[go: up one dir, main page]

KR100406008B1 - Real time certificate revocation list transmitting method and system on wireless communication - Google Patents

Real time certificate revocation list transmitting method and system on wireless communication Download PDF

Info

Publication number
KR100406008B1
KR100406008B1 KR10-2001-0056478A KR20010056478A KR100406008B1 KR 100406008 B1 KR100406008 B1 KR 100406008B1 KR 20010056478 A KR20010056478 A KR 20010056478A KR 100406008 B1 KR100406008 B1 KR 100406008B1
Authority
KR
South Korea
Prior art keywords
revocation list
certificate revocation
certificate
user
transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR10-2001-0056478A
Other languages
Korean (ko)
Other versions
KR20010099220A (en
Inventor
장홍종
이성은
Original Assignee
장홍종
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 장홍종 filed Critical 장홍종
Priority to KR10-2001-0056478A priority Critical patent/KR100406008B1/en
Publication of KR20010099220A publication Critical patent/KR20010099220A/en
Application granted granted Critical
Publication of KR100406008B1 publication Critical patent/KR100406008B1/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 FM 부가 방송을 이용하여 실시간으로 인증서 폐지 목록을 전송하는 방법 및 시스템에 관한 것이다. 본 발명의 실시간 인증서 폐지 목록 전송 방법은 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하는 방법에 있어서, 더 이상 사용되지 않는 인증서 폐지 목록을 생성한다. 그런 다음, 사용자의 통신 장치에 전송할 수 있도록 상기 인증서 폐지 목록을 무선 전송 시스템으로 제공한다. 이 때, 인증서 폐지 목록은 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나를 포함할 수 있다.The present invention relates to a method and system for transmitting a certificate revocation list in real time using FM additional broadcasting. The real-time certificate revocation list transmission method of the present invention generates a certificate revocation list that is no longer used in a method of transmitting a certificate revocation list to a user's communication device through a broadcast-enabled wireless transmission system. The certificate revocation list is then provided to the wireless transmission system for transmission to the user's communication device. In this case, the certificate revocation list may include at least one of a wireless transmission field indicating a wireless transmission scheme, a group field indicating a user group, a frequency field indicating a frequency band, and a CRL classification field in an extension field.

Description

무선 통신 상에서의 실시간 인증서 폐지 목록 전송 방법 및 시스템{REAL TIME CERTIFICATE REVOCATION LIST TRANSMITTING METHOD AND SYSTEM ON WIRELESS COMMUNICATION}REAL TIME CERTIFICATE REVOCATION LIST TRANSMITTING METHOD AND SYSTEM ON WIRELESS COMMUNICATION}

본 발명은 FM 부가 방송을 이용하여 실시간으로 인증서 폐지 목록을 전송하는 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for transmitting a certificate revocation list in real time using FM additional broadcasting.

데이터 처리를 위한 분산 네트워크 시스템에 있어서, 네트워크 상의 통신 장치가 시스템 오퍼레이션(System Operation) 및 리소스(Resource)에 접속하기 전에 이를 식별하기 위한 방법이 인증이라고 할 수 있다. 시스템의 접속 목적은 예컨대, 다른 사용자와 통신을 하거나, 보안된 정보를 찾거나 또는 특정 서비스 이용에 있다. 일반적으로 분산 시스템은 통신 매체에 상호 접속된 여러 가지 컴퓨터 노드들을 포함한다. 컴퓨터 노드는 워크스테이션과 같이 사용자에 의하여 직접 접속되는 노드와 서버와 같이 특별한 어플리케이션을 실행하기 위한 노드를 포함할 수 있다. 이러한 노드들과, 노드에서 수행되는 작업 및 분산 시스템의 사용자는 주 요소(principal)로서 취급된다. 이러한 주 요소를 위하여 인증서 교환이 이루어진다.In a distributed network system for data processing, a method for identifying a communication device on a network before connecting to a system operation and a resource may be referred to as authentication. The purpose of the system's connection is, for example, to communicate with other users, to find secure information, or to use certain services. Generally, a distributed system includes several computer nodes interconnected to a communication medium. Computer nodes may include nodes that are directly connected by users, such as workstations, and nodes that execute special applications, such as servers. These nodes and the work performed on them and the users of the distributed system are treated as principals. Certificate exchange takes place for this main element.

공개 키(Public key) 암호화 방식은 각 주 요소가 공개 암호 키(Public encryption key)와 비밀 암호 키(Private encryption key)를 가지는 보안 통신 방법이다. 암호 키는 암호 알고리듬과 함께 사용되며, 데이터를 암호화 또는 복호화 하는데 사용되는 단일 변환을 정의하는 코드 또는 숫자이다. 공개 키 시스템은 전송되는 정보의 기밀성, 다시 말해서, 정보 전송자에 대한 신뢰성을 보증하고 정보가 중간에 도청되지 않아야 하는 곳에 사용될 수 있다.Public key encryption is a secure communication method in which each main element has a public encryption key and a private encryption key. A cryptographic key is used with a cryptographic algorithm and is a code or number that defines a single transformation used to encrypt or decrypt data. The public key system can be used where the confidentiality of the information being transmitted, that is, ensure the reliability of the information sender and where the information should not be intercepted in the interim.

인증을 위하여 공개 키 암호화 시스템이 작동되는 방식은 암호화 및 복호화를 위하여 사용되는 수학적 변환에 대한 언급 없이도 이해될 수 있다. 공개 키로 인코딩되는 정보는 이와 관련된 비밀 키(Private key)에 의하여 디코딩되며, 반대로 비밀키로 인코딩되는 정보는 이와 관련된 공개키에 의하여 디코딩되기 때문에, 공개 키 암호화 방식은 비대칭(asymmetric) 암호화 방식에 해당한다. 이 때, 관련된 비밀 키 및 공개키는 비밀 키/공개 키 쌍을 의미한다. 이러한 암호화 방식에 의하여, 공개키는 시스템 내의 다른 주 요소에 대하여 알려져 있지만, 비밀키는 키의 소유자에게만 알려진다.The manner in which the public key cryptosystem works for authentication can be understood without reference to the mathematical transformations used for encryption and decryption. Since the information encoded with the public key is decoded by a private key associated with it, on the contrary, since the information encoded with the private key is decoded by a public key associated with it, public key encryption is an asymmetric encryption method. . At this time, the associated secret key and public key mean a secret key / public key pair. By this encryption scheme, the public key is known to other principal elements in the system, but the secret key is known only to the owner of the key.

수신인에 대한 정보의 안전한 전송을 위하여, 주 요소에서는 수신인의 공개키를 이용하여 정보를 인코딩(암호화)한다. 이 때, 상기 수신인만이 대응되는 비밀키를 소유하고 있기 때문에, 전송된 정보를 디코딩(복호화)할 수 있다. 반면에, 정보의 수신인에 대하여 전송자가 자신을 확인시키기 위하여, 전송자는 비밀키를 이용하여 정보를 인코딩(서명)한다. 그에 따라, 수신자가 전송자의 공개키를 이용하여 정보를 디코딩(확인)할 수 있으면, 전송자가 정상적으로 지정된 것이다. 공개 키 암호화 방식에 있어서, 각 주 요소는 자신의 비밀키를 알고 있어야 하며, 모든 공개키는 일반적인 장소, 예컨대 디렉토리 서비스(Directory Service: DS) 내에 위치한다. 반면에, 각 주 요소는 자신의 공개키를 가지고 있다가, 인증 과정에서 이를 수신자에게 제공할 수 있다.For secure transmission of information to the recipient, the principal element encodes (encrypts) the information using the recipient's public key. At this time, since only the recipient owns the corresponding private key, it is possible to decode (decode) the transmitted information. On the other hand, in order for the sender to identify itself to the recipient of the information, the sender encodes (signatures) the information using the secret key. Thus, if the receiver can decode (verify) the information using the sender's public key, the sender is normally assigned. In public key cryptography, each main element must know its own private key, and all public keys are located in a common place, such as a directory service (DS). On the other hand, each main element can have its own public key and provide it to the recipient during the authentication process.

여기에서, 어떠한 공개키가 어느 주 요소에 속하는지를 알아야 한다. 이 문제를 해결하기 위한 전형적인 방법은 인증기관(Certificate Authority: CA)으로 알려진 신뢰성 있는 존재를 이용하는 것이다. 인증기관(CA)은 대상(subject), 즉 공개키가 확인된 주 요소의 이름, 인증서 일련 번호(certificate serial number), 인증서를 발행하는 인증기관(CA)의 명칭, 대상(subject)의 공개 키 및 인증서 만료 시기를 나타내는 메시지가 서명된 신원 인증서(identity certificate)를 발행한다. 이와 같이, 공개키와 공개키가 속하는 주 요소 사이의 관계를 확인하는 것은 침입자가 유효한 주 요소인 것처럼 행세하여 시스템에 침입하는 것을 방지한다. 각 인증서는 승인 여부를 확인하기 위하여 인증기관(CA)의 비밀키에 의하여 서명되기 때문에, 네트워크 상에서 다른 주 요소를 확인하고자 하는 주 요소는 인증기관(CA)의 공개키를 알아야만 하고 인증서에서 그 서명을 확인할 수 있어야 한다. 인증서는 디렉토리 서비스(DS)와 같은 편리한 장소에 저장되거나, 각 노드는 자신의 인증서를 저장하고 인증 과정에서 이를 제공할 수 있다. 일반적으로, 안전성의 개선을 위하여 인증기관(CA)은 오프-라인(Off-line) 상의 존재이며, 안전한 오프-라인 통신 기술을 이용하여 네트워크 주 요소들과 통신한다.Here, we need to know which public key belongs to which main element. A typical way to solve this problem is to use a trusted entity known as a Certificate Authority (CA). The CA is the subject, that is, the name of the principal element whose public key is verified, the certificate serial number, the name of the CA that issues the certificate, and the public key of the subject. And an identity certificate signed with a message indicating when the certificate expires. As such, verifying the relationship between the public key and the primary element to which the public key belongs prevents an attacker from invading the system by posing as if it were a valid primary element. Because each certificate is signed by a CA's private key to confirm its approval, the main element that wants to verify other principal elements on the network must know the CA's public key and sign the certificate in the certificate. You should be able to check. The certificate may be stored in a convenient location, such as a directory service (DS), or each node may store its own certificate and provide it during the authentication process. In general, for the sake of safety, a CA is an off-line entity and communicates with network elements using secure off-line communication technology.

완벽한 네트워크 보안을 위하여, 모든 주 요소는 인증을 받아야 한다. 그러나, 인증서 발행 후 만료 전에 인증서의 추후 폐지가 있어야 한다. 예를 들어, 주 요소가 비밀키를 도난, 손상 또는 분실할 수 있다. 이러한 상황에서는 인증서를 폐지함으로써, 인증서에 의한 확인이 불가능하도록 하여야 한다.For complete network security, all major elements must be certified. However, there should be a later revocation of the certificate before it expires after issuance. For example, the main element can be stolen, damaged or lost. In such a situation, the certificate should be revoked, making it impossible to verify by certificate.

아직 만료되지 않은 인증서를 폐지하기 위한 다양한 방법에 제안되었다. 한 가지 방법은, 디렉토리 서비스(DS)와 온-라인 위치 상에 모든 유효한 주 요소의 인증서를 저장하고, 이를 일반적으로 이용할 수 있도록 하는 것이다. 예컨대, 사용자가 서버에 접속하고자 하는 경우에, 서버는 디렉토리 서비스(DS) 내에 사용자의 인증서가 있는지를 확인한다. 사용자의 인증서가 디렉토리 서비스 내에 존재하지 않는 경우에는 인증서가 폐지된 것으로 판단한다.Several methods have been proposed for revoking certificates that have not yet expired. One way is to store the certificates of all valid principal elements on the directory service (DS) and on-line locations and make them generally available. For example, if the user wants to connect to the server, the server checks whether the user's certificate exists in the directory service (DS). If the user's certificate does not exist in the directory service, it is determined that the certificate is revoked.

다른 방법은, 인증서 폐지 목록(Certificate Revocation List: CRL), 즉 더 이상 사용되지 않는 만료되지 않은 인증서 목록을 인증기관(CA)으로부터 발행하는 것이다. 인증서 폐지 목록(CRL)은 ISO/IEC 9495-8에서 언급되었으며, ITU-T 권고안 X.509에서 정의된 포맷을 가진다.Another method is to issue a Certificate Revocation List (CRL), that is, a list of certificates that are no longer in use, from a Certificate Authority (CA). The Certificate Revocation List (CRL) is mentioned in ISO / IEC 9495-8 and has the format defined in ITU-T Rec. X.509.

도 1은 X.509 V2 인증서 폐지 목록의 구조를 나타낸 것이다.Figure 1 shows the structure of an X.509 V2 certificate revocation list.

도 1을 참조하면, 인증서 폐지 목록은 기본 필드로서, 버전(version)과, 서명 알고리듬 식별자(signature algorithm id), 발급자 이름(issuer name), 갱신일(this date), 다음 갱신일(next date), 폐지 인증서(revoked certificates), 인증서 폐지 목록 확장 필드(CRL extensions) 및 발급자 서명(signature)을 포함한다. 버전은 인증서 폐지 목록의 버전을 나타낸다. 서명 알고리듬 식별자는 인증서 폐지 목록을 서명하기 위해 사용된 알고리듬 식별자를 포함한다. 발급자 이름은 인증서 폐지 목록을 서명하는 인증기관의 식별을 위하여 사용된다. 갱신일은 현재의 인증서 폐지 목록의 발급 일자를 나타내고, 다음 갱신일은 다음 인증서 폐지 목록의 발급일을 나타낸다. 다음 갱신일은 표시된 기간 내에 인증서 폐지 목록이 발급될 수 있고, 그 이후에는 발급되지 않는다는 것을 의미한다. 폐지 인증서는 폐지된인증서 목록을 표시하는 것으로, 인증서의 일련 번호(serial number)와 인증서 폐지일(revocation date) 및 인증서 폐지 목록 엔트리 확장 필드(CRL entry extensions)를 포함한다. 발급자 서명은 인증서 폐지 목록에 대한 전자 서명을 포함한다.Referring to FIG. 1, the certificate revocation list is a basic field and includes a version, a signature algorithm id, an issuer name, an update date, a next date, and a revocation. It includes revoked certificates, certificate revocation list extensions (CRL extensions), and issuer signatures. The version represents the version of the certificate revocation list. The signature algorithm identifier includes the algorithm identifier used to sign the certificate revocation list. The issuer name is used to identify the certification authority that signs the certificate revocation list. The renewal date represents the issue date of the current certificate revocation list, and the next renewal date represents the issue date of the next certificate revocation list. The next renewal date means that the certificate revocation list can be issued within the indicated period, and not after that. A revocation certificate represents a list of revoked certificates, and includes a serial number of the certificate, a certificate revocation date, and a certificate revocation list entry field. The issuer signature includes an electronic signature for the certificate revocation list.

