KR20150023150A - Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator - Google Patents
Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator Download PDFInfo
- Publication number
- KR20150023150A KR20150023150A KR20130100290A KR20130100290A KR20150023150A KR 20150023150 A KR20150023150 A KR 20150023150A KR 20130100290 A KR20130100290 A KR 20130100290A KR 20130100290 A KR20130100290 A KR 20130100290A KR 20150023150 A KR20150023150 A KR 20150023150A
- Authority
- KR
- South Korea
- Prior art keywords
- signature
- usim
- key
- encrypted
- data
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3825—Use of electronic signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/30—Payment architectures, schemes or protocols characterised by the use of specific devices or networks
- G06Q20/32—Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
- G06Q20/322—Aspects of commerce using mobile devices [M-devices]
- G06Q20/3229—Use of the SIM of a M-device as secure element
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Computer Security & Cryptography (AREA)
- Accounting & Taxation (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Finance (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 무선단말의 USIM(Universal Subscriber Identity Module) 내부에서 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 동시에 USIM 내부에서 통신사 키를 통해 서명 데이터를 암호화함으로써, 안전한 USIM 기반 전자서명을 제공하는 것이다.
The present invention provides a secure USIM-based electronic signature by signing the signature target data in the Universal Subscriber Identity Module (USIM) of the wireless terminal to generate signature data and encrypting the signature data through a communication key in the USIM .
무선단말의 USIM에 고객 인증서를 저장하여 전자서명을 제공하는 USIM 기반 전자서명 서비스가 개시된다. 종래에 개시된 USIM 기반 전자서명 서비스는 USIM을 인증서의 저장토큰으로 이용하는 방식과, USIM을 인증서의 보안토큰으로 이용하는 방식으로 구분된다.
A USIM based electronic signature service is disclosed in which a customer certificate is stored in a USIM of a wireless terminal to provide a digital signature. The conventional USIM-based digital signature service is divided into a method of using a USIM as a storage token of a certificate and a method of using a USIM as a security token of a certificate.
종래에 USIM을 인증서의 저장토큰으로 이용하는 USIM 기반 전자서명 서비스는, USIM 내에 고객 인증서를 저장하고, 무선단말의 인증서 프로그램이 USIM에 저장된 고객 인증서를 이용하여 전자서명 절차를 수행하여 서명 값을 생성하고 이를 포함하는 서명 데이터를 생성하는 것이다.
Conventionally, a USIM-based electronic signature service using a USIM as a storage token of a certificate stores a customer certificate in a USIM, and a certificate program of the wireless terminal performs a digital signature procedure using a customer certificate stored in the USIM to generate a signature value And generates signature data including the signature data.
종래에 USIM을 인증서의 보안토큰으로 이용하는 USIM 기반 전자서명 서비스는, USIM 내에 고객 인증서를 저장한 후 USIM 내에서 고객 인증서를 통해 전자서명을 수행하게 하고, 무선단말의 인증서 프로그램이 USIM에서 수행된 서명 값을 수신하여 서명 데이터를 생성하는 것이다.
A USIM based electronic signature service using a USIM as a security token of a certificate conventionally stores a customer certificate in a USIM and then performs a digital signature through a customer certificate in the USIM, Value to generate signature data.
이와 같은 종래의 USIM 기반 전자서명 서비스는, USIM을 저장토큰으로 이용하든, 또는 USIM을 보안토큰으로 이용하든, 일단 무선단말이 해킹되거나 또는 악성코드가 설치된 상태에서 전자서명 절차를 수행하여 생성된 서명 값이 그대로 노출되는 문제점을 지니고 있다.
Such a conventional USIM-based digital signature service can be used either as a storage token for a USIM or as a security token for a USIM, a signature generated by performing an electronic signature procedure once a wireless terminal is hacked or a malicious code is installed Value is exposed as it is.
상기와 같은 문제점을 해소하기 위한 본 발명의 목적은, 무선단말의 USIM 내부에서 서명 대상 데이터를 서명하여 지정된 전자서명문 형태의 서명 데이터를 생성함과 동시에 USIM 내부 구비된 통신사 키를 통해 USIM 내부에서 서명 데이터를 암호화하여 전송하면, USIM 내부에서 서명 및 통신사 키를 통해 암호화된 서명 데이터를 복호화 후 다시 금융사 키를 통해 재암호화하여 금융사서버로 전달함으로써, 안전한 USIM 기반 전자서명을 제공하는 통신사의 유심기반 전자서명 처리 방법을 제공함에 있다.
