KR20120136954A - System and method for verifying certificate - Google Patents
System and method for verifying certificate Download PDFInfo
- Publication number
- KR20120136954A KR20120136954A KR1020110056186A KR20110056186A KR20120136954A KR 20120136954 A KR20120136954 A KR 20120136954A KR 1020110056186 A KR1020110056186 A KR 1020110056186A KR 20110056186 A KR20110056186 A KR 20110056186A KR 20120136954 A KR20120136954 A KR 20120136954A
- Authority
- KR
- South Korea
- Prior art keywords
- certificate
- terminal
- authentication server
- parameter
- local
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명은 인증서 검증 시스템 및 그 방법에 관한 것이다. 보다 상세하게는 최상위 인증 기관의 서버(root certification authority, Root CA) 하위 계층에 위치하는 서로 다른 로컬 인증 서버들로부터 인증서를 발급 받은 단말들이 상호 로컬인증서버의 공개키 정보 없이 Root CA의 공개키 정보만으로 상호 인증서를 검증하는 인증서 검증 시스템 및 방법에 관한 것이다.The present invention relates to a certificate verification system and method thereof. More specifically, terminals that have received certificates from different local certificate servers located at a lower level of the root certification authority (root CA) of the root CA may not use the public key information of the local CA. The present invention relates to a certificate verification system and method for validating a mutual certificate by itself.
다단계 공개키 인증 구조는 최상위 인증기관, 중간 인증기관, 종단 인증기관으로 구성된다. 이와 같은, 공개키 인증 구조에서는 서로 다른 종단 인증기관으로부터 인증서를 발급 받은 단말들이 상호 인증서를 검증하기 위하여 상대 종단 인증기관의 공개키 정보뿐만 아니라, 종단 인증기관이 중간 인증기관과 최상위 인증기관으로부터 인증된 인증기관임을 확인할 수 있는 정보가 필요하다. 즉, 다단계 공개키 인증 구조에서는 단말의 인증서 발급 및 검증 단계가 복잡한 문제점이 있다.The multilevel public key certification structure is composed of top level certification authority, intermediate certification authority and end certification authority. In such a public key authentication structure, in order for terminals issued certificates from different end certification authorities to verify mutual certificates, not only the public key information of the other end certification authority, but also the end certification authority is authenticated from the intermediate certification authority and the highest certification authority. You need information to verify that you are a certified certification body. That is, in the multi-level public key authentication scheme, there is a complicated problem in issuing and verifying a certificate of a terminal.
이러한 문제점을 해결하기 위하여, 종래에는 로컬 CA 시스템이 인증서 서명 및 유효성을 검증하는 방법을 제공함으로써 단말의 인증서 검증 부하를 줄일 수 있었다. 그러나, 인증서 검증 단계에서 단말과 로컬 CA 시스템이 실시간 온라인 통신으로 연결되어야 하는 문제점이 있다. In order to solve this problem, conventionally, by providing a method for verifying the certificate signing and validity of the local CA system, it was possible to reduce the certificate verification load of the terminal. However, there is a problem that the terminal and the local CA system must be connected by real-time online communication in the certificate verification step.
또한, 종래에는 다단계 공개키 인증구조에서 통신단말의 인증서 검증 경로를 최상위 인증기관의 공개키를 사용하여 검증할 수 있는 1단계 인증경로를 제공함으로써, 인증서 검증 과정에 대한 부담을 최소화 시켰다. 그러나, 단말의 인증서 발급과정에서 종단 인증기관, 중간 인증기관, 최상위 인증기관들이 인증서 발급 과정에 개입해야 하는 부담이 있는 문제점이 있다. In addition, conventionally, by providing a one-step authentication path that can verify the certificate verification path of the communication terminal using the public key of the highest certification authority in the multi-level public key authentication structure, the burden on the certificate verification process is minimized. However, there is a problem in that a terminal certification authority, an intermediate certification authority, and a top certification authority have a burden of intervening in the certificate issuing process in the certificate issuing process of the terminal.
본 발명의 목적은, Root CA(root certification authority) 하위 계층에 위치하는 서로 다른 로컬 인증 서버들로부터 인증서를 발급 받은 단말들이 상호 로컬인증서버의 공개키 정보 없이 Root CA의 공개키 정보만으로 상호 인증서를 검증하는 인증서 검증 시스템 및 방법을 제공하는 것이다.An object of the present invention, the terminal issuing a certificate from different local authentication server located in the root certification authority (Root CA) sub-layer is a cross-certificate with only the public key information of the Root CA without the public key information of the mutual local authentication server. To provide a certificate verification system and method for verifying.
상기 과제를 해결하기 위한 본 발명의 실시예에 따른, 인증서 검증 시스템은 Certificate verification system according to an embodiment of the present invention for solving the above problems is
최상위 인증 서버; 상기 최상위 인증 서버에 해당하는 서명값을 이용하여 로컬 단말의 인증서를 발급하는 로컬 인증서버; 및 상기 로컬 인증서버가 발급한 상기 로컬 단말의 인증서에 해당하는 해쉬값을 토대로 검증 파라미터를 산출하고, 상기 검증 파라미터와 기 저장된 상기 최상위 인증서버의 공개키를 이용하여 상기 로컬 단말의 인증서를 검증하는 단말을 포함한다. Top-level authentication server; A local authentication server for issuing a certificate of a local terminal using a signature value corresponding to the highest authentication server; And calculating a verification parameter based on a hash value corresponding to a certificate of the local terminal issued by the local authentication server, and verifying a certificate of the local terminal using the verification parameter and a previously stored public key of the highest authentication server. It includes a terminal.
상기 단말은 단말의 공개키와 해당 개인키 쌍을 생성하는 키 생성부; 상기 로컬 인증서버로 상기 공개키를 전송하여 해당 인증서 발급을 요청하는 인증서 발행 요청부; 상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 수신하는 인증서 수신부; 및 상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 검증하는 인증서 검증부를 포함한다.The terminal includes a key generator for generating a public key and a corresponding private key pair of the terminal; A certificate issuing request unit which transmits the public key to the local certificate server and requests issuance of a corresponding certificate; A certificate receiving unit which receives a certificate issued by the local certificate server or a certificate of the local terminal; And a certificate verification unit that verifies a certificate issued by the local authentication server or a certificate of the local terminal.
상기 인증서 검증부는 상기 로컬 인증서버가 인증서를 발행하는 경우 사용하는 초기 파라미터에 해당하는 상기 서명값, 상기 초기 파라미터에 대한 유효기간, 수신한 인증서가 포함하는 인증서 컨텐츠의 상기 해쉬값, 적어도 하나의 인증 파라미터를 이용하여 상기 인증서를 검증하는 것을 특징으로 한다. The certificate verifying unit includes the signature value corresponding to an initial parameter used when the local authentication server issues a certificate, an expiration date for the initial parameter, the hash value of certificate contents included in a received certificate, and at least one certificate. And verifying the certificate by using a parameter.
