KR20120136954A - System and method for verifying certificate - Google Patents

System and method for verifying certificate Download PDF

Info

Publication number
KR20120136954A
KR20120136954A KR1020110056186A KR20110056186A KR20120136954A KR 20120136954 A KR20120136954 A KR 20120136954A KR 1020110056186 A KR1020110056186 A KR 1020110056186A KR 20110056186 A KR20110056186 A KR 20110056186A KR 20120136954 A KR20120136954 A KR 20120136954A
Authority
KR
South Korea
Prior art keywords
certificate
terminal
authentication server
parameter
local
Prior art date
Application number
KR1020110056186A
Other languages
Korean (ko)
Other versions
KR101238846B1 (en
Inventor
최재덕
서정택
이철원
김춘수
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020110056186A priority Critical patent/KR101238846B1/en
Publication of KR20120136954A publication Critical patent/KR20120136954A/en
Application granted granted Critical
Publication of KR101238846B1 publication Critical patent/KR101238846B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

PURPOSE: A system and method for verifying a certificate are provided to minimize a certificate verification procedure using only a public key of a Root CA(root certification authority) without the acquisition of public key information of a local authentication server. CONSTITUTION: A first local authentication server(200) requests a corresponding signature value of a first initial parameter to a Root CA(100)(S501). The Root CA transmits the signature value of the first initial parameter to corresponding to the request of the first local authentication server to the first local certificate server(S502) The first local authentication server issues a certificate about a first terminal(300) and one or more terminals. The first terminal requests its own certificate to the first local authentication server(S503). The first local authentication server transmits the certificate corresponding to the first terminal to the first terminal(S504). The first terminal requests the certificate reissuance to the first local authentication server(S505). The first local authentication server transmits the reissued certificate to the first terminal(S506). [Reference numerals] (100) Root CA; (200) First local authentication server; (300) First terminal; (AA) Detection of an expiration date of a certificate; (S501) Request of a first initial parameter signature value; (S502) Issuing the first initial parameter signature value; (S503) Request of the certificate; (S504) Generation of the certificate; (S505) Request of the certificate for reissuing; (S506) Issuing the certificate for reissuing

Description

인증서 검증 시스템 및 그 방법{System and method for verifying certificate}System and method for verifying certificate

본 발명은 인증서 검증 시스템 및 그 방법에 관한 것이다. 보다 상세하게는 최상위 인증 기관의 서버(root certification authority, Root CA) 하위 계층에 위치하는 서로 다른 로컬 인증 서버들로부터 인증서를 발급 받은 단말들이 상호 로컬인증서버의 공개키 정보 없이 Root CA의 공개키 정보만으로 상호 인증서를 검증하는 인증서 검증 시스템 및 방법에 관한 것이다.The present invention relates to a certificate verification system and method thereof. More specifically, terminals that have received certificates from different local certificate servers located at a lower level of the root certification authority (root CA) of the root CA may not use the public key information of the local CA. The present invention relates to a certificate verification system and method for validating a mutual certificate by itself.

다단계 공개키 인증 구조는 최상위 인증기관, 중간 인증기관, 종단 인증기관으로 구성된다. 이와 같은, 공개키 인증 구조에서는 서로 다른 종단 인증기관으로부터 인증서를 발급 받은 단말들이 상호 인증서를 검증하기 위하여 상대 종단 인증기관의 공개키 정보뿐만 아니라, 종단 인증기관이 중간 인증기관과 최상위 인증기관으로부터 인증된 인증기관임을 확인할 수 있는 정보가 필요하다. 즉, 다단계 공개키 인증 구조에서는 단말의 인증서 발급 및 검증 단계가 복잡한 문제점이 있다.The multilevel public key certification structure is composed of top level certification authority, intermediate certification authority and end certification authority. In such a public key authentication structure, in order for terminals issued certificates from different end certification authorities to verify mutual certificates, not only the public key information of the other end certification authority, but also the end certification authority is authenticated from the intermediate certification authority and the highest certification authority. You need information to verify that you are a certified certification body. That is, in the multi-level public key authentication scheme, there is a complicated problem in issuing and verifying a certificate of a terminal.

이러한 문제점을 해결하기 위하여, 종래에는 로컬 CA 시스템이 인증서 서명 및 유효성을 검증하는 방법을 제공함으로써 단말의 인증서 검증 부하를 줄일 수 있었다. 그러나, 인증서 검증 단계에서 단말과 로컬 CA 시스템이 실시간 온라인 통신으로 연결되어야 하는 문제점이 있다. In order to solve this problem, conventionally, by providing a method for verifying the certificate signing and validity of the local CA system, it was possible to reduce the certificate verification load of the terminal. However, there is a problem that the terminal and the local CA system must be connected by real-time online communication in the certificate verification step.

또한, 종래에는 다단계 공개키 인증구조에서 통신단말의 인증서 검증 경로를 최상위 인증기관의 공개키를 사용하여 검증할 수 있는 1단계 인증경로를 제공함으로써, 인증서 검증 과정에 대한 부담을 최소화 시켰다. 그러나, 단말의 인증서 발급과정에서 종단 인증기관, 중간 인증기관, 최상위 인증기관들이 인증서 발급 과정에 개입해야 하는 부담이 있는 문제점이 있다. In addition, conventionally, by providing a one-step authentication path that can verify the certificate verification path of the communication terminal using the public key of the highest certification authority in the multi-level public key authentication structure, the burden on the certificate verification process is minimized. However, there is a problem in that a terminal certification authority, an intermediate certification authority, and a top certification authority have a burden of intervening in the certificate issuing process in the certificate issuing process of the terminal.

본 발명의 목적은, Root CA(root certification authority) 하위 계층에 위치하는 서로 다른 로컬 인증 서버들로부터 인증서를 발급 받은 단말들이 상호 로컬인증서버의 공개키 정보 없이 Root CA의 공개키 정보만으로 상호 인증서를 검증하는 인증서 검증 시스템 및 방법을 제공하는 것이다.An object of the present invention, the terminal issuing a certificate from different local authentication server located in the root certification authority (Root CA) sub-layer is a cross-certificate with only the public key information of the Root CA without the public key information of the mutual local authentication server. To provide a certificate verification system and method for verifying.

상기 과제를 해결하기 위한 본 발명의 실시예에 따른, 인증서 검증 시스템은 Certificate verification system according to an embodiment of the present invention for solving the above problems is

최상위 인증 서버; 상기 최상위 인증 서버에 해당하는 서명값을 이용하여 로컬 단말의 인증서를 발급하는 로컬 인증서버; 및 상기 로컬 인증서버가 발급한 상기 로컬 단말의 인증서에 해당하는 해쉬값을 토대로 검증 파라미터를 산출하고, 상기 검증 파라미터와 기 저장된 상기 최상위 인증서버의 공개키를 이용하여 상기 로컬 단말의 인증서를 검증하는 단말을 포함한다. Top-level authentication server; A local authentication server for issuing a certificate of a local terminal using a signature value corresponding to the highest authentication server; And calculating a verification parameter based on a hash value corresponding to a certificate of the local terminal issued by the local authentication server, and verifying a certificate of the local terminal using the verification parameter and a previously stored public key of the highest authentication server. It includes a terminal.

상기 단말은 단말의 공개키와 해당 개인키 쌍을 생성하는 키 생성부; 상기 로컬 인증서버로 상기 공개키를 전송하여 해당 인증서 발급을 요청하는 인증서 발행 요청부; 상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 수신하는 인증서 수신부; 및 상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 검증하는 인증서 검증부를 포함한다.The terminal includes a key generator for generating a public key and a corresponding private key pair of the terminal; A certificate issuing request unit which transmits the public key to the local certificate server and requests issuance of a corresponding certificate; A certificate receiving unit which receives a certificate issued by the local certificate server or a certificate of the local terminal; And a certificate verification unit that verifies a certificate issued by the local authentication server or a certificate of the local terminal.

상기 인증서 검증부는 상기 로컬 인증서버가 인증서를 발행하는 경우 사용하는 초기 파라미터에 해당하는 상기 서명값, 상기 초기 파라미터에 대한 유효기간, 수신한 인증서가 포함하는 인증서 컨텐츠의 상기 해쉬값, 적어도 하나의 인증 파라미터를 이용하여 상기 인증서를 검증하는 것을 특징으로 한다. The certificate verifying unit includes the signature value corresponding to an initial parameter used when the local authentication server issues a certificate, an expiration date for the initial parameter, the hash value of certificate contents included in a received certificate, and at least one certificate. And verifying the certificate by using a parameter.

상기 서명값 및 상기 유효기간은 상기 최상위 인증 서버에 대응하는 것을 특징으로 한다.The signature value and the validity period correspond to the highest authentication server.