In order to solve the above problems, an object of the present invention is to sign signature data in a USIM of a wireless terminal to generate signature data in the form of a designated digital signature, and to generate signature data in a USIM When the signature data is encrypted and transmitted, the signature data encrypted by the signature and the communication key are decrypted in the USIM, and then re-encrypted through the key of the financial institution to be transmitted to the financial company server. Thus, And to provide a digital signature processing method.
본 발명에 따른 유심기반 전자서명 처리 방법은, 통신사서버에서 실행되는 통신사의 유심기반 전자서명 처리 방법에 있어서, 지정된 관리서버로부터 금융사서버에 구비된 금융사 키를 통해 상기 금융사서버 내에서 암호화된 후 상기 관리서버에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말을 식별하는 식별 정보를 수신하는 제1 단계와, 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 암호화된 서명 대상 데이터를 전송하는 제2 단계와, 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로부터 상기 무선단말의 USIM(Universal Subscriber Identity Module)에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 통신사 키를 통해 상기 USIM에 내에서 암호화된 서명 데이터를 수신하는 제3 단계와, 상기 암호화된 서명 데이터를 상기 관리서버로 전송하는 제4 단계를 포함한다. 한편 상기 지정된 서명 동작은 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
A method for processing a wiggly-based electronic signature according to the present invention is a method for processing a wiggly-based electronic signature of a communication company executed by a communication company server, comprising the steps of: after being encrypted in the financial company server through a financial- The method comprising: a first step of receiving signature data decrypted by a management server and encrypted through a communication company key and identification information for identifying a customer-owned wireless terminal; and transmitting, by the certificate program of the wireless terminal corresponding to the identification information, A second step of transmitting the target data to the wireless terminal; a second step of using the signature target data in accordance with a specified signature operation of a certificate applet provided in a USIM (Universal Subscriber Identity Module) of the wireless terminal from a certificate program of the wireless terminal corresponding to the identification information; Through a communication company key provided in the USIM And a fourth step of transmitting the third step with, the encrypted signature data for receiving the signature data encrypted within the group USIM to the management server. Meanwhile, the designated signature operation includes receiving signature data and an instruction, generating a signature value of the signature target data using a customer certificate according to the received command, and generating a signature including the generated signature value And encrypting the data.
본 발명에 따르면, 상기 유심기반 전자서명 처리 방법은, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿이 구비된 USIM이 이탈착되고, 상기 인증서 애플릿으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램이 구비된 무선단말을 식별하는 T(T≥1)개의 식별 정보를 저장하는 단계를 더 포함할 수 있다. 한편 상기 유심기반 전자서명 처리 방법은, 상기 T개의 식별 정보가 저장된 경우, 상기 관리서버로부터 수신된 식별 정보가 상기 T개의 식별 정보에 속한 제t(1≤t≤T) 식별 정보인지 인증하는 단계를 더 포함할 수 있다.
According to another aspect of the present invention, there is provided a method for processing a wiggler-based digital signature, comprising: storing a customer certificate and a communication key, separating a USIM provided with a certificate applet for performing a designated signing operation, And storing T (T? 1) pieces of identification information for identifying a wireless terminal equipped with a certificate program for making a certificate program. In the meantime, when the T pieces of identification information are stored, authenticating that the identification information received from the management server is t (1? T? T) identification information belonging to the T pieces of identification information As shown in FIG.
본 발명에 따르면, 상기 제1 단계는 상기 고객 소유 무선단말에 이탈착되는 USIM에 구비된 인증서 애플릿으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하는 단계를 포함하고, 상기 제2 단계는 상기 제t 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 명령어를 전송하는 단계를 포함할 수 있다.
According to the present invention, the first step includes receiving a command for causing a certificate applet provided in a USIM detached from the customer-owned wireless terminal to perform a specified signature operation, and transmitting the command to the certificate program of the wireless terminal corresponding to the identification information.
본 발명에 따르면, 상기 서명 데이터는 상기 USIM의 인증서 애플릿을 통해 상기 서명 대상 데이터를 RSA 알고리즘과 ECDSA 알고리즘 중 적어도 하나를 통해 서명한 서명 값을 포함할 수 있다.
According to the present invention, the signature data may include a signature value signed through at least one of the RSA algorithm and the ECDSA algorithm via the certificate applet of the USIM.
본 발명에 따르면, 상기 서명 데이터는 상기 USIM의 인증서 애플릿을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다.
According to the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet of the USIM.
본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 통신사서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 관리서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되는 것 중, 적어도 하나를 포함할 수 있다.
According to the present invention, the signature data encrypted through the communication company key is encrypted in the USIM using the communication company key as an encryption key, encrypted in the USIM through a cryptographic key generated using the communication company key, The key value exchanged between the USIM and the carrier server based on the carrier key is used as the encryption key and encrypted within the USIM or the key value exchanged between the USIM and the management server based on the carrier key is used as the encryption key, And at least one of those being encrypted.
