키를 삭제 하는 단계를 수행하는 연산부; 및 상기 서명 대상 문서, 상기 전자서명하여 생성한 전자서명 정보, 상기 서명 요청자의 공개키 및 상기 인증서 정보를 저장하고 해당 정보를 읽는 데이터베이스 관리부;를 포함한다.
본 발명의 제3측면은, 본 발명의 일 실시예에 의한 방법을 컴퓨터에서 실행시키기 위하여 매체에 저장된 컴퓨터프로그램과 본 발명의 일 실시예에 의한 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
본 발명에 따른 개인키 유출을 원천적으로 방지하고 전자서명의 신뢰도를 향상시키는 전자서명 방법은 컴퓨터로 판독할 수 있는 기록매체에 컴퓨터로 판독할 수 있는 코드로 구현된 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체에는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
예컨대, 컴퓨터가 읽을 수 있는 기록매체로는 롬(ROM), 램(RAM), 씨디-롬(CD-ROM), 자기 테이프, 하드디스크, 플로피디스크, 이동식 저장장치, 비휘발성 메모리(Flash Memory), 광 데이터 저장장치 등이 있다.
본 발명은 서명 요청자가 전자서명을 요청할 때마다 매번 개인키와 공개키를 생성하고, 전자서명 이후에는 즉시 개인키를 삭제하거나 암호화하여 전자서명 관리 서버에만 저장하게 하므로 개인키의 유출 위험이 원천적으로 차단되어 개인키 유출에 따른 문제가 원천적으로 발생하지 않게 된다.
또한, 본 발명은 서명자의 서명행위와 문서의 진위를 검증할 수 있게 하고, 위와 같이 개인키 유출의 문제가 발생하지 않으면서도 공개키 방법에 의한 전자서명이 갖는 수준 이상의 인증, 위조불가, 변경불가, 재사용불가, 부인방지 기능을 제공한다.
나아가, 본 발명은 누구든 본 발명에 의해 전자서명된 문서와 전자서명 생성정보에 대해 검증을 요청하면 검증 결과를 제공할 수 있고, 전자서명 관리 서버가 전자서명을 한 서명자의 공개키와 인증서를 서명된 문서와 함께 제공함으로써 인증서를 발급한 전자서명 관리 서버의 고유의 공개키를 아는 누구나 검증할 수 있게 함으로써, 전저서명된 문서의 변조 여부, 서명의 진위 여부를 서명된 전자문서의 원본 및 사본의 존재만으로도 누구나 쉽게 검증할 수 있게 하여, 서명된 전자문서를 위조, 변조를 걱정하지 않고 관리하고, 유통할 수 있게 한다.
게다가, 본 발명은 전자서명을 요청한 경우, 사용자의 이메일, 모바일 전화번호 등을 이용하여 전자서명 요청자의 승인을 요청하기 때문에 서명자 인증(Authentication)에 대한 신뢰도를 더욱 높이고 보안성을 더욱 강화하는 효과가 있다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 본 발명의 일 실시예에 따른, 전자서명 시스템을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른, 전자서명 시스템에서 서명 요청자의 개인키와 공개키를 생성하고, 인증하며, 전자서명 데이터를 생성하고, 검증하는 방법을 설명하는 흐름도이다.
전술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되며, 이에 따라 본 발명이 속하는 기술분 야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 상세한 설명을 생략한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다.
명세서 전체에서 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있음을 의미한다.
이하, 첨부 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다. 그러나, 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시예에 한정되는 것은 아니다. 본 발명의 실시예는 당업계에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공되어지는 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포 하는 제조 품목을 생산하는 것도 가능하다.
그리고, 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 일 실시예에 따른 전자서명 관리 시스템을 나타내는 도면이다.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 전저서명 관리 시스템(100)은 연산부(110), 통신부(120) 및 저장부(130) 등을 포함하여 이루어진다.