상기 로컬 인증서버는 랜덤 비밀값에 해당하는 초기 비밀값을 생성하는 비밀값 생성부; 상기 초기 비밀값을 이용하여 초기 파라미터를 생성하는 초기 파라미터 생성부; 상기 초기 파라미터에 대응하는 상기 초기 파라미터의 서명값과 유효기간을 수신하는 수신부; 상기 단말로부터 인증서 요청 정보를 전달받는 요청 수신부; 상기 초기 비밀값과 상기 초기 비밀값의 지수 모듈러 연산자에 대응하는 제1 및 제2 인증 파라미터를 생성하는 인증 파라미터 생성부; 상기 단말의 인증서에 해당하는 인증서 컨텐츠의 해쉬값을 생성하는 컨텐츠 생성부; 상기 초기 비밀값, 상기 제1 인증 파라미터 및 상기 해쉬값을 이용하여 제3 인증 파라미터를 생성하는 인증 파라미터 생성부; 상기 인증서 컨텐츠, 상기 제2 인증 파라미터, 상기 제3 인증 파라미터, 상기 유효기간, 상기 서명값을 이용하여 인증서를 생성하는 인증서 생성부; 및 상기 인증서 생성부에서 생성한 인증서를 상기 단말로 전송하는 송신부를 포함한다.The local authentication server may include a secret value generator for generating an initial secret value corresponding to a random secret value; An initial parameter generator configured to generate an initial parameter using the initial secret value; A receiving unit which receives a signature value and an expiration date of the initial parameter corresponding to the initial parameter; A request receiving unit receiving certificate request information from the terminal; An authentication parameter generator configured to generate first and second authentication parameters corresponding to the initial secret value and the exponential modular operator of the initial secret value; A content generation unit generating a hash value of certificate content corresponding to a certificate of the terminal; An authentication parameter generator configured to generate a third authentication parameter using the initial secret value, the first authentication parameter, and the hash value; A certificate generating unit generating a certificate using the certificate contents, the second authentication parameter, the third authentication parameter, the validity period, and the signature value; And a transmitter for transmitting the certificate generated by the certificate generator to the terminal.

상기 최상위 인증 서버는 서명기능을 수행하는 공개키 암호 알고리즘의 개인키를 저장하는 개인키 저장부; 상기 로컬 인증서버로부터 초기 파라미터를 수신하는 수신부; 상기 개인키를 이용하여 상기 초기 파라미터에 해당하는 서명값을 생성하는 생성부; 및 상기 초기 파라미터의 서명값과 상기 초기 파라미터에 대한 유효 기간을 상기 로컬 인증서버로 전송하는 송신부를 포함한다.
The highest level authentication server includes a private key storage unit that stores a private key of a public key cryptographic algorithm that performs a signature function; A receiving unit for receiving initial parameters from the local authentication server; A generation unit generating a signature value corresponding to the initial parameter by using the private key; And a transmitter for transmitting the signature value of the initial parameter and the validity period for the initial parameter to the local authentication server.

상기 과제를 해결하기 위한 본 발명의 다른 실시예에 따른, 제1 단말이 제2 단말의 인증서를 검증하는 방법은According to another embodiment of the present invention for solving the above problems, a method for verifying the certificate of the second terminal by the first terminal

상기 제1 단말이 상기 제2 단말의 인증서에 해당하는 유효기간이 만료되었는지를 확인하는 단계; 상기 유효기간이 유효한 경우에 상기 인증서가 포함하는 인증서 컨텐츠에 해당하는 해쉬값을 생성하는 단계; 상기 인증서가 포함하는 적어도 하나의 인증 파라미터를 상기 해쉬값에 적용하여 검증 파라미터를 산출하는 단계; 상기 검증 파라미터와 상기 유효기간을 이용하여 상기 인증서가 포함하는 초기 파라미터의 서명값의 유효성을 검증하는 단계; 및 상기 유효성을 검증한 결과를 토대로 상기 인증서의 사용 유무를 결정하는 단계를 포함한다. Checking, by the first terminal, whether an expiration date corresponding to a certificate of the second terminal has expired; Generating a hash value corresponding to certificate content included in the certificate when the validity period is valid; Calculating a verification parameter by applying at least one authentication parameter included in the certificate to the hash value; Validating a signature value of an initial parameter included in the certificate using the verification parameter and the validity period; And determining whether the certificate is used based on a result of the validity verification.

상기 유효기간이 만료되었는지를 확인하는 단계는 상기 제1 단말이 상기 초기 파라미터의 서명값에 대한 제1 유효기간 및 상기 제1 단말이 상기 제2 단말의 인증서 자체에 대한 제2 유효기간이 만료되었는지를 확인하는 것을 특징으로 한다.The step of confirming whether the validity period has expired may include whether the first terminal has expired a first validity period for the signature value of the initial parameter and the first terminal has expired a second validity period for the certificate itself of the second terminal. Characterized in that the check.

상기 제1 유효기간은 상기 제2 유효기간보다 긴 것을 특징으로 한다.The first validity period is longer than the second validity period.

상기 인증서가 포함하는 상기 초기 파라미터의 서명값은 최상의 인증 서버에서 생성된 것을 특징으로 한다.The signature value of the initial parameter included in the certificate is generated by the best authentication server.

상기 제1 단말은 Root CA의 공개키를 포함하는 것을 특징으로 한다.
The first terminal is characterized in that it comprises a public key of the Root CA.

본 발명의 실시예에 따르면, 인증서 검증 시스템 및 그 방법은 Root CA와 무관하게, 서로 다른 도메인 환경에 위치하는 로컬 인증서버들이 인증서를 생성할 수 있다. According to an embodiment of the present invention, the certificate verification system and method thereof may generate certificates by local authentication servers located in different domain environments regardless of the root CA.

또한, 본 발명의 실시예에 따르면 인증서 검증 시스템 및 그 방법은 단말의 인증서가 로컬 인증 서버의 공개키 정보를 획득할 필요없이 Root CA의 공개키 만을 사용하여 검증함으로써, 인증서 검증 절차를 최소화할 수 있다.
Further, according to an embodiment of the present invention, the certificate verification system and method thereof can minimize the certificate verification procedure by verifying the certificate of the terminal using only the public key of the Root CA without having to obtain the public key information of the local certificate server. have.

도 1은 본 발명의 실시예에 따른 인증서서 검증 장치를 포함하는 시스템 환경을 개략적으로 나타내는 구성도이다.
도 2는 본 발명의 실시예에 따른 Root CA를 나타내는 구성도이다.
도 3은 본 발명의 실시예에 따른 제1 로컬 인증서버를 나타내는 구성도이다.
도 4는 본 발명의 실시예에 따른 제1 단말을 나타내는 구성도이다.
도 5는 본 발명의 실시예에 따른 제1 단말, 제1 로컬 인증 서버 및 Root CA간의 통신 흐름을 나타내는 흐름도이다.
도 6은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 로컬 인증 서버와간의 Root CA간의 통신 흐름을 나타내는 흐름도이다.
도 7은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 단말과 제1 로컬 인증 서버간의 통신 흐름을 나타내는 흐름도이다.
도 8은 본 발명의 실시예에 따른 인증서 검증 방법이 적용되는 제1 단말과 제2 단말간의 통신 흐름을 나타내는 흐름도이다.
도 9는 본 발명의 실시예에 따른 인증서 검증 방법을 나타내는 흐름도이다.
도 10은 본 발명의 실시예에 따른 인증서의 형식을 개략적으로 나타내는 도면이다. 1 is a configuration diagram schematically showing a system environment including a certificate verification device according to an embodiment of the present invention.
2 is a block diagram showing a root CA according to an embodiment of the present invention.
3 is a block diagram showing a first local authentication server according to an embodiment of the present invention.
4 is a block diagram showing a first terminal according to an embodiment of the present invention.
5 is a flowchart illustrating a communication flow between a first terminal, a first local authentication server, and a root CA according to an embodiment of the present invention.
6 is a flowchart illustrating a communication flow between a root CA and a first local authentication server in a certificate verification method according to an embodiment of the present invention.
7 is a flowchart illustrating a communication flow between a first terminal and a first local authentication server in a certificate verification method according to an embodiment of the present invention.
8 is a flowchart illustrating a communication flow between a first terminal and a second terminal to which a certificate verification method according to an embodiment of the present invention is applied.
9 is a flowchart illustrating a certificate verification method according to an embodiment of the present invention.
10 is a view schematically showing the format of a certificate according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shape and size of elements in the drawings may be exaggerated for clarity.

이하에서는, 본 발명의 실시예에 따른 인증서 검증 시스템 및 그 방법에 대하여 첨부한 도면을 참고로 하여 상세히 설명한다.Hereinafter, a certificate verification system and a method thereof according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 인증서 검증 장치를 포함하는 시스템 환경을 개략적으로 나타내는 구성도이다. 1 is a configuration diagram schematically showing a system environment including a certificate verification device according to an embodiment of the present invention.