본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 이용하여 USIM 내에서 수행된 암호화의 무결성 검증 값을 포함할 수 있다.
According to the present invention, the signature data encrypted through the communication company key may include the integrity verification value of the encryption performed in the USIM using the communication company key.
본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 관리서버에 의해 복호화되고 다시 금융사 키를 통해 암호화될 수 있다.
According to the present invention, the signature data encrypted through the communication company key can be decrypted by the management server and encrypted again through the financial company key.
본 발명에 따르면, 무선단말의 USIM 내부에서 서명 대상 데이터를 서명하여 지정된 전자서명문 형태의 서명 데이터를 생성함과 동시에 USIM 내부 구비된 통신사 키를 통해 USIM 내부에서 서명 데이터를 암호화함으로써, USIM을 구비한 무선단말이 해킹되거나 악성코드가 설치된 상태에서도 안전한 USIM 기반 전자서명 서비스를 제공하는 이점이 있다.
According to the present invention, signing data to be signed is signed in the USIM of the wireless terminal to generate signature data in the form of a designated digital signature, and the signature data is encrypted in the USIM through a communication company key provided in the USIM, It is advantageous to provide a secure USIM-based electronic signature service even when a wireless terminal is hacked or malicious code is installed.
본 발명에 따르면, 무선단말의 USIM 내부에서 생성된 서명 대상 데이터를 통신사 키를 통해 USIM 내부에서 암호화하고, 이를 지정된 관리서버를 통해 복호화한 후 다시 금융사 키를 통해 재암호화하도록 함으로써, USIM 내부 구성을 변경하거나 또는 각 금융사 키를 USIM에 기록하지 않고도 편리하고 안전하게 USIM 기반 전자서명 서비스를 제공하는 이점이 있다.
According to the present invention, the signature target data generated in the USIM of the wireless terminal is encrypted in the USIM through the communication key, decrypted through the designated management server, and re-encrypted using the financial key, There is an advantage to provide a USIM based electronic signature service conveniently and safely without changing or recording each financial institution key in the USIM.
도 1은 본 발명의 USIM 기반 전자서명 시스템의 구성을 도시한 도면이다.
도 2는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 금융사서버의 구성을 도시한 도면이다.
도 3은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 관리서버의 구성을 도시한 도면이다.
도 4는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 통신사서버의 구성을 도시한 도면이다.
도 5는 본 발명의 실시 방법에 따른 무선단말과 인증서 프로그램의 기능 구성을 도시한 도면이다.
도 6은 본 발명의 실시 방법에 따른 USIM의 기능 구성을 도시한 도면이다.
도 7은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 선택 및 요청 과정을 도시한 도면이다.
도 8은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 요청을 중계하는 과정을 도시한 도면이다.
도 9는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 및 암호화 과정을 도시한 도면이다.
도 10은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 인증 과정을 도시한 도면이다.1 is a diagram showing a configuration of a USIM-based digital signature system of the present invention.
FIG. 2 is a diagram illustrating a configuration of a financial service server of a USIM-based electronic signature system according to an embodiment of the present invention.
FIG. 3 is a diagram illustrating a configuration of a management server of a USIM-based digital signature system according to an embodiment of the present invention.
4 is a diagram illustrating a configuration of a communication company server of a USIM-based digital signature system according to an embodiment of the present invention.
5 is a functional block diagram of a wireless terminal and a certificate program according to an embodiment of the present invention.
6 is a functional block diagram of a USIM according to an embodiment of the present invention.
7 is a diagram illustrating a USIM-based digital signature selection and request process according to an embodiment of the present invention.
8 is a diagram illustrating a process of relaying a USIM-based digital signature request according to an embodiment of the present invention.
9 is a diagram illustrating a USIM-based digital signature and encryption process according to an embodiment of the present invention.
FIG. 10 is a diagram illustrating a USIM-based digital signature authentication process according to an embodiment of the present invention.
이하 첨부된 도면과 설명을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 다만, 하기에 도시되는 도면과 후술되는 설명은 본 발명의 특징을 효과적으로 설명하기 위한 여러 가지 방법 중에서 바람직한 실시 방법에 대한 것이며, 본 발명이 하기의 도면과 설명만으로 한정되는 것은 아니다. 예를들어, 각 서버 측에 구비된 구성부가 단말 측에 구현되거나, 반대로 단말 측에 구비된 구성부가 적어도 하나의 서버 측에 구현되는 형태로 실시되는 것이 가능하다.
