• Proceedings of the Korea Information Processing Society Conference
• /
• 2010.04a
• /
• pp.743-745
• /
• 2010

기 구축된 Public Key Infrastructure(이하 PKI) 에서 발급된 디지털인증서를 외부 네트워크와 단절된 인트라넷 환경에서 사용하기 외부 네트워크에 지정된 인증서 검증 서버에 접속할 수가 없기 때문에 인증서 유효성 검증의 문제를 발생시켜 사용이 불가능하다. 이러한 문제점을 해결하기 위해 인트라넷 환경을 위한 인증서유효목록 검증 시스템을 제안한다. 인증서유효목록 검증 시스템은 기존의 PKI 에서 인증서 검증을 위해서 사용하는 Certificate Revocation List (이하 CRL)를 대체하는 Certificate Valid List (이하 CVL)를 사용하여 외부 네트워크와 접속이 단절된 인트라넷 환경에서도 기 구축된 PKI 에서 발급된 디지털 인증서의 유효성을 검증할 수 있다. 인증서유효목록 검증 시스템은 CVL 의 생성을 위한 Certificate Valid List Manager (이하 CVLM)와 주기적인 CVL 발급 및 게시를 위한 Certificate Valid List Issuer (이하 CVLI), 응용서비스에서 사용하는 User Agent (이하 UA) 를 포함한다.

• Proceedings of the Korean Information Science Society Conference
• /
• 2002.04a
• /
• pp.916-918
• /
• 2002

본 연구에서는 권장 검증 경로와 검증된 공개키 인중서 포리스트를 이용하여 PMI용 인증서 검증 시간과 노력을 줄일 수 있는 방법을 제시한다. 권장 검증 경로는 상위 권한 인증 기관에서 사전에 구성하는검증 경로 정보로서 PMI용 인증서의 화장영역을 통해 전달된다. 권한 검증자는 이를 이용하여 인증서의검색/획득 과정과 검증의 일부분을 병렬적으로 처리하며 더 빠른 시간 내에 검증을 완료할 수 있다. 또, PMI용 인증서 검증 시에는 여러 개체의 신원 인증 과정이 필수적인데, 이러한 신원인증과정에서 검증된공개키 포리스트를 이용하여 기존의 검증 정보를 재사용 할 수 있도록 하였다

• Proceedings of the Korean Information Science Society Conference
• /
• 2003.10a
• /
• pp.829-831
• /
• 2003

개방형 네트워크인 인터넷에서의 오든 정보 교환은 항상 정보의 노출 및 정보의 위조 및 변조 등의 위협요소를 배후에 내포하고 있다. 이러한 인터넷에서의 중요 정보 보호를 위해서는 모든 정보 교환에 있어서 정보의 탈법노출을 방지하기 위한 기밀성, 정보의 위조 및 변조 여부를 판단하는 무결성. 정보의 송신자와 수신자 사이렌 송수신 사실을 부인하지 못 하도록 하는 부인방지, 전송된 정보의 송신자라 수신자를 확실하게 증명해주는 인증 등의 기능들이 제공되어야한다. PKI 기반의 인증서 상태 검증 시스템은 위와 같은 4가지의 기능을 제공해 준다. 하지만 실시간으로 인증서의 대한 상태 정보를 제공하지 못 한다는 단점과 인증서 상태 검증을 위해 많은 정보를 전송해야 하기 때문에 네트웍 과부하에 문제가 발생한다. 그로 인해 인증서 상태 검증에 소요되는 처리 속도가 느리다는 단점이 있다. 본 논문에서는 기존 방식의 문제점인 인증서 상태 정보의 실시간성 반영 문제 및 인증서 상태 겅증 시간의 향상을 위한 인증서 자체의 Serial과 UserDN만을 이용한 축약 서명 기반의 효율적인 인증서 상태 검증 시스템을 제안하고, 실제 실험을 통하여 기존의 시스템과 제안하는 시스템의 인증서 상태 검증 속도를 비교해 보고자 한다.