도 1을 참고하면, 시스템 환경은 최상위 인증기관의 인증서버(이하 "Root CA"라고 함)(100), 제1 로컬 인증서버(200), 제1 로컬 인증서버(200)가 포함하는 제1 단말(300), 제2 로컬 인증서버(400) 및 제2 로컬 인증서버(400)가 포함하는 제2 단말(500)을 포함한다. Referring to FIG. 1, a system environment includes a first server that includes an authentication server (hereinafter, referred to as “Root CA”) 100, a first local authentication server 200, and a first local authentication server 200 of a top certification authority. The terminal 300 includes a second local authentication server 400 and a second terminal 500 included in the second local authentication server 400.

Root CA(100)은 자신의 하위 인증 서버에 해당하는 제1 로컬 인증서버(200)와 제2 로컬 인증서버(400)를 각각 제1 지역 도메인(A)과 제2 지역 도메인(B)으로 분리하여 구성한다. The root CA 100 separates the first local authentication server 200 and the second local authentication server 400 corresponding to its subordinate authentication servers into the first local domain A and the second local domain B, respectively. To configure.

제1 로컬 인증서버(200)는 제1 지역 도메인(A)에 해당하는 제1 단말(300)의 인증서를 발급하고, 제2 로컬 인증서버(400)는 제2 지역 도메인(B)에 해당하는 제2 단말(500)의 인증서를 발급한다. 여기서, 제1 단말(300)과 제2 단말(500)은 인증서 발급 대상에 해당하는 사용자 또는 통신기기가 될 수 있으며, 이에 한정되지 않는다. The first local authentication server 200 issues a certificate of the first terminal 300 corresponding to the first local domain A, and the second local authentication server 400 corresponds to the second local domain B. The certificate of the second terminal 500 is issued. Here, the first terminal 300 and the second terminal 500 may be a user or a communication device corresponding to a certificate issue target, but is not limited thereto.

본 발명의 실시예에 따른, 인증서 검증 장치 즉, 제1 단말(300)과 제2 단말(500)이 인증서를 이용하여 보안 통신에 앞서 인증서를 상호 교환하여 인증서를 검증하는 경우, 제1 단말(300)과 제2 단말(500)은 최상위 인증기관의 인증서버에 해당하는 Root CA(100)의 공개키 정보만을 이용하여 인증서를 검증한다. 이러한, 인증서 검증 장치는 단말 측에 위치할 수 있으며, 이에 한정되지 않는다.According to an embodiment of the present invention, when the certificate verification device, that is, the first terminal 300 and the second terminal 500 to verify the certificate by exchanging the certificates before the secure communication using the certificate, the first terminal ( 300 and the second terminal 500 verifies the certificate using only the public key information of the Root CA 100 corresponding to the authentication server of the highest certification authority. Such a certificate verification device may be located at the terminal side, but is not limited thereto.

구체적으로, 제1 단말(300)은 제2 단말(500)의 인증서를 검증하기 위하여, 제2 로컬 인증서버(400)의 공개키 정보를 필요로 하지 않는다. 또한, 제2 단말(500)은 제1 단말(300)의 인증서를 검증하기 위하여, 제1 로컬 인증서버(200)의 공개키 정보를 필요로 하지 않는다.
Specifically, the first terminal 300 does not need the public key information of the second local authentication server 400 to verify the certificate of the second terminal 500. In addition, the second terminal 500 does not need the public key information of the first local authentication server 200 in order to verify the certificate of the first terminal 300.

다음, Root CA(100)를 도 2를 참조하여 상세하게 설명한다. Next, the Root CA 100 will be described in detail with reference to FIG. 2.

도 2는 본 발명의 실시예에 따른 Root CA를 나타내는 구성도이다. 2 is a block diagram showing a root CA according to an embodiment of the present invention.

도 2를 참고하면, Root CA(100)는 개인키 저장부(110), 제1 초기 파라미터 수신부(120), 제1 초기 파라미터 서명값 생성부(130) 및 제1 초기 파라미터 서명값 송신부(140)를 포함한다. Referring to FIG. 2, the root CA 100 may include a private key storage unit 110, a first initial parameter receiver 120, a first initial parameter signature value generator 130, and a first initial parameter signature value transmitter 140. ).

개인키 저장부(110)는 Root CA(100)의 서명 기능을 수행하는 공개키 암호 알고리즘의 개인키를 저장한다. The private key storage unit 110 stores a private key of a public key cryptographic algorithm that performs a signature function of the root CA 100.

제1 초기 파라미터 수신부(120)는 제1 로컬 인증서버(200)로부터 제1 초기 파라미터를 수신한다. The first initial parameter receiver 120 receives the first initial parameter from the first local authentication server 200.

제1 초기 파라미터 서명값 생성부(130)는 개인키를 이용하여 제1 초기 파라미터의 서명값을 생성한다. The first initial parameter signature value generator 130 generates a signature value of the first initial parameter by using the private key.

제1 초기 파라미터 서명값 송신부(140)는 제1 초기 파라미터의 서명값과 서명값의 유효기간 정보를 포함하는 제1 유효기간을 제1 로컬 인증서버(200)로 전송한다.
The first initial parameter signature value transmitter 140 transmits a first validity period including the signature value of the first initial parameter and the validity period information of the signature value to the first local authentication server 200.

다음, 제1 로컬 인증서버(200)를 도 3을 참조하여 상세하게 설명한다. Next, the first local authentication server 200 will be described in detail with reference to FIG. 3.

도 3은 본 발명의 실시예에 따른 제1 로컬 인증서버를 나타내는 구성도이다. 3 is a block diagram showing a first local authentication server according to an embodiment of the present invention.

도 3을 참고하면, 제1 로컬 인증서버(200)는 비밀값 생성부(201), 제1 초기 파라미터 생성부(202), 제1 초기 파라미터 송신부(203), 제1 초기 파라미터 서명값 수신부(204), 저장부(205), 인증서 요청 수신부(206), 제1 및 제2 인증 파라미터 생성부(207), 인증서 컨텐츠 생성부(208), 제3 인증 파라미터 생성부(209), 최종 인증서 생성부(210) 및 인증서 송신부(211)를 포함한다. Referring to FIG. 3, the first local authentication server 200 may include a secret value generator 201, a first initial parameter generator 202, a first initial parameter transmitter 203, and a first initial parameter signature value receiver ( 204, storage unit 205, certificate request receiving unit 206, first and second authentication parameter generator 207, certificate content generator 208, third authentication parameter generator 209, final certificate generation The unit 210 and the certificate transmitter 211 is included.

비밀값 생성부(201)는 3개의 랜덤 비밀값 즉, 제1 초기 비밀값을 생성한다. The secret value generator 201 generates three random secret values, that is, a first initial secret value.

제1 초기 파라미터 생성부(202)는 제1 초기 비밀값을 이용하여 제1 초기 파라미터를 생성한다. The first initial parameter generator 202 generates a first initial parameter using the first initial secret value.

제1 초기 파라미터 송신부(203)는 제1 초기 파라미터를 Root CA(100)로 전송한다. The first initial parameter transmitter 203 transmits the first initial parameter to the root CA 100.

제1 초기 파라미터 서명값 수신부(204)는 전송한 제1 초기 파라미터에 대응하는 제1 초기 파라미터의 서명값과 제1 유효기간을 Root CA(100)로부터 수신한다. The first initial parameter signature value receiving unit 204 receives the signature value and the first valid period of the first initial parameter corresponding to the first initial parameter transmitted from the root CA 100.

저장부(205)는 제1 초기 비밀값, 제1 초기 파라미터의 서명값 및 제1 유효기간을 저장한다. The storage unit 205 stores the first initial secret value, the signature value of the first initial parameter, and the first valid period.

인증서 요청 수신부(206)는 제1 단말(300)로부터 인증서 요청 정보를 전달받는다. The certificate request receiving unit 206 receives the certificate request information from the first terminal 300.

제1 및 제2 인증 파라미터 생성부(207)는 제1 초기 비밀값과 제1 초기 비밀값의 지수 모듈러 연산자에 대응하는 제1 및 제2 인증 파라미터 생성한다. The first and second authentication parameter generators 207 generate first and second authentication parameters corresponding to the exponential modular operator of the first initial secret value and the first initial secret value.

인증서 컨텐츠 생성부(208)는 인증기관의 서명값을 제외한 특정 형식의 인증서 컨텐츠와 인증서 컨텐츠의 해쉬값를 생성한다. 여기서, 특정 형식은 X.509v3 형식일 수 있으며, 이에 한정되지 않는다. The certificate content generator 208 generates a hash value of the certificate content and the certificate content in a specific format except for the signature value of the certificate authority. Here, the specific format may be an X.509v3 format, but is not limited thereto.