통신부(120)는 수신기(Receiver)와 송신기(Transmitter)를 포함하는 통신 인터페이스 장치로서 통신부(120)는 유선 또는 무선으로 데이터를 송수신한다. 통신부(120)는 서명 요청자 단말기(200) 및 인증서버(300)과 통신하여 서명 요청자의 j보, 서명 대상 문서 정보 및 전자서명 요청 정보 등의 데이터를 송수신할 수 있다.
저장부(130)는 서명 요청자 단말기(200)로부터 수신한 서명 대상 문서 정보, 식별정보를 저장할 수 있고, 공개키, 개인키 및 인증서 생성 과정과 전자서명 과정에서 생성한 정보들을 저장할 수도 있다.
키생성부(111)는 RSA(Rivest, Sharmir, Adleman) 알고리즘 등을 이용하여 서명 요청자에 대응하는 개인키(Private Key)와 공개키(Public Key)를 생성한다.
인증서 생성부(112)는 전자서명 관리 서버가 고유한 개인키로 서명 요청자의 식별 정보와 키생성부(111)에서 생성한 공개키 등에 대해 SHA(Secure Hash Algorithm) 등을 이용하여 생성한 해시(Hash)값을 암호화함으로써 인증서를 생성시킨다.
전자서명 생성부(113)는 전자서명 알고리즘에 따라 서명 요청자의 개인키를 이용하여 서명 대상 문서의 해시값을 암호화하여 전자서명 데이터를 생성한다.
검증부(114)는 전자서명 데이터에 대한 검증 요청을 받으면, 전자서명 관리 서버(100)의 고유한 공개키를 이용하여 인증서에서 암호화된 서명자의 식별정보 및 서명자의 공개키 등을 복호화함으로써 서명자의 식별정보 등을 검증하고, 서명자의 공개키를 이용하여 암호화된 전자서명 데이터를 복호화함으로써 서명자의 서명 여부와 문서의 변조 여부를 검증한다.
상술한 도 1의 설명에서 키 생성, 인증서 생성, 전자서명 생성 및 검증을 모두 전자서명 관리 서버 내의 키 생성부(111), 인증서 생성부(112), 전자서명 생성부(113), 검증부(114)에서 수행하는 것으로 기재하였으나, 키 생성, 인증서 생성, 전자서명 생성 및 검증은 각각 별도의 장치에서 수행되어 전자서명 관리 서버로 전송될 수 있다.
도 2는 본 발명의 실시 예에 따른 전자서명 과정을 도시한 흐름도이다.
도 2를 참조하면,서명 요청자 단말기는 전자서명 관리 서버에 서명 요청자의 식별정보 및 서명 대상 문서를 전송(S100)한 뒤,전자서명을 요청한다(S110). 이 때, 전송되는 서명 요청자의 식별정보 전부 또는 일부는 생략될 수 있으며 전자서명 관리 서버는 생략된 서명 요청자의 식별정보 대신 이미 저장된 서명 요청자의 식별정보 일부 또는 전부를 이용할 수 있다. 이 때, 서명 요청자의 식별정보에는 서명 요청자의 이름, 생년월일, 휴대폰 번호, Internet Protocol Address 등이 포함될 수 있으며, 서명 대상 문서와 식별정보는 전자서명 관리 서버(100)의 저장부(130)에 저장될 수 있다.
그리고, 전자서명 관리 서버(100)은 서명 요청자의 식별정보를 이용하여 서명 요청자 단말기(200)에 신원 확인 요청(S120)을 하면, 서명 요청자 단말기(200)는 인증서버(300)에 서명 요청자의 인증정보를 전송하여 인증 승인 요청(S130)을 하고, 인증서버(300)는 서명 요청자의 인증정보를 검토하여 승인 결과를 전자서명 관리 서버(100)에 전송한다(S140).
그리고, 전자서명 관리 서버(100)의 키 생성부(111)는 서명 요청자의 신원이 인증되면, 서명 요청자에 대응하는 개인키(Private Key)와 공개키(Public Key)를 생성한다(S150). 이때, 개인키와 공개키를 생성하기 위해 RSA(Rivest, Sharmir, Adleman) 알고리즘 등이 이용될 수 있다.