상기 서명값 및 상기 유효기간은 상기 최상위 인증 서버에 대응하는 것을 특징으로 한다.The signature value and the validity period correspond to the highest authentication server.
상기 로컬 인증서버는 랜덤 비밀값에 해당하는 초기 비밀값을 생성하는 비밀값 생성부; 상기 초기 비밀값을 이용하여 초기 파라미터를 생성하는 초기 파라미터 생성부; 상기 초기 파라미터에 대응하는 상기 초기 파라미터의 서명값과 유효기간을 수신하는 수신부; 상기 단말로부터 인증서 요청 정보를 전달받는 요청 수신부; 상기 초기 비밀값과 상기 초기 비밀값의 지수 모듈러 연산자에 대응하는 제1 및 제2 인증 파라미터를 생성하는 인증 파라미터 생성부; 상기 단말의 인증서에 해당하는 인증서 컨텐츠의 해쉬값을 생성하는 컨텐츠 생성부; 상기 초기 비밀값, 상기 제1 인증 파라미터 및 상기 해쉬값을 이용하여 제3 인증 파라미터를 생성하는 인증 파라미터 생성부; 상기 인증서 컨텐츠, 상기 제2 인증 파라미터, 상기 제3 인증 파라미터, 상기 유효기간, 상기 서명값을 이용하여 인증서를 생성하는 인증서 생성부; 및 상기 인증서 생성부에서 생성한 인증서를 상기 단말로 전송하는 송신부를 포함한다.The local authentication server may include a secret value generator for generating an initial secret value corresponding to a random secret value; An initial parameter generator configured to generate an initial parameter using the initial secret value; A receiving unit which receives a signature value and an expiration date of the initial parameter corresponding to the initial parameter; A request receiving unit receiving certificate request information from the terminal; An authentication parameter generator configured to generate first and second authentication parameters corresponding to the initial secret value and the exponential modular operator of the initial secret value; A content generation unit generating a hash value of certificate content corresponding to a certificate of the terminal; An authentication parameter generator configured to generate a third authentication parameter using the initial secret value, the first authentication parameter, and the hash value; A certificate generating unit generating a certificate using the certificate contents, the second authentication parameter, the third authentication parameter, the validity period, and the signature value; And a transmitter for transmitting the certificate generated by the certificate generator to the terminal.
상기 최상위 인증 서버는 서명기능을 수행하는 공개키 암호 알고리즘의 개인키를 저장하는 개인키 저장부; 상기 로컬 인증서버로부터 초기 파라미터를 수신하는 수신부; 상기 개인키를 이용하여 상기 초기 파라미터에 해당하는 서명값을 생성하는 생성부; 및 상기 초기 파라미터의 서명값과 상기 초기 파라미터에 대한 유효 기간을 상기 로컬 인증서버로 전송하는 송신부를 포함한다.
The highest level authentication server includes a private key storage unit that stores a private key of a public key cryptographic algorithm that performs a signature function; A receiving unit for receiving initial parameters from the local authentication server; A generation unit generating a signature value corresponding to the initial parameter by using the private key; And a transmitter for transmitting the signature value of the initial parameter and the validity period for the initial parameter to the local authentication server.
상기 과제를 해결하기 위한 본 발명의 다른 실시예에 따른, 제1 단말이 제2 단말의 인증서를 검증하는 방법은According to another embodiment of the present invention for solving the above problems, a method for verifying the certificate of the second terminal by the first terminal
상기 제1 단말이 상기 제2 단말의 인증서에 해당하는 유효기간이 만료되었는지를 확인하는 단계; 상기 유효기간이 유효한 경우에 상기 인증서가 포함하는 인증서 컨텐츠에 해당하는 해쉬값을 생성하는 단계; 상기 인증서가 포함하는 적어도 하나의 인증 파라미터를 상기 해쉬값에 적용하여 검증 파라미터를 산출하는 단계; 상기 검증 파라미터와 상기 유효기간을 이용하여 상기 인증서가 포함하는 초기 파라미터의 서명값의 유효성을 검증하는 단계; 및 상기 유효성을 검증한 결과를 토대로 상기 인증서의 사용 유무를 결정하는 단계를 포함한다. Checking, by the first terminal, whether an expiration date corresponding to a certificate of the second terminal has expired; Generating a hash value corresponding to certificate content included in the certificate when the validity period is valid; Calculating a verification parameter by applying at least one authentication parameter included in the certificate to the hash value; Validating a signature value of an initial parameter included in the certificate using the verification parameter and the validity period; And determining whether the certificate is used based on a result of the validity verification.
상기 유효기간이 만료되었는지를 확인하는 단계는 상기 제1 단말이 상기 초기 파라미터의 서명값에 대한 제1 유효기간 및 상기 제1 단말이 상기 제2 단말의 인증서 자체에 대한 제2 유효기간이 만료되었는지를 확인하는 것을 특징으로 한다.The step of confirming whether the validity period has expired may include whether the first terminal has expired a first validity period for the signature value of the initial parameter and the first terminal has expired a second validity period for the certificate itself of the second terminal. Characterized in that the check.
상기 제1 유효기간은 상기 제2 유효기간보다 긴 것을 특징으로 한다.The first validity period is longer than the second validity period.
상기 인증서가 포함하는 상기 초기 파라미터의 서명값은 최상의 인증 서버에서 생성된 것을 특징으로 한다.The signature value of the initial parameter included in the certificate is generated by the best authentication server.
상기 제1 단말은 Root CA의 공개키를 포함하는 것을 특징으로 한다.
The first terminal is characterized in that it comprises a public key of the Root CA.
본 발명의 실시예에 따르면, 인증서 검증 시스템 및 그 방법은 Root CA와 무관하게, 서로 다른 도메인 환경에 위치하는 로컬 인증서버들이 인증서를 생성할 수 있다. According to an embodiment of the present invention, the certificate verification system and method thereof may generate certificates by local authentication servers located in different domain environments regardless of the root CA.
또한, 본 발명의 실시예에 따르면 인증서 검증 시스템 및 그 방법은 단말의 인증서가 로컬 인증 서버의 공개키 정보를 획득할 필요없이 Root CA의 공개키 만을 사용하여 검증함으로써, 인증서 검증 절차를 최소화할 수 있다.
Further, according to an embodiment of the present invention, the certificate verification system and method thereof can minimize the certificate verification procedure by verifying the certificate of the terminal using only the public key of the Root CA without having to obtain the public key information of the local certificate server. have.
도 1은 본 발명의 실시예에 따른 인증서서 검증 장치를 포함하는 시스템 환경을 개략적으로 나타내는 구성도이다.
도 2는 본 발명의 실시예에 따른 Root CA를 나타내는 구성도이다.
도 3은 본 발명의 실시예에 따른 제1 로컬 인증서버를 나타내는 구성도이다.
도 4는 본 발명의 실시예에 따른 제1 단말을 나타내는 구성도이다.
도 5는 본 발명의 실시예에 따른 제1 단말, 제1 로컬 인증 서버 및 Root CA간의 통신 흐름을 나타내는 흐름도이다.