제3 인증 파라미터 생성부(209)는 제1 초기 비밀값, 제1 인증 파라미터 및 인증서 컨텐츠의 해쉬값을 이용하여 제3 인증 파라미터를 생성한다. The third authentication parameter generator 209 generates a third authentication parameter by using the first initial secret value, the first authentication parameter, and the hash value of the certificate content.

최종 인증서 생성부(210)는 인증서 컨텐츠, 제2 인증 파라미터, 제3 인증 파라미터, 제1 유효기간, 제1 초기 파라미터의 서명값을 이용하여 최종 인증서(이하 "인증서"라고 함)를 생성한다. The final certificate generator 210 generates a final certificate (hereinafter referred to as a "certificate") using signature values of the certificate content, the second authentication parameter, the third authentication parameter, the first validity period, and the first initial parameter.

인증서 송신부(211)는 생성된 인증서를 제1 단말(300)로 전송한다.
The certificate transmitter 211 transmits the generated certificate to the first terminal 300.

다음, 제1 단말(300)을 도 4를 참조하여 상세하게 설명한다. Next, the first terminal 300 will be described in detail with reference to FIG. 4.

도 4는 본 발명의 실시예에 따른 제1 단말을 나타내는 구성도이다. 4 is a block diagram showing a first terminal according to an embodiment of the present invention.

먼저, 본 발명의 실시예에 따른 제1 단말(300)은 인증서를 검증하는 인증서 검증 장치에 해당하는 것으로, 이에 한정되지 않는다. First, the first terminal 300 according to the embodiment of the present invention corresponds to a certificate verification device for verifying a certificate, but is not limited thereto.

도 4를 참고하면, 제1 단말(300)은 키 생성부(310), 인증서 발행 요청부(320), 인증서 수신부(330), 저장부(340) 및 인증서 검증부(350)를 포함한다. Referring to FIG. 4, the first terminal 300 includes a key generator 310, a certificate issuing requester 320, a certificate receiver 330, a storage 340, and a certificate verifier 350.

키 생성부(310)는 공개키 암호 알고리즘의 개인키와 공개키를 생성한다.The key generator 310 generates a private key and a public key of a public key cryptographic algorithm.

인증서 발행 요청부(320)는 제1 로컬 인증서버(200)로 자신의 아이디 즉, 제1 단말(300)의 아이디와 공개키를 전송함으로써, 제1 단말(300)의 아이디와 공개키에 대응하는 인증서를 요청한다. The certificate issue request unit 320 transmits its ID, that is, the ID and the public key of the first terminal 300, to the first local authentication server 200, thereby corresponding to the ID and the public key of the first terminal 300. Request a certificate.

인증서 수신부(330)는 제1 로컬 인증서버(200)가 생성한 인증서 또는 다른 단말 예를 들어, 제2 단말(500)의 인증서를 수신한다. The certificate receiver 330 receives a certificate generated by the first local authentication server 200 or a certificate of another terminal, for example, the second terminal 500.

저장부(340)는 개인키, 제1 로컬 인증서버(200)가 생성한 인증서 또는 제2 단말(500)의 인증서, Root CA(100)의 인증서를 저장한다. The storage unit 340 stores a private key, a certificate generated by the first local authentication server 200, a certificate of the second terminal 500, and a certificate of the root CA 100.

인증서 검증부(350)는 제1 로컬 인증서버(200)가 생성한 인증서 또는 제2 단말(500)의 인증서를 이용하여 보안 통신을 수행하기에 앞서, 제1 로컬 인증서버(200) 또는 제2 단말(500)의 인증서를 검증한다.
The certificate validator 350 may perform the secure communication using the certificate generated by the first local authentication server 200 or the certificate of the second terminal 500. The certificate of the terminal 500 is verified.

다음 공개키 인증 구조에서 인증서 생성, 재발급, 검증과정을 포함하는 인증서 검증 방법을 도 5 내지 도 9를 참조하여 상세하게 설명한다.A certificate verification method including a certificate generation, reissue, and verification process in the following public key authentication structure will be described in detail with reference to FIGS. 5 to 9.

도 5는 본 발명의 실시예에 따른 제1 단말, 제1 로컬 인증 서버 및 Root CA간의 통신 흐름을 나타내는 흐름도이다.5 is a flowchart illustrating a communication flow between a first terminal, a first local authentication server, and a root CA according to an embodiment of the present invention.

도 5를 참고하면, 제1 로컬 인증서버(200)는 해당하는 제1 초기 파라미터의 서명값을 Root CA(100)에 요청한다(S501). Referring to FIG. 5, the first local authentication server 200 requests the Root CA 100 for a signature value of a corresponding first initial parameter (S501).

Root CA(100)는 제1 로컬 인증서버(200)의 요청에 대응하게 제1 초기 파라미터의 서명값을 발행하고, 발행한 제1 초기 파라미터의 서명값을 제1 로컬 인증서버(200)로 전송한다(S502). The root CA 100 issues a signature value of the first initial parameter in response to a request of the first local authentication server 200, and transmits the signature value of the issued first initial parameter to the first local authentication server 200. (S502).

S501 단계 및 S502 단계와 같이, 제1 로컬 인증서버(200)는 제1 초기 파라미터의 서명값을 저장하며, 해당하는 도메인 즉, 제1 지역 도메인(A)이 포함하는 제1 단말(300) 및 적어도 하나의 단말들에 대해서 인증서를 발급할 수 있다. As in steps S501 and S502, the first local authentication server 200 stores the signature value of the first initial parameter, and includes the first terminal 300 included in the corresponding domain, that is, the first local domain A and A certificate may be issued to at least one terminal.

즉, 제1 단말(300)은 자신의 인증서를 제1 로컬 인증서버(200)로 요청하고(S503), 제1 로컬 인증서버(200)는 제1 단말(300)에 해당하는 인증서를 발행하고, 발행한 인증서를 제1 단말(300)로 전송한다(S504).That is, the first terminal 300 requests its certificate to the first local authentication server 200 (S503), and the first local authentication server 200 issues a certificate corresponding to the first terminal 300. The issued certificate is transmitted to the first terminal 300 (S504).

다음, 제1 단말(300)은 전달받은 인증서의 유효기간이 만료된 것을 감지한 경우, S503단계와 같이 제1 로컬 인증서버(200)로 인증서 재발급을 요청한다(S505). 제1 로컬 인증서버(200)는 요청에 대응하게 제1 단말(300)에 해당하는 인증서를 재발행하고, 재발행한 인증서를 제1 단말(300)로 전송한다(S506).
Next, when the first terminal 300 detects that the valid period of the received certificate has expired, the first terminal 300 requests the certificate reissue to the first local authentication server 200 in step S503 (S505). The first local authentication server 200 reissues a certificate corresponding to the first terminal 300 in response to the request, and transmits the reissued certificate to the first terminal 300 (S506).

다음, 제1 단말(300), 제1 로컬 인증서버(200) 및 Root CA(100)간의 통신 흐름 중에서 S501 단계 및 S502 단계를 도 6을 참조하여 상세하게 설명한다. Next, steps S501 and S502 in the communication flow between the first terminal 300, the first local authentication server 200, and the root CA 100 will be described in detail with reference to FIG. 6.

도 6은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 로컬 인증 서버와 Root CA간의 통신 흐름을 나타내는 흐름도이다.6 is a flowchart illustrating a communication flow between a first local authentication server and a root CA in a certificate verification method according to an embodiment of the present invention.

도 6을 참고하면, 제1 로컬 인증서버(200)는 랜덤값으로 구성된 3개의 랜덤 비밀값 즉, 제1 초기 비밀값(a0, b0, c0)을 생성한다(S601). Referring to FIG. 6, the first local authentication server 200 generates three random secret values composed of random values, that is, first initial secret values a 0 , b 0 , and c 0 (S601).

제1 로컬 인증서버(200)는 제1 초기 비밀값을 이용하여 제1 초기 파라미터(P0)를 생성한다(S602). 여기서, 제1 초기 파라미터(P0)는 수학식 1과 같이 산출한다. The first local authentication server 200 generates a first initial parameter P 0 using the first initial secret value (S602). Here, the first initial parameter P 0 is calculated as in Equation 1.

Figure pat00001
Figure pat00001

수학식 1에서, g는 임의의 큰 소수 p로의 곱셈군의 생성자, mod는 모듈러 연산자,

Figure pat00002
는 곱셈 연산자이다. 이하, 표현의 간결성을 위하여
Figure pat00003
연산 표기는 생략한다. In Equation 1, g is a constructor of a multiplication group to any large prime number p, mod is a modular operator,
Figure pat00002
Is a multiplication operator. Hereinafter, for brevity of expression
Figure pat00003
Operation notation is omitted.

