• Proceedings of the Korean Information Science Society Conference
• /
• 2002.10c
• /
• pp.550-552
• /
• 2002

인증서기반의 인터넷뱅킹과 온라인증권거래에서, 금융거래 서비스 제공자는 많은 사용자의 인증서상태 검증이 요구된다. 금융거래 서비스는 사용자 인증서상태를 실시간의 검증이 보장되어야 한다. 인증서 상태 검증을 위해 기존의 CRL(Certificate Revocation List), Delta CRL, Freshest CRL과 실시간 인증서상태 검증을 위하여 OCSP(Online Certificate Status Protocol)의 표준이 제안된 바 있다. 실시간성과 검증속도는 상호 대비되기 때문에 응용프로그램의 특성을 고려하여 인증서상태 검증방법을 채택한다. 본 논문에서는 CRL의 갱신되기 이전의 폐지에 대하여 실시간으로 전송하는 시스템을 설계한다. 제안하는 인증서폐지 전송서버는 서명자의 검증자 리스트를 관리하여 금융거래 사용자가 CA에 폐지를 요청하면 사용자가 이용하는 금융거래 서비스 제공자들에게 실시간으로 폐지를 고지한다. 본 논문은 CRL 생성이후 갱신까지의 인증서 폐지정보를 검증자에게 전송하여 인증서의 실시간 상태정보를 유지하면서 OCSP보다는 검증속도를 향상시켜 금융거래 환경에서 향상된 효율성을 제공한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.381-384
• /
• 2002

현재 인증서의 상태 검증을 실시간으로 제공하기 위해 각 CA(Certificate Authority)들은 고전적 방법인 CRL(Certificate Revocation List) 배포보다는 OCSP(Online Certificate Status Protocol)을 통하여 인증서의 상태에 대한 정보를 실시간으로 제공한다. 그러나, 경로검증 및 인증서 정책 맵핑 및 정책검증과 인증서 상태검증을 제공하는 SCVP(Simple Certificate Validation Protocol)는 CRL을 사용하는 한계로 인하여 실시간 검증을 제공하지 못하고 있다. 또한 OCSP는 인증서의 실시간 상태검증만을 제공할 뿐, 인증서의 경로검증과 인증서 정책 맵핑 및 정책검증에 대한 서비스는 제공하지 못하고 있다. 따라서, 이러한 두 프로토콜의 단점을 보안하고, 인증서 검증서버가 제공해야 하는 모든 서비스를 제공하기 위해 OCSP와 SCVP의 연동방안에 대한 연구를 통하여 SCVP에서의 실시간 검증을 제공할 수 있도록 한다.

• The KIPS Transactions:PartC
• /
• v.13C no.2 s.105
• /
• pp.147-154
• /
• 2006

The certificate status validation mechanism is a critical component of a public key infrastructure based on certificate system. The most generally mechanisms used these days are the use of the certificate revocation list and the real-time certificate status protocol. But the certificate revocation list can not give the real-time certificate status because the certificate is being delivered periodically, and the real-time certificate status protocol method will generate a concentrated load to the server because the protocol in the central server will be accessed whenever a certification is necessary. It will also take a long time to validate the certificate because each trade has to send mass information through the network. This paper will present that real-time validation is guaranteed as the real-time certificate status protocol method and the traffic congestion in the network Is reduced in a way that the certification would be requested using the user information hash value and would be validated using the user information kept in the certification authorities and the service providers. Based on the this study, we suggest a real-time certificate status validation mechanism which can reduce the certificate status validation time using the signed user information hash value. And we confirm speed of certificate status verification faster than existing CRL(Certificate Revocation List) and OCSP(Online Certificate Status Protocol) method by test.