The operation principle of the preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings and description. It should be understood, however, that the drawings and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention, and are not to be construed as limiting the present invention. For example, it is possible that a configuration unit provided on each server side is implemented on the terminal side, or conversely, a configuration unit provided on the terminal side is implemented on at least one server side.
또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 발명에서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The terms used below are defined in consideration of the functions of the present invention, which may vary depending on the user, intention or custom of the operator. Therefore, the definition should be based on the contents throughout the present invention.
결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
As a result, the technical idea of the present invention is determined by the claims, and the following embodiments are merely means for effectively explaining the technical idea of the present invention to a person having ordinary skill in the art to which the present invention belongs Only.
도면1은 본 발명의 USIM 기반 전자서명 시스템의 구성을 도시한 도면이다.
FIG. 1 is a diagram showing a configuration of a USIM-based digital signature system of the present invention.
보다 상세하게 본 도면1은 무선단말(500)의 USIM(600)(Universal Subscriber Identity Module)에 고객 인증서와 통신사 키를 구비한 후, USIM(600) 내부에서 통신사 키를 통해 암호화되어 USIM(600)으로 수신된 서명 대상 데이터를 복호화하고, USIM(600) 내부에서 고객 인증서를 통해 복호화된 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 USIM(600) 내부에서 통신사 키를 통해 서명 데이터를 암호화함으로써 USIM(600)에 의한 전자서명을 안전하게 보호하는 시스템 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 시스템에 대한 다양한 실시 방법(예컨대, 일부 구성이 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면1에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
1 is a block diagram of a mobile terminal 500 having a customer certificate and a communication key in a USIM 600 of a wireless terminal 500 and encrypted in a USIM 600 through a communication key, And signing data decrypted through the customer certificate in the USIM 600 to generate signature data and encrypting the signature data through the communication key inside the USIM 600. The USIM 600 encrypts the signature data, 1 is a block diagram illustrating a system configuration for securely protecting an electronic signature by the USIM-based electronic signature system 600. [ It will be appreciated that various implementations (e.g., some configurations may be omitted, or subdivided, or combined) may be inferred from the present invention, Comprised, including the exemplary method, to which the technical feature that is not limited to the exemplary method shown in the figure 1.
본 발명의 USIM 기반 전자서명 시스템은, 금융사서버(200), 관리서버(300), 통신사서버(400), 무선단말(500) 및 무선단말(500)에 이탈착되는 USIM(600)을 포함하여 이루어지며, 상기 금융사서버(200)는 금융사 키를 통해 서명 대상 데이터를 암호화하거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 관리서버(300)에서 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 복호화하며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 통신사 키를 통해 암호화거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 다시 금융사 키를 통해 암호화하며, 상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)로 제공하거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 제공하며, 상기 무선단말(500)은 인증서 프로그램(515)을 통해 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 USIM(600)으로 주입하거나 및/또는 인증서 프로그램(515)을 통해 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 수신하여 통신사서버(400)로 전송하며, 상기 USIM(600)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 복호화하거나 및/또는 고객 인증서를 통해 복호화된 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 동시에 통신사 키를 통해 서명 데이터를 암호화하는 구성을 지니고 있습니다.
The USIM based electronic signature system of the present invention includes a USIM 600 detached from a financial company server 200, a management server 300, a communication company server 400, a wireless terminal 500 and a wireless terminal 500 The financial company server 200 encrypts the signature data through the financial institution key and / or is signed inside the USIM 600 and encrypted using a communication key inside the USIM 600, and then transmitted to the management server 300 Decrypts and decrypts the signature data encrypted with the financial key, and the management server 300 decrypts the encrypted signature data through the financial key, encrypts the encrypted signature data through the communication key, and / Decrypts the signature data encrypted with the communication company key in the USIM 600 and then encrypts the signature data through the financial company key, and the communication company server 400 encrypts the signature data encrypted using the communication company key The wireless terminal 500 provides the signature data encrypted to the wireless terminal 500 and / or signed within the USIM 600 and encrypted within the USIM 600 to the management server 300, The signing target data encrypted with the carrier key via the certificate program 515 may be injected into the USIM 600 and / or signed within the USIM 600 via the certificate program 515, Key, and transmits the encrypted signature data to the communication company server 400. The USIM 600 decrypts the signature subject data encrypted using the communication company key and / or decrypts the signature subject data decrypted through the customer certificate And signing data is generated, and at the same time, signature data is encrypted through a communication key.