제1 로컬 인증서버(200)는 산출한 제1 초기 파라미터(P0)를 Root CA(100)로 전송함으로써(S603), 제1 초기 파라미터(P0)의 서명값을 요청한다. The first local authentication server 200 transmits the calculated first initial parameter P 0 to the Root CA 100 (S603) to request a signature value of the first initial parameter P 0 .

Root CA(100)는 제1 초기 파라미터를 수신한 경우, 제1 초기 파라미터(P0)의 유효기간에 해당하는 제1 유효기간(T1)을 설정한다(S604). When the root CA 100 receives the first initial parameter, the root CA 100 sets a first valid period T 1 corresponding to the valid period of the first initial parameter P 0 (S604).

Root CA(100)는 개인키와 설정한 제1 유효기간(T1)을 이용하여 제1 초기 파라미터(P0)의 서명값(S)을 산출한다(S605). 여기서, 제1 초기 파라미터(P0)의 서명값(S)은 수학식 2와 같이 산출한다. The root CA 100 calculates the signature value S of the first initial parameter P 0 using the private key and the set first validity period T 1 (S605). Here, the signature value S of the first initial parameter P 0 is calculated as shown in Equation 2 below.

Figure pat00004
Figure pat00004

수학식 2에서, ||는 두 문자열의 연접이고, 개인키는 RSA와 같은 서명 기능을 제공하는 모든 공개키 암호 알고리즘의 개인키이고, h()는 일방향 해쉬함수로 SHA1과 같은 알고리즘뿐만 아니라 기존의 모든 해쉬 함수 알고리즘을 포함한다.In Equation 2, || is the concatenation of two strings, private key is the private key of all public key cryptographic algorithms that provide signature functions such as RSA, and h () is a one-way hash function. Contains all hash function algorithms.

Root CA(100)는 제1 초기 파라미터(P0)의 서명값(S)과 제1 유효기간(T1)을 제1 로컬 인증서버(200)로 전송하다(S606). The root CA 100 transmits the signature value S and the first validity period T 1 of the first initial parameter P 0 to the first local authentication server 200 (S606).

제1 로컬 인증서버(200)는 전달받은 제1 초기 파라미터(P0)의 서명값(S)과 제1 유효기간(T1)을 저장부(205)에 저장한다(S607).
The first local authentication server 200 stores the received signature value S of the first initial parameter P 0 and the first validity period T 1 in the storage unit 205 (S607).

다음, 제1 단말(300), 제1 로컬 인증서버(200) 및 Root CA(100)간의 통신 흐름 중에서 S503 단계 및 S504 단계를 도 7을 참조하여 상세하게 설명한다. Next, step S503 and step S504 of the communication flow between the first terminal 300, the first local authentication server 200 and the Root CA 100 will be described in detail with reference to FIG.

도 7은 본 발명의 실시예에 따른 인증서 검증 방법 중 제1 단말과 제1 로컬 인증 서버간의 통신 흐름을 나타내는 흐름도이다.7 is a flowchart illustrating a communication flow between a first terminal and a first local authentication server in a certificate verification method according to an embodiment of the present invention.

도 7을 참고하면, 제1 단말(300)은 공개키 암호 알고리즘의 개인키와 공개키를 생성한다(S701).Referring to FIG. 7, the first terminal 300 generates a private key and a public key of a public key cryptographic algorithm (S701).

제1 단말(300)은 자신의 아이디 즉, 제1 단말(300)의 아이디와 공개키를 제1 로컬 인증서버(200)로 전송한다(S702). The first terminal 300 transmits its ID, that is, the ID and the public key of the first terminal 300 to the first local authentication server 200 (S702).

제1 로컬 인증서버(200)는 제1 단말(300)의 아이디와 공개키를 수신한 후, 랜덤값으로 생성된 제1 인증 파라미터(ai)와 제2 인증 파라미터(gamodp)를 생성한다(S703).After receiving the ID and the public key of the first terminal 300, the first local authentication server 200 generates a first authentication parameter a i and a second authentication parameter g a mod p generated randomly. To generate (S703).

또한, 제1 로컬 인증서버(200)는 인증서 버전(version), 시리얼 번호(serial number) 등을 포함하는 인증서 컨텐츠(ci)와 해쉬값(h(ci))을 생성한다(S704). 여기서, i는 파라미터를 식별할 수 있는 인덱스에 해당하는 것으로, 순차적으로 증가하는 인덱스(1, 2, 3, ...)이다. In addition, the first local authentication server 200 generates a certificate content (c i ) and a hash value (h (c i )) including a certificate version (version), a serial number, etc. (S704). Here, i corresponds to an index for identifying a parameter and is an index (1, 2, 3, ...) that increases sequentially.

제1 로컬 인증서버(200)는 제1 초기 비밀값(a0, b0, c0), 제1 인증 파라미터(ai) 및 인증서 컨텐츠(ci)와 해쉬값(h(ci))을 이용하여 제3 인증 파라미터(bi)를 생성한다(S705). 여기서, 제3 인증 파라미터(bi)는 수학식 3과 같이 산출한다. The first local authentication server 200 uses the first initial secret values a0, b0, c0, the first authentication parameter a i , the certificate contents c i , and the hash value h (c i ). A third authentication parameter b i is generated (S705). Here, the third authentication parameter b i is calculated as in Equation 3.

Figure pat00005
Figure pat00005

이때, 제1 로컬 인증서버(200)는 제1 인증 파라미터(ai)와 제3 인증 파라미터(bi)가 외부에 노출되지 않도록 관리해야 한다. In this case, the first local authentication server 200 must manage the first authentication parameter a i and the third authentication parameter b i not to be exposed to the outside.

수학식 3을 참고하면, 인증서 컨텐츠(ci)와 해쉬값(h(ci)), 제1 인증 파라미터(ai) 및 제3 인증 파라미터(bi)는 제1 로컬 인증서버(200)의 제1 초기 파라미터(P0)과 충돌되는 해쉬값들을 생성하기 위한 파라미터들에 해당한다. 이러한 파라미터들은 수학식 4에 따라 수학식 5와 같은 관계가 성립된다. Referring to Equation 3, the certificate content (c i ) and the hash value (h (c i )), the first authentication parameter (a i ) and the third authentication parameter (b i ) is the first local authentication server 200 Corresponds to parameters for generating hash values that collide with the first initial parameter of P 0 . These parameters are established according to equation (4) according to equation (4).

Figure pat00006
Figure pat00006

Figure pat00007
Figure pat00007

즉, 제1 로컬 인증서버(200)는 상기 파라미터들을 토대로 수학식 3과 같이 제3 인증 파라미터(bi)를 생성한다.That is, the first local authentication server 200 generates the third authentication parameter b i as shown in Equation 3 based on the parameters.

다음, 제1 로컬 인증서버(200)는 인증서 컨텐츠(ci), 제2 인증 파라미터(

Figure pat00008
), 제3 인증 파라미터(bi), 제1 유효기간(T1), 제1 초기 파라미터의 서명값(S)을 이용하여 최종적으로 인증서를 생성한다(S706).Next, the first local authentication server 200 is the certificate content (c i ), the second authentication parameter (
Figure pat00008
), A certificate is finally generated using the third authentication parameter b i , the first validity period T 1 , and the signature value S of the first initial parameter (S706).

제1 로컬 인증서버(200)는 생성한 인증서를 제1 단말(300)로 전송한다(S707).The first local authentication server 200 transmits the generated certificate to the first terminal 300 (S707).

제1 단말(300)은 전달받은 인증서를 검증하고, 저장부(340)에 저장한다(S708).
The first terminal 300 verifies the received certificate and stores it in the storage unit 340 (S708).

다음, 본 발명의 실시예에 따른 인증서 검증 방법이 적용되는 제1 단말(300)과 제2 단말(500)간의 통신 흐름을 도 8을 참조하여 상세하게 설명한다. Next, the communication flow between the first terminal 300 and the second terminal 500 to which the certificate verification method according to the embodiment of the present invention is applied will be described in detail with reference to FIG. 8.

도 8은 본 발명의 실시예에 따른 인증서 검증 방법이 적용되는 제1 단말과 제2 단말간의 통신 흐름을 나타내는 흐름도이다.8 is a flowchart illustrating a communication flow between a first terminal and a second terminal to which a certificate verification method according to an embodiment of the present invention is applied.

도 8을 참고하면, 제1 단말(300)은 제2 로컬 인증서버(400)로부터 인증서를 발급받은 제2 단말(500)로부터 제2 단말(500)의 인증서를 전달받는다(S801). Referring to FIG. 8, the first terminal 300 receives a certificate of the second terminal 500 from the second terminal 500 that receives the certificate from the second local authentication server 400 (S801).