인증서 폐지 목록 확장 필드는 발급자 키 식별자(Authority key indentifier), 발급자 대체 이름(Issuer alternative name), 인증서 폐지 목록 번호(CRL number), delta CRL 지시자(delta CRL indicator) 및 발급 분배점(Issuing distribution point)을 포함할 수 있다. 또한, 인증서 폐지 목록 엔트리 확장 필드는 사유 코드(Reason code), 정지 명령어 코드(Hold instruction code), 무효 일자(Invalidity date) 및 인증서 발급자(Certificate issuer)를 포함할 수 있다.The certificate revocation list extension fields include the issuer key indentifier, the issuer alternative name, the certificate revocation list number (CRL number), the delta CRL indicator, and the issuing distribution point. It may include. In addition, the certificate revocation list entry extension field may include a reason code, a hold instruction code, an invalidity date, and a certificate issuer.

사용자의 통신 장치에 구비된 응용 프로그램은 인증서가 만료되지 않았으며, 인증기관(CA)의 현재 인증서 폐지 목록(CRL)에 포함되지 않았으면 유효한 것으로 판단한다. 그러나, 수많은 인증서가 폐지되어 이들이 인증서 폐지 목록(CRL)에 속하는 경우에는, 인증서 폐지 목록(CRL)이 커지게 되고 그에 따라 인증서 폐지 목록(CRL)에 포함된 정보를 필요로 하는 모든 네트워크 노드에 인증서 폐지 목록(CRL)을 분배하기 위한 네트워크의 대역폭(bandwidth), 저장 용량 및 인증 기관(CA)의 처리 능력이 많이 소모된다. 인증서 폐지 목록(CRL)을 획득하는 어려움으로 인하여, 인증서 폐지 목록(CRL)은 자주 변경(update)되지 못하고 만료 기간이 초과하게 된다.The application program included in the user's communication device is determined to be valid if the certificate has not expired and is not included in the current certificate revocation list CRL of the certification authority CA. However, if a number of certificates have been revoked and they belong to a Certificate Revocation List (CRL), then the Certificate Revocation List (CRL) will grow and therefore certificates to all network nodes that need the information contained in the Certificate Revocation List (CRL). The bandwidth, storage capacity, and certification authority (CA) processing power of the network for distributing revocation lists (CRLs) is consumed. Due to the difficulty in obtaining a certificate revocation list (CRL), the certificate revocation list (CRL) is not updated frequently and the expiration period is exceeded.

이러한 문제점을 해결하기 위한 또 다른 방법은 온-라인 폐지 서버(On-LineRevocation Server: OLRS)를 이용하는 것이다. 온-라인 폐지 서버(OLRS)는 인증서 폐지 상태에 관한 정보를 포함하는 데이터베이스를 가진다. 인증서 폐지 상태에 관한 정보는 가장 최근에 발행된 인증기관(CA)의 인증서 폐지 목록(CRL)의 버전(version)에 관한 정보와 인증기관(CA)으로부터 발행되어 만료되지 않은 인증서 중에서 폐지된 인증서에 관한 실시간(real-time) 정보를 포함한다. 온-라인 폐지 서버(OLRS)는 네트워크 주 요소에 대한 온-라인 인증서 폐지 정보를 제공하며, 네트워크 주 요소는 온-라인 폐지 서버(OLRS)에 대하여 인증서 폐지 정보를 요청할 수 있다. 즉, 네트워크 주 요소는 인증서 폐지 정보에 대한 온-라인 조회를 온-라인 폐지 서버(OLRS)에 요청하고, 온-라인 폐지 서버(OLRS)는 인증서 폐지 상태에 대한 정보를 바탕으로 조회에 대한 응답을 제공한다. 이 때, 온-라인 폐지 서버(OLRS)는 특정 온-라인 조회에 대하여 응답하기 때문에, 오프-라인 인증기관(CA)에 의하여 정보가 제공되는 것보다 시간이 단축될 수 있으며, 응답 신호는 요청된 정보만을 포함하기 때문에 보다 효율적인 정보 제공이 가능하다.Another way to solve this problem is to use an On-Line Revocation Server (OLRS). The on-line revocation server (OLRS) has a database containing information about certificate revocation status. Information regarding the revocation status of a certificate may be included in the revoked certificate of the most recently issued version of the Certificate Revocation List (CRL) of the Certificate Authority (CA) and from a certificate that has not been expired from a Certificate Authority (CA). Contains real-time information about this. The on-line revocation server (OLRS) provides on-line certificate revocation information for the network principal element, and the network principal element may request certificate revocation information for the on-line revocation server (OLRS). That is, the network principal element requests an on-line revocation server (OLRS) for on-line revocation of the certificate revocation information, and the on-line revocation server (OLRS) responds to the retrieval based on information about the revocation status of the certificate. To provide. In this case, since the on-line revocation server (OLRS) responds to a specific on-line inquiry, the time may be shorter than the information provided by the off-line certification authority (CA), and the response signal is requested. Because only included information is included, more efficient information can be provided.

그러나, 온-라인 폐지 서버(OLRS)는 온 라인에서 작업을 수행하고, 엔터티(entity)를 복사하기 때문에, 접속량이 증가할수록 안전성이 낮아지고, 위험이 증가하게 된다. 따라서, 온-라인 폐지 서버(OLRS)는 온 라인 처리에 따른 위험에 민감하기 때문에, 인증기관(CA)과 다른 비밀 키(Private key)를 가지는 것이 중요하다. 그러나, 온-라인 폐지 서버(OLRS)의 비밀키에 의한 보안은 인증기관(CA)의 비밀키에 의한 보안보다 덜 위험하다. 그 이유는, 온 라인 폐지 서버(OLRS)의 비밀키에 의한 위험은 이미 폐지된 인증서가 폐지되지 않은 주 요소(Principal)를 확인하는데 사용되거나, 폐지되지 않은 인증서가 폐지된 주 요소를 확인하는데 사용되는 것에 기인하지만, 인증기관(CA)의 비밀키는 인증되지 않은 인증서를 발행할 수 있기 때문이다.However, because the on-line revocation server (OLRS) performs work on-line and copies an entity, as the amount of connection increases, the safety decreases and the risk increases. Therefore, since the on-line revocation server (OLRS) is sensitive to the risks associated with the on-line processing, it is important to have a private key that is different from the CA. However, security by a private key of an on-line revocation server (OLRS) is less dangerous than security by a private key of a CA. The reason is that the risk of an online revocation server (OLRS) risk can be used to identify a principal whose certificates have already been revoked, or to identify a principal whose revocation certificates have been revoked. This is because the private key of the certification authority (CA) can issue an unauthenticated certificate.

일반적으로, 온-라인 폐지 서버(OLRS)는 조회 결과에 대하여 온-라인 폐지 서버(OLRS)의 비밀키를 이용하여 서명함으로써, 주 요소에 대한 조회 결과로서 온-라인 폐지 서버(OLRS)에 의한 인증서 폐지 상태 정보를 확인한다. 또한, 인증기관(CA)은 일반적인 인증 내용과 함께 인증기관(CA)의 비밀키로 서명된 대표 인증서(Delegation certificate)를 발행함으로써, 온-라인 폐지 서버(OLRS)의 비밀키에 대한 신뢰성을 인증 한다. 대표 인증서는 온-라인 폐지 서버(OLRS)가 인증서 폐지 상태 정보를 발행하는 것이 승인된 것을 확인하기 위하여, 해당하는 주 요소로 발행된다. 이와 같이, 인증기관(CA)으로부터 사용자에게 인증서 폐지 목록(CRL)을 발행하거나, 온-라인 폐지 서버(OLRS)를 사용하여 인증서 폐지 목록(CRL)을 발행하는 방법은 비교적 단순한 사용자 인증 방법이다.In general, an on-line revocation server (OLRS) signs an inquiry result by using the on-line revocation server (OLRS) 's private key, and thus the on-line revocation server (OLRS) as an inquiry result for the main element. Check the certificate revocation status information. In addition, the Certificate Authority (CA) authenticates the trustworthiness of the private key of the on-line revocation server (OLRS) by issuing a Delegation certificate signed with the CA's private key along with the general certificate. . The representative certificate is issued to the corresponding main element to confirm that the on-line revocation server (OLRS) is authorized to issue certificate revocation status information. As such, a method of issuing a certificate revocation list (CRL) from a certification authority (CA) to a user, or issuing a certificate revocation list (CRL) using an on-line revocation server (OLRS) is a relatively simple user authentication method.

이 밖에, 국내 특허 공개 번호 1999-025290에는 인증기관 내에 인증서 폐지 목록(CRL) 전용을 캐시(Cache)를 사용하여, 실시간으로 조회할 수 있는 발명이 개시되었다. 여기에서, 인증기관은 사용자로부터 인증서 요청이 있을 경우에, 인증 기관의 데이터베이스를 참조하여 인증서 폐지 목록을 관리하고, 사용자의 요청에 따른 인증 작업을 수행한다.In addition, Korean Patent Publication No. 1999-025290 discloses an invention in which a certificate revocation list (CRL) can be searched in a certification authority in real time using a cache. Here, the certification authority manages the certificate revocation list by referring to the database of the certification authority when there is a certificate request from the user, and performs an authentication operation according to the request of the user.

인증서 폐지 목록을 조회한 사용자는 통신비용을 절감하기 위하여, 다음 갱신 기간까지 인증서 폐지 목록(CRL)을 메모리에 저장하게 된다. 이러한 인증서 폐지 방법은 주기적인 폐지 방법과 즉시적 폐지 방법이 있을 수 있다. 주기적 폐지 방법은 정기적인 기간 내에는 인증기관(CA)이 안전하게 인증서의 폐지를 알릴 수가 없다. 이러한 제한을 극복하기 위하여, 즉시적 폐지 방법이 사용될 수 있다. 즉시적 폐지 방법은 인증서의 폐지 정보를 시간 주기에 제한 받지 않고, 사용자에게 바로 알릴 수 있으며, 이를 위하여 사용자는 인증서를 발급한 인증기관(CA)과 온 라인 거래를 통하여 인증서의 유효성을 검증하여야 한다. 특히, 요청된 정보가 비 인가된 사용자에 의해 변경될 수 없어야 하며, 거래가 안정하게 이루어져야 한다. 그러나, 이러한 방식의 폐지 방법은 이를 구현하기가 어렵고, 구현하는데 비용이 많이 소요되는 문제점이 있다.The user who inquires the certificate revocation list stores the certificate revocation list (CRL) in memory until the next renewal period in order to reduce communication costs. The certificate revocation method may be a periodic revocation method and an immediate revocation method. The periodic revocation method does not allow CAs to securely announce the revocation of certificates within a regular period. To overcome this limitation, an immediate revocation method can be used. The immediate revocation method is not limited to the revocation information of the certificate in a time period, and can be immediately informed to the user. For this purpose, the user must verify the validity of the certificate through online transactions with the certificate authority (CA) that issued the certificate. . In particular, the requested information must not be altered by unauthorized users and transactions should be stable. However, this abolition method is difficult to implement this, there is a problem that the cost is expensive to implement.

즉, 신뢰성 있는 서버나 보안 프로토콜을 사용하지 않고, 인증기관(CA)이 결정하는 인증서 폐지 목록(CRL)의 발급 주기를 충분히 작게 하여야 한다. 그러나, 폐지 목록이 많은 경우에는, 신뢰 손상을 인증기관(CA)에게 보고하는데 많은 시간의 지연이 발생하며, 인증서 폐지 목록의 발급 간격은 폐지 목록의 분배 지연과 빈번한 전송에 따른 통신비용 사이에 균형을 이루도록 설정하여야 한다.That is, the certificate revocation list (CRL) issuing period determined by the certification authority (CA) should be sufficiently small without using a reliable server or security protocol. However, in the case of a large revocation list, there is a long time delay in reporting a compromise of trust to a certification authority (CA), and the issuance interval of the certificate revocation list is balanced between the distribution delay of the revocation list and the communication cost of frequent transmission. It should be set to achieve.

이러한 문제점을 해결하기 위해서, 전체 인증서 폐지 목록(CRL)을 다루지 않고, 인증서 폐지 목록(CRL)이 발행된 시점에서 새로운 인증서 폐지 목록이 발행된 시점까지의 목록을 모아둔 delta-CRL 방식을 사용할 수 있다. delta-CRL 방식을 사용하면, 사용자의 인증서 상태 처리 시간을 개선할 수 있다. 그리고, 이를 통하여 데이터베이스에 존재하는 기존의 폐지 정보는 그대로 두고, 추가로 폐지된 정보만 데이터베이스에 추가하면 된다. 그러나, delta-CRL을 발급하는 경우에도,인증기관(CA)은 전체 인증서 폐지 목록을 발급하여야 한다. 즉, delta-CRL은 전체 인증서 폐지 목록 없이는 발급될 수 없으며, delta-CRL과 전체 인증서 폐지 목록의 인증서 폐지 목록 번호는 동일하여야 한다.To solve this problem, you can use the delta-CRL method, which does not cover the entire certificate revocation list (CRL), but collects the list from when the certificate revocation list (CRL) is issued to when a new certificate revocation list is issued. have. By using the delta-CRL method, the user's certificate status processing time can be improved. In this way, the existing abolition information existing in the database is left as it is, and only the abolition information is added to the database. However, even when issuing a delta-CRL, the CA must issue a complete revocation list. That is, the delta-CRL cannot be issued without the entire certificate revocation list, and the certificate revocation list number of the delta-CRL and the entire certificate revocation list must be the same.