• The KIPS Transactions:PartC
• /
• v.10C no.4
• /
• pp.433-440
• /
• 2003

According as the real economic activities are carried out in the cyber world and the identity problem of a trade counterpart emerges, digital signature has been diffused. Due to the weakness for real-time validation using the validation method of digital signature, Certificate Revocation List, On-line Certificate Status Protocol was introduced. In this case, every transaction workload requested to verify digital signature is concentrated of a validation server node. Currently this method has been utilized on domestic financial transactions, but sooner or later the limitation will be revealed. In this paper, the validation method will be introduced which not only it can guarantee real-time validation but also the requesting node of certificate validation can maintain real-time certificate status information. This method makes the revocation management node update the certificate status information in real-time to the validation node while revoking certificate. The characteristic of this method is that the revocation management node should memorize the validation nodes which a certificate holder uses. If a certificate holder connects a validation node for the first time, the validation node should request its certificate status information to the above revocation management node and the revocation management node memorizes the validation node at the time. After that, the revocation management node inform the revocation information in real-time to all the validation node registered when a request of revocation happens. The benefits of this method are the fact that we can reduce the validation time because the certificate validation can be completed at the validation node and that we can avoid the concentration of requesting certificate status information to a revocation node.

• Proceedings of the Korean Information Science Society Conference
• /
• 2004.04a
• /
• pp.208-210
• /
• 2004

인증서 상태 검증이란 해당 거래에서 사용되는 인증서에 대한 유효성을 결정하는 과정으로 인증서를 이용하는 거래에 90%이상이 실시간적이고 신속 정확한 처리를 필요로 하는 인터넷뱅킹과 증권 트레이닝에 사용된다. 하지만 기존의 CRL을 이용한 인증서 상태 검증 기법은 인증서 상태의 대한 실시간성을 반영할 수 없다는 문제점이 있다. 이와 같은 CRL 기반의 인증서 상태 검증 기법의 문제점을 해결하고자 OCSP를 이용한 인증서 상태 검증 기법이 제기되었다. 이 기법은 인중서 상태에 대한 실시간성 문제는 해결 한 수 있었지만 OCSP 서버에 대한 중앙 집중화 처리구조로 인해 네트워크 과부하라는 또 다른 문제가 발생한다. 따라서 본 논문에서는 서명자가 인증서 발급을 요청하고 이에 따른 결과로 인증서가 인증기관으로부터 발급되었을 때 서명자정보와 인증서 일련번호가 인증기관 데이터베이스에 매칭 되어 저장된다는 점에 기인하여 위에 문제점들을 해결할 수 있는 서명자의 정보를 이용한 인증서 상태 검증 기법을 제안한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2002.11a
• /
• pp.551-554
• /
• 2002

인터넷 금융거래나 전자 상거래 등에서 인증, 기밀성, 부인방인, 무결성을 제공하기 위한 목적으로 PKI를 사용한다. PKI 시스템에 있어서 공개키 알고리즘의 공개키에 대한 CA 인증의 유효성이 중요하다. 현재 널리 사용되고 있는 CRL를 이용한 인증서의 검증은 CRL의 주기적인 발행으로 인해 인증서 폐지 정보를 실시간으로 인증서 사용자에게 전달할 수 없다는 단점이 있다. 본 논문에서는 CRL를 이용하여 인증서 검증을 하는 OCSP 서버와 CA사이에 인증서 상태정보를 전달하는 메커니즘을 제안함으로서 OCSP를 이용하여 인증서 검증을 하는 인증서 사용자에게 실시간 인증서 검증 서비스를 제공하고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.04a
• /
• pp.506-508
• /
• 2003

개방형 네트워크인 인터넷에 급속한 발달로 인하여 Offline상에서 처리되던 기존의 업무들이 Online상의 업무로 빠르게 전환되어 가고 있다. 하지만 Online상에서의 업무처리는 항상 개인 정보누출, 개인정보의 위조 및 변조의 문제를 내포하고 있으며, 위와 같은 문제를 해결하기 위한 대안으로 PKI 기반의 인증서 검증 시스템이 제안 되었고 현재도 연구가 계속 되어지고 있다. 본 논문에서는 PKI 기반의 인증서 상태검증 방식 중의 하나인 CRL기반의 인증서 상태검증 방식과 OCSP기반의 인증서 상태 검증 방식의 대하여 기술하고, 실시간으로 인증서 상태를 검증 할 수 없는 CRL 기반의 인증서 상태검증 방식의 단점과 네트워크 상태의 따라 인증서 검증 속도가 달라지는 OCSP기반의 인증서 상태 검증 시스템의 단점을 해결하기 위한 데이터베이스를 이용한 클라이언트-서버 기반의 인증서 상태 검증 시스템을 제안하고, 실제 실험을 통해서 CRL기반의 인증서 검증 시스템과 OCSP기반의 인증서 검증 시스템 그리고 제안하는 데이터베이스를 이용한 클라이언트-서버 인증서 검증 시스템의 검증속도를 비교해 보고자 한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.829-831
• /
• 2003