본 발명의 바람직한 실시 방법에 따르면, 상기 서명 대상 데이터는 금융사서버(200)에서 금융사 키를 통해 암호화되어 관리서버(300)를 통해 복호화된 후 다시 통신사 키를 통해 암호화되어 통신사서버(400)를 경유하여 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달되는 것이 바람직하다. 본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, 상기 서명 대상 데이터는 고객 무선단말(500) 이외에 고객이 금융거래를 위해 이용하는 고객단말(100)에서 관리서버(300)와 통신사서버(400)를 거쳐 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달될 수 있으며, 이 경우에 서명 대상 데이터는 고객단말(100)을 통해 암호화되어 관리서버(300)로 전달되거나, 또는 고객단말(100)에서 금융사서버(200)를 거처 관리서버(300)로 전달될 수 있다. 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, 상기 서명 대상 데이터는 고객 무선단말(500)에 구비된 애플리케이션(예컨대, 뱅킹 애플리케이션, 결제 애플리케이션 등을 포함하는 인증서를 이용하는 각종 애플리케이션)으로부터 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달될 수 있다. 한편 상기 USIM(600)으로 서명 대상 데이터가 전달되는 경로가 상술된 방식으로만 한정되는 것은 아니며, 상술된 방식을 조합하여 다양하게 변형 가능 가능하며, 본 발명은 변형 가능한 모든 방식을 포함함을 명백하게 밝혀두는 바이다.
According to a preferred embodiment of the present invention, the signing target data is encrypted in the financial company server 200 through the financial company key, decrypted through the management server 300, encrypted again through the communication company key, And transmitted to the USIM 600 detached from the wireless terminal 500 through a certificate program 515 provided in the wireless terminal 500. [ According to another embodiment of the present invention, the signing target data is transmitted from the customer terminal 100, which the customer uses for financing transactions, in addition to the customer wireless terminal 500 via the management server 300 and the communication company server 400, To the USIM 600 detached from the wireless terminal 500 through the certificate program 515 provided in the terminal 500. In this case, the signature target data is encrypted and managed through the client terminal 100 Or may be delivered to the management server 300 via the financial company server 200 from the customer terminal 100. [ According to yet another embodiment that is extensible from the present invention, the data to be signed may be transmitted from a wireless terminal 500 (e.g., an application that uses a certificate including a banking application, a payment application, etc.) To the USIM 600 detached from the wireless terminal 500 through the certificate program 515 provided in the wireless terminal 500. Meanwhile, the path through which the signature target data is transmitted by the USIM 600 is not limited to the above-described method, and various modifications may be made in combination with the above-described schemes. I will reveal.
본 발명에 따르면, 상기 USIM(600)은 고객 인증서를 통해 서명 대상 데이터를 USIM(600) 내부에서 서명하여 서명 데이터를 생성함과 동시에 상기 생성된 서명 데이터를 USIM(600) 내부에서 암호화하는 기능(이하, “인증서 애플릿(620)”이라고 함)을 구비하며, 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 암호화된 서명 데이터는 지정된 경로를 거쳐 금융사서버(200)로 전달된다.
According to the present invention, the USIM 600 has a function of generating signature data by signing the signature target data in the USIM 600 through the customer certificate and encrypting the generated signature data in the USIM 600 (Hereinafter referred to as " certificate applet 620 "). Signature data signed inside the USIM 600 and encrypted within the USIM 600 is transferred to the financial company server 200 via the designated path.
본 발명의 바람직한 실시 방법에 따르면, 상기 USIM(600) 내부에서 고객 인증서를 통해 서명 대상 데이터를 서명하여 생성된 서명 데이터는 USIM(600)에 구비된 통신사 키를 통해 USIM(600) 내부에서 암호화된다. 이것은 USIM(600)의 ISD(Issuer Security Domain)를 통신사가 관리하기 때문이며, 만약 통신사가 정책적으로 USIM(600)의 SD(Security Domain)를 개방한다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 통신사 키 대신에 다른 키를 통해 암호화될 수 있다(물론 이 경우에도 통신사 키를 이용하는 것은 유효하다). 예를들어 상기 USIM(600)의 SD가 관리서버(300)를 운영하는 관리사에게 개방된다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 관리사 키를 통해 USIM(600) 내부에서 암호화될 수 있다. 또는 상기 USIM(600)의 SD가 금융사에게 개방된다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 금융사 키를 통해 USIM(600) 내부에서 암호화될 수 있다. 따라서 본 발명은 USIM(600)의 SD가 개방되는 경우 통신사 키 대신에 다른 각종 키를 이용하여 서명 데이터를 USIM(600) 내부에서 암호화하는 것도 권리범위로 포함할 수 있다. 다만 본 발명의 바람직한 실시예는 USIM(600) 내부에서 통신사 키를 통해 서명 데이터를 암호화하는 실시예를 도시하여 설명하기로 한다. 특히 통신사 키를 이용하여 통신사서버(400)를 경유하는 경우에 전송채널의 보안 중 일부는 통신사에 의해 보장될 수 있다.