이러한 CRL 및 delta-CRL 방식은 모두 인증서 폐지 목록의 갱신 주기에 대한 문제점을 가지고 있다. 또한, 인증 기반의 확산으로 CRL 및 delta-CRL 모두 전송량이 늘어나고 있으며, 전송 시간 역시 일정 시간의 간격을 두고 이루어지기 때문에 여러 가지 문제점이 발생되고 있다.Both the CRL and delta-CRL schemes have a problem with the renewal period of the certificate revocation list. In addition, due to the spread of authentication, both CRLs and delta-CRLs are increasing in transmission volume, and various transmission problems are generated because the transmission time is also made at a predetermined time interval.

이를 해결하기 위하여, 최근에는 OCSP(Online Certificate Status Protocol)가 개발되었다. OCSP는 폐지 및 효력 정지 상태의 파악이 정확하고 실시간으로 인증서를 검증하도록 개발되었다. 이러한 OCSP는 주로 데이터 트랜잭션(Transaction)의 중요성이 높기 때문에, 실시간 인증서의 유효성 검증이 필요한 경우, 예컨대 고가의 증권 정보나 고액의 현금 거래 등에 사용될 수 있다. 그러나, 이러한 OCSP 역시, 인증서의 유효성 검증을 실시간으로 처리해야 하기 때문에, 많은 트랜잭션과 서버에 대한 과부하를 발생시키는 문제점이 있다.In order to solve this problem, an Online Certificate Status Protocol (OCSP) has recently been developed. The OCSP was developed to verify revocation and suspension status with accurate and real time verification of certificates. Since the OCSP is mainly important for data transaction, it can be used for the validation of real time certificates, for example, expensive securities information or expensive cash transactions. However, this OCSP also has a problem of generating a lot of transactions and server overload because it must process the validation of the certificate in real time.

한편, 최근에는 무선 통신 기술이 발달하면서, 무선 통신뿐만 아니라 무선 인터넷을 이용하는 서비스가 크게 증가하고 있다. 그에 따라, 무선 통신 상에서의 데이터 보안을 위하여 WTLS(Wireless Transport Layer Security)라는 프로토콜을 사용하여 데이터를 전송하고 있으나, WAP(Wireless Application Protocol) 게이트웨이(Gateway)에서 SSL(Secure Socket Layer)로 변환하는 과정에서 데이터의 유출이 발생할 수 있다. 따라서, 종단간을 하나의 프로토콜로 통일하거나 PKI(PublicKey Infrastructure) 기반을 이용하여 자료를 송수신하여야 한다. 무선 인터넷에서 PKI를 이용하기 위해서는 유선 통신 기기와 달리 무선 통신 기기의 메모리 용량, CPU(Central Processing Unit)의 처리 능력 등이 현저히 떨어지기 때문에, 이러한 요소들을 고려하여야 한다.On the other hand, in recent years, with the development of wireless communication technology, services using the wireless Internet as well as wireless communication have greatly increased. Accordingly, although data is transmitted using a protocol called WTLS (Wireless Transport Layer Security) for data security in wireless communication, a process of converting a WAP (Wireless Application Protocol) gateway (SSL) into a secure socket layer (SSL) Data leakage may occur in the Therefore, end-to-end must be unified in one protocol or data should be transmitted and received using PKI (PublicKey Infrastructure) base. In order to use the PKI in the wireless Internet, unlike the wired communication device, the memory capacity of the wireless communication device and the processing power of the central processing unit (CPU) are significantly reduced. Therefore, these factors should be considered.

이를 위하여, 유럽에서 사용되는 GSM(Global System for Mobile communication) 방식의 SIM(Subscriber Identity Module)이나 USIM(Universal Subscriber Identity Module)을 사용하면, 스마트 카드 형태의 메모리와 프로세서가 존재하게 된다. GSM은 유럽 및 기타 지역에서 광범위하게 사용되는 디지털 이동전화 시스템으로서, TDMA(Time Division Multiple Access)의 변종이다. 이것은 TDMA, CDMA(Code Division Multiple Access)와 함께 가장 널리 사용되는 디지털 무선 통신 기술 중 하나이다. GSM은 데이터를 디지털화하고 압축한 다음, 그것을 두 개의 다른 사용자 데이터와 함께 한 채널을 통해 보내는데, 각각의 데이터는 나름대로의 고유한 시간대에 보내진다. GSM은 900 MHz와 1800 MHz 주파수 대역에서 모두 동작할 수 있다.To this end, when using a Subscriber Identity Module (SIM) or Universal Subscriber Identity Module (USIM) of a Global System for Mobile Communication (GSM) method used in Europe, a smart card type memory and a processor exist. GSM is a digital mobile telephone system widely used in Europe and elsewhere and is a variant of TDMA (Time Division Multiple Access). This is one of the most widely used digital wireless communication technologies with TDMA and Code Division Multiple Access (CDMA). GSM digitizes and compresses the data and sends it along with two other user data over one channel, each with its own unique time zone. GSM can operate in both the 900 MHz and 1800 MHz frequency bands.

그러나, 이와 같은 방법을 사용하는 경우에, PKI에 의한 사용자 인증서의 유효성 검증 문제가 존재한다. 따라서, 이러한 문제점을 해결하기 위해서, 종래에는 소형 인증서(Mini-certificate)를 서버와 WAP 게이트웨이에 발급하는 방법을 사용하였다. 그러나, 무선 인터넷에서는 무선 통신 기기의 데이터 처리 성능 및 메모리 용량을 고려하여, 유선 인터넷과는 달리 단 기간(short term)의 인증서를 발급함으로써, 유효성에 대한 검증 없이 전자 상거래를 수행하기도 한다.However, when using such a method, there exists a problem of validating a user certificate by a PKI. Therefore, in order to solve this problem, a method of issuing a mini-certificate to a server and a WAP gateway has been conventionally used. However, in the wireless Internet, unlike a wired Internet, in consideration of data processing performance and memory capacity of a wireless communication device, a short term certificate is issued, thereby performing electronic commerce without verifying validity.

한편, 국내 특허 공개 번호 2001-008042에는 인증서 검증 작업을 대행해 주는 이중 전자 서명을 사용한 인증 확인 대행 서비스 제공 시스템이 개시되었다.On the other hand, Korean Patent Publication No. 2001-008042 discloses a system for providing a certification verification agent service using a double digital signature for the verification of the certificate.

도 2는 종래의 인증 확인 대행 서비스 제공 시스템의 전체적인 구성도를 나타낸 것이다.Figure 2 shows the overall configuration of a conventional authentication confirmation agent service providing system.

도 2를 참조하면, 종래의 인증 확인 대행 서비스 제공 시스템에서 단말기(1, 2)는 무선 망(3)에서 메시지를 송수신 한다. 유무선 게이트웨이 시스템(4)은 무선 망(3)과 유선 망(5)을 연결해 준다. 인증서 발급 시스템(6)은 단말기 사용자에게 인증서를 발급한다. 인증서 디렉토리 시스템(7)은 유선 망(5)과 연결되며, 인증서 발급 시스템(6)에 의해 발급된 인증서를 유무선 사용자가 열람할 수 있도록 게시해 준다. 인증 확인 대행 시스템(8)은 유선 망(5)과 연결되어 인증 확인 대행 서비스를 제공한다. 응용 서비스 시스템(9)은 단말기에서 송신한 메시지를 수신측에게 전달한다.Referring to FIG. 2, in the conventional authentication confirmation service providing system, the terminals 1 and 2 transmit and receive messages in the wireless network 3. The wired / wireless gateway system 4 connects the wireless network 3 and the wired network 5. The certificate issuing system 6 issues a certificate to the terminal user. The certificate directory system 7 is connected to the wired network 5 and publishes the certificate issued by the certificate issuing system 6 so that wired and wireless users can view it. The authentication verification agency system 8 is connected to the wired network 5 to provide a certification verification agency service. The application service system 9 delivers the message sent from the terminal to the receiving side.

그러나, 이러한 인증 확인 대행 시스템을 사용하는 경우에는 인증서의 유효성을 검증하기 위하여, 별도의 시스템을 구비하여야 하기 때문에 추가적인 노력이나 경비가 많이 소요되는 문제점이 있다. 또한, 인증 확인 대행 시스템에 의한 인증서 검증을 위하여, 인증서 목록에 별도의 서명을 첨부하여야 하는 어려움이 존재한다.However, in the case of using such a certification verification agent system, in order to verify the validity of the certificate, a separate system has to be provided, which requires a lot of additional effort or expense. In addition, there is a difficulty in attaching a separate signature to the certificate list in order to verify the certificate by the authentication verification agent system.

본 발명은 상기와 같은 문제점을 해결하기 위한 것으로, 실시간 데이터 전송이 가능한 FM(Frequency Modulation) 부가 방송을 이용함으로써, 무선 통신 상에서 실시간으로 인증서 폐지 목록을 전송하는 방법 및 시스템을 제공하는데 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and an object of the present invention is to provide a method and system for transmitting a certificate revocation list in real time over wireless communication by using an FM (Frequency Modulation) additional broadcasting capable of real-time data transmission. .

또한, 본 발명은 사용자를 그룹별로 분류하고, 인증서 폐지 목록이 필요한 그룹의 사용자만이 해당하는 인증서 폐지 목록을 수신할 수 있도록 함으로써, 실시간 무선 데이터 전송의 효율을 높일 수 있는 무선 통신 상에서의 실시간 인증서 폐지 목록 전송 방법 및 시스템을 제공하는데 그 목적이 있다.In addition, the present invention is to classify the user by group, and only the user of the group that needs the certificate revocation list can receive the corresponding certificate revocation list, real-time certificate in wireless communication that can increase the efficiency of real-time wireless data transmission It is an object of the present invention to provide a method and system for transmitting abolished lists.

또한, 본 발명은 사용자의 무선 통신 장치에 그룹별로 분류된 인증서 폐지 목록을 저장하고, 인증서 폐지 목록의 전송이 있을 때마다 이를 갱신함으로써 효율적인 인증서 검증이 가능하도록 하는 실시간 인증서 검증 방법 및 시스템을 제공하는데 그 목적이 있다.In addition, the present invention provides a real-time certificate verification method and system for storing the certificate revocation list classified by group in the user's wireless communication device, and update the certificate revocation list every time there is a transmission, enabling efficient certificate validation. Its purpose is.

도 1은 X.509 V2 인증서 폐지 목록의 구조를 나타낸 도면.1 illustrates the structure of an X.509 V2 certificate revocation list.

도 2는 종래의 인증 확인 대행 서비스 제공 시스템의 전체적인 구성도.Figure 2 is an overall configuration diagram of a conventional authentication confirmation agency service providing system.

도 3은 본 발명의 바람직한 실시 예에 따른 무선 통신 상에서의 실시간 인증서 폐지 목록 전송 방법에 있어서, DARC 시스템의 프레임 계층 구조를 나타낸 도면.3 is a diagram illustrating a frame hierarchy of a DARC system in a method for transmitting a real-time certificate revocation list in wireless communication according to an exemplary embodiment of the present invention.

도 4a 내지 도 4c는 이러한 DARC 시스템의 데이터 패킷 계층의 구조를 나타낸 도면.4A to 4C show the structure of the data packet layer of such a DARC system.

도 5는 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송 시스템의 전체적인 구성도.5 is an overall configuration diagram of a real-time certificate revocation list transmission system according to an embodiment of the present invention.

도 6은 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)에 있어서, 인증서 폐지 목록의 확장 필드에 추가되는 부분을 나타낸 도면.FIG. 6 is a diagram illustrating a part added to an extended field of a certificate revocation list in the real-time certificate revocation list transmission method (DARC-CRL) according to a preferred embodiment of the present invention. FIG.

도 7은 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송방법(DARC-CRL)에 있어서, CRL 전송 시스템과 DARC 전송 시스템 사이의 전송 과정을 나타낸 도면.7 is a diagram illustrating a transmission process between a CRL transmission system and a DARC transmission system in a real-time certificate revocation list transmission method (DARC-CRL) according to a preferred embodiment of the present invention.

도 8은 본 발명의 실시간 인증서 검증 시스템에 있어서, 실시간으로 인증서 폐지 목록을 수신할 수 있는 사용자 단말 장치의 블록도.8 is a block diagram of a user terminal device capable of receiving a certificate revocation list in real time in the real-time certificate verification system of the present invention.

도 9는 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송 방법에 있어서, 인증서 폐지 목록의 1일 통신량을 종래의 전송 방법과 비교하기 위한 기호를 도표로 나타낸 도면.9 is a diagram showing a symbol for comparing the daily traffic of the certificate revocation list with a conventional transmission method in the real-time certificate revocation list transmission method according to a preferred embodiment of the present invention.

도 10은 본 발명의 바람직한 실시 예에 따른 DARC-CRL 방식과 종래의 CRL 방식, delta-CRL 방식에 따른 전송 시간을 비교한 도면.10 is a diagram comparing the transmission time according to the DARC-CRL scheme, conventional CRL scheme, delta-CRL scheme according to an embodiment of the present invention.