개방형 네트워크인 인터넷에서의 오든 정보 교환은 항상 정보의 노출 및 정보의 위조 및 변조 등의 위협요소를 배후에 내포하고 있다. 이러한 인터넷에서의 중요 정보 보호를 위해서는 모든 정보 교환에 있어서 정보의 탈법노출을 방지하기 위한 기밀성, 정보의 위조 및 변조 여부를 판단하는 무결성. 정보의 송신자와 수신자 사이렌 송수신 사실을 부인하지 못 하도록 하는 부인방지, 전송된 정보의 송신자라 수신자를 확실하게 증명해주는 인증 등의 기능들이 제공되어야한다. PKI 기반의 인증서 상태 검증 시스템은 위와 같은 4가지의 기능을 제공해 준다. 하지만 실시간으로 인증서의 대한 상태 정보를 제공하지 못 한다는 단점과 인증서 상태 검증을 위해 많은 정보를 전송해야 하기 때문에 네트웍 과부하에 문제가 발생한다. 그로 인해 인증서 상태 검증에 소요되는 처리 속도가 느리다는 단점이 있다. 본 논문에서는 기존 방식의 문제점인 인증서 상태 정보의 실시간성 반영 문제 및 인증서 상태 겅증 시간의 향상을 위한 인증서 자체의 Serial과 UserDN만을 이용한 축약 서명 기반의 효율적인 인증서 상태 검증 시스템을 제안하고, 실제 실험을 통하여 기존의 시스템과 제안하는 시스템의 인증서 상태 검증 속도를 비교해 보고자 한다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.833-836
• /
• 2002

최근 전자상거래 보안을 위해 공인 인증서를 사용하는 공개키 기반구조(PKI) 환경이 널리 확대되고 있다. 이에 따라 인증서의 정당성을 확인하기 위한 공개키 인증서의 실시간 검증에 대한 연구가 활발히 진행되고 있지만 이러한 연구에서는 서비스를 제공하는 서버와 클라이언트 간의 메시지 형식만을 기술하고 실제적으로 서비스를 제공하기 위한 정보 획득에 관한 모델 제시가 나타나 있지 않으며, 현재성있는 인증서 상태를 제공하기 위한 방법이 제시되고 있지 않다. 본 논문에서는 공개키 기반구조에서 사용하고자 하는 인증서의 현재 상태 정보를 제공하며 인증서의 유효성을 실시간으로 제공할 수 있는 실시간 인증서 검증 시스템을 구축하는데 유용한 모델을 제시한다.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2001.11a
• /
• pp.258-261
• /
• 2001

인증서의 정당성을 검증하기 위하여 검증자(verifier)는 소유자(owner)의 인증서와 그 인증서를 인증한 공인인증기관의 인증서들을 검증해야 하고, 그에 앞서 그 인증서들의 폐지 여부를 확인하여야 한다[1]. 이 인증서 폐지 목록의 확인을 대행하는 것이 실시간 인증서 상태 프로토콜(OCSP)이다[2]. 그리고, 이 OCSP가 인증서의 폐지 여부만을 응답하는 단점을 극복하기 위하여 간단한 인증서 검증 프로토콜(SCVP)이 제안되었다[7]. 이 SCVP는 사용자의 질문의 형태에 따라 인증서의 정당성까지 검증하여 주는 프로토콜이다. 그러나 이 SCVP 역시 새로운 신뢰기관을 필요로 한다. 본 논문에서는 전체 인증서 검증 경로를 알 수 있는 인증서 일련번호 부과 방법[4]을 기반으로 부과적인 신뢰기관 없이 실시간으로 인증서의 정당성 여부를 확인할 수 있는 새로운 프로토콜을 제시하고자 한다. 계산량의 결과로는 SCVP와 동일한 2n 번의 서명 생성 및 검증이 필요하지만, 인증서 폐지 목록과 부과적인 신뢰기관을 필요로 하지 않는다.