According to a preferred embodiment of the present invention, the signature data generated by signing the signature target data through the customer certificate in the USIM 600 is encrypted in the USIM 600 through a communication key provided in the USIM 600 . This is because the communication company manages the ISD (Issuer Security Domain) of the USIM 600. If the communication company opens the SD (Security Domain) of the USIM 600 as a policy, It can be encrypted with a different key instead of a key (of course, it is also valid to use the carrier key in this case as well). For example, if the SD of the USIM 600 is opened to an administrator operating the management server 300, the signature data signed within the USIM 600 may be encrypted within the USIM 600 through the administrator key. Or if the SD of the USIM 600 is open to the financial institution, the signed signature data within the USIM 600 may be encrypted within the USIM 600 via the financial key. Therefore, in the present invention, when the SD of the USIM 600 is opened, it is also possible to encrypt the signature data in the USIM 600 using various other keys instead of the communication company key. However, a preferred embodiment of the present invention will be described with reference to an embodiment in which signature data is encrypted through a communication key in the USIM 600. Particularly, in the case of passing through the communication company server 400 using the communication company key, a part of the security of the transmission channel can be guaranteed by the communication company.
본 발명의 바람직한 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515), 통신사서버(400) 및 관리서버(300)를 거쳐 금융사서버(200)로 전송된다. 본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 관리서버(300)를 거쳐 금융사서버(200)로 전송될 수 있다. 이 경우 상기 서명 데이터는 반드시 통신사서버(400)를 경유하지 않거나, 또는 통신사서버(400) 기능의 일부가 관리서버(300)에 통합될 수 있다. 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 금융사서버(200)로 전송될 수 있다. 이 경우 상기 통신사서버(400)와 관리서버(300)는 생략되거나 또는 그 기능의 일부가 금융사서버(200)에 통합될 수 있다. 또는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 통신사서버(400)를 거쳐 금융사서버(200)로 전송될 수 있다. 이 경우 상기 관리서버(300) 기능의 일부는 금융사서버(200)에 통합될 수 있다. 금융사서버(200)로 전송된 서명 데이터는 지정된 인증서버(105)를 통해 인증될 수 있다. 실시 방법에 따라 상기 인증서버(105)의 인증 기능은 금융사서버(200)에 통합될 수 있다.
According to a preferred embodiment of the present invention, the signed and encrypted signature data in the USIM 600 is transmitted to the financial server server (not shown) via the certificate program 515, the communication company server 400 and the management server 300 of the wireless terminal 500 200). Signed and encrypted signature data within the USIM 600 is transmitted from the certificate program 515 of the wireless terminal 500 via the management server 300 to the financial institution server 200 according to another embodiment that can be extended from the present invention . In this case, the signature data does not necessarily pass through the communication company server 400, or a part of the function of the communication company server 400 may be integrated into the management server 300. Signed and encrypted signature data within the USIM 600 may be transmitted from the certificate program 515 of the wireless terminal 500 to the financial institution server 200, according to another embodiment that is extensible from the present invention. In this case, the communication company server 400 and the management server 300 may be omitted, or a part of the functions may be integrated into the financial company server 200. Signed or encrypted within the USIM 600 may be transmitted from the certificate program 515 of the wireless terminal 500 to the financial company server 200 via the communication company server 400. [ In this case, a part of the function of the management server 300 may be integrated into the financial company server 200. [ The signature data transmitted to the financial company server 200 can be authenticated through the designated authentication server 105. The authentication function of the authentication server 105 may be integrated into the financial company server 200 according to an embodiment of the present invention.
상기 USIM(600)은 무선단말(500)의 가입자 정보를 저장하는 SIM 저장영역과 IC칩(605)이 구비되어 무선단말(500)에 탑재 또는 이탈착되는 모듈의 총칭으로서, 그 크기와 형식에 의해 제한되지 않는다. 바람직하게, 상기 USIM(600)은 ISO/IEC 7810:2003, ID-1 규격의 SIM카드, ISO/IEC 7810:2003, ID-000 규격의 미니 SIM카드, ETSI TS 102 221 V9.0.0, Mini-UICC 규격의 마이크로 SIM 카드, ETSI TS 102 221 V11.0.0 규격의 나노 SIM 카드, JEDEC Design Guide 4.8, SON-8 규격의 단말기 내장형 SIM 카드 등을 포함할 수 있으며, 향 후 출시 또는 변형되는 모든 USIM(600)을 포함한다.