(도면의 주요 부분에 대한 부호의 명칭)(Name of the code for the main part of the drawing)

20: 무선 통신 장치 22: DARC 전송 시스템20: wireless communication device 22: DARC transmission system

24: CRL 전송 시스템 26: 인증서 발급 시스템24: CRL transmission system 26: certificate issuance system

100: 사용자 단말 장치 150: 메모리 시스템100: user terminal device 150: memory system

152: 플래시 메모리 154: 스마트 카드152: flash memory 154: smart card

160: CPU 162: ALU160: CPU 162: ALU

164: 레지스터 166: 컨트롤러164: Register 166: Controller

170: DARC 수신부 180: 입력 장치170: DARC receiver 180: input device

190: 출력 장치190: output device

상기의 목적을 달성하기 위하여, 본 발명의 실시간 인증서 폐지 목록 전송 방법은 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하는 방법에 있어서, 더 이상 사용되지 않는 인증서 폐지 목록을 생성하는 단계와, 사용자의 통신 장치에 전송할 수 있도록 상기 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계를 포함하되, 상기 인증서 폐지 목록은 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나를 포함할 수 있다.In order to achieve the above object, the real-time certificate revocation list transmission method of the present invention is a method for transmitting a certificate revocation list to a user's communication device through a wireless transmission system capable of broadcasting, the certificate revocation list is no longer used Generating a certificate revocation list to a wireless transmission system for transmission to a user's communication device, wherein the certificate revocation list includes a wireless transmission field indicating a wireless transmission method and a user group in an extension field. It may include at least one of a designated group field, a frequency field indicating a frequency band, and a CRL classification field.

상기 무선 전송 방식은 DARC, RDS, HSDS 및 DAB 중 적어도 하나를 포함할 수 있다.The wireless transmission scheme may include at least one of DARC, RDS, HSDS, and DAB.

상기 사용자 그룹은 지역, 업종, 관심 분야, 연령 및 성별 중 적어도 하나를 포함할 수 있다.The user group may include at least one of a region, an industry, an interest field, an age, and a gender.

상기 CRL 구분 필드는 CRL 또는 delta-CRL을 포함할 수 있다.The CRL classification field may include a CRL or a delta-CRL.

상기 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계는 암호화 알고리듬을 이용할 수 있다.Providing the certificate revocation list to the wireless transmission system may use an encryption algorithm.

또한, 본 발명의 실시간 인증서 폐지 목록 전송 방법은 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하는 방법에 있어서, 인증서 폐지 목록을 수신할 사용자를 그룹별로 분류하는 단계와, 인증서 폐지 목록의 확장 필드에 인증서 폐지 목록을 수신할 사용자의 그룹 정보 및 사용되는 무선 전송 시스템 정보 중 적어도 하나를 지정하는 단계와, 인증서 폐지 목록의 발생을 체크하는 단계와, 인증서 폐지 목록이 발생하는 경우에, 사용자의 통신 장치로 전송할 수 있도록 상기 확장 필드를 포함하는 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계를 포함할 수 있다.In addition, the real-time certificate revocation list transmission method of the present invention is a method for transmitting a certificate revocation list to a user's communication device through a wireless transmission system capable of broadcasting, comprising: classifying a user to receive a certificate revocation list by group; Specifying at least one of a group information of a user who will receive the certificate revocation list and a wireless transmission system information to be used in the extended field of the certificate revocation list, checking the occurrence of the certificate revocation list, and generating a certificate revocation list. In this case, the method may include providing the certificate revocation list including the extension field to the wireless transmission system so as to transmit to the communication device of the user.

상기 실시간 인증서 폐지 목록 전송 방법은 일정 기간 동안 인증서 폐지 목록이 발생하지 않는 경우에, 전체 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계를 더 포함할 수 있다.The real-time certificate revocation list transmission method may further include providing the entire certificate revocation list to the wireless transmission system when the certificate revocation list does not occur for a certain period of time.

또한, 본 발명의 실시간 인증서 폐지 목록 브로드캐스팅 방법은 CRL 전송 시스템으로부터 인증서 폐지 목록을 수신하는 단계와, 상기 인증서 폐지 목록을 사용자의 통신 장치에서 수신할 수 있도록 브로드캐스팅하는 단계를 포함하되, 상기 인증서 폐지 목록은 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나를 포함할 수 있다.The real-time certificate revocation list broadcasting method of the present invention includes receiving a certificate revocation list from a CRL transmission system, and broadcasting the certificate revocation list to be received by a user's communication device. The revocation list may include at least one of a wireless transmission field indicating a wireless transmission scheme, a group field indicating a user group, a frequency field indicating a frequency band, and a CRL classification field in an extension field.

또한, 본 발명의 실시간 인증서 검증 방법은 무선 전송 시스템으로부터 브로드캐스팅되는 인증서 폐지 목록을 수신하는 단계와, 상기 인증서 폐지 목록의 확장 필드에 지정된 전송 그룹을 판별하는 단계와, 상기 전송 그룹이 사용자의 그룹에 해당하는 경우에 무선 통신 장치의 메모리에 상기 인증서 폐지 목록을 저장하는 단계와, 상기 메모리에 저장된 인증서 폐지 목록을 이용하여 인증서의 유효성을 검증하는 단계를 포함할 수 있다.In addition, the real-time certificate verification method of the present invention comprises the steps of receiving a certificate revocation list broadcast from a wireless transmission system, determining a transmission group specified in the extension field of the certificate revocation list, the transmission group is a group of users In the case of, the method may include storing the certificate revocation list in a memory of the wireless communication device, and validating the certificate using the certificate revocation list stored in the memory.

상기 메모리는 플래시메모리 또는 스마트카드일 수 있다.The memory may be a flash memory or a smart card.

또한, 본 발명의 실시간 인증서 폐지 목록 전송 시스템은 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하기 위한 시스템에 있어서, 더 이상 사용되지 않는 인증서 폐지 목록을 생성하는 인증서 폐지 목록 생성부와, 사용자의 통신 장치에 전송할 수 있도록 상기 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 인증서 폐지 목록 전송부를 포함하되, 상기 인증서 폐지 목록은 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및CRL 구분 필드 중 적어도 하나를 포함할 수 있다.In addition, the real-time certificate revocation list transmission system of the present invention in the system for transmitting a certificate revocation list to the user's communication device through a wireless transmission system capable of broadcasting, a certificate revocation list for generating a certificate revocation list that is no longer used And a list generation unit and a certificate revocation list transmission unit for providing the certificate revocation list to the wireless transmission system for transmission to a user's communication device, wherein the certificate revocation list is a wireless transmission field indicating a wireless transmission method in an extension field, a user. It may include at least one of a group field for designating a group, a frequency field indicating a frequency band, and a CRL classification field.

또한, 본 발명의 실시간 인증서 폐지 목록 전송 시스템은 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하기 위한 시스템에 있어서, 인증서 폐지 목록을 수신할 사용자를 그룹별로 분류하는 그룹 제어부와, 인증서 폐지 목록의 확장 필드에 인증서 폐지 목록을 수신할 사용자의 그룹 정보 및 사용되는 무선 전송 시스템 정보 중 적어도 하나를 지정하는 확장 필드 제어부와, 인증서 폐지 목록의 발생을 체크하는 인증서 폐지 목록 체크부와, 인증서 폐지 목록이 발생하는 경우에, 사용자의 통신 장치로 전송할 수 있도록 상기 확장 필드를 포함하는 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 인증서 폐지 목록 전송부를 포함할 수 있다.In addition, the real-time certificate revocation list transmission system of the present invention is a system for transmitting a certificate revocation list to a user's communication device through a wireless transmission system capable of broadcasting, a group for classifying users to receive the certificate revocation list by group A control unit, an extended field control unit for designating at least one of a group information of a user who will receive a certificate revocation list and a wireless transmission system information used in the extension field of the certificate revocation list, and a certificate revocation list check for checking the occurrence of the certificate revocation list And a certificate revocation list transmission unit for providing a certificate revocation list including the extension field to the wireless transmission system so as to transmit the certificate revocation list to the user's communication device when the certificate revocation list is generated.

또한, 본 발명의 실시간 인증서 폐지 목록 브로드캐스팅 시스템은 CRL 전송 시스템으로부터 인증서 폐지 목록을 수신하는 수신부와, 상기 인증서 폐지 목록을 사용자의 통신 장치에서 수신할 수 있도록 브로드캐스팅하는 송신부를 포함하되, 상기 인증서 폐지 목록은 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나를 포함할 수 있다.In addition, the real-time certificate revocation list broadcasting system of the present invention includes a receiving unit for receiving a certificate revocation list from the CRL transmission system, and a transmitting unit for broadcasting the certificate revocation list to receive from the user's communication device, the certificate The revocation list may include at least one of a wireless transmission field indicating a wireless transmission scheme, a group field indicating a user group, a frequency field indicating a frequency band, and a CRL classification field in an extension field.

또한, 본 발명의 인증서 검증 시스템은 무선 전송 시스템으로부터 브로드캐스팅되는 인증서 폐지 목록을 수신하는 수신부와, 상기 인증서 폐지 목록의 확장 필드에 지정된 전송 그룹을 판별하는 그룹 판별부와, 상기 전송 그룹이 사용자의 그룹에 해당하는 경우에 무선 통신 장치의 메모리에 상기 인증서 폐지 목록을 저장하는 제어부와, 상기 메모리에 저장된 인증서 폐지 목록을 이용하여 인증서의 유효성을 검증하는 검증부를 포함할 수 있다.In addition, the certificate verification system of the present invention includes a receiving unit for receiving a certificate revocation list broadcast from a wireless transmission system, a group determination unit for determining a transmission group specified in the extension field of the certificate revocation list, and the transmission group is In the case of a group, the controller may include a controller for storing the certificate revocation list in a memory of the wireless communication device, and a verification unit for validating a certificate using the certificate revocation list stored in the memory.

이하, 첨부한 도면에 의하여 본 발명의 바람직한 실시 예를 자세히 설명하도록 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명의 실시간 인증서 검증 방법은 인증서 폐지 목록 관리의 문제점인 전송 시점 차이에 따른 무결성 문제와 실시가 처리로 인한 서버와 네트워크 간의 과도한 트래픽(Traffic) 발생을 해결하기 위하여, FM 부가 방송을 사용한다.The real-time certificate verification method of the present invention uses FM additional broadcasting to solve the problem of integrity, which is a problem of certificate revocation list management, and excessive traffic between the server and the network due to the implementation process.

FM 부가 방송은 하나의 FM 방송 채널에 할당된 대역폭 중에서 미 사용중인 53 ~ 100KHz 의 대역에 음성 또는 디지털 데이터를 다중화 하여 방송하는 것이다. 즉, 프로그램 자동 선국, 시간 정보, 교통 정보, 날씨 정보, 주식 동향 등의 실시간 사회 정보, 무선 호출, 비상 경보, 자동 주행 시스템의 교통 데이터 등과 같은 부가적인 서비스를 방송 수신자에게 제공할 수 있는 방송이다.FM additional broadcasting is broadcasting by multiplexing voice or digital data in unused band of 53 ~ 100KHz among bandwidth allocated to one FM broadcasting channel. That is, it is a broadcast that can provide additional services such as program automatic tuning, time information, traffic information, weather information, real-time social information such as stock trends, radio call, emergency alert, traffic data of automatic driving system, etc. to the broadcast receiver. .

이러한 FM 부가 방송은 산악과 같은 지리적인 장애로 인하여, 방송 전파의 송신이 어려운 지역을 대상으로 집약 구조의 방송망 활용도를 높이기 위하여 개발되었다. FM 부가 방송은 대표적으로 RDS(Radio Data System), DARC(DAta Radio Channel), HSDS(High speed Subcarrier Data System) 및 DAB(Digital Audio Broadcasting)를 포함한다. RDS는 유럽 및 대부분의 미국에서 상용화된 시스템으로, 전송 속도가 1.187Kbps이며, 영상과 같은 많은 양의 데이터를 전송할 수 없다는 단점이 있다. 이를 극복하기 위한 방식이 DARC와 HSDS이다. 세계적으로도 DARC는 1996년 세계 표준인 ITU-R BS.1194로 채택되었다. 그리고, DARC는 16Kbps의 전송 속도를 가지며, 전송 오류를 개선하기 위한 패러티(Parity)를 제외하면, 데이터를 압축하지 않은 상태에서 9.78Kbps의 정보 전송 속도를 유지한다.The FM supplementary broadcasting has been developed to increase the utilization of the broadcasting network of the intensive structure in areas where transmission of radio waves is difficult due to geographical obstacles such as mountains. FM additional broadcasting typically includes a Radio Data System (RDS), a DAta Radio Channel (DARC), a High Speed Subcarrier Data System (HSDS), and Digital Audio Broadcasting (DAB). RDS is a system commercially available in Europe and most of the United States. The transmission speed is 1.187 Kbps, and there is a disadvantage in that it cannot transmit a large amount of data such as a video. The way to overcome this is DARC and HSDS. Globally, DARC was adopted in 1996 as the global standard ITU-R BS.1194. The DARC has a transmission rate of 16 Kbps and maintains an information transmission rate of 9.78 Kbps without compressing data except for parity for improving transmission error.

이러한 DARC 시스템은 7계층의 OSI(Open System Interconnection) 참조 모델을 기본으로 한다. DARC 시스템의 계층 구조에서 물리 계층(layer 1)은 시스템과 시스템 사이의 물리적인 접촉을 제어하기 위한 기능을 제공한다. 프레임 계층(layer 2)은 물리적인 특성을 이용하여 데이터 전송에서의 오류 검출과 복원을 수행한다. 패킷 계층(layer 3)은 시스템간의 데이터 교환 기능을 제공한다. 데이터 그룹 계층(layer 4)은 종단 시스템간의 데이터 전송에 관한 오류 검출, 복원 및 다중화 등을 제공한다. 세그먼트 계층(layer 5)은 데이터의 제어 및 동기를 수행한다. 표시 계층(layer 6)은 데이터의 형식에 따라 이를 처리한다. 응용 계층(layer 7)은 응용 프로세서간의 정보 교환 기능을 수행한다.This DARC system is based on the seven-layer Open System Interconnection (OSI) reference model. In the hierarchical structure of a DARC system, a physical layer (layer 1) provides a function for controlling physical contact between systems. The frame layer (layer 2) uses physical characteristics to perform error detection and recovery in data transmission. The packet layer (layer 3) provides data exchange between systems. The data group layer (layer 4) provides error detection, recovery and multiplexing for data transmission between end systems. The segment layer (layer 5) performs data control and synchronization. The display layer (layer 6) processes this according to the format of the data. The application layer (layer 7) performs information exchange between application processors.