제2 단말(500)은 제1 로컬 인증서버(200)로부터 인증서를 발급받은 제1 단말(300)로부터 제1 단말(300)의 인증서를 전달받는다(S802). The second terminal 500 receives the certificate of the first terminal 300 from the first terminal 300 that has received the certificate from the first local authentication server 200 (S802).

즉, S801 단계 및 S802 단계는 제1 로컬 인증서버(200)로부터 인증서를 발급받은 제1 단말(300)과 제2 로컬 인증서버(400)로부터 인증서를 발급받은 제2 단말(500)이 상호 인증서를 교환하는 단계이다. That is, in steps S801 and S802, the first terminal 300 having received the certificate from the first local authentication server 200 and the second terminal 500 having received the certificate from the second local authentication server 400 are mutual certificates. It is a step to exchange.

본 발명의 실시예에 따른, 제1 단말(300)과 제2 단말(500)은 제1 로컬 인증서버(200)의 공개키 또는 제2 로컬 인증서버(400)의 공개키 없이, Root CA(100)의 공개키만을 이용하여 상호 인증서를 검증한다.
According to an embodiment of the present invention, the first terminal 300 and the second terminal 500 may be configured as a Root CA (without the public key of the first local authentication server 200 or the public key of the second local authentication server 400). The mutual certificate is verified using only the public key of 100).

다음, 인증서를 검증하는 방법을 도 9를 참조하여 상세하게 설명한다. Next, a method of verifying a certificate will be described in detail with reference to FIG. 9.

도 9는 본 발명의 실시예에 따른 인증서 검증 방법을 나타내는 흐름도이다.9 is a flowchart illustrating a certificate verification method according to an embodiment of the present invention.

먼저, 본 발명의 실시예에 따른 인증서 검증 장치 예를 들어, 제1 단말(300)은 제1 유효기관과 제2 유효기간을 포함하는 인증서를 검증한다. 여기서, 제2 유효기간은 제1 단말(300)의 인증서 자체에 대한 유효기간이고, 제1 유효기간은 제1 로컬 인증서버(200)가 단말들의 인증서를 발행하는 경우 사용하는 제1 초기 파라미터의 서명값에 대한 유효기간이다. 제1 유효기간은 제2 유효기간 보다 장기간 사용할 수 있도록 설정하며, 이에 한정되지 않는다. First, an apparatus for verifying a certificate according to an embodiment of the present invention, for example, the first terminal 300 verifies a certificate including a first validity period and a second validity period. Here, the second validity period is the validity period for the certificate itself of the first terminal 300, and the first validity period is the first initial parameter used when the first local authentication server 200 issues the certificates of the terminals. The validity period for the signature value. The first validity period is set to be longer than the second validity period, but is not limited thereto.

예를 들어, 제1 유효기간이 현재 시간으로부터 1년 사용할 수 있도록 설정된 경우, 제1 로컬 인증서버(200)는 Root CA(100)로부터 제1 초기 파라미터의 서명값을 추가적으로 발급받지 않고도, 제1 로컬 인증서버(200)에 해당하는 제1 지역 도메인(A) 내 단말들에게 인증서를 발급할 수 있다. For example, when the first validity period is set to be used for one year from the current time, the first local authentication server 200 may not first receive a signature value of the first initial parameter from the Root CA 100. Certificates may be issued to terminals in the first local domain A corresponding to the local authentication server 200.

한편, 제2 유효기간이 현재시간으로부터 1주일 정도의 기간으로 설정된 경우, 제1 단말(300)은 1주일이 경과되기 전에 제1 로컬 인증서버(200)로부터 인증서를 재발급 받아야 한다. On the other hand, when the second validity period is set to a period of about one week from the current time, the first terminal 300 must be reissued a certificate from the first local authentication server 200 before one week elapses.

도 9를 참고하면, 제1 단말(300)은 제2 단말(500)로부터 제2 단말(500)의 인증서를 수신한다(S901).Referring to FIG. 9, the first terminal 300 receives a certificate of the second terminal 500 from the second terminal 500 (S901).

제1 단말(300)은 수신한 제2 단말(500)의 인증서의 제2 유효기간이 만료되었는지를 확인한다(S902).  The first terminal 300 checks whether the second validity period of the received certificate of the second terminal 500 has expired (S902).

제1 단말(300)은 제2 유효기간이 만료되지 않은 경우, 제2 단말(500)의 인증서의 제1 유효기간이 만료되었는지를 확인한다(S903).When the second validity period has not expired, the first terminal 300 checks whether the first validity period of the certificate of the second terminal 500 has expired (S903).

제1 단말(300)은 제1 유효기간이 만료되지 않은 경우, 인증서에서 인증서 컨텐츠(ci)에 해당하는 부분의 해쉬값(h(ci))을 생성한다(S904).When the first validity period has not expired, the first terminal 300 generates a hash value h (c i ) of a portion corresponding to the certificate content c i in the certificate (S904).

제1 단말(300)은 인증서가 포함하는 제2 인증 파라미터와 제3 인증 파라미터(bi)를 이용하여 제1 검증 파라미터(Vi)를 산출한다(S905). 여기서, 제1 검증 파라미터(Vi)는 수학식 6과 같이 산출한다. The first terminal 300 calculates a first parameter validation (V i) by using the second authentication parameters, including the certificates and the third authentication parameters (b i) (S905). Here, the first verification parameter (V i) is calculated as shown in equation (6).

Figure pat00009
Figure pat00009

제1 단말(300)은 제1 검증 파라미터(Vi)와 제2 단말(500)의 인증서의 제1 유효기간(T1)을 이용하여, 제2 단말(500)의 인증서가 포함하는 제1 초기 파라미터의 서명값(S)에 대한 유효성을 검증한다(S906). 이때, 제1 단말(300)은 수학식 7을 이용하여 제1 초기 파라미터의 서명값(S) 즉, 제2 단말(500)의 인증서에 대한 유효성을 검증한다. The first terminal 300 is the first to contain the certificate of the first verification parameter (V i) and the second terminal using a first validity period (T 1) of the certificate, the second terminal 500 of 500 The validity of the signature value S of the initial parameter is verified (S906). At this time, the first terminal 300 verifies the validity of the signature value S of the first initial parameter, that is, the certificate of the second terminal 500 by using Equation 7.

Figure pat00010
Figure pat00010

수학식 7을 참고하면, 공개키는 제1 단말(300)의 저장부(340)가 포함하는 Root CA(100)의 공개키이다. 또한, 제1 검증 파라미터(Vi)와 제1 초기 파라미터(P0)는 동일한 값을 같게 되므로, 인증서 검증이 성공적으로 이루어질 수 있다. Referring to Equation 7, the public key is the public key of the Root CA 100 included in the storage unit 340 of the first terminal 300. In addition, since the first verification parameter Vi and the first initial parameter P 0 have the same value, the certificate verification can be successfully performed.

제1 단말(300)은 제2 단말(500)의 인증서가 유효한 것으로 판단된 경우에 제2 단말(500)의 인증서를 이용하여 보안 통신에 필요한 절차를 수행한다(S907).
When it is determined that the certificate of the second terminal 500 is valid, the first terminal 300 performs a procedure necessary for secure communication using the certificate of the second terminal 500 (S907).

이와 같이, 인증서 검증 방법은 제1 초기 비밀값(a0, b0, c0)을 만을 알고 있는 제1 로컬 인증서버(200)만이 유효한 제1 검증 파라미터(Vi)를 생성할 수 있는 제3 인증 파라미터(bi)를 생성할 수 있다. 때문에, 악의적인 공격자가 제1 로컬 인증서버(200)로 위장하여 임의의 제1 인증 파라미터(ai)와 제2 인증 파라미터(

Figure pat00011
)를 생성한다 하더라도, 유효한 제3 인증 파라미터를 산출해낼 수 없으므로, 유효한 제1 검증 파라미터(Vi) 및 인증서를 생성할 수 있는 제1 로컬 인증서버(200)로 위장할 수 없다. 또한, 제1 인증 파라미터(ai)는 인증서에 지수 모듈러 연상 형태 즉,
Figure pat00012
으로 전송되므로, 제1 인증 파라미터(ai)을 수학적으로 계산해내기 어려운 이산대수 문제에 기반하여 그 안전성이 보장된다. As described above, the certificate verification method may be configured such that only the first local authentication server 200 that knows only the first initial secret values a 0 , b 0 , and c 0 may generate a valid first verification parameter Vi . 3 The authentication parameter (b i ) can be generated. Therefore, a malicious attacker impersonates the first local authentication server 200, so that the arbitrary first authentication parameter a i and the second authentication parameter (
Figure pat00011
), Even produces a valid third number do not calculate the authentication parameters, effective first verification parameter (V i) and a can not be disguised as a local authentication server 200 to generate the certificate. Further, the first authentication parameter a i is in the certificate modular association form, i.e.
Figure pat00012
Since it is transmitted as, the safety is guaranteed based on the discrete algebra problem, which is difficult to mathematically calculate the first authentication parameter a i .