다음으로, 전자서명 관리 서버(100)의 인증서 생성부(112)는 공개키가 신원이 인증된 서명 요청자에게 부여되었다는 것을 인증하기 위하여, 서명 요청자의 식별정보와 공개키 등의 해시(Hash)값을 전자서명 관리 서버(100)의 고유 개인키로 암호화함으로써 인증서를 생성시킨다(S160). 이때, 해시(Hash)값은 SHA(Secure Hash Algorithm) 등을 이용하여 생성될 수 있다.
그리고, 전자서명 관리 서버(100)의 전자서명 생성부(114)는 전자서명 알고리즘에 따라 서명 요청자의 개인키를 이용하여 서명 대상 문서의 해시값을 암호화하여 전자서명 데이터를 생성한다(S170).
이어서, 전자서명 관리 서버(100)의 저장부(130)는 서명 대상 문서와 함께 서명 요청자의 공개키, 인증서 및 전자서명 데이터를 저장한다(S180). 이때, 서명 요청자의 비밀키는 암호화하여 저장하거나 삭제할 수 있다(S180).
그리고, 전자서명 관리 서버(100)의 통신부(120)은 서명 요청자의 공개키, 인증서 및 전자서명 데이터를 서명 요청자 단말기(200)에 전송한다(S190).
그리고, 전자서명 관리 서버(100)에 전자서명 데이터에 대한 검증 요청이 오면, 검증부(114)는 전자서명 관리 서버(100)의 고유한 공개키를 이용하여 인증서에서 암호화된 서명자의 식별정보 및 서명자의 공개키 등을 복호화함으로써 서명자의 식별정보 등을 검증하고, 서명자의 공개키를 이용하여 암호화된 전자서명 데이터를 복호화함으로써 서명자의 서명 여부와 문서의 변조 여부를 검증한다(S200).
상술한 바와 같이, 본 발명에 의하면, 개인키와 공개키가 전자서명을 위해 전저사명 관리 서버에서 일시적으로 생성되고, 개인키가 전자서명 관리 서버에만 저장되거나 개인키를 이용한 서명이 완료되는 즉시 삭제되거나 암호화되어 전자서명 관리 서버에만 존재하게 되므로 개인키의 유출이 원천적으로 차단되는 효과가 있다.
또한, 본 발명은 위와 같이 개인키 유출의 문제가 발생하지 않으면서도 공개키 방법에 의한 전자서명이 갖는 수준 이상의 인증, 위조불가, 변경불가, 재사용불가, 부인방지 기능을 제공할 수 있으며, 누구든 본 발명에 의해 전자서명된 문서의 변조 여부, 서명의 진위 여부 등을 쉽게 검증할 수 있게 한다.
상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.
100 : 전자서명 관리 서버
200 : 서명 요청자 단말기
300 : 인증 서버

Claims (9)

  1. 개인키 유출을 원천적으로 방지하고 전자서명의 신뢰도를 향상시키는 방법에 있어서,
    전자서명 관리 서버가, 가입자로부터 서명 대상 문서 정보와 함께 서명 요청 정보를 받으면, 서명 대상 문서 정보를 서버에 저장하고, 서명 요청자의 신원을 확인하는 단계;
    상기 전자서명 관리 서버가, 서명 요청자에 대응하는 개인키와 공개키를 생성하는 단계;
    상기 전자서명 관리 서버가, 고유한 개인키로 상기 서명 요청자의 식별 정보와 공개키에 대한 해시(Hash)값을 암호화함으로써 인증서를 생성하는 단계;
    상기 서명 요청자에 대응하는 개인키로 서명 대상 문서 정보의 해시값을 암호화함으로써 전자서명 데이터를 생성하는 단계;
    상기 전자서명 관리 서버가 상기 서명 대상 문서, 상기 전자서명하여 생성한 전자서명 데이터, 상기 서명 요청자에 대응하는 공개키 및 상기 인증서를 상기 전자서명 관리 서버에 저장하는 단계; 및
    상기 전자서명 관리 서버가 상기 서명 대상 문서 정보, 상기 전자서명하여 생성한 전자서명 데이터, 상기 서명 요청자에 대응하는 공개키 및 상기 인증서를 상기 서명 요청자에게 전송하는 단계;를 포함하는 전자서명 방법
  2. 제1항에 있어서,
    상기 서명 요청자의 신원을 확인하는 단계는,
    상기 전자서명 관리 서버가, 서명요청자에게 신원 확인을 요청하면, 서명 요청자는 인증서버에 신원 인증을 요청하고 인증서버가 인증 결과를 전자서명 관리 서버에 송신하는 단계;를 포함하는 것을 특징으로 하는 전자서명 방법.