도 3은 본 발명의 바람직한 실시 예에 따른 무선 통신 상에서의 실시간 인증서 폐지 목록 전송 방법에 있어서, DARC 시스템의 프레임 계층 구조를 나타낸 것이다.3 illustrates a frame hierarchy of a DARC system in a method of transmitting a real-time certificate revocation list in wireless communication according to an exemplary embodiment of the present invention.

도 3을 참조하면, 프레임 계층은 데이터 전송에 관계된 프레임 동기, 데이터 포맷(data format), 오류에 대한 보호 및 스크램블링(Scrambling)을 제공한다. 이를 위하여, 데이터 패킷은 176비트를 차지하고, CRC 비트는 14비트, 패러티 비트는 82비트의 크기를 가진다.Referring to FIG. 3, the frame layer provides frame synchronization, data format, protection against error, and scrambling related to data transmission. For this purpose, the data packet occupies 176 bits, the CRC bit has 14 bits, and the parity bit has a size of 82 bits.

그리고, 도 4a 내지 도 4c는 이러한 DARC 시스템의 데이터 패킷 계층의 구조를 나타낸 것이다.4A to 4C show the structure of the data packet layer of such a DARC system.

데이터 패킷 계층은 서로 다른 3개의 채널로 구성된 데이터 패킷과 논리 채널로 구성된다. 3가지 채널은 서비스 ID에 의해 구별되며, 서비스 채널, 단 메시지 채널(short message channel), 장 메시지 채널(long message channel)로 구분할 수 있다. 이 때, 각 채널의 데이터 패킷은 모두 176비트의 크기로 이루어진다. 이 때, 데이터 그룹은 하나 혹은 복수 개의 데이터 블록으로 구성된다.The data packet layer is composed of data packets and logical channels composed of three different channels. The three channels are distinguished by a service ID and may be classified into a service channel, a short message channel, and a long message channel. At this time, all data packets of each channel have a size of 176 bits. At this time, the data group is composed of one or a plurality of data blocks.

도 4a에 도시된 바와 같이, 서비스 채널은 헤더에 해당하는 부분(Prefix)이 16비트로서, 서비스 ID, 디코딩 ID 플래그, End 플래그, 업데이트 플래그, 데이터 그룹 번호 및 데이터 패킷 번호를 포함한다. 데이터 블록은 160비트의 크기를 가진다.As shown in FIG. 4A, a service channel has a 16-bit prefix corresponding to a header, and includes a service ID, a decoding ID flag, an end flag, an update flag, a data group number, and a data packet number. The data block has a size of 160 bits.

도 4b에 도시된 단 메시지 채널은 32비트의 헤더 부분(Prefix)과, 144비트의 데이터 블록으로 이루어진다. 헤더 부분은 서비스 채널과 동일하게, 서비스 ID, 디코딩 ID 플래그, End 플래그, 업데이트 플래그, 데이터 그룹 번호 및 데이터 패킷 번호를 포함한다.The short message channel shown in FIG. 4B includes a 32-bit header prefix and a 144-bit data block. The header portion includes the service ID, decoding ID flag, End flag, update flag, data group number and data packet number, similarly to the service channel.

도 4c에 도시된 장 메시지 채널은 8비트의 헤더 부분과 168비트의 데이터 블록으로 이루어진다. 이 때, 헤더 부분은 서비스 ID, 디코딩 ID 플래그, Start 플래그 및 시퀀스 카운터를 포함한다.The long message channel shown in FIG. 4C consists of an 8-bit header portion and a 168-bit data block. At this time, the header portion includes a service ID, a decoding ID flag, a Start flag, and a sequence counter.

도 5는 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송시스템의 전체적인 구성도를 나타낸 것이다.Figure 5 shows the overall configuration of the real-time certificate revocation list transmission system according to a preferred embodiment of the present invention.

도 5를 참조하면, 본 발명의 실시간 인증서 폐지 목록 전송 시스템은 인증서 및 인증서 폐지 목록(CRL)을 발급하는 인증서 발급 시스템(26)과, CRL 전송 시스템(24), FM 채널을 통하여 DARC 수신기가 구비된 사용자의 무선 통신 장치(20)로 인증서 폐지 목록(CRL)을 전송하는 DARC 전송 시스템(22)을 포함한다. DARC 전송 시스템(22)은 CRL 전송 시스템(24)으로부터 인증서 폐지 목록(CRL)의 변경이 있을 때마다 이를 실시간으로 사용자의 무선 통신 장치(20)로 브로드캐스팅(Broadcasting)한다. 이를 위하여, DARC 전송 시스템(22)은 디지털 변조 방식인 LMSK(Level controlled Minimum Shifting Keying) 방식을 이용하여, 76KHz의 부반송파(Subcarrier)에 인증서 폐지 목록(CRL)을 실어서 브로드캐스팅 한다. 따라서, 사용자는 PDA(Personal Digital Assistants), IMT2000(International Mobile Telecommunication 2000)과 같이 무선 통신이 가능한 무선 통신 장치(20)뿐만 아니라, PC와 같은 컴퓨터 시스템에도 DARC 수신기를 부착함으로써, 동일한 서비스의 이용이 가능할 것이다.Referring to FIG. 5, the real-time certificate revocation list transmission system of the present invention includes a certificate issuance system 26 for issuing a certificate and a certificate revocation list (CRL), a CRL transmission system 24, and a DARC receiver through an FM channel. And a DARC transmission system 22 for transmitting a certificate revocation list (CRL) to the user's wireless communication device 20. The DARC transmission system 22 broadcasts the certificate revocation list CRL from the CRL transmission system 24 to the user's wireless communication device 20 in real time whenever there is a change. To this end, the DARC transmission system 22 broadcasts a certificate revocation list (CRL) on a 76 kHz subcarrier (Subcarrier) using a digitally controlled level controlled minimum shifting keying (LMMSK) scheme. Therefore, the user can attach the DARC receiver not only to the wireless communication device 20 capable of wireless communication, such as PDA (Personal Digital Assistants) and IMT2000 (International Mobile Telecommunication 2000), but also to a computer system such as a PC. It will be possible.

이 때, 사용자를 업종이나 지역 등과 같은 다양한 그룹별로 분류하고, 사용자는 브로드캐스팅된 인증서 폐지 목록(CRL) 중에서 자신의 그룹에 해당하는 데이터를 선별하여 수신함으로써, 실시간으로 인증서의 유효성을 검증할 수 있다. 즉, 사용자가 종사하는 업무에 따라 정부 기관이나, 학교, 학원 등으로 분류할 수 있고, 업종에 따라 제조업, 어업, 농업, 유통 또는 금융 등으로 분류할 수 있다. 그 밖에, 거주 지역, 성별 또는 연령에 따라 분류하는 것도 가능할 것이다.이렇게, 사용자를 다양한 그룹으로 분류하고, 전송한 인증서 폐지 목록(CRL)에 수신할 그룹을 표시함으로써, 사용자는 자신의 그룹에 속하는 인증서 폐지 목록(CRL)을 선별하여 수신할 수 있다.At this time, the user is classified into various groups such as an industry or region, and the user can verify the validity of the certificate in real time by selecting and receiving data corresponding to the group from the broadcast certificate revocation list (CRL). have. That is, the user can be classified into a government agency, a school, a school, or the like according to the work engaged by the user, and can be classified into a manufacturing industry, a fishery, an agriculture, a distribution, or a finance according to the type of business. In addition, it may be possible to classify by region of residence, gender, or age. Thus, by classifying users into various groups and displaying the groups to be received in the sent Certificate Revocation List (CRL), users belong to their own groups. Certificate Revocation Lists (CRLs) can be selected and received.

또한, 사용자의 무선 통신 장치(20)에 구비된 메모리, 예컨대 플래시메모리(Flash memory) 또는 스마트카드(Smart card) 내에 인증서 폐지 목록(CRL)을 저장하고, DARC 전송 시스템(22)으로부터 인증서 폐지 목록(CRL)이 전송될 때마다 이를 갱신함으로써, 인증서에 대한 효율적인 유효성 검증이 가능하다.In addition, the certificate revocation list (CRL) is stored in a memory provided in the user's wireless communication device 20, such as a flash memory or a smart card, and the certificate revocation list is received from the DARC transmission system 22. By updating each time a (CRL) is sent, efficient validation of the certificate is possible.

따라서, 본 발명의 실시간 인증서 폐지 목록 전송 방법을 이하에서 DARC-CRL 방식이라 칭한다.Therefore, the real-time certificate revocation list transmission method of the present invention is referred to as DARC-CRL method hereinafter.

도 6은 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)에 있어서, 인증서 폐지 목록의 확장 필드에 추가되는 부분을 나타낸 것이다.FIG. 6 illustrates a part added to an extended field of a certificate revocation list in the real-time certificate revocation list transmission method (DARC-CRL) according to a preferred embodiment of the present invention.

도 6을 참조하면, 본 발명의 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)은 인증서 폐지 목록의 확장 필드에 DarcCRLGroup 필드와, CRLGroupIdentifier 필드, FrequencyIdentifier 필드 및 CRLClassification 필드를 각각 추가한다. DarcCRLGroup 필드는 DARC 방식의 사용 유무를 확인하기 위한 것으로, 시스템의 구성에 따라 변경될 수 있는 옵션(Option) 사항이다. 즉, DARC 방식을 사용하지 않는 경우에는 이 필드를 선택하지 않고, DARC 방식을 사용하는 경우에 이를 선택할 수 있다. 한편, DARC 방식 외에 다른 FM 부가 방송을 이용하는 경우에는 여기에 해당하는 필드를 추가하여, 확장 필드를 구성할 수 있을 것이다. CRLGroupIdentifier 필드는 사용자의 그룹 분류를 위한 필드에 해당하는 것으로, 인증서 폐지 목록(CRL)을 전송할 그룹을 지정한다. FrequencyIdentifier 필드는 DARC 전송을 위하여 사용하는 주파수 대역을 확인하기 위한 부분이다. CRLClassification 필드는 CRL 또는 delta-CRL을 사용하는 경우를 위하여, 이를 구분하기 위한 부분이다. 따라서, CRL 뿐만 아니라 delta-CRL 방식을 사용하는 경우에도 본 발명의 실시간 인증서 폐지 목록 전송 방법(이 경우에는 DARC-delta-CRL)이 동일하게 적용될 수 있다.Referring to FIG. 6, the method for transmitting a real-time certificate revocation list (DARC-CRL) of the present invention adds a DarcCRLGroup field, a CRLGroupIdentifier field, a FrequencyIdentifier field, and a CRLClassification field to an extension field of a certificate revocation list, respectively. The DarcCRLGroup field is for checking the use of the DARC method and is an option that can be changed according to the configuration of the system. That is, this field may not be selected when the DARC method is not used, and it may be selected when the DARC method is used. On the other hand, when using an FM additional broadcast in addition to the DARC scheme may be added to the field to configure the extended field. The CRLGroupIdentifier field corresponds to a field for group classification of a user, and specifies a group for transmitting a certificate revocation list (CRL). The FrequencyIdentifier field is a part for identifying a frequency band used for DARC transmission. The CRLClassification field is a part for identifying a CRL or a delta-CRL for use. Therefore, the real-time certificate revocation list transmission method (DARC-delta-CRL in this case) may be equally applied even when using the delta-CRL scheme as well as the CRL.

한편, CRL 전송 시스템에서 인증서 폐지 목록(CRL)의 유무를 체크하고, 인증서 폐지 목록(CRL)이 발생할 때 이를 DARC 전송 시스템으로 송신하는 과정에서, 보안이 유지된 상태에서 이를 송신하여야 할 경우가 존재한다. 예컨대, 전자 상거래 또는 온라인 뱅킹과 같이 정보가 누출되어서는 안 되는 경우가 있기 때문에, 보안 프로토콜을 이용하여 인증서 폐지 목록(CRL)을 송신하는 것이 바람직하다. 예컨대, 보안 프로토콜은 SSL(Secure Socket Layer)을 이용할 수 있고, 인증서 폐지 목록(CRL)의 전송을 위하여 HTTP(Hyper Text Transfer Protocol)을 이용할 수 있다.On the other hand, in the process of checking whether there is a certificate revocation list (CRL) in the CRL transmission system and transmitting the certificate revocation list (CRL) to the DARC transmission system, there is a case where it should be transmitted in a secure state. do. Since information may not have to be leaked, such as e-commerce or online banking, for example, it is desirable to transmit a Certificate Revocation List (CRL) using a secure protocol. For example, the security protocol may use Secure Socket Layer (SSL), and may use Hyper Text Transfer Protocol (HTTP) for the transmission of a certificate revocation list (CRL).

도 7은 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)에 있어서, CRL 전송 시스템과 DARC 전송 시스템 사이의 전송 과정을 나타낸 도면이다.7 is a diagram illustrating a transmission process between a CRL transmission system and a DARC transmission system in a real-time certificate revocation list transmission method (DARC-CRL) according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)에서 CRL 전송 시스템을 클라이언트로 보고, DARC 전송 시스템을 서버로 보아 그 사이에서 암호 프로토콜을 이용한 전송 과정을 살펴보면 다음과 같다.Referring to Figure 7, in the real-time certificate revocation list transmission method (DARC-CRL) of the present invention to see the CRL transmission system as a client, the DARC transmission system as a server and look at the transmission process using the encryption protocol between them as follows. .