• Review of KIISC
• /
• v.12 no.2
• /
• pp.50-61
• /
• 2002

최근 전자상거래의 활성화 및 안전한 네트워크의 구현에 공개키 기반구조의 응용이 확대되면서 공개키의 무결성과 신뢰성을 제공하기 위해 공개키 인증서 상태 검증에 관한 연구가 활발히 진행되고 있다. 본 고에서는 PKI 응용 프로토콜 중에서 인증서의 유효성을 검증하기 위한 온라인 인증서 상태 검증 프로토콜(Outline Certificate Status Protocol)의 최근 연구 동향에 대하여 분석하였으며, 현재 상용화되어 있는 제품들에 대하여 조사하였다. 또한, 특정 인증서에 대한 온라인 취소 상태 확인 서비스(ORS: Online Revocation Status), 인증 경로의 발견을 서버로 위임하는 대리 인증 경로 발견 서비스(DPD: Delegated Path Discovery), 그리고 중앙 집중 서버에게 인증 경로 검증의 기능을 위임하는 대리 인증 경로 검증 서비스(DPV: Delegated Path Validation) 등의 온라인 인증서 상태 검증 프로토콜에서 제공하는 서비스들에 대해서도 살펴보았다. 현재 온라인 인증서 상태 검증 프로토콜(OCSP)에 관한 문서는 IETF에서 표준화한 RFC2560과 2000년 11월과 2001년 3월에 제안된 드래프트가 있으며, 본 고에서는 RFC2560과 제안된 드래프트를 비교 분석하였으며 국내\ulcorner외 제품의 동향과 온라인 인증서 상태 검증 프로토콜의 활용 범위에 대해서 간략하게 살펴보았다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2004.05a
• /
• pp.1601-1604
• /
• 2004

본 논문에서는 PKI에서 사용자 인증을 위해 발급되는 전자 인증서 검증을 위해 IETF에서 표준화 작업 중인 SCVP(Simple Certificate Validation Protocol) 구현 및 테스트 결과를 기술한다. 기존의 전자 인증서 검증 시스템으로 사용되고 있는 OCSPv1은 전자 인증서의 폐지 목록(CRL)을 통한 상태 검증만을 할 뿐으로 전자 인증서의 발급 경로에 대한 검증이나 CA에서 발급 당시의 정책이 변경되었을 경우에 대한 검증 기능은 제공하지 못하고 있다. 본 논문에서는 SCVP를 OpenSSL-0.9.7 상에서 구현하여 기존의 OCSPv1과 연동함으로써 전자 인증서 발급경로 검증 및 전자 인증서 발급 정책의 변경은 물론 기존의 인증서 상태 검증도 할 수 있도록 하였다.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.04b
• /
• pp.829-832
• /
• 2002

공개키 기반구조의 응용이 네트워크 상의 전자 거래로 확대됨에 따라 통신 상대방의 인증을 위해 인증서의 사용이 증대되었으며, 이 인증서는 사용하기 전에 반드시 검증 과정을 거쳐야 한다. 본 논문에서는 시간정보(Time-stamp Information)를 포함한 인증서 검증 프로토콜을 제안한다. 본 논문에서는 긴 길이의 폐지 정보와 주기적으로 발행되는 특징을 가진 인증서 폐지 목록 등 기존의 인증서 검증 메커니즘들이 가지는 문제점을 분석하고 현재의 인증서 상태에 대한 유효성뿐만 아니라 인증서 검증 결과에 시간 정보를 추가하여 보다 신뢰할 수 있는 인증서의 상태 검증 정보를 제공할 수 있는 프로토콜을 제안한다.