도 6은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 로컬 인증 서버와간의 Root CA간의 통신 흐름을 나타내는 흐름도이다.
도 7은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 단말과 제1 로컬 인증 서버간의 통신 흐름을 나타내는 흐름도이다.
도 8은 본 발명의 실시예에 따른 인증서 검증 방법이 적용되는 제1 단말과 제2 단말간의 통신 흐름을 나타내는 흐름도이다.
도 9는 본 발명의 실시예에 따른 인증서 검증 방법을 나타내는 흐름도이다.
도 10은 본 발명의 실시예에 따른 인증서의 형식을 개략적으로 나타내는 도면이다. 1 is a configuration diagram schematically showing a system environment including a certificate verification device according to an embodiment of the present invention.
2 is a block diagram showing a root CA according to an embodiment of the present invention.
3 is a block diagram showing a first local authentication server according to an embodiment of the present invention.
4 is a block diagram showing a first terminal according to an embodiment of the present invention.
5 is a flowchart illustrating a communication flow between a first terminal, a first local authentication server, and a root CA according to an embodiment of the present invention.
6 is a flowchart illustrating a communication flow between a root CA and a first local authentication server in a certificate verification method according to an embodiment of the present invention.
7 is a flowchart illustrating a communication flow between a first terminal and a first local authentication server in a certificate verification method according to an embodiment of the present invention.
8 is a flowchart illustrating a communication flow between a first terminal and a second terminal to which a certificate verification method according to an embodiment of the present invention is applied.
9 is a flowchart illustrating a certificate verification method according to an embodiment of the present invention.
10 is a view schematically showing the format of a certificate according to an embodiment of the present invention.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shape and size of elements in the drawings may be exaggerated for clarity.
이하에서는, 본 발명의 실시예에 따른 인증서 검증 시스템 및 그 방법에 대하여 첨부한 도면을 참고로 하여 상세히 설명한다.Hereinafter, a certificate verification system and a method thereof according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 인증서 검증 장치를 포함하는 시스템 환경을 개략적으로 나타내는 구성도이다. 1 is a configuration diagram schematically showing a system environment including a certificate verification device according to an embodiment of the present invention.
도 1을 참고하면, 시스템 환경은 최상위 인증기관의 인증서버(이하 "Root CA"라고 함)(100), 제1 로컬 인증서버(200), 제1 로컬 인증서버(200)가 포함하는 제1 단말(300), 제2 로컬 인증서버(400) 및 제2 로컬 인증서버(400)가 포함하는 제2 단말(500)을 포함한다. Referring to FIG. 1, a system environment includes a first server that includes an authentication server (hereinafter, referred to as “Root CA”) 100, a first
Root CA(100)은 자신의 하위 인증 서버에 해당하는 제1 로컬 인증서버(200)와 제2 로컬 인증서버(400)를 각각 제1 지역 도메인(A)과 제2 지역 도메인(B)으로 분리하여 구성한다. The
제1 로컬 인증서버(200)는 제1 지역 도메인(A)에 해당하는 제1 단말(300)의 인증서를 발급하고, 제2 로컬 인증서버(400)는 제2 지역 도메인(B)에 해당하는 제2 단말(500)의 인증서를 발급한다. 여기서, 제1 단말(300)과 제2 단말(500)은 인증서 발급 대상에 해당하는 사용자 또는 통신기기가 될 수 있으며, 이에 한정되지 않는다. The first
본 발명의 실시예에 따른, 인증서 검증 장치 즉, 제1 단말(300)과 제2 단말(500)이 인증서를 이용하여 보안 통신에 앞서 인증서를 상호 교환하여 인증서를 검증하는 경우, 제1 단말(300)과 제2 단말(500)은 최상위 인증기관의 인증서버에 해당하는 Root CA(100)의 공개키 정보만을 이용하여 인증서를 검증한다. 이러한, 인증서 검증 장치는 단말 측에 위치할 수 있으며, 이에 한정되지 않는다.According to an embodiment of the present invention, when the certificate verification device, that is, the
구체적으로, 제1 단말(300)은 제2 단말(500)의 인증서를 검증하기 위하여, 제2 로컬 인증서버(400)의 공개키 정보를 필요로 하지 않는다. 또한, 제2 단말(500)은 제1 단말(300)의 인증서를 검증하기 위하여, 제1 로컬 인증서버(200)의 공개키 정보를 필요로 하지 않는다.
Specifically, the
다음, Root CA(100)를 도 2를 참조하여 상세하게 설명한다. Next, the Root CA 100 will be described in detail with reference to FIG. 2.
도 2는 본 발명의 실시예에 따른 Root CA를 나타내는 구성도이다. 2 is a block diagram showing a root CA according to an embodiment of the present invention.
도 2를 참고하면, Root CA(100)는 개인키 저장부(110), 제1 초기 파라미터 수신부(120), 제1 초기 파라미터 서명값 생성부(130) 및 제1 초기 파라미터 서명값 송신부(140)를 포함한다. Referring to FIG. 2, the
개인키 저장부(110)는 Root CA(100)의 서명 기능을 수행하는 공개키 암호 알고리즘의 개인키를 저장한다. The private
제1 초기 파라미터 수신부(120)는 제1 로컬 인증서버(200)로부터 제1 초기 파라미터를 수신한다. The first
제1 초기 파라미터 서명값 생성부(130)는 개인키를 이용하여 제1 초기 파라미터의 서명값을 생성한다. The first initial parameter
제1 초기 파라미터 서명값 송신부(140)는 제1 초기 파라미터의 서명값과 서명값의 유효기간 정보를 포함하는 제1 유효기간을 제1 로컬 인증서버(200)로 전송한다.
The first initial parameter
다음, 제1 로컬 인증서버(200)를 도 3을 참조하여 상세하게 설명한다. Next, the first
도 3은 본 발명의 실시예에 따른 제1 로컬 인증서버를 나타내는 구성도이다. 3 is a block diagram showing a first local authentication server according to an embodiment of the present invention.