The USIM 600 is a general term of a module including an SIM storage area for storing subscriber information of the wireless terminal 500 and an IC chip 605 mounted on or removed from the wireless terminal 500. The size and format . Preferably, the USIM 600 is a SIM card of ISO-IEC 7810: 2003, ID-1 standard, a mini SIM card of ISO / IEC 7810: 2003, ID-000 standard, ETSI TS 102 221 V9.0.0, Mini- UICC-compliant micro SIM card, ETSI TS 102 221 V11.0.0 nano SIM card, JEDEC Design Guide 4.8, SON-8 compliant terminal-embedded SIM card, and any future USIM 600).
본 발명의 실시 방법에 따르면, 상기 USIM(600)은 고객 인증서가 기록되고, 암복호화를 위한 통신사 키가 기록되며, 서명 대상 데이터와 명령어를 수신하고 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 수행하는 인증서 애플릿(620)이 구비된다. 상기 인증서 애플릿(620)은 서명 대상 데이터가 암호화된 경우에 통신사 키를 이용하여 암호화된 서명 대상 데이터를 복호화할 수 있다.
According to an embodiment of the present invention, the USIM 600 records a customer certificate, records a communication key for encryption / decryption, receives signature data and a command, and transmits the signature There is provided a certificate applet 620 that performs an operation of generating a signature value of object data and encrypting signature data including the generated signature value using a communication party key. The certificate applet 620 may decrypt the data to be signed encrypted using the communication key when the data to be signed is encrypted.
상기 무선단말(500)은 상기 USIM(600)이 탑재 또는 이탈착되는 무선 통신 기능을 구비한 휴대 가능한 단말기의 총칭으로서, 바람직하게 휴대폰, 스마트폰, 태블릿PC 등을 포함할 수 있다.
The wireless terminal 500 is a general term of a portable terminal having a wireless communication function in which the USIM 600 is mounted or detached, and may preferably include a mobile phone, a smart phone, a tablet PC, and the like.
본 발명의 실시 방법에 따르면, 상기 무선단말(500)은 상기 USIM(600)으로 서명 대상 데이터와 명령어를 주입하고, 상기 USIM(600)으로부터 서명 및 암호화된 서명 데이터를 수신하는 인증서 프로그램(515)이 구비된다. 상기 인증서 프로그램(515)은 무선단말(500)에 구비된 USIM(600) 관리 프로그램에 통합된 형태로 구현되거나, 또는 별도의 프로그램 형태로 구현되는 것이 가능하며, 이에 의해 본 발명이 한정되지 아니한다. 상기 인증서 프로그램(515)은 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 지정된 경로를 통해 전송한다.
According to an embodiment of the present invention, the wireless terminal 500 includes a certificate program 515 for injecting signature target data and commands into the USIM 600, and for receiving signed and encrypted signature data from the USIM 600, Respectively. The certificate program 515 may be integrated with the USIM 600 management program provided in the wireless terminal 500 or may be implemented in a separate program form so that the present invention is not limited thereto. The certificate program 515 transmits signed and encrypted signature data within the USIM 600 through a designated path.
상기 통신사서버(400)는 상기 무선단말(500)이 가입된 통신사에서 운영하는 서버 중에서 본 발명에 따른 USIM 기반 인증서 이용에 관여하는 서버의 총칭으로서, USIM(600) 인증 기능, 통신사 키의 분배와 관리 기능, 무선단말(500)의 인증서 프로그램(515)과 관리서버(300) 간 통신채널의 보안 기능 중 하나 이상의 기능을 수행한다.
The communication company server 400 is a general term of a server that is involved in utilization of a USIM based certificate according to the present invention among the servers operated by a communication company to which the wireless terminal 500 is subscribed, and includes a USIM 600 authentication function, A security function of a communication channel between the certificate program 515 of the wireless terminal 500 and the management server 300,
상기 관리서버(300)는 M(M≥1)개의 통신사서버(400)와 N(N≥1)개의 금융사서버(200)를 중계하여 USIM 기반 인증서 이용을 관리하는 서버의 총칭으로서, USIM(600) 내부에서 서명되어 제m(1≤m≤M)통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 제n(1≤n≤N) 금융사 키를 통해 다시 암호화하여 제n 금융사서버(200)로 전송하는 기능을 수행한다. 만약 상기 USIM(600)으로 제공되는 서명 대상 데이터가 제n 금융사 키를 통해 암호화된 경우, 상기 관리서버(300)는 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 제m 통신사 키를 통해 다시 암호화하여 제m 통신사서버(400)로 전송하는 기능을 수행할 수 있다.