• The KIPS Transactions:PartC
• /
• v.10C no.4
• /
• pp.433-440
• /
• 2003

According as the real economic activities are carried out in the cyber world and the identity problem of a trade counterpart emerges, digital signature has been diffused. Due to the weakness for real-time validation using the validation method of digital signature, Certificate Revocation List, On-line Certificate Status Protocol was introduced. In this case, every transaction workload requested to verify digital signature is concentrated of a validation server node. Currently this method has been utilized on domestic financial transactions, but sooner or later the limitation will be revealed. In this paper, the validation method will be introduced which not only it can guarantee real-time validation but also the requesting node of certificate validation can maintain real-time certificate status information. This method makes the revocation management node update the certificate status information in real-time to the validation node while revoking certificate. The characteristic of this method is that the revocation management node should memorize the validation nodes which a certificate holder uses. If a certificate holder connects a validation node for the first time, the validation node should request its certificate status information to the above revocation management node and the revocation management node memorizes the validation node at the time. After that, the revocation management node inform the revocation information in real-time to all the validation node registered when a request of revocation happens. The benefits of this method are the fact that we can reduce the validation time because the certificate validation can be completed at the validation node and that we can avoid the concentration of requesting certificate status information to a revocation node.

• Proceedings of the Korea Institutes of Information Security and Cryptology Conference
• /
• 2003.12a
• /
• pp.45-52
• /
• 2003

정보통신기술의 발달로 인터넷상의 PKC를 사용한 전자거래가 활성화되었다. 이에 따라 실질적으로 Web Server나 Database Server에 접속하기 위한 접근통제의 방안으로 속성인증서에 대한 연구도 활발히 진행되고 있다. 그러나 현재 제안되고 있는 CRL(Certificate Revocation List) 및 OCSP를 이용한 공개키인증서 검증방법은 속성인증서의 인증상태확인과 적용시킬 수 없다. 따라서 본 논문에서는 기존의 공개키인증서 검증방법인 OCSP 방법에 속성인증서 검증방법을 포함시킴으로서, 공개키인증서와 속성인증서간의 동기문제를 해결하고자 한다.

• The KIPS Transactions:PartC
• /
• v.13C no.2 s.105
• /
• pp.147-154
• /
• 2006

The certificate status validation mechanism is a critical component of a public key infrastructure based on certificate system. The most generally mechanisms used these days are the use of the certificate revocation list and the real-time certificate status protocol. But the certificate revocation list can not give the real-time certificate status because the certificate is being delivered periodically, and the real-time certificate status protocol method will generate a concentrated load to the server because the protocol in the central server will be accessed whenever a certification is necessary. It will also take a long time to validate the certificate because each trade has to send mass information through the network. This paper will present that real-time validation is guaranteed as the real-time certificate status protocol method and the traffic congestion in the network Is reduced in a way that the certification would be requested using the user information hash value and would be validated using the user information kept in the certification authorities and the service providers. Based on the this study, we suggest a real-time certificate status validation mechanism which can reduce the certificate status validation time using the signed user information hash value. And we confirm speed of certificate status verification faster than existing CRL(Certificate Revocation List) and OCSP(Online Certificate Status Protocol) method by test.

• Proceedings of the Korea Information Processing Society Conference
• /
• 2002.11b
• /
• pp.913-916
• /
• 2002

정보보호 핵심 기반 구조인 PKI는 인증서 검증에 따르는 클라이언트의 부담 및 CRL의 적시성 부재와 관리 문제, 또한 각각의 환경에 따라 구축된 PKI 도메인 간의 상호 연동 등 해결해야 할 문제점들이 있다. ETRI/VA는 클라이언트의 인증서 검증을 대신하여 클라이언트의 부담을 줄이고, 인증서의 상태 검증의 적시성 및 OCSP를 사용함으로써 CRL의 문제점을 해결하며, PKI 상호연동을 지원 및 도메인간의 인증서 정책을 중앙집중 관리함으로써 기존 PKI의 문제점들을 제거할 수 있다 본 논문에서는 이러한 ETRI/VA의 각 모듈 및 프로토콜에 대하여 간략히 소개하고 ETRI/VA의 인증서 검증 방법을 설명하였다.