도 3을 참고하면, 제1 로컬 인증서버(200)는 비밀값 생성부(201), 제1 초기 파라미터 생성부(202), 제1 초기 파라미터 송신부(203), 제1 초기 파라미터 서명값 수신부(204), 저장부(205), 인증서 요청 수신부(206), 제1 및 제2 인증 파라미터 생성부(207), 인증서 컨텐츠 생성부(208), 제3 인증 파라미터 생성부(209), 최종 인증서 생성부(210) 및 인증서 송신부(211)를 포함한다. Referring to FIG. 3, the first
비밀값 생성부(201)는 3개의 랜덤 비밀값 즉, 제1 초기 비밀값을 생성한다. The
제1 초기 파라미터 생성부(202)는 제1 초기 비밀값을 이용하여 제1 초기 파라미터를 생성한다. The first
제1 초기 파라미터 송신부(203)는 제1 초기 파라미터를 Root CA(100)로 전송한다. The first
제1 초기 파라미터 서명값 수신부(204)는 전송한 제1 초기 파라미터에 대응하는 제1 초기 파라미터의 서명값과 제1 유효기간을 Root CA(100)로부터 수신한다. The first initial parameter signature
저장부(205)는 제1 초기 비밀값, 제1 초기 파라미터의 서명값 및 제1 유효기간을 저장한다. The
인증서 요청 수신부(206)는 제1 단말(300)로부터 인증서 요청 정보를 전달받는다. The certificate
제1 및 제2 인증 파라미터 생성부(207)는 제1 초기 비밀값과 제1 초기 비밀값의 지수 모듈러 연산자에 대응하는 제1 및 제2 인증 파라미터 생성한다. The first and second
인증서 컨텐츠 생성부(208)는 인증기관의 서명값을 제외한 특정 형식의 인증서 컨텐츠와 인증서 컨텐츠의 해쉬값를 생성한다. 여기서, 특정 형식은 X.509v3 형식일 수 있으며, 이에 한정되지 않는다. The
제3 인증 파라미터 생성부(209)는 제1 초기 비밀값, 제1 인증 파라미터 및 인증서 컨텐츠의 해쉬값을 이용하여 제3 인증 파라미터를 생성한다. The third
최종 인증서 생성부(210)는 인증서 컨텐츠, 제2 인증 파라미터, 제3 인증 파라미터, 제1 유효기간, 제1 초기 파라미터의 서명값을 이용하여 최종 인증서(이하 "인증서"라고 함)를 생성한다. The
인증서 송신부(211)는 생성된 인증서를 제1 단말(300)로 전송한다.
The
다음, 제1 단말(300)을 도 4를 참조하여 상세하게 설명한다. Next, the
도 4는 본 발명의 실시예에 따른 제1 단말을 나타내는 구성도이다. 4 is a block diagram showing a first terminal according to an embodiment of the present invention.
먼저, 본 발명의 실시예에 따른 제1 단말(300)은 인증서를 검증하는 인증서 검증 장치에 해당하는 것으로, 이에 한정되지 않는다. First, the
도 4를 참고하면, 제1 단말(300)은 키 생성부(310), 인증서 발행 요청부(320), 인증서 수신부(330), 저장부(340) 및 인증서 검증부(350)를 포함한다. Referring to FIG. 4, the
키 생성부(310)는 공개키 암호 알고리즘의 개인키와 공개키를 생성한다.The
인증서 발행 요청부(320)는 제1 로컬 인증서버(200)로 자신의 아이디 즉, 제1 단말(300)의 아이디와 공개키를 전송함으로써, 제1 단말(300)의 아이디와 공개키에 대응하는 인증서를 요청한다. The certificate
인증서 수신부(330)는 제1 로컬 인증서버(200)가 생성한 인증서 또는 다른 단말 예를 들어, 제2 단말(500)의 인증서를 수신한다. The
저장부(340)는 개인키, 제1 로컬 인증서버(200)가 생성한 인증서 또는 제2 단말(500)의 인증서, Root CA(100)의 인증서를 저장한다. The
인증서 검증부(350)는 제1 로컬 인증서버(200)가 생성한 인증서 또는 제2 단말(500)의 인증서를 이용하여 보안 통신을 수행하기에 앞서, 제1 로컬 인증서버(200) 또는 제2 단말(500)의 인증서를 검증한다.
The
다음 공개키 인증 구조에서 인증서 생성, 재발급, 검증과정을 포함하는 인증서 검증 방법을 도 5 내지 도 9를 참조하여 상세하게 설명한다.A certificate verification method including a certificate generation, reissue, and verification process in the following public key authentication structure will be described in detail with reference to FIGS. 5 to 9.
도 5는 본 발명의 실시예에 따른 제1 단말, 제1 로컬 인증 서버 및 Root CA간의 통신 흐름을 나타내는 흐름도이다.5 is a flowchart illustrating a communication flow between a first terminal, a first local authentication server, and a root CA according to an embodiment of the present invention.
도 5를 참고하면, 제1 로컬 인증서버(200)는 해당하는 제1 초기 파라미터의 서명값을 Root CA(100)에 요청한다(S501). Referring to FIG. 5, the first
Root CA(100)는 제1 로컬 인증서버(200)의 요청에 대응하게 제1 초기 파라미터의 서명값을 발행하고, 발행한 제1 초기 파라미터의 서명값을 제1 로컬 인증서버(200)로 전송한다(S502). The
S501 단계 및 S502 단계와 같이, 제1 로컬 인증서버(200)는 제1 초기 파라미터의 서명값을 저장하며, 해당하는 도메인 즉, 제1 지역 도메인(A)이 포함하는 제1 단말(300) 및 적어도 하나의 단말들에 대해서 인증서를 발급할 수 있다. As in steps S501 and S502, the first
즉, 제1 단말(300)은 자신의 인증서를 제1 로컬 인증서버(200)로 요청하고(S503), 제1 로컬 인증서버(200)는 제1 단말(300)에 해당하는 인증서를 발행하고, 발행한 인증서를 제1 단말(300)로 전송한다(S504).That is, the first terminal 300 requests its certificate to the first local authentication server 200 (S503), and the first
다음, 제1 단말(300)은 전달받은 인증서의 유효기간이 만료된 것을 감지한 경우, S503단계와 같이 제1 로컬 인증서버(200)로 인증서 재발급을 요청한다(S505). 제1 로컬 인증서버(200)는 요청에 대응하게 제1 단말(300)에 해당하는 인증서를 재발행하고, 재발행한 인증서를 제1 단말(300)로 전송한다(S506).
Next, when the
다음, 제1 단말(300), 제1 로컬 인증서버(200) 및 Root CA(100)간의 통신 흐름 중에서 S501 단계 및 S502 단계를 도 6을 참조하여 상세하게 설명한다. Next, steps S501 and S502 in the communication flow between the
도 6은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 로컬 인증 서버와 Root CA간의 통신 흐름을 나타내는 흐름도이다.6 is a flowchart illustrating a communication flow between a first local authentication server and a root CA in a certificate verification method according to an embodiment of the present invention.
도 6을 참고하면, 제1 로컬 인증서버(200)는 랜덤값으로 구성된 3개의 랜덤 비밀값 즉, 제1 초기 비밀값(a0, b0, c0)을 생성한다(S601). Referring to FIG. 6, the first
제1 로컬 인증서버(200)는 제1 초기 비밀값을 이용하여 제1 초기 파라미터(P0)를 생성한다(S602). 여기서, 제1 초기 파라미터(P0)는 수학식 1과 같이 산출한다. The first
수학식 1에서, g는 임의의 큰 소수 p로의 곱셈군의 생성자, mod는 모듈러 연산자, 는 곱셈 연산자이다. 이하, 표현의 간결성을 위하여 연산 표기는 생략한다. In Equation 1, g is a constructor of a multiplication group to any large prime number p, mod is a modular operator, Is a multiplication operator. Hereinafter, for brevity of expression Operation notation is omitted.