  3. 제1항에 있어서,
    상기 전자서명 데이터를 생성하는 단계,
    상기 전자서명 관리 서버가 전자서명 데이터가 생성되는 즉시, 상기 서명 요청자에 대응하는 개인키를 삭제 하는 단계;를 포함하는 것을 특징으로 하는 전자서명 방법.
  4. 제2항에 있어서,
    상기 전자서명 관리 서버에 저장하는 단계는,
    상기 전자서명 관리 서버가 전자서명 데이터가 생성되는 즉시, 상기 서명 요청자에 대응하는 개인키를 삭제 하는 단계;를 포함하는 것을 특징으로 하는 전자서명 방법.
  5. 제1항에 있어서,
    상기 전자서명 관리 서버가 서명 문서와 전자서명 데이터에 대해 검증 요청을 받으면 전자서명 관리 서버의 고유의 공개키로 인증서를 복호화함으로써 서명자의 신원을 인증하고, 복호화된 공개키를 이용하여 전자서명 데이터를 복호한 해시값을 서명 대상 문서의 해시값과 비교하여 동일한지 여부를 검증함으로써 대상 문서의 진위와 서명자의 서명 여부를 검증하는 단계;를 포함하는 것을 특징으로 하는 전자서명 및 보안 방법.
  6. 제2항에 있어서,
    상기 전자서명 관리 서버가 서명 문서와 전자서명 데이터에 대해 검증 요청을 받으면 전자서명 관리 서버의 고유의 공개키로 인증서를 복호화함으로써 서명자의 신원을 인증하고, 복호화된 공개키를 이용하여 전자서명 데이터를 복호한 해시값을 서명 대상 문서의 해시값과 비교하여 동일한지 여부를 검증함으로써 대상 문서의 진위와 서명자의 서명 여부를 검증하는 단계;를 포함하는 것을 특징으로 하는 전자서명 및 보안 방법.
  7. 문서 전자서명 시스템에서,개인키 유출을 원천적으로 방지하고 전자서명 신뢰도를 향상시키는 전자서명 시스템으로서,
    전자서명 요청자의 서명 대상 문서 정보와 전자서명 요청 정보를 수신하고 전자서명 결과를 송신하는 통신부;
    전자서명 관리 서버가, 가입자로부터 서명 대상 문서 정보와 함께 서명 요청 정보를 받으면, 서명 대상 문서 정보를 서버에 저장하고, 서명 요청자의 신원을 확인하는 단계, 상기 전자서명 관리 서버가, 서명 요청자에 대응하는 개인키와 공개키를 생성하는 단계, 상기 전자서명 관리 서버가, 고유한 개인키로 상기 서명 요청자의 식별 정보와 공개키에 대한 해시(Hash)값을 암호화함으로써 인증서를 생성하는 단계, 상기 서명 요청자에 대응하는 개인키로 서명 대상 문서 정보의 해시값을 암호화함으로써 전자서명 데이터를 생성하는 단계, 상기 전자서명 관리 서버가 상기 서명 대상 문서, 상기 전자서명하여 생성한 전자서명 데이터, 상기 서명 요청자에 대응하는 공개키 및 상기 인증서를 상기 전자서명 관리 서버에 저장하는 단계, 및 상기 전자서명 관리 서버가 상기 서명 대상 문서 정보, 상기 전자서명하여 생성한 전자서명 데이터, 상기 서명 요청자에 대응하는 공개키 및 상기 인증서를 상기 서명 요청자에게 전송하는 단계를 수행하는 연산부;
    상기 서명 대상 문서 정보, 상기 서명 요청자의 식별정보, 상기 전자서명하여 생성한 전자서명 데이터 및 상기 인증서 정보를 저장하고 해당 정보를 읽는 데이터베이스 관리부;를 포함하는 것을 특징으로 하는 전자서명 시스템.
