정보처리학회논문지C (The KIPS Transactions:PartC)

한국정보처리학회 (Korea Information Processing Society)
권호 표지
DOI QR코드

DOI QR Code

실시간 인증서 상태검증의 성능개선

Improvement of Performance for Online Certificate Status Validation

  • 정재동 (한국증권전산 공인인증센터장 보안연구소) ;
  • 오해석 (숭실대학교 정보과학대학)
  • 발행 : 2003.08.01
PDF 다운로드
⟨ 이전 논문 다음 논문 ⟩

초록

실물 경제행위가 사이버 공간에서 이루어지게 되고 거래 상대방의 신원확인 문제가 대두되면서 전자서명이 보급되기 시작하였다. 인증서 폐지목록을 이용한 전자서명 검증방안이 실시간 검증에 대한 취약점을 내포하고 있었기 때문에, 온라인 인증서 상태검증이라는 방법이 도입되었다. 이 경우 사이버 거래의 전자서명 검증을 요구하는 모든 트랜잭션 부하가 한 곳의 서버노드에 집중되는 현상을 피할 수 없었다. 현재 국내 금융거래에서는 이 방법을 일부 도입하여 사용하고 있지만 곧 한계를 드러낼 전망이다. 본 논문에서는 실시간 검증을 보장하면서, 인증 검증을 요청하는 노드에서 실시간 인증서의 상태정보론 유지할 수 있는 방안을 제시하였다. 이 방법은 인증서를 폐지할 때 폐지관리 노드가 검증노드에 인증서 상태정보를 실시간으로 업데이트 시켜준다. 이 방법의 특징은 폐지관리 노드가 인증서 사용자들이 이용하는 검증노드의 리스트를 저장한다. 인증서 사용자가 처음으로 한 검증노드를 접속한다면 상위 폐지관리 노드까지 가서 인증서 상태정보를 확인하여야 하며 이 때 폐지관리 노드에 사용하는 검증노드가 저장한다. 그 이후에는 폐지관리 노드에 폐지요청이 발생할 때 그 인증서를 사용하는 모든 검증노드에 실시간으로 폐지정보를 전달한다. 제안한 방식의 장점은 인증서 검증이 검증 요청 노드에서 완료될 수 있어서 검증시간을 단축시킬수 있다는 점과 인증서 상태정보에 대한 요청이 폐지관리 노드 한 곳에 집중되는 것을 방지할 수 있다.

According as the real economic activities are carried out in the cyber world and the identity problem of a trade counterpart emerges, digital signature has been diffused. Due to the weakness for real-time validation using the validation method of digital signature, Certificate Revocation List, On-line Certificate Status Protocol was introduced. In this case, every transaction workload requested to verify digital signature is concentrated of a validation server node. Currently this method has been utilized on domestic financial transactions, but sooner or later the limitation will be revealed. In this paper, the validation method will be introduced which not only it can guarantee real-time validation but also the requesting node of certificate validation can maintain real-time certificate status information. This method makes the revocation management node update the certificate status information in real-time to the validation node while revoking certificate. The characteristic of this method is that the revocation management node should memorize the validation nodes which a certificate holder uses. If a certificate holder connects a validation node for the first time, the validation node should request its certificate status information to the above revocation management node and the revocation management node memorizes the validation node at the time. After that, the revocation management node inform the revocation information in real-time to all the validation node registered when a request of revocation happens. The benefits of this method are the fact that we can reduce the validation time because the certificate validation can be completed at the validation node and that we can avoid the concentration of requesting certificate status information to a revocation node.

키워드

참고문헌

  1. Ray Hunt. 'PKI and Digital Certification Infrastructure,' IEEE, 2001
  2. RFC2459, Internet X.509 Public Key Infrastructure Certificate and CRL Profile, 1999
  3. RFC2560, Internet X.509 Public Key Infrastructure Online Certificate Status Protocol(OCSP), 2001
  4. Barbara Fox & Brian LaMacchia, 'Online Certificate Status Checking in Financial Transaction : The Case for Reissuance,' financial Cryptography, 1999
  5. Irene Gassko, Peter S. Gemmell and Philip Mackenzie, 'Efficient and Fresh Certification,' PKC 2000
  6. draft-ietf-pkix-ldap-crl-schema-00, Internet X.509 Public Key Infrastructure LDAP Schema for X.S09 CRLs, 2003
  7. draft-ietf-pkix-ocspv2-ext-01, X.509 Internet Public Key Infrastructure Online Certificate Status Protocol, version 2, 2002
  8. Ray Hunt, 'Technological Infrastructure for PKI and Digital Certification,' 2001
  9. Vishwa Prasad & Sreenivasa Potakamuri & Michael Ahern, 'Scalable Policy Driven and General Purpose Public Key Infrastructure(PKI),' IEEE, 2000
  10. Eugenio Faldella & Marco Prandini, 'A Novel Approach to On-Line Status Authentication of Public-Key Certificates,' IEEE, 2000
  11. RFC3080, Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, 2002
  12. draft-ietf-pkix-cvp-02, Certificate Validation Protocol, 2003
  13. Jan Camenisch and Anna Lysyanskaya, 'Dynamic accumulators and application to efficient revocation of anonymous credentials,' 2002
  14. Jan Camenisch and Anna Lysyanskaya, 'An efficient system for non-transferable anonymous credentials with optional anonymity revocation,' 2001
  15. Jan Camenisch and Anna Lysyanskaya, 'A signature scheme with efficient protocols,' Security in Communication Networks, Amalfi, Italy, 2002
  16. M. Blaze, J. Feigenbaum, and J. Lacy, 'Decentralized Trust Management,' Proceedings of the IEEE Symposium on Security and Privacy, 1996
  17. Andre Ames, Svein J. Knapskog, 'Selecting Revocation Solutions for PKI,' NORSEC 2000, Sep., 2000