제1 로컬 인증서버(200)는 산출한 제1 초기 파라미터(P0)를 Root CA(100)로 전송함으로써(S603), 제1 초기 파라미터(P0)의 서명값을 요청한다. The first
Root CA(100)는 제1 초기 파라미터를 수신한 경우, 제1 초기 파라미터(P0)의 유효기간에 해당하는 제1 유효기간(T1)을 설정한다(S604). When the
Root CA(100)는 개인키와 설정한 제1 유효기간(T1)을 이용하여 제1 초기 파라미터(P0)의 서명값(S)을 산출한다(S605). 여기서, 제1 초기 파라미터(P0)의 서명값(S)은 수학식 2와 같이 산출한다. The
수학식 2에서, ||는 두 문자열의 연접이고, 개인키는 RSA와 같은 서명 기능을 제공하는 모든 공개키 암호 알고리즘의 개인키이고, h()는 일방향 해쉬함수로 SHA1과 같은 알고리즘뿐만 아니라 기존의 모든 해쉬 함수 알고리즘을 포함한다.In Equation 2, || is the concatenation of two strings, private key is the private key of all public key cryptographic algorithms that provide signature functions such as RSA, and h () is a one-way hash function. Contains all hash function algorithms.
Root CA(100)는 제1 초기 파라미터(P0)의 서명값(S)과 제1 유효기간(T1)을 제1 로컬 인증서버(200)로 전송하다(S606). The
제1 로컬 인증서버(200)는 전달받은 제1 초기 파라미터(P0)의 서명값(S)과 제1 유효기간(T1)을 저장부(205)에 저장한다(S607).
The first
다음, 제1 단말(300), 제1 로컬 인증서버(200) 및 Root CA(100)간의 통신 흐름 중에서 S503 단계 및 S504 단계를 도 7을 참조하여 상세하게 설명한다. Next, step S503 and step S504 of the communication flow between the
도 7은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 단말과 제1 로컬 인증 서버간의 통신 흐름을 나타내는 흐름도이다.7 is a flowchart illustrating a communication flow between a first terminal and a first local authentication server in a certificate verification method according to an embodiment of the present invention.
도 7을 참고하면, 제1 단말(300)은 공개키 암호 알고리즘의 개인키와 공개키를 생성한다(S701).Referring to FIG. 7, the
제1 단말(300)은 자신의 아이디 즉, 제1 단말(300)의 아이디와 공개키를 제1 로컬 인증서버(200)로 전송한다(S702). The
제1 로컬 인증서버(200)는 제1 단말(300)의 아이디와 공개키를 수신한 후, 랜덤값으로 생성된 제1 인증 파라미터(ai)와 제2 인증 파라미터(gamodp)를 생성한다(S703).After receiving the ID and the public key of the
또한, 제1 로컬 인증서버(200)는 인증서 버전(version), 시리얼 번호(serial number) 등을 포함하는 인증서 컨텐츠(ci)와 해쉬값(h(ci))을 생성한다(S704). 여기서, i는 파라미터를 식별할 수 있는 인덱스에 해당하는 것으로, 순차적으로 증가하는 인덱스(1, 2, 3, ...)이다. In addition, the first
제1 로컬 인증서버(200)는 제1 초기 비밀값(a0, b0, c0), 제1 인증 파라미터(ai) 및 인증서 컨텐츠(ci)와 해쉬값(h(ci))을 이용하여 제3 인증 파라미터(bi)를 생성한다(S705). 여기서, 제3 인증 파라미터(bi)는 수학식 3과 같이 산출한다. The first
이때, 제1 로컬 인증서버(200)는 제1 인증 파라미터(ai)와 제3 인증 파라미터(bi)가 외부에 노출되지 않도록 관리해야 한다. In this case, the first
수학식 3을 참고하면, 인증서 컨텐츠(ci)와 해쉬값(h(ci)), 제1 인증 파라미터(ai) 및 제3 인증 파라미터(bi)는 제1 로컬 인증서버(200)의 제1 초기 파라미터(P0)과 충돌되는 해쉬값들을 생성하기 위한 파라미터들에 해당한다. 이러한 파라미터들은 수학식 4에 따라 수학식 5와 같은 관계가 성립된다. Referring to Equation 3, the certificate content (c i ) and the hash value (h (c i )), the first authentication parameter (a i ) and the third authentication parameter (b i ) is the first
즉, 제1 로컬 인증서버(200)는 상기 파라미터들을 토대로 수학식 3과 같이 제3 인증 파라미터(bi)를 생성한다.That is, the first
다음, 제1 로컬 인증서버(200)는 인증서 컨텐츠(ci), 제2 인증 파라미터(), 제3 인증 파라미터(bi), 제1 유효기간(T1), 제1 초기 파라미터의 서명값(S)을 이용하여 최종적으로 인증서를 생성한다(S706).Next, the first
제1 로컬 인증서버(200)는 생성한 인증서를 제1 단말(300)로 전송한다(S707).The first
제1 단말(300)은 전달받은 인증서를 검증하고, 저장부(340)에 저장한다(S708).
The
다음, 본 발명의 실시예에 따른 인증서 검증 방법이 적용되는 제1 단말(300)과 제2 단말(500)간의 통신 흐름을 도 8을 참조하여 상세하게 설명한다. Next, the communication flow between the
도 8은 본 발명의 실시예에 따른 인증서 검증 방법이 적용되는 제1 단말과 제2 단말간의 통신 흐름을 나타내는 흐름도이다.8 is a flowchart illustrating a communication flow between a first terminal and a second terminal to which a certificate verification method according to an embodiment of the present invention is applied.
도 8을 참고하면, 제1 단말(300)은 제2 로컬 인증서버(400)로부터 인증서를 발급받은 제2 단말(500)로부터 제2 단말(500)의 인증서를 전달받는다(S801). Referring to FIG. 8, the
제2 단말(500)은 제1 로컬 인증서버(200)로부터 인증서를 발급받은 제1 단말(300)로부터 제1 단말(300)의 인증서를 전달받는다(S802). The
즉, S801 단계 및 S802 단계는 제1 로컬 인증서버(200)로부터 인증서를 발급받은 제1 단말(300)과 제2 로컬 인증서버(400)로부터 인증서를 발급받은 제2 단말(500)이 상호 인증서를 교환하는 단계이다. That is, in steps S801 and S802, the
본 발명의 실시예에 따른, 제1 단말(300)과 제2 단말(500)은 제1 로컬 인증서버(200)의 공개키 또는 제2 로컬 인증서버(400)의 공개키 없이, Root CA(100)의 공개키만을 이용하여 상호 인증서를 검증한다.
According to an embodiment of the present invention, the
다음, 인증서를 검증하는 방법을 도 9를 참조하여 상세하게 설명한다. Next, a method of verifying a certificate will be described in detail with reference to FIG. 9.
도 9는 본 발명의 실시예에 따른 인증서 검증 방법을 나타내는 흐름도이다.9 is a flowchart illustrating a certificate verification method according to an embodiment of the present invention.