  8. 제1항 내지 제6항 중 어느 한 항의 방법을 컴퓨터에서 실행시키기 위하여 매체에 저장된 컴퓨터프로그램.
  9. 제1항 내지 제6항 중 어느 한 항의 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
KR1020200037866A 2020-03-27 2020-03-27 일회성 비대칭키를 이용한 전자서명 방법 및 시스템 KR20210120743A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200037866A KR20210120743A (ko) 2020-03-27 2020-03-27 일회성 비대칭키를 이용한 전자서명 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200037866A KR20210120743A (ko) 2020-03-27 2020-03-27 일회성 비대칭키를 이용한 전자서명 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20210120743A true KR20210120743A (ko) 2021-10-07

Family

ID=78114737

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200037866A KR20210120743A (ko) 2020-03-27 2020-03-27 일회성 비대칭키를 이용한 전자서명 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20210120743A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499891A (zh) * 2022-03-21 2022-05-13 宁夏凯信特信息科技有限公司 一种签名服务器系统以及签名验证方法
CN117499050A (zh) * 2023-11-09 2024-02-02 广西北投声远科技股份公司 一种基于加密技术的云端签名方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499891A (zh) * 2022-03-21 2022-05-13 宁夏凯信特信息科技有限公司 一种签名服务器系统以及签名验证方法
CN117499050A (zh) * 2023-11-09 2024-02-02 广西北投声远科技股份公司 一种基于加密技术的云端签名方法及系统

Similar Documents

Publication Publication Date Title
US10728039B2 (en) Method and system for signing and authenticating electronic documents via a signature authority which may act in concert with software controlled by the signer
CN101145906B (zh) 对单向网络中的接收终端进行合法性认证的方法及系统
US6035398A (en) Cryptographic key generation using biometric data
TWI507006B (zh) 在一次往返中的金鑰認證
CN101800637B (zh) 令牌提供
US8935528B2 (en) Techniques for ensuring authentication and integrity of communications
CN108768664A (zh) 密钥管理方法、装置、系统、存储介质和计算机设备
US9054880B2 (en) Information processing device, controller, key issuing authority, method for judging revocation list validity, and key issuing method
CN110798315B (zh) 基于区块链的数据处理方法、装置及终端
CN111224788B (zh) 一种基于区块链的电子合同管理方法、装置及系统
US8417954B1 (en) Installation image including digital signature
US20100005318A1 (en) Process for securing data in a storage unit
KR100947119B1 (ko) 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말
CN114692218A (zh) 一种面向个人用户的电子签章方法、设备和系统
KR20210120743A (ko) 일회성 비대칭키를 이용한 전자서명 방법 및 시스템
CN114218548B (zh) 身份验证证书生成方法、认证方法、装置、设备及介质
CN100437422C (zh) 软件使用权加密保护的系统和方法
JP2021007053A (ja) コンテンツ送信方法
CN108322311B (zh) 数字证书的生成方法及装置
KR101933090B1 (ko) 전자 서명 제공 방법 및 그 서버
US20200036535A1 (en) Storing Data On Target Data Processing Devices
CN114444125A (zh) 一种数字身份管理方法及装置
CN113114458A (zh) 加密证书生成、解密方法及装置、加密证书系统
JP2022061275A (ja) ライセンス管理方法、ライセンス管理装置、及びプログラム
US20220272087A1 (en) Owner identity confirmation system and owner identity confirmation method

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application