먼저, CRL 전송 시스템은 클라이언트의 입장에서 서버로서의 DARC 전송 시스템에 접속을 요청한다(S10). 접속 요청 과정에서 CRL 전송 시스템은 Client Hello 메시지를 전송할 것이다. 접속 요청을 받은 DARC 전송 시스템은 그에 대한 응답으로 Server Hello 메시지를 전송하고, 서버 인증서와 함께 클라이언트 인증서를 요청하는 신호를 전송한다(s12, s14). 클라이언트로서의 CRL 전송 시스템은 DARC 전송 시스템의 요청에 따라 클라이언트 인증서를 전송하고(s16), 암호화에 사용되는 세션 키(Session key)와 함께 암호문(Cipher suite)을 DARC 전송 시스템으로 제공한다(s18). 인증서 확인 과정이 완료되면, CRL 전송 시스템과 DARC 전송 시스템은 CRL 데이터 전송 단계로 이동할 것이다. 즉, DARC 전송 시스템은 CRL 전송 시스템으로부터 제공된 암호문에 따라 이를 승인 또는 거부할 수 있다(s20). 이 때, 암호문이 정상적으로 처리되면, CRL 데이터 전송 단계로 이동하여, 상호 간에 합의된 암호문에 따라 인증서 폐지 목록을 전송할 것이다(s22, s24).First, the CRL transmission system requests a connection to the DARC transmission system as a server from the client's point of view (S10). During the connection request, the CRL transport system will send a Client Hello message. The DARC transmission system receiving the access request transmits a Server Hello message in response and transmits a signal requesting a client certificate together with the server certificate (s12 and s14). The CRL transmission system as a client transmits a client certificate according to a request of the DARC transmission system (s16), and provides a cipher suite together with a session key used for encryption to the DARC transmission system (s18). When the certificate verification process is completed, the CRL transmission system and the DARC transmission system will move to the CRL data transmission step. That is, the DARC transmission system may approve or reject it according to the cipher text provided from the CRL transmission system (s20). At this time, if the ciphertext is normally processed, it will go to the CRL data transmission step, and transmit the certificate revocation list according to the ciphertext agreed upon with each other (s22, s24).

이와 같은 과정을 통하여 전송된 인증서 폐지 목록(CRL)은 DARC 전송 시스템으로부터 사용자의 무선 통신 장치로 브로드캐스팅된다. 그에 따라, 각 사용자는 브로드캐스팅되는 인증서 폐지 목록(CRL) 중에서 자신이 속한 그룹에 해당하는 인증서 폐지 목록(CRL)을 선별하여 이를 수신할 것이다. 이 때, DARC 전송 시스템은 새로운 인증서 폐지 목록(CRL)이 발생할 때마다 이를 실시간으로 브로드캐스팅 할수 있다. 또한, 일정 시간 동안 새로운 인증서 폐지 목록(CRL)이 발생하지 않는 경우에는, 일정 시간 간격마다, 예컨대 1시간 간격마다 전체 인증서 폐지 목록(CRL)을 브로드캐스팅 함으로써 주기적인 갱신 과정을 수행할 수 있다.The certificate revocation list (CRL) transmitted through this process is broadcast from the DARC transmission system to the user's wireless communication device. Accordingly, each user will select and receive a certificate revocation list (CRL) corresponding to the group to which the group belongs to among the certificate revocation lists (CRLs) that are broadcast. At this time, the DARC transmission system can broadcast in real time whenever a new certificate revocation list (CRL) occurs. In addition, when a new certificate revocation list (CRL) does not occur for a certain time, a periodic renewal process may be performed by broadcasting the entire certificate revocation list (CRL) at regular time intervals, for example, at every one hour interval.

DARC 전송 시스템으로부터 브로드캐스팅된 인증서 폐지 목록(CRL)은 DARC 수신기가 구비된 사용자의 무선 통신 장치에서 이를 수신한다. 수신된 인증서 폐지 목록(CRL)이 암호화된 경우에는 이를 복호화한 후에 내부의 메모리 또는 스마트카드와 같은 저장 장치에 저장할 수 있다.The certificate revocation list (CRL) broadcast from the DARC transmission system is received by the user's wireless communication device equipped with the DARC receiver. If the received certificate revocation list (CRL) is encrypted, it may be decrypted and stored in an internal memory or a storage device such as a smart card.

도 8은 본 발명의 실시간 인증서 검증 시스템에 있어서, 실시간으로 인증서 폐지 목록을 수신할 수 있는 사용자 단말 장치의 블록도를 나타낸 것이다.8 is a block diagram of a user terminal device capable of receiving a certificate revocation list in real time in the real-time certificate verification system of the present invention.

도 8을 참조하면, 사용자 단말 장치(100)는 메모리 시스템(150)과, 여기에 연결되어 고속 동작을 수행하는 적어도 하나 이상의 CPU(Central Processing Unit: 160), DARC 수신부(170), 입력 장치(180) 및 출력 장치(190)를 포함한다.Referring to FIG. 8, the user terminal device 100 may include a memory system 150, at least one CPU (Central Processing Unit) 160, a DARC receiver 170, and an input device connected to the memory system 150 to perform high-speed operation. 180 and an output device 190.

CPU(160)는 계산을 수행하기 위한 ALU(Arithmetic Logic Unit: 162)와, 데이터 및 명령어의 일시적인 저장을 위한 레지스터(164) 및 사용자 단말 장치(100)의 동작을 제어하기 위한 컨트롤러(166)를 포함할 수 있다. CPU(160)는 디지털(Digital) 사의 알파(Alpha), MIPS 테크놀로지, NEC, IDT, 지멘스(Siemens) 등의 MIPS, 인텔(Intel)과 사이릭스(Cyrix), AMD 및 넥스젠(Nexgen)을 포함하는 회사의 x86 및 IBM과 모토롤라(Motorola)의 파워PC(PowerPC)와 같이 다양한 아키텍쳐(Architecture)를 갖는 프로세서일 수 있다.The CPU 160 includes an Arithmetic Logic Unit (ALU) 162 for performing calculations, a register 164 for temporarily storing data and instructions, and a controller 166 for controlling the operation of the user terminal device 100. It may include. The CPU 160 includes companies such as Digital, Alpha, MIPS Technologies, NEC, IDT, Siemens, etc. MIPS, Intel, Cyrix, AMD, and Nexgen. It can be a processor with a variety of architectures, such as x86 and IBM and Motorola's PowerPC.

메모리 시스템(150)은 일반적으로 EEPROM(Electrically Erasable Programmable Read Only Memory) 셀의 구성과 동작을 변형한 플래시메모리(Flash Memory: 152), 스마트 카드(154)와 같은 장기 저장 매체 및 전기, 자기, 광학이나 그 밖의 저장 매체를 이용하여 데이터를 저장하는 장치를 포함한다. 또한, DARC 수신부를 가지는 컴퓨터 시스템인 경우에는, RAM(Random Access Memory) 과 ROM(Read Only Memory) 같은 저장 매체 형태인 고속의 메인 메모리와, 플로피 디스크, 하드 디스크, 테이프, CD-ROM, 플래시 메모리 등의 장기(long-term) 저장 매체 형태의 보조 메모리를 포함할 수 있을 것이다.Memory system 150 is generally a long-term storage medium, such as flash memory (152), smart card (154) and the configuration and operation of electrically erasable programmable read only memory (EEPROM) cells and electrical, magnetic, optical Or another device for storing data using a storage medium. In the case of a computer system having a DARC receiver, a high speed main memory in the form of a storage medium such as RAM (Random Access Memory) and ROM (Read Only Memory), floppy disk, hard disk, tape, CD-ROM, flash memory, etc. And auxiliary memory in the form of a long-term storage medium.

본 발명의 기술 분야에서 통상의 지식을 가진 당업자에게는 상기 메모리 시스템(150)이 여러 가지 저장 성능을 구비하는 제품으로서, 여러 가지 형태를 가질 수 있다는 것이 자명할 것이다.It will be apparent to those skilled in the art that the memory system 150 may have various forms as a product having various storage capabilities.

DARC 수신부(170)는 DARC 전송 시스템으로부터 전송된 인증서 폐지 목록(CRL)을 수신하기 위한 장치이다. 따라서, DARC 수신부(170)를 구비하면 무선 단말 장치뿐만 아니라 유선 단말 장치에서도 실시간으로 인증서 폐지 목록을 수신할 수 있을 것이다.The DARC receiving unit 170 is an apparatus for receiving a certificate revocation list (CRL) transmitted from the DARC transmission system. Therefore, if the DARC receiver 170 is provided, the certificate revocation list may be received in real time from the wired terminal device as well as the wireless terminal device.

또한, 입력 장치(180) 및 출력 장치(190)는 통상의 입력 장치 및 출력 장치일 수 있다. 입력 장치(180)는 사용자 단말 장치(100)에 구비된 키 패드 예컨대, 터치 스크린 또는 마이크로폰과 같은 물리적 변환기(Physical transducer) 등을 포함할 수 있다. 출력 장치(190)는 디스플레이 및 스피커와 같은 변환기(transducer) 등을 들 수 있다. 또한, 네트워크 인터페이스 또는 모뎀과 같은 장치가 입력 및/또는 출력 장치로서 사용될 수 있다.Also, the input device 180 and the output device 190 may be conventional input devices and output devices. The input device 180 may include a keypad provided in the user terminal device 100, for example, a physical transducer such as a touch screen or a microphone. The output device 190 may include a transducer such as a display and a speaker. In addition, devices such as network interfaces or modems may be used as input and / or output devices.

본 발명의 기술 분야에 있어서, 사용자 단말 장치(100)는 OS 및 적어도 하나의 응용 프로그램을 포함할 수 있다. OS는 사용자 단말 장치(100)의 동작 및 리소스의 지정을 제어하는 소프트웨어 집합이다. 응용 프로그램은 OS를 통하여 이용 가능한 컴퓨터 리소스를 사용함으로써, 사용자가 요청한 업무를 수행하기 위한 소프트웨어 집합이다. OS 및 응용 프로그램은 메모리 시스템(150)에 상주될 것이다. 컴퓨터 프로그래밍의 기술 분야에서 통상의 지식을 가진 당업자의 경험에 따라, 다른 표현으로 기술되지 않으면 본 발명은 사용자 단말 장치(100)에 의해 수행되는 동작 및 동작에 대한 표현 기호에 따라 기술될 것이다. 이러한 동작은 컴퓨터 기반으로 이루어지며, OS 또는 적당한 응용 프로그램에 의하여 수행될 것이다. 또한, 이러한 동작 및 기능은 전기 신호의 변환 또는 차단을 유발하는 데이터 비트 등의 전기 신호에 대한 CPU(160)의 처리와, 사용자 단말 장치(100)의 동작을 변경할 뿐만 아니라 메모리 시스템(150) 내의 메모리 영역에 저장된 데이터 비트 신호에 대한 관리를 포함한다. 데이터 비트 신호가 관리되는 메모리 영역은 데이터 비트에 해당하는 전기, 자기 또는 광학 특성을 갖는 물리 영역이다.In the technical field of the present invention, the user terminal device 100 may include an OS and at least one application program. The OS is a set of software that controls the operation of the user terminal device 100 and designation of resources. An application program is a set of software for performing a task requested by a user by using computer resources available through an OS. The OS and applications will reside in memory system 150. In accordance with the experience of those skilled in the art of computer programming, unless otherwise described, the present invention will be described in accordance with representations of operations and operations performed by the user terminal device 100. This operation is computer based and may be performed by the OS or a suitable application. In addition, such operations and functions not only change the operation of the CPU 160 and the operation of the user terminal device 100 for the electrical signals such as data bits causing conversion or interruption of the electrical signals, but also within the memory system 150. Management of the data bit signals stored in the memory area. The memory region in which the data bit signal is managed is a physical region having electrical, magnetic or optical characteristics corresponding to the data bit.

본 발명의 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)을 이용한 인증서 폐지 목록(CRL)의 전송 속도 또는 전송 시간을 종래의 CRL 방식 또는 delta-CRL 방식과 비교하면 다음과 같다. 이 때, 필요한 인증기관(CA)은 하나 이상이 존재할 수 있다고 가정한다.When comparing the transmission rate or transmission time of the certificate revocation list (CRL) using the real-time certificate revocation list transmission method (DARC-CRL) of the present invention with the conventional CRL method or delta-CRL method is as follows. At this time, it is assumed that more than one CA may exist.

이를 위하여, 도 9에 도시된 기호를 사용하여, 1일을 기준으로 통신량을 비교해 보자.To this end, using the symbols shown in Figure 9, let's compare the traffic amount on a daily basis.

도 9는 본 발명의 바람직한 실시 예에 따른 실시간 인증서 폐지 목록 전송 방법에 있어서, 인증서 폐지 목록의 1일 통신량을 종래의 전송 방법과 비교하기 위한 기호를 도표로 나타낸 것이다.9 is a diagram illustrating a symbol for comparing a daily communication amount of a certificate revocation list with a conventional transmission method in a real-time certificate revocation list transmission method according to an exemplary embodiment of the present invention.

도 9에서, 인증서가 취소되는 비율을 10 %로 계산한다. 즉, 전체 총 인증서의 수를 n, 한 인증기관(CA)에 속한 평균 인증서의 수를 k, 취소되는 인증서의 비율을 p, 취소된 인증서의 수를 r, 취소 리스트의 1일 갱신 횟수를 T, 인증서의 일련 번호를 나타내는 비트 수를 l 및 사용자가 하루에 인증기관(CA)에 인증서의 유효 여부를 질의하는 횟수를 q라 하자.In Figure 9, the rate at which the certificate is revoked is calculated as 10%. That is, the total number of certificates is n, the average number of certificates belonging to a CA is k, the percentage of certificates revoked, the number of revoked certificates r, and the number of renewals in a revocation list per day. Let l be the number of bits representing the serial number of the certificate and the number of times a user asks the CA for validity of the certificate per day.