제1 단말(300)은 제1 유효기간, 제2 유효기간 및 제1 초기 파라미터의 서명값 중 적어도 하나에 대한 유효성 검증에 실패하는 경우, 제2 단말(500)의 인증서를 사용하지 않는다.
When the first terminal 300 fails to validate at least one of the first validity period, the second validity period, and the signature value of the first initial parameter, the first terminal 300 does not use the certificate of the second terminal 500.

다음, 인증서 형식을 도 10을 참조하여 상세하게 설명한다. Next, the certificate format will be described in detail with reference to FIG.

도 10은 본 발명의 실시예에 따른 인증서의 형식을 개략적으로 나타내는 도면이다. 10 is a view schematically showing the format of a certificate according to an embodiment of the present invention.

도 10을 참고하면, 인증서는 인증서 컨텐츠에 해당하는 인증서 컨텐츠 영역(1020)과 신규 확장 영역(1030)을 포함한다. Referring to FIG. 10, the certificate includes a certificate content area 1020 and a new extension area 1030 corresponding to the certificate content.

인증서 컨텐츠 영역(1020)은 X.509v3 양식과 동일한 것으로, 버전(Version)(1001), 인증서 시리얼 넘버(Certificate Serial Number)(1002), 서명 알고리즘 식별자(Signature Algorithm Identifier)(1003), 인증서 발급 기관의 이름(Issuer Name)(1004), 제2 유효기간(Period of Validity)(1005), 인증서의 주체 이름(Subject Name)(1006), 인증서의 주체에 해당하는 공개키 정보(Subject's Public Key Information)(1007), 인증서 발급 기관의 특정 식별자(Issuer Unique Identifier)(1008) 및 인증서의 주체의 특정 식별자(Subject Unique Identifier)(1009)를 포함한다. The certificate content area 1020 is the same as the X.509v3 form and includes a Version 1001, a Certificate Serial Number 1002, a Signature Algorithm Identifier 1003, and a Certificate Issuer. Issuer Name (1004), Secondary Period of Validity (1005), Subject Name (1006) of Certificate, Subject's Public Key Information 1007, Issuer Unique Identifier 1008 of the certificate issuing authority, and Subject Unique Identifier 1009 of the subject of the certificate.

신규 확장 영역(1030)은 제2 인증 파라미터(1010), 제3 인증 파라미터(1011) 및 제1 유효기간(1012)를 포함한다. The new extended area 1030 includes a second authentication parameter 1010, a third authentication parameter 1011, and a first validity period 1012.

제1 초기 파라미터의 서명값(Issuer's Signature)(S)(1013)은 X.509v3 양식에서 인증서 발급 기관의 서명값에 해당하는 필드와 동일하다.
Issuer's Signature (S) 1013 of the first initial parameter is the same as the field corresponding to the signature value of the certificate issuing authority in the X.509v3 form.

이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
As described above, the best embodiment has been disclosed in the drawings and the specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

100; Root CA
110; 개인키 저장부
120; 제1 초기 파라미터 수신부
130; 제1 초기 파라미터 서명값 생성부
140; 제1 초기 파라미터 서명값 송신부
200; 제1 로컬 인증서버
201; 비밀값 생성부
202; 제1 초기 파라미터 생성부
203; 제1 초기 파라미터 송신부
204; 제1 초기 파라미터 서명값 수신부
205; 저장부
206; 인증서 요청 수신부
207; 제1 및 제2 인증 파라미터 생성부
208; 인증서 컨텐츠 생성부
209; 제3 인증 파라미터 생성부
210; 최종 인증서 생성부
211; 인증서 송신부
300; 제1 단말
310; 키 생성부
320; 인증서 발행 요청부
330; 인증서 수신부
340; 저장부
350; 인증서 검증부
400; 제2 로컬 인증서버
500; 제2 단말100; Root ca
110; Private key storage
120; First initial parameter receiver
130; First initial parameter signature value generator
140; First initial parameter signature value transmitter
200; First local certificate server
201; Secret value generator
202; First initial parameter generator
203; First initial parameter transmitter
204; First initial parameter signature value receiving unit
205; The storage unit
206; Certificate request receiver
207; First and second authentication parameter generator
208; Certificate content generation unit
209; Third authentication parameter generator
210; Final Certificate Generator
211; Certificate Sender
300; First terminal
310; Key generator
320; Certificate issue request unit
330; Certificate Receiving Unit
340; The storage unit
350; Certificate Verification Unit
400; Second local certificate server
500; Second terminal

Claims (11)