먼저, 본 발명의 실시예에 따른 인증서 검증 장치 예를 들어, 제1 단말(300)은 제1 유효기관과 제2 유효기간을 포함하는 인증서를 검증한다. 여기서, 제2 유효기간은 제1 단말(300)의 인증서 자체에 대한 유효기간이고, 제1 유효기간은 제1 로컬 인증서버(200)가 단말들의 인증서를 발행하는 경우 사용하는 제1 초기 파라미터의 서명값에 대한 유효기간이다. 제1 유효기간은 제2 유효기간 보다 장기간 사용할 수 있도록 설정하며, 이에 한정되지 않는다. First, an apparatus for verifying a certificate according to an embodiment of the present invention, for example, the
예를 들어, 제1 유효기간이 현재 시간으로부터 1년 사용할 수 있도록 설정된 경우, 제1 로컬 인증서버(200)는 Root CA(100)로부터 제1 초기 파라미터의 서명값을 추가적으로 발급받지 않고도, 제1 로컬 인증서버(200)에 해당하는 제1 지역 도메인(A) 내 단말들에게 인증서를 발급할 수 있다. For example, when the first validity period is set to be used for one year from the current time, the first
한편, 제2 유효기간이 현재시간으로부터 1주일 정도의 기간으로 설정된 경우, 제1 단말(300)은 1주일이 경과되기 전에 제1 로컬 인증서버(200)로부터 인증서를 재발급 받아야 한다. On the other hand, when the second validity period is set to a period of about one week from the current time, the
도 9를 참고하면, 제1 단말(300)은 제2 단말(500)로부터 제2 단말(500)의 인증서를 수신한다(S901).Referring to FIG. 9, the
제1 단말(300)은 수신한 제2 단말(500)의 인증서의 제2 유효기간이 만료되었는지를 확인한다(S902). The
제1 단말(300)은 제2 유효기간이 만료되지 않은 경우, 제2 단말(500)의 인증서의 제1 유효기간이 만료되었는지를 확인한다(S903).When the second validity period has not expired, the
제1 단말(300)은 제1 유효기간이 만료되지 않은 경우, 인증서에서 인증서 컨텐츠(ci)에 해당하는 부분의 해쉬값(h(ci))을 생성한다(S904).When the first validity period has not expired, the
제1 단말(300)은 인증서가 포함하는 제2 인증 파라미터와 제3 인증 파라미터(bi)를 이용하여 제1 검증 파라미터(Vi)를 산출한다(S905). 여기서, 제1 검증 파라미터(Vi)는 수학식 6과 같이 산출한다. The
제1 단말(300)은 제1 검증 파라미터(Vi)와 제2 단말(500)의 인증서의 제1 유효기간(T1)을 이용하여, 제2 단말(500)의 인증서가 포함하는 제1 초기 파라미터의 서명값(S)에 대한 유효성을 검증한다(S906). 이때, 제1 단말(300)은 수학식 7을 이용하여 제1 초기 파라미터의 서명값(S) 즉, 제2 단말(500)의 인증서에 대한 유효성을 검증한다. The
수학식 7을 참고하면, 공개키는 제1 단말(300)의 저장부(340)가 포함하는 Root CA(100)의 공개키이다. 또한, 제1 검증 파라미터(Vi)와 제1 초기 파라미터(P0)는 동일한 값을 같게 되므로, 인증서 검증이 성공적으로 이루어질 수 있다. Referring to Equation 7, the public key is the public key of the
제1 단말(300)은 제2 단말(500)의 인증서가 유효한 것으로 판단된 경우에 제2 단말(500)의 인증서를 이용하여 보안 통신에 필요한 절차를 수행한다(S907).
When it is determined that the certificate of the
이와 같이, 인증서 검증 방법은 제1 초기 비밀값(a0, b0, c0)을 만을 알고 있는 제1 로컬 인증서버(200)만이 유효한 제1 검증 파라미터(Vi)를 생성할 수 있는 제3 인증 파라미터(bi)를 생성할 수 있다. 때문에, 악의적인 공격자가 제1 로컬 인증서버(200)로 위장하여 임의의 제1 인증 파라미터(ai)와 제2 인증 파라미터()를 생성한다 하더라도, 유효한 제3 인증 파라미터를 산출해낼 수 없으므로, 유효한 제1 검증 파라미터(Vi) 및 인증서를 생성할 수 있는 제1 로컬 인증서버(200)로 위장할 수 없다. 또한, 제1 인증 파라미터(ai)는 인증서에 지수 모듈러 연상 형태 즉, 으로 전송되므로, 제1 인증 파라미터(ai)을 수학적으로 계산해내기 어려운 이산대수 문제에 기반하여 그 안전성이 보장된다. As described above, the certificate verification method may be configured such that only the first
제1 단말(300)은 제1 유효기간, 제2 유효기간 및 제1 초기 파라미터의 서명값 중 적어도 하나에 대한 유효성 검증에 실패하는 경우, 제2 단말(500)의 인증서를 사용하지 않는다.
When the
다음, 인증서 형식을 도 10을 참조하여 상세하게 설명한다. Next, the certificate format will be described in detail with reference to FIG.
도 10은 본 발명의 실시예에 따른 인증서의 형식을 개략적으로 나타내는 도면이다. 10 is a view schematically showing the format of a certificate according to an embodiment of the present invention.
도 10을 참고하면, 인증서는 인증서 컨텐츠에 해당하는 인증서 컨텐츠 영역(1020)과 신규 확장 영역(1030)을 포함한다. Referring to FIG. 10, the certificate includes a
인증서 컨텐츠 영역(1020)은 X.509v3 양식과 동일한 것으로, 버전(Version)(1001), 인증서 시리얼 넘버(Certificate Serial Number)(1002), 서명 알고리즘 식별자(Signature Algorithm Identifier)(1003), 인증서 발급 기관의 이름(Issuer Name)(1004), 제2 유효기간(Period of Validity)(1005), 인증서의 주체 이름(Subject Name)(1006), 인증서의 주체에 해당하는 공개키 정보(Subject's Public Key Information)(1007), 인증서 발급 기관의 특정 식별자(Issuer Unique Identifier)(1008) 및 인증서의 주체의 특정 식별자(Subject Unique Identifier)(1009)를 포함한다. The
신규 확장 영역(1030)은 제2 인증 파라미터(1010), 제3 인증 파라미터(1011) 및 제1 유효기간(1012)를 포함한다. The new
제1 초기 파라미터의 서명값(Issuer's Signature)(S)(1013)은 X.509v3 양식에서 인증서 발급 기관의 서명값에 해당하는 필드와 동일하다.
Issuer's Signature (S) 1013 of the first initial parameter is the same as the field corresponding to the signature value of the certificate issuing authority in the X.509v3 form.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
As described above, the best embodiment has been disclosed in the drawings and the specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.