이 때, 인증기관(CA)에서 1일 동안 사용자에게 전송해야 하는 데이터 비트 수 N은 하기의 (수학식 1)로 표현할 수 있다.At this time, the number N of data bits to be transmitted to the user for one day in the CA may be expressed by Equation 1 below.

먼저, 종래의 CRL 방식에서 요구되는 통신량에 대해서 살펴보자.First, let's look at the communication amount required in the conventional CRL method.

한 인증기관(CA)에 속한 평균 인증서의 수가 3,500만 건, 취소되는 인증서의 비율을 10% 라고 하면, 취소되는 인증서의 수는 350만건에 달한다. 그리고, 취소 리스트의 1일 갱신 횟수를 12회, 인증서 폐지 목록(CRL)의 크기를 35byte, 사용자들이 인증기관(CA)에 인증서의 유효 여부를 질의하는 횟수를 350만 회라고 하면, 전체 전송량은 350만 × 0.1 × 3,500만 × 35byte = 428.75 Tbyte가 된다. 초당 데이터 전송 속도가 10Mbps인 경우에 전체 전송 시간은 11,909 시간이 소요된다.If the average number of certificates belonging to a CA is 35 million and the percentage of certificates revoked is 10%, the number of certificates revoked is 3.5 million. If the renewal list is 12 times a day, the certificate revocation list (CRL) is 35 bytes in size, and the number of times a user asks the certification authority (CA) for validity of the certificate is 3.5 million times, 3.5 million × 0.1 × 35 million × 35 bytes = 428.75 Tbytes. With a data rate of 10Mbps per second, the total transfer time is 11,909 hours.

CRL 방식과 동일한 조건으로 delta-CRL 방법으로 인증서 폐지 목록(CRL)을 전송하는 경우에는 전체 전송량 중 시간당 145,833건의 전송 데이터가 발생하고, 이를 24시간을 기준으로 계산하면, 18Tbyte의 전체 전송량이 발생한다. 동일하게, 10Mbps의 속도로 전송하는 경우에 총 전송 시간은 496시간이 소요된다.When the certificate revocation list (CRL) is transmitted by the delta-CRL method under the same conditions as the CRL method, 145,833 transmission data are generated per hour among the total transmission amounts, and when this is calculated based on 24 hours, the total transmission amount of 18 Tbytes is generated. . Similarly, when transmitting at a speed of 10 Mbps, the total transfer time is 496 hours.

이 때, 실제의 전송 속도는 네트워크의 부하 또는 시스템의 부하에 의해 더욱 악화될 수 있다.At this time, the actual transmission speed may be further deteriorated by the load of the network or the load of the system.

한편, 본 발명의 DARC-CRL 방식을 이용한 전송 방법은 인증서가 취소될 때마다, FM 채널을 통하여 실시간으로 전송되고, 한 번의 전송으로 취소된 인증서의 수에 해당하는 350만의 사용자에게 브로드캐스팅 되기 때문에, 실제 전송량은 350만 × 35byte = 122.5Mbyte가 된다. 이를 16Kbps의 속도로 전송하면, 2시간 13에 전체 데이터를 전송할 수 있다. 이것은 시간당 145,833건의 인증서 폐지 목록(CRL)이 발생한 것과 동일하며, 본 발명의 DARC-CRL 방식을 이용하면 이를 5.4분만에 전송할 수 있게 된다.On the other hand, since the transmission method using the DARC-CRL method of the present invention is transmitted in real time through the FM channel whenever a certificate is revoked, it is broadcast to 3.5 million users corresponding to the number of certificates revoked by one transmission. The actual transmission amount is 3.5 million × 35 bytes = 122.5 Mbytes. If it transmits at 16Kbps, it can transmit entire data in 2 hours and 13 hours. This is equivalent to generating 145,833 certificate revocation lists (CRLs) per hour, which can be transmitted in 5.4 minutes using the DARC-CRL scheme of the present invention.

도 10은 본 발명의 바람직한 실시 예에 따른 DARC-CRL 방식과 종래의 CRL 방식, delta-CRL 방식에 따른 전송 시간을 비교한 도표이다.10 is a diagram comparing transmission times according to a DARC-CRL scheme, a conventional CRL scheme, and a delta-CRL scheme according to an exemplary embodiment of the present invention.

도 10에 도시된 바와 같이, 동일한 조건에서 동일한 크기의 인증서 폐지 목록(CRL)을 전송하는 경우에, 종래의 CRL 방식은 12,000 시간에 가까운 전송 시간이 소요되고, delta-CRL 방식은 500시간에 가까운 시간이 소요된다. 반면에, 본 발명의 DARC-CRL 방식을 이용하면 2시간 만에 모두 전송할 수 있기 때문에, 전송 시간을 최대로 줄일 수 있으며, 전송 효율도 증대시킬 수 있다.As shown in FIG. 10, when transmitting the same size certificate revocation list (CRL) under the same conditions, the conventional CRL scheme takes a transmission time close to 12,000 hours, and the delta-CRL scheme close to 500 hours. It takes time. On the other hand, when using the DARC-CRL method of the present invention can be transmitted in two hours, the transmission time can be reduced to the maximum, and the transmission efficiency can also be increased.

상기에서는 FM 부가 방송 중에서 DARC 방식을 예로 들어 설명하였지만, 인증서 폐지 목록을 전송하기 위한 방식으로 DARC 방식에 한정되지 않고, RDS, HSDS, DAB 또는 그 밖의 무선 통신 방법을 사용할 수 있는 것은 본 발명의 기술 분야에서 통상의 지식을 가진 당업자에게는 자명할 것이다.In the above description, the DARC scheme has been described as an example of the FM additional broadcasting. However, the present invention is not limited to the DARC scheme, and RDS, HSDS, DAB, or other wireless communication methods can be used as a scheme for transmitting a certificate revocation list. It will be apparent to those skilled in the art having ordinary skill in the art.

상술한 같이, 본 발명의 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)을 이용하면, 사용자의 통신 장치 내에 인증서 폐지 목록(CRL)을 저장하기 때문에, 인증서 검증을 위하여 인증서 폐지 목록(CRL)을 다운 받기 위한 대기 시간 없이 즉시 검증이 가능하다.As described above, when using the real-time certificate revocation list transmission method (DARC-CRL) of the present invention, since the certificate revocation list (CRL) is stored in the user's communication device, the certificate revocation list (CRL) is downloaded for certificate verification. Verification is possible immediately without waiting for receiving.

또한, 본 발명의 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)은 인증서 폐지 목록이 발생하는 경우에, 이를 실시간으로 사용자에게 브로드캐스팅하기 때문에, 사용자는 실시간으로 인증서의 유효성을 검증할 수 있다.In addition, when the certificate revocation list transmission method (DARC-CRL) of the present invention generates a certificate revocation list, it is broadcast to the user in real time, so that the user can verify the validity of the certificate in real time.

또한, 본 발명의 실시간 인증서 폐지 목록 전송 방법(DARC-CRL)은 인증서 폐지 목록(CRL)의 확장 필드를 이용하여 사용자를 그룹 별로 분류하고, 사용자가 이를 선택적으로 수신할 수 있도록 함으로써, 효율적인 인증서 검증이 가능하다.In addition, the real-time certificate revocation list transmission method (DARC-CRL) of the present invention classifies users by group using an extended field of the certificate revocation list (CRL), and enables the user to selectively receive them, thereby effectively verifying certificates. This is possible.

상기에서는 본 발명에 따른 실시간 인증서 검증 방법 및 시스템의 바람직한 실시 예를 통하여 상세하게 기술하였지만, 그 내용은 하기 청구범위에 기술된 본 발명의 분야에만 한정되지 않는다. 또한, 상기 기술 분야에 있어서, 통상의 지식을 가진 사람은 본 발명의 범위 내에서 이를 다양하게 변경하거나 수정하는 것이 자명할 것이다.In the above described in detail through a preferred embodiment of the real-time certificate verification method and system according to the present invention, the content is not limited to the field of the invention described in the claims below. In addition, in the art, it will be apparent to those skilled in the art that various changes or modifications are made within the scope of the present invention.

Claims (18)