The management server 300 collectively refers to a server that manages the use of a USIM-based certificate by relaying M (M? 1) communication company servers 400 and N (N? 1) ), Decrypts the signature data encrypted with the m (1? M? M) communication key and then re-encrypts the encrypted signature data through the nth (1? N? N) And performs the function of transmitting. If the signature object data provided to the USIM 600 is encrypted through the nth financial key, the management server 300 decrypts the signature subject data encrypted with the nth financial key, And transmits the encrypted data to the mth communication company server 400. [
상기 금융사서버(200)는 고개 소유 무선단말(500)에 탑재 또는 이탈착되는 USIM(600) 내부에서 고객 인증서를 통해 서명된 서명 데이터를 이용하여 고객이 요청한 거래를 성립시키는 서버의 총칭으로서, 상기 USIM(600) 내부에서 고객 인증서를 통해 서명된 서명 데이터(또는 서명 데이터의 일부)는 지정된 인증서버(105)를 통해 인증될 수 있다. 실시 방법에 따라 상기 금융사서버(200)는 서명 대상 데이터를 금융사 키를 통해 암호화하여 관리서버(300)로 전송할 수 있다.
The financial company server 200 is a general term of a server for establishing a transaction requested by a customer using signature data signed through a customer certificate in a USIM 600 mounted or detached from the headquarters owned wireless terminal 500, Signature data (or part of the signature data) signed through the customer certificate within the USIM 600 may be authenticated via the designated authentication server 105. According to an embodiment of the present invention, the financial company server 200 can encrypt the signature data through the financial company key and transmit the encrypted data to the management server 300.
상기 고객단말(100)은 USIM(600)에 구비된 고객 인증서를 이용하는 거래를 위해 고객이 이용하는 단말의 총칭으로서, 컴퓨터, 노트북 등의 유선단말, 휴대폰, 스마트폰, 태블릿PC 등의 무선단말을 포함할 수 있으며, 특히 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)도 상기 고객단말(100)에 속할 수 있다.
The customer terminal 100 includes a wireless terminal such as a computer, a wired terminal such as a notebook computer, a mobile phone, a smart phone, and a tablet PC as a collective term of a terminal used by a customer for a transaction using a customer certificate provided in the USIM 600 In particular, the customer-owned wireless terminal 500 in which the USIM 600 is detached may also belong to the customer terminal 100.
도면2는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 금융사서버(200)의 구성을 도시한 도면이다.
FIG. 2 is a diagram illustrating a configuration of a financial institution server 200 of a USIM-based electronic signature system according to an embodiment of the present invention.
보다 상세하게 본 도면2는 금융사 키를 통해 서명 대상 데이터를 암호화하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 관리서버(300)에서 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 복호화하는 금융사서버(200)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면2를 참조 및/또는 변형하여 상기 금융사서버(200)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면2에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 2 illustrates a method of encrypting data to be signed through a financial institution key, signing in the USIM 600, encrypting the data in the USIM 600 using a communication key, decrypting the data in the management server 300, The present invention is not limited to the above-described embodiments, but may be modified and changed without departing from the spirit and scope of the present invention. It will be appreciated that various implementations (e.g., some of the components may be omitted, or subdivided, or combined) may be inferred from the configuration of the apparatus 200, but the present invention includes all of the above- The technical features thereof are not limited only by the method shown in FIG.
도면2를 참조하면, 상기 금융사서버(200)는, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객을 식별하는 고객 정보를 저장하는 정보 저장부(205)를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to FIG. 2, the financial company server 200 includes a wireless terminal 500 in which a USIM 600 having a certificate applet 620 storing a customer certificate and a communication key and performing a designated signature operation is detached And an information storage unit 205 for storing customer information for identifying a customer to use. Preferably, the designated signature operation includes receiving signature data and an instruction, generating a signature value of the signature target data using a customer certificate according to a received command, and transmitting the generated signature value using a communication key And encrypting the included signature data.
고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-possessed wireless terminal 500 may transmit the customer certificate to the designated area of the USIM 600 that is detached from the wireless terminal 500 according to the designated certificate issuing procedure or the roaming procedure of the issued certificate , And the WEF under DF [F300] of the IC chip 605 provided in the USIM 600).
상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 via a key value registered at the time of issuing the USIM 600 or via a designated OTA. Preferably, the communication company key recorded in the USIM 600 is managed through the communication company server 400.
상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued as provided in the USIM 600, or may be written to the USIM 600 via a specified OTA.
상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 정보 저장부(205)는 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information for a customer using a financial transaction in a designated DB. The information storage unit 205 stores a customer certificate issuing procedure, a roaming procedure, an OTA of a communication key or a certificate applet 620, And confirms the customer information using the wireless terminal 500 which is disconnected from the USIM 600 having the certificate applet 620 storing