최상위 인증 서버;
상기 최상위 인증 서버에 해당하는 서명값을 이용하여 로컬 단말의 인증서를 발급하는 로컬 인증서버; 및
상기 로컬 인증서버가 발급한 상기 로컬 단말의 인증서에 해당하는 해쉬값을 토대로 검증 파라미터를 산출하고, 상기 검증 파라미터와 기 저장된 상기 최상위 인증서버의 공개키를 이용하여 상기 로컬 단말의 인증서를 검증하는 단말
을 포함하는 인증서 검증 시스템. Top-level authentication server;
A local authentication server for issuing a certificate of a local terminal using a signature value corresponding to the highest authentication server; And
A terminal that calculates a verification parameter based on a hash value corresponding to a certificate of the local terminal issued by the local authentication server, and verifies a certificate of the local terminal using the verification parameter and a previously stored public key of the highest authentication server.
Certificate verification system comprising a. 청구항 1에 있어서,
상기 단말은
단말의 공개키와 해당 개인키 쌍을 생성하는 키 생성부;
상기 로컬 인증서버로 상기 공개키를 전송하여 해당 인증서 발급을 요청하는 인증서 발행 요청부;
상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 수신하는 인증서 수신부; 및
상기 로컬 인증서버가 발급한 인증서 또는 상기 로컬 단말의 인증서를 검증하는 인증서 검증부
를 포함하는 인증서 검증 시스템.The method according to claim 1,
The terminal
A key generation unit generating a public key of the terminal and a corresponding private key pair;
A certificate issuing request unit which transmits the public key to the local certificate server and requests issuance of a corresponding certificate;
A certificate receiving unit which receives a certificate issued by the local certificate server or a certificate of the local terminal; And
Certificate verification unit for verifying the certificate issued by the local authentication server or the certificate of the local terminal
Certificate verification system comprising a. 청구항 2에 있어서,
상기 인증서 검증부는
상기 로컬 인증서버가 인증서를 발행하는 경우 사용하는 초기 파라미터에 해당하는 상기 서명값, 상기 초기 파라미터에 대한 유효기간, 수신한 인증서가 포함하는 인증서 컨텐츠의 상기 해쉬값, 적어도 하나의 인증 파라미터를 이용하여 상기 인증서를 검증하는 것을 특징으로 하는 인증서 검증 시스템.The method according to claim 2,
The certificate verification unit
Using the signature value corresponding to the initial parameter used when the local authentication server issues a certificate, the validity period for the initial parameter, the hash value of the certificate content included in the received certificate, and at least one authentication parameter Certificate verification system, characterized in that for verifying the certificate. 청구항 3에 있어서,
상기 서명값 및 상기 유효기간은 상기 최상위 인증 서버에 대응하는 것을 특징으로 하는 인증서 검증 시스템.The method according to claim 3,
And the signature value and the validity period correspond to the highest authentication server. 청구항 1에 있어서,
상기 로컬 인증서버는
랜덤 비밀값에 해당하는 초기 비밀값을 생성하는 비밀값 생성부;
상기 초기 비밀값을 이용하여 초기 파라미터를 생성하는 초기 파라미터 생성부;
상기 초기 파라미터에 대응하는 상기 초기 파라미터의 서명값과 유효기간을 수신하는 수신부;
상기 단말로부터 인증서 요청 정보를 전달받는 요청 수신부;
상기 초기 비밀값과 상기 초기 비밀값의 지수 모듈러 연산자에 대응하는 제1 및 제2 인증 파라미터를 생성하는 인증 파라미터 생성부;
상기 단말의 인증서에 해당하는 인증서 컨텐츠의 해쉬값을 생성하는 컨텐츠 생성부;
상기 초기 비밀값, 상기 제1 인증 파라미터 및 상기 해쉬값을 이용하여 제3 인증 파라미터를 생성하는 인증 파라미터 생성부;
상기 인증서 컨텐츠, 상기 제2 인증 파라미터, 상기 제3 인증 파라미터, 상기 유효기간, 상기 서명값을 이용하여 인증서를 생성하는 인증서 생성부; 및
상기 인증서 생성부에서 생성한 인증서를 상기 단말로 전송하는 송신부
를 포함하는 인증서 검증 시스템. The method according to claim 1,
The local authentication server
A secret value generator for generating an initial secret value corresponding to the random secret value;
An initial parameter generator configured to generate an initial parameter using the initial secret value;
A receiving unit which receives a signature value and an expiration date of the initial parameter corresponding to the initial parameter;
A request receiving unit receiving certificate request information from the terminal;
An authentication parameter generator configured to generate first and second authentication parameters corresponding to the initial secret value and the exponential modular operator of the initial secret value;
A content generation unit generating a hash value of certificate content corresponding to a certificate of the terminal;
An authentication parameter generator configured to generate a third authentication parameter using the initial secret value, the first authentication parameter, and the hash value;
A certificate generating unit generating a certificate using the certificate contents, the second authentication parameter, the third authentication parameter, the validity period, and the signature value; And
Transmitter for transmitting the certificate generated by the certificate generator to the terminal
Certificate verification system comprising a. 청구항 1에 있어서,
상기 최상위 인증 서버는
서명기능을 수행하는 공개키 암호 알고리즘의 개인키를 저장하는 개인키 저장부;
상기 로컬 인증서버로부터 초기 파라미터를 수신하는 수신부;
상기 개인키를 이용하여 상기 초기 파라미터에 해당하는 서명값을 생성하는 생성부; 및
상기 초기 파라미터의 서명값과 상기 초기 파라미터에 대한 유효 기간을 상기 로컬 인증서버로 전송하는 송신부
를 포함하는 인증서 검증 시스템. The method according to claim 1,
The top level authentication server
A private key storage unit for storing a private key of a public key cryptographic algorithm that performs a signature function;
A receiving unit for receiving initial parameters from the local authentication server;
A generation unit generating a signature value corresponding to the initial parameter by using the private key; And
Transmitter for transmitting the signature value of the initial parameter and the validity period for the initial parameter to the local authentication server
Certificate verification system comprising a. 제1 단말이 제2 단말의 인증서를 검증하는 방법에 있어서,
상기 제1 단말이 상기 제2 단말의 인증서에 해당하는 유효기간이 만료되었는지를 확인하는 단계;
상기 유효기간이 유효한 경우에 상기 인증서가 포함하는 인증서 컨텐츠에 해당하는 해쉬값을 생성하는 단계;
상기 인증서가 포함하는 적어도 하나의 인증 파라미터를 상기 해쉬값에 적용하여 검증 파라미터를 산출하는 단계;
상기 검증 파라미터와 상기 유효기간을 이용하여 상기 인증서가 포함하는 초기 파라미터의 서명값의 유효성을 검증하는 단계; 및
상기 유효성을 검증한 결과를 토대로 상기 인증서의 사용 유무를 결정하는 단계
를 포함하는 인증서 검증 방법.In the method for the first terminal to verify the certificate of the second terminal,
Checking, by the first terminal, whether an expiration date corresponding to a certificate of the second terminal has expired;
Generating a hash value corresponding to certificate content included in the certificate when the validity period is valid;
Calculating a verification parameter by applying at least one authentication parameter included in the certificate to the hash value;
Validating a signature value of an initial parameter included in the certificate using the verification parameter and the validity period; And
Determining whether the certificate is used or not based on the result of the validation;
Certificate verification method comprising a. 청구항 7에 있어서,
상기 유효기간이 만료되었는지를 확인하는 단계는
상기 제1 단말이 상기 초기 파라미터의 서명값에 대한 제1 유효기간 및 상기 제1 단말이 상기 제2 단말의 인증서 자체에 대한 제2 유효기간이 만료되었는지를 확인하는 것을 특징으로 하는 인증서 검증 방법.The method of claim 7,
Checking whether the validity period has expired
And the first terminal confirms whether a first validity period for the signature value of the initial parameter and the first terminal has expired for the second validity period for the certificate itself of the second terminal. 청구항 8에 있어서,
상기 제1 유효기간은 상기 제2 유효기간보다 긴 것을 특징으로 하는 인증서 검증 방법.The method according to claim 8,
And the first validity period is longer than the second validity period. 청구항 7에 있어서,
상기 인증서가 포함하는 상기 초기 파라미터의 서명값은 최상의 인증 서버에서 생성된 것을 특징으로 하는 인증서 검증 방법.The method of claim 7,
The signature value of the initial parameter included in the certificate is generated by the best authentication server. 청구항 7에 있어서,
상기 제1 단말은 최상위 인증기관의 인증서버의 공개키를 포함하는 것을 특징으로 하는 인증서 검증 방법.
The method of claim 7,
The first terminal comprises a public key of the authentication server of the highest certification authority.
KR1020110056186A 2011-06-10 2011-06-10 System and method for verifying certificate KR101238846B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110056186A KR101238846B1 (en) 2011-06-10 2011-06-10 System and method for verifying certificate

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110056186A KR101238846B1 (en) 2011-06-10 2011-06-10 System and method for verifying certificate

Publications (2)

Publication Number Publication Date
KR20120136954A true KR20120136954A (en) 2012-12-20
KR101238846B1 KR101238846B1 (en) 2013-03-04

Family

ID=47904229

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110056186A KR101238846B1 (en) 2011-06-10 2011-06-10 System and method for verifying certificate

Country Status (1)

Country Link
KR (1) KR101238846B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112995213A (en) * 2021-04-23 2021-06-18 北京紫光安芯科技有限公司 Security authentication method and application device thereof
WO2021187782A1 (en) * 2020-03-18 2021-09-23 (주)수산아이앤티 Method for detecting malicious traffic and device therefor

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109657448B (en) * 2018-12-21 2021-05-07 惠州Tcl移动通信有限公司 Method and device for acquiring Root authority, electronic equipment and storage medium

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100453685B1 (en) * 2002-11-05 2004-10-20 한국전자통신연구원 An modified certificate path validation apparatus and method to include root key validation and CRL pre-validation
KR100501172B1 (en) * 2003-07-31 2005-07-18 에스케이 텔레콤주식회사 System and Method for Status Management of Wireless Certificate for Wireless Internet and Method for Status Verification of Wireless Certificate Using The Same
KR100736091B1 (en) * 2005-12-09 2007-07-06 삼성전자주식회사 Apparatus and method for managing a plurality of certificates
KR100844436B1 (en) 2006-04-28 2008-07-07 주식회사 리미트정보통신 Local distributed CA system based on local PKI

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021187782A1 (en) * 2020-03-18 2021-09-23 (주)수산아이앤티 Method for detecting malicious traffic and device therefor
KR20210117006A (en) * 2020-03-18 2021-09-28 주식회사 수산아이앤티 Method and apparatus for detecting malicious traffic
CN112995213A (en) * 2021-04-23 2021-06-18 北京紫光安芯科技有限公司 Security authentication method and application device thereof

Also Published As

Publication number Publication date
KR101238846B1 (en) 2013-03-04

Similar Documents

Publication Publication Date Title
JP5468157B2 (en) Method and apparatus for generating verifiable public key
US9306942B1 (en) Agile OTP generation
US8650403B2 (en) Crytographic method for anonymous authentication and separate identification of a user
US10846372B1 (en) Systems and methods for trustless proof of possession and transmission of secured data
RU2017140260A (en) AUTHENTICATION IN A DISTRIBUTED MEDIUM
CN108989054B (en) Cipher system and digital signature method
JP4615708B2 (en) Key authentication method
CN104038486A (en) System and method for realizing user login identification based on identification type codes
US20080141035A1 (en) Limited Blind Signature System
CN105516119A (en) Cross-domain identity authentication method based on proxy re-signature
WO2019110399A1 (en) Two-party signature device and method
WO2014068427A1 (en) Reissue of cryptographic credentials
JP2017522807A (en) Systems and devices that bind metadata with hardware-specific characteristics
CN111211910A (en) Anti-quantum computation CA (certificate Authority) and certificate issuing system based on secret shared public key pool and issuing and verifying method thereof
KR20120091618A (en) Digital signing system and method using chained hash
KR101238846B1 (en) System and method for verifying certificate
Hajny et al. Attribute‐based credentials with cryptographic collusion prevention
CN109257381A (en) A kind of key management method, system and electronic equipment
KR101371054B1 (en) Method for digital signature and authenticating the same based on asymmetric-key generated by one-time_password and signature password
CN114128213B (en) Apparatus, method, and program for verifying the authenticity of a public key
Fan et al. Date attachable offline electronic cash scheme
KR100529594B1 (en) Method for verifying public key in different certification domain
KR101720630B1 (en) Method of a safe id-based mutual authentication against privileged-insider attacks
JP2004242195A (en) Attested processing method, attested instrument, attested transaction program, electronic certificate management server, and electronic certificate management system
KR100761245B1 (en) Method for producing of one time password response value using random number

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151224

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161227

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180102

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181226

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20191209

Year of fee payment: 8