브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하는 방법에 있어서,In the method for transmitting a certificate revocation list to the user's communication device through a wireless transmission system capable of broadcasting, 이미 발급된 인증서 중에서 더 이상 사용되지 않는 인증서 폐지 목록을 생성하는 단계; 및Generating a revocation list of certificates which are no longer used among already issued certificates; And 사용자의 통신 장치에 전송할 수 있도록 상기 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계Providing the certificate revocation list to a wireless transmission system for transmission to a user's communication device 를 포함하되,Including, 상기 인증서 폐지 목록은The certificate revocation list above 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나At least one of a radio transmission field indicating a radio transmission scheme, a group field specifying a user group, a frequency field indicating a frequency band, and a CRL distinguishing field in an extension field. 를 포함하는 실시간 인증서 폐지 목록 전송 방법.Real-time certificate revocation list transmission method comprising a. 제1항에 있어서,The method of claim 1, 상기 무선 전송 방식은The wireless transmission method DARC, RDS, HSDS 및 DAB 중 적어도 하나At least one of DARC, RDS, HSDS and DAB 를 포함하는 실시간 인증서 폐지 목록 전송 방법.Real-time certificate revocation list transmission method comprising a. 제1항에 있어서,The method of claim 1, 상기 사용자 그룹은The user group is 지역, 업종, 관심 분야, 연령 및 성별 중 적어도 하나At least one of geography, industry, interests, age and gender 를 포함하는 실시간 인증서 폐지 목록 전송 방법.Real-time certificate revocation list transmission method comprising a. 제1항에 있어서,The method of claim 1, 상기 CRL 구분 필드는The CRL classification field is CRL 또는 delta-CRL을 포함하는 실시간 인증서 폐지 목록 전송 방법.How to send a real-time certificate revocation list containing a CRL or delta-CRL. 제1항에 있어서,The method of claim 1, 상기 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계는Providing the certificate revocation list to the wireless transmission system 암호화 알고리듬을 이용하여 전송하는 실시간 인증서 폐지 목록 전송 방법.Real-time certificate revocation list transmission method using encryption algorithm. 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하는 방법에 있어서,In the method for transmitting a certificate revocation list to the user's communication device through a wireless transmission system capable of broadcasting, 인증서 폐지 목록을 수신할 사용자를 그룹별로 분류하는 단계;Classifying a user to receive a certificate revocation list by group; 인증서 폐지 목록의 확장 필드에 인증서 폐지 목록을 수신할 사용자의 그룹 정보 및 사용되는 무선 전송 시스템 정보 중 적어도 하나를 지정하는 단계;Designating at least one of a group information of a user to receive a certificate revocation list and information of a wireless transmission system used in an extended field of the certificate revocation list; 인증서 폐지 목록의 발생을 체크하는 단계; 및Checking the occurrence of the certificate revocation list; And 인증서 폐지 목록이 발생하는 경우에, 사용자의 통신 장치로 전송할 수 있도록 상기 확장 필드를 포함하는 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계If a certificate revocation list occurs, providing a certificate revocation list including the extension field to the wireless transmission system for transmission to a user's communication device. 를 포함하는 실시간 인증서 폐지 목록 전송 방법.Real-time certificate revocation list transmission method comprising a. 제6항에 있어서,The method of claim 6, 일정 기간 동안 인증서 폐지 목록이 발생하지 않는 경우에, 전체 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계If a certificate revocation list does not occur for a period of time, providing a complete certificate revocation list to the wireless transmission system. 를 더 포함하는 실시간 인증서 폐지 목록 전송 방법.Real-time certificate revocation list transmission method further comprising a. 인증서 폐지 목록을 사용자의 통신 장치로 브로드캐스팅하는 방법에 있어서,A method for broadcasting a certificate revocation list to a user's communication device, the method comprising: CRL 전송 시스템으로부터 인증서 폐지 목록을 수신하는 단계; 및Receiving a certificate revocation list from a CRL transmission system; And 상기 인증서 폐지 목록을 사용자의 통신 장치에서 수신할 수 있도록 브로드캐스팅 하는 단계Broadcasting the certificate revocation list to be received by a user's communication device; 를 포함하되,Including, 상기 인증서 폐지 목록은The certificate revocation list above 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나At least one of a radio transmission field indicating a radio transmission scheme, a group field specifying a user group, a frequency field indicating a frequency band, and a CRL distinguishing field in an extension field. 를 포함하는 실시간 인증서 폐지 목록 브로드캐스팅 방법.Real-time certificate revocation list broadcasting method comprising a. 무선 통신을 통한 인증서 검증 방법에 있어서,In the certificate verification method through wireless communication, 무선 전송 시스템으로부터 브로드캐스팅되는 인증서 폐지 목록을 수신하는 단계;Receiving a certificate revocation list broadcast from the wireless transmission system; 상기 인증서 폐지 목록의 확장 필드에 지정된 전송 그룹을 판별하는 단계;Determining a transmission group specified in an extension field of the certificate revocation list; 상기 전송 그룹이 사용자의 그룹에 해당하는 경우에 무선 통신 장치의 메모리에 상기 인증서 폐지 목록을 저장하는 단계; 및Storing the certificate revocation list in a memory of a wireless communication device when the transmission group corresponds to a group of users; And 상기 메모리에 저장된 인증서 폐지 목록을 이용하여 인증서의 유효성을 검증하는 단계Validating a certificate using a certificate revocation list stored in the memory; 를 포함하는 실시간 인증서 검증 방법.Real time certificate verification method comprising a. 제9항에 있어서,The method of claim 9, 상기 메모리는The memory is 플래시메모리, 스마트카드, RAM, ROM, 플로피 디스크, 하드 디스크, 테이프 및 CD-ROM 중 적어도 하나At least one of flash memory, smart card, RAM, ROM, floppy disk, hard disk, tape, and CD-ROM 를 포함하는 실시간 인증서 검증 방법.Real time certificate verification method comprising a. 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하기 위한 시스템에 있어서,In the system for transmitting the certificate revocation list to the user's communication device through a wireless transmission system capable of broadcasting, 더 이상 사용되지 않는 인증서 폐지 목록을 생성하는 인증서 폐지 목록 생성부; 및Certificate revocation list generation unit for generating a certificate revocation list that is no longer used; And 사용자의 통신 장치에 전송할 수 있도록 상기 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 인증서 폐지 목록 전송부Certificate revocation list transmission unit for providing the certificate revocation list to the wireless transmission system for transmission to the user's communication device 를 포함하되,Including, 상기 인증서 폐지 목록은The certificate revocation list above 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나At least one of a radio transmission field indicating a radio transmission scheme, a group field specifying a user group, a frequency field indicating a frequency band, and a CRL distinguishing field in an extension field. 를 포함하는 실시간 인증서 폐지 목록 전송 시스템.Real time certificate revocation list transmission system comprising a. 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하기 위한 시스템에 있어서,In the system for transmitting the certificate revocation list to the user's communication device through a wireless transmission system capable of broadcasting, 인증서 폐지 목록을 수신할 사용자를 그룹별로 분류하는 그룹 제어부;A group control unit classifying users to receive the certificate revocation list by group; 인증서 폐지 목록의 확장 필드에 인증서 폐지 목록을 수신할 사용자의 그룹 정보 및 사용되는 무선 전송 시스템 정보 중 적어도 하나를 지정하는 확장 필드 제어부;An extended field controller for designating at least one of group information of a user to receive a certificate revocation list and information on a wireless transmission system used in an extension field of a certificate revocation list; 인증서 폐지 목록의 발생을 체크하는 인증서 폐지 목록 체크부; 및A certificate revocation list check unit which checks generation of a certificate revocation list; And 인증서 폐지 목록이 발생하는 경우에, 사용자의 통신 장치로 전송할 수 있도록 상기 확장 필드를 포함하는 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 인증서 폐지 목록 전송부When a certificate revocation list occurs, a certificate revocation list transmission unit for providing a certificate revocation list including the extension field to the wireless transmission system for transmission to the user's communication device 를 포함하는 실시간 인증서 폐지 목록 전송 시스템.Real time certificate revocation list transmission system comprising a. 인증서 폐지 목록을 사용자의 통신 장치로 브로드캐스팅하는 시스템에 있어서,A system for broadcasting a certificate revocation list to a user's communication device, CRL 전송 시스템으로부터 인증서 폐지 목록을 수신하는 수신부; 및Receiving unit for receiving a certificate revocation list from the CRL transmission system; And 상기 인증서 폐지 목록을 사용자의 통신 장치에서 수신할 수 있도록 브로드캐스팅하는 송신부A transmitting unit broadcasting the certificate revocation list so that the user's communication device can receive the certificate revocation list 를 포함하되,Including, 상기 인증서 폐지 목록은The certificate revocation list above 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나At least one of a radio transmission field indicating a radio transmission scheme, a group field specifying a user group, a frequency field indicating a frequency band, and a CRL distinguishing field in an extension field. 를 포함하는 실시간 인증서 폐지 목록 브로드캐스팅 시스템.Real-time certificate revocation list broadcasting system comprising a. 무선 통신을 통한 인증서 검증 시스템에 있어서,In the certificate verification system through wireless communication, 무선 전송 시스템으로부터 브로드캐스팅되는 인증서 폐지 목록을 수신하는 수신부;A receiving unit for receiving a certificate revocation list broadcast from a wireless transmission system; 상기 인증서 폐지 목록의 확장 필드에 지정된 전송 그룹을 판별하는 그룹 판별부;A group determining unit that determines a transmission group specified in an extension field of the certificate revocation list; 상기 전송 그룹이 사용자의 그룹에 해당하는 경우에 무선 통신 장치의 메모리에 상기 인증서 폐지 목록을 저장하는 제어부; 및A controller configured to store the certificate revocation list in a memory of a wireless communication device when the transmission group corresponds to a group of a user; And 상기 메모리에 저장된 인증서 폐지 목록을 이용하여 인증서의 유효성을 검증하는 검증부Verification unit for validating the certificate by using the certificate revocation list stored in the memory 를 포함하는 실시간 인증서 검증 시스템.Real time certificate verification system comprising a. 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하기 위하여, 디지털 처리 장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지털 처리 장치에 의해 판독될 수 있는 기록 매체에 있어서,In order to transmit a certificate revocation list to a user's communication device through a broadcast-enabled wireless transmission system, a program of tangible implementations of instructions that can be executed by the digital processing device are implemented, and a record that can be read by the digital processing device. In the medium, 상기 인증서 폐지 목록 전송 방법이,The certificate revocation list transmission method, 더 이상 사용되지 않는 인증서 폐지 목록을 생성하는 단계; 및Generating a certificate revocation list that is no longer used; And 사용자의 통신 장치에 전송할 수 있도록 상기 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계Providing the certificate revocation list to a wireless transmission system for transmission to a user's communication device 를 포함하되,Including, 상기 인증서 폐지 목록은The certificate revocation list above 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을 지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나At least one of a radio transmission field indicating a radio transmission scheme, a group field specifying a user group, a frequency field indicating a frequency band, and a CRL distinguishing field in an extension field. 를 포함하는 컴퓨터 기록 매체.Computer recording medium comprising a. 브로드캐스팅이 가능한 무선 전송 시스템을 통하여 사용자의 통신 장치에 인증서 폐지 목록을 전송하기 위하여, 디지털 처리 장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지털 처리 장치에 의해 판독될 수 있는 기록 매체에 있어서,In order to transmit a certificate revocation list to a user's communication device through a broadcast-enabled wireless transmission system, a program of tangible implementations of instructions that can be executed by the digital processing device are implemented, and a record that can be read by the digital processing device. In the medium, 상기 인증서 폐지 목록 전송 방법이,The certificate revocation list transmission method, 인증서 폐지 목록을 수신할 사용자를 그룹별로 분류하는 단계;Classifying a user to receive a certificate revocation list by group; 인증서 폐지 목록의 확장 필드에 인증서 폐지 목록을 수신할 사용자의 그룹 정보 및 사용되는 무선 전송 시스템 정보 중 적어도 하나를 지정하는 단계;Designating at least one of a group information of a user to receive a certificate revocation list and information of a wireless transmission system used in an extended field of the certificate revocation list; 인증서 폐지 목록의 발생을 체크하는 단계; 및Checking the occurrence of the certificate revocation list; And 인증서 폐지 목록이 발생하는 경우에, 사용자의 통신 장치로 전송할 수 있도록 상기 확장 필드를 포함하는 인증서 폐지 목록을 무선 전송 시스템으로 제공하는 단계If a certificate revocation list occurs, providing a certificate revocation list including the extension field to the wireless transmission system for transmission to a user's communication device. 를 포함하는 컴퓨터 기록 매체.Computer recording medium comprising a. 사용자의 통신 장치로 인증서 폐지 목록을 브로드캐스팅하기 위하여, 디지털 처리 장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지털 처리 장치에 의해 판독될 수 있는 기록 매체에 있어서,In order to broadcast a certificate revocation list to a user's communication device, a program of instructions that can be executed by the digital processing device is tangibly implemented, and in a recording medium that can be read by the digital processing device, 상기 인증서 폐지 목록 브로드캐스팅 방법이,The certificate revocation list broadcasting method, CRL 전송 시스템으로부터 인증서 폐지 목록을 수신하는 단계; 및Receiving a certificate revocation list from a CRL transmission system; And 상기 인증서 폐지 목록을 사용자의 통신 장치에서 수신할 수 있도록 브로드캐스팅하는 단계Broadcasting the certificate revocation list to be received by a user's communication device; 를 포함하되,Including, 상기 인증서 폐지 목록은The certificate revocation list above 확장 필드 내에 무선 전송 방식을 나타내는 무선 전송 필드, 사용자 그룹을지정하는 그룹 필드, 주파수 대역을 나타내는 주파수 필드 및 CRL 구분 필드 중 적어도 하나At least one of a radio transmission field indicating a radio transmission scheme, a group field specifying a user group, a frequency field indicating a frequency band, and a CRL classification field in an extension field 를 포함하는 컴퓨터 기록 매체.Computer recording medium comprising a. 무선 통신 장치를 통하여 수신한 인증서 폐지 목록을 이용하여 인증서를 검증할 수 있도록, 디지털 처리 장치에 의해 실행될 수 있는 명령어들의 프로그램이 유형적으로 구현되어 있으며, 디지털 처리 장치에 의해 판독될 수 있는 기록 매체에 있어서,In order to verify the certificate by using the certificate revocation list received through the wireless communication device, a program of instructions that can be executed by the digital processing device is tangibly embodied in a recording medium that can be read by the digital processing device. In 상기 인증서 검증 방법이,The certificate verification method, 무선 전송 시스템으로부터 브로드캐스팅되는 인증서 폐지 목록을 수신하는 단계;Receiving a certificate revocation list broadcast from the wireless transmission system; 상기 인증서 폐지 목록의 확장 필드에 지정된 전송 그룹을 판별하는 단계;Determining a transmission group specified in an extension field of the certificate revocation list; 상기 전송 그룹이 사용자의 그룹에 해당하는 경우에 무선 통신 장치의 메모리에 상기 인증서 폐지 목록을 저장하는 단계; 및Storing the certificate revocation list in a memory of a wireless communication device when the transmission group corresponds to a group of users; And 상기 메모리에 저장된 인증서 폐지 목록을 이용하여 인증서의 유효성을 검증하는 단계Validating a certificate using a certificate revocation list stored in the memory; 를 포함하는 컴퓨터 기록 매체.Computer recording medium comprising a.
KR10-2001-0056478A 2001-09-13 2001-09-13 Real time certificate revocation list transmitting method and system on wireless communication Expired - Fee Related KR100406008B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0056478A KR100406008B1 (en) 2001-09-13 2001-09-13 Real time certificate revocation list transmitting method and system on wireless communication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0056478A KR100406008B1 (en) 2001-09-13 2001-09-13 Real time certificate revocation list transmitting method and system on wireless communication

Publications (2)

Publication Number Publication Date
KR20010099220A KR20010099220A (en) 2001-11-09
KR100406008B1 true KR100406008B1 (en) 2003-11-15

Family

ID=19714237

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0056478A Expired - Fee Related KR100406008B1 (en) 2001-09-13 2001-09-13 Real time certificate revocation list transmitting method and system on wireless communication

Country Status (1)

Country Link
KR (1) KR100406008B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020039309A (en) * 2002-05-09 2002-05-25 김경중 System for real time certificate status information and method thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5774552A (en) * 1995-12-13 1998-06-30 Ncr Corporation Method and apparatus for retrieving X.509 certificates from an X.500 directory
JPH10282883A (en) * 1997-04-08 1998-10-23 Oki Electric Ind Co Ltd Method for distributing ineffective digital certificate list
JP2001042769A (en) * 1999-07-28 2001-02-16 Cti Co Ltd Communicating method for electronic data, repeating server and recording medium
KR20020029216A (en) * 2000-10-12 2002-04-18 이계철 Method for managing dispersion certificate revocation list

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5774552A (en) * 1995-12-13 1998-06-30 Ncr Corporation Method and apparatus for retrieving X.509 certificates from an X.500 directory
JPH10282883A (en) * 1997-04-08 1998-10-23 Oki Electric Ind Co Ltd Method for distributing ineffective digital certificate list
JP2001042769A (en) * 1999-07-28 2001-02-16 Cti Co Ltd Communicating method for electronic data, repeating server and recording medium
KR20020029216A (en) * 2000-10-12 2002-04-18 이계철 Method for managing dispersion certificate revocation list

Also Published As

Publication number Publication date
KR20010099220A (en) 2001-11-09

Similar Documents

Publication Publication Date Title
CN112926982B (en) Transaction data processing method, device, equipment and storage medium
JP4681554B2 (en) How to use reliable hardware-based identity credentials in runtime package signing for secure mobile communications and expensive transaction execution
US7383434B2 (en) System and method of looking up and validating a digital certificate in one pass
US5680458A (en) Root key compromise recovery
US20060206433A1 (en) Secure and authenticated delivery of data from an automated meter reading system
US20040117623A1 (en) Methods and apparatus for secure data communication links
US20050138365A1 (en) Mobile device and method for providing certificate based cryptography
GB2410658A (en) Cascaded delegation
US20020181701A1 (en) Method for cryptographing information
EP1836798A2 (en) Method and apparatus providing policy-based revocation of network security credentials
EP1403839A1 (en) Data originality validating method and system
US20050149724A1 (en) System and method for authenticating a terminal based upon a position of the terminal within an organization
CN107566393A (en) A kind of dynamic rights checking system and method based on trust certificate
CN112054905B (en) Secure communication method and system of mobile terminal
KR100406008B1 (en) Real time certificate revocation list transmitting method and system on wireless communication
EP1437024B1 (en) Method and arrangement in a communications network
KR100384183B1 (en) End-to-end data encryption/decryption method and device for mobile data communication
CN111885510B (en) Attendance checking method, attendance checking client and attendance checking system
Wang et al. A global ticket-based access scheme for mobile users
CN115941773A (en) Project transaction method, system, terminal device and medium based on cloud service sharing
KR100452766B1 (en) Method for cryptographing a information
KR20050014394A (en) System and Method for Status Management of Wireless Certificate for Wireless Internet and Method for Status Verification of Wireless Certificate Using The Same
KR100384182B1 (en) Wireless terminal device for securing end-to-end data for mibile data communication
CA2374195C (en) System and method of looking up and validating a digital certificate in one pass
HK40046846A (en) A transaction data processing method, device, equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

R18-X000 Changes to party contact information recorded

St.27 status event code: A-5-5-R10-R18-oth-X000

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 7

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 8

FPAY Annual fee payment

Payment date: 20111104

Year of fee payment: 9

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 9

LAPS Lapse due to unpaid annual fee
PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20121106

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20121106

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000