100; Root CA
110; 개인키 저장부
120; 제1 초기 파라미터 수신부
130; 제1 초기 파라미터 서명값 생성부
140; 제1 초기 파라미터 서명값 송신부
200; 제1 로컬 인증서버
201; 비밀값 생성부
202; 제1 초기 파라미터 생성부
203; 제1 초기 파라미터 송신부
204; 제1 초기 파라미터 서명값 수신부
205; 저장부
206; 인증서 요청 수신부
207; 제1 및 제2 인증 파라미터 생성부
208; 인증서 컨텐츠 생성부
209; 제3 인증 파라미터 생성부
210; 최종 인증서 생성부
211; 인증서 송신부
300; 제1 단말
310; 키 생성부
320; 인증서 발행 요청부
330; 인증서 수신부
340; 저장부
350; 인증서 검증부
400; 제2 로컬 인증서버
500; 제2 단말100; Root ca
110; Private key storage
120; First initial parameter receiver
130; First initial parameter signature value generator
140; First initial parameter signature value transmitter
200; First local certificate server
201; Secret value generator
202; First initial parameter generator
203; First initial parameter transmitter
204; First initial parameter signature value receiving unit
205; The storage unit
206; Certificate request receiver
207; First and second authentication parameter generator
208; Certificate content generation unit
209; Third authentication parameter generator
210; Final Certificate Generator
211; Certificate Sender
300; First terminal
310; Key generator
320; Certificate issue request unit
330; Certificate Receiving Unit
340; The storage unit
350; Certificate Verification Unit
400; Second local certificate server
500; Second terminal
Claims (11)
상기 최상위 인증 서버에 해당하는 서명값을 이용하여 로컬 단말의 인증서를 발급하는 로컬 인증서버; 및
상기 로컬 인증서버가 발급한 상기 로컬 단말의 인증서에 해당하는 해쉬값을 토대로 검증 파라미터를 산출하고, 상기 검증 파라미터와 기 저장된 상기 최상위 인증서버의 공개키를 이용하여 상기 로컬 단말의 인증서를 검증하는 단말
을 포함하는 인증서 검증 시스템. Top-level authentication server;
A local authentication server for issuing a certificate of a local terminal using a signature value corresponding to the highest authentication server; And
A terminal that calculates a verification parameter based on a hash value corresponding to a certificate of the local terminal issued by the local authentication server, and verifies a certificate of the local terminal using the verification parameter and a previously stored public key of the highest authentication server.
Certificate verification system comprising a.
상기 단말은
단말의 공개키와 해당 개인키 쌍을 생성하는 키 생성부;
상기 로컬 인증서버로 상기 공개키를 전송하여 해당 인증서 발급을 요청하는 인증서 발행 요청부;
상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 수신하는 인증서 수신부; 및
상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 검증하는 인증서 검증부
를 포함하는 인증서 검증 시스템.The method according to claim 1,
The terminal
A key generation unit generating a public key of the terminal and a corresponding private key pair;
A certificate issuing request unit which transmits the public key to the local certificate server and requests issuance of a corresponding certificate;
A certificate receiving unit which receives a certificate issued by the local certificate server or a certificate of the local terminal; And
Certificate verification unit for verifying the certificate issued by the local authentication server or the certificate of the local terminal
Certificate verification system comprising a.
상기 인증서 검증부는
상기 로컬 인증서버가 인증서를 발행하는 경우 사용하는 초기 파라미터에 해당하는 상기 서명값, 상기 초기 파라미터에 대한 유효기간, 수신한 인증서가 포함하는 인증서 컨텐츠의 상기 해쉬값, 적어도 하나의 인증 파라미터를 이용하여 상기 인증서를 검증하는 것을 특징으로 하는 인증서 검증 시스템.The method according to claim 2,
The certificate verification unit
Using the signature value corresponding to the initial parameter used when the local authentication server issues a certificate, the validity period for the initial parameter, the hash value of the certificate content included in the received certificate, and at least one authentication parameter Certificate verification system, characterized in that for verifying the certificate.
상기 서명값 및 상기 유효기간은 상기 최상위 인증 서버에 대응하는 것을 특징으로 하는 인증서 검증 시스템.The method according to claim 3,
And the signature value and the validity period correspond to the highest authentication server.
상기 로컬 인증서버는
랜덤 비밀값에 해당하는 초기 비밀값을 생성하는 비밀값 생성부;
상기 초기 비밀값을 이용하여 초기 파라미터를 생성하는 초기 파라미터 생성부;
상기 초기 파라미터에 대응하는 상기 초기 파라미터의 서명값과 유효기간을 수신하는 수신부;
상기 단말로부터 인증서 요청 정보를 전달받는 요청 수신부;
상기 초기 비밀값과 상기 초기 비밀값의 지수 모듈러 연산자에 대응하는 제1 및 제2 인증 파라미터를 생성하는 인증 파라미터 생성부;
상기 단말의 인증서에 해당하는 인증서 컨텐츠의 해쉬값을 생성하는 컨텐츠 생성부;
상기 초기 비밀값, 상기 제1 인증 파라미터 및 상기 해쉬값을 이용하여 제3 인증 파라미터를 생성하는 인증 파라미터 생성부;
상기 인증서 컨텐츠, 상기 제2 인증 파라미터, 상기 제3 인증 파라미터, 상기 유효기간, 상기 서명값을 이용하여 인증서를 생성하는 인증서 생성부; 및
상기 인증서 생성부에서 생성한 인증서를 상기 단말로 전송하는 송신부
를 포함하는 인증서 검증 시스템. The method according to claim 1,
The local authentication server
A secret value generator for generating an initial secret value corresponding to the random secret value;
An initial parameter generator configured to generate an initial parameter using the initial secret value;
A receiving unit which receives a signature value and an expiration date of the initial parameter corresponding to the initial parameter;
A request receiving unit receiving certificate request information from the terminal;
An authentication parameter generator configured to generate first and second authentication parameters corresponding to the initial secret value and the exponential modular operator of the initial secret value;
A content generation unit generating a hash value of certificate content corresponding to a certificate of the terminal;
An authentication parameter generator configured to generate a third authentication parameter using the initial secret value, the first authentication parameter, and the hash value;
A certificate generating unit generating a certificate using the certificate contents, the second authentication parameter, the third authentication parameter, the validity period, and the signature value; And
Transmitter for transmitting the certificate generated by the certificate generator to the terminal
Certificate verification system comprising a.
상기 최상위 인증 서버는
서명기능을 수행하는 공개키 암호 알고리즘의 개인키를 저장하는 개인키 저장부;
상기 로컬 인증서버로부터 초기 파라미터를 수신하는 수신부;
상기 개인키를 이용하여 상기 초기 파라미터에 해당하는 서명값을 생성하는 생성부; 및
상기 초기 파라미터의 서명값과 상기 초기 파라미터에 대한 유효 기간을 상기 로컬 인증서버로 전송하는 송신부
를 포함하는 인증서 검증 시스템. The method according to claim 1,
The top level authentication server
A private key storage unit for storing a private key of a public key cryptographic algorithm that performs a signature function;
A receiving unit for receiving initial parameters from the local authentication server;
A generation unit generating a signature value corresponding to the initial parameter by using the private key; And
Transmitter for transmitting the signature value of the initial parameter and the validity period for the initial parameter to the local authentication server
Certificate verification system comprising a.
상기 제1 단말이 상기 제2 단말의 인증서에 해당하는 유효기간이 만료되었는지를 확인하는 단계;
상기 유효기간이 유효한 경우에 상기 인증서가 포함하는 인증서 컨텐츠에 해당하는 해쉬값을 생성하는 단계;
상기 인증서가 포함하는 적어도 하나의 인증 파라미터를 상기 해쉬값에 적용하여 검증 파라미터를 산출하는 단계;
상기 검증 파라미터와 상기 유효기간을 이용하여 상기 인증서가 포함하는 초기 파라미터의 서명값의 유효성을 검증하는 단계; 및
상기 유효성을 검증한 결과를 토대로 상기 인증서의 사용 유무를 결정하는 단계
를 포함하는 인증서 검증 방법.In the method for the first terminal to verify the certificate of the second terminal,
Checking, by the first terminal, whether an expiration date corresponding to a certificate of the second terminal has expired;
Generating a hash value corresponding to certificate content included in the certificate when the validity period is valid;
Calculating a verification parameter by applying at least one authentication parameter included in the certificate to the hash value;
Validating a signature value of an initial parameter included in the certificate using the verification parameter and the validity period; And
Determining whether the certificate is used or not based on the result of the validation;
Certificate verification method comprising a.
상기 유효기간이 만료되었는지를 확인하는 단계는
상기 제1 단말이 상기 초기 파라미터의 서명값에 대한 제1 유효기간 및 상기 제1 단말이 상기 제2 단말의 인증서 자체에 대한 제2 유효기간이 만료되었는지를 확인하는 것을 특징으로 하는 인증서 검증 방법.The method of claim 7,
Checking whether the validity period has expired
And the first terminal confirms whether a first validity period for the signature value of the initial parameter and the first terminal has expired for the second validity period for the certificate itself of the second terminal.
상기 제1 유효기간은 상기 제2 유효기간보다 긴 것을 특징으로 하는 인증서 검증 방법.The method according to claim 8,
And the first validity period is longer than the second validity period.
상기 인증서가 포함하는 상기 초기 파라미터의 서명값은 최상의 인증 서버에서 생성된 것을 특징으로 하는 인증서 검증 방법.The method of claim 7,
The signature value of the initial parameter included in the certificate is generated by the best authentication server.
상기 제1 단말은 최상위 인증기관의 인증서버의 공개키를 포함하는 것을 특징으로 하는 인증서 검증 방법.
The method of claim 7,
The first terminal comprises a public key of the authentication server of the highest certification authority.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110056186A KR101238846B1 (en) | 2011-06-10 | 2011-06-10 | System and method for verifying certificate |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020110056186A KR101238846B1 (en) | 2011-06-10 | 2011-06-10 | System and method for verifying certificate |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20120136954A true KR20120136954A (en) | 2012-12-20 |
KR101238846B1 KR101238846B1 (en) | 2013-03-04 |
Family
ID=47904229
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020110056186A KR101238846B1 (en) | 2011-06-10 | 2011-06-10 | System and method for verifying certificate |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101238846B1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112995213A (en) * | 2021-04-23 | 2021-06-18 | 北京紫光安芯科技有限公司 | Security authentication method and application device thereof |
WO2021187782A1 (en) * | 2020-03-18 | 2021-09-23 | (주)수산아이앤티 | Method for detecting malicious traffic and device therefor |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109657448B (en) * | 2018-12-21 | 2021-05-07 | 惠州Tcl移动通信有限公司 | Method and device for acquiring Root authority, electronic equipment and storage medium |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100453685B1 (en) * | 2002-11-05 | 2004-10-20 | 한국전자통신연구원 | An modified certificate path validation apparatus and method to include root key validation and CRL pre-validation |
KR100501172B1 (en) * | 2003-07-31 | 2005-07-18 | 에스케이 텔레콤주식회사 | System and Method for Status Management of Wireless Certificate for Wireless Internet and Method for Status Verification of Wireless Certificate Using The Same |
KR100736091B1 (en) * | 2005-12-09 | 2007-07-06 | 삼성전자주식회사 | Apparatus and method for managing a plurality of certificates |
KR100844436B1 (en) | 2006-04-28 | 2008-07-07 | 주식회사 리미트정보통신 | Local distributed CA system based on local PKI |
-
2011
- 2011-06-10 KR KR1020110056186A patent/KR101238846B1/en active IP Right Grant
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021187782A1 (en) * | 2020-03-18 | 2021-09-23 | (주)수산아이앤티 | Method for detecting malicious traffic and device therefor |
KR20210117006A (en) * | 2020-03-18 | 2021-09-28 | 주식회사 수산아이앤티 | Method and apparatus for detecting malicious traffic |
CN112995213A (en) * | 2021-04-23 | 2021-06-18 | 北京紫光安芯科技有限公司 | Security authentication method and application device thereof |
Also Published As
Publication number | Publication date |
---|---|
KR101238846B1 (en) | 2013-03-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5468157B2 (en) | Method and apparatus for generating verifiable public key | |
US9306942B1 (en) | Agile OTP generation | |
US8650403B2 (en) | Crytographic method for anonymous authentication and separate identification of a user | |
US10846372B1 (en) | Systems and methods for trustless proof of possession and transmission of secured data | |
RU2017140260A (en) | AUTHENTICATION IN A DISTRIBUTED MEDIUM | |
CN108989054B (en) | Cipher system and digital signature method | |
JP4615708B2 (en) | Key authentication method | |
CN104038486A (en) | System and method for realizing user login identification based on identification type codes | |
US20080141035A1 (en) | Limited Blind Signature System | |
CN105516119A (en) | Cross-domain identity authentication method based on proxy re-signature | |
WO2019110399A1 (en) | Two-party signature device and method | |
WO2014068427A1 (en) | Reissue of cryptographic credentials | |
JP2017522807A (en) | Systems and devices that bind metadata with hardware-specific characteristics | |
CN111211910A (en) | Anti-quantum computation CA (certificate Authority) and certificate issuing system based on secret shared public key pool and issuing and verifying method thereof | |
KR20120091618A (en) | Digital signing system and method using chained hash | |
KR101238846B1 (en) | System and method for verifying certificate | |
Hajny et al. | Attribute‐based credentials with cryptographic collusion prevention | |
CN109257381A (en) | A kind of key management method, system and electronic equipment | |
KR101371054B1 (en) | Method for digital signature and authenticating the same based on asymmetric-key generated by one-time_password and signature password | |
CN114128213B (en) | Apparatus, method, and program for verifying the authenticity of a public key | |
Fan et al. | Date attachable offline electronic cash scheme | |
KR100529594B1 (en) | Method for verifying public key in different certification domain | |
KR101720630B1 (en) | Method of a safe id-based mutual authentication against privileged-insider attacks | |
JP2004242195A (en) | Attested processing method, attested instrument, attested transaction program, electronic certificate management server, and electronic certificate management system | |
KR100761245B1 (en) | Method for producing of one time password response value using random number |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20151224 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20161227 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20180102 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20181226 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20191209 Year of fee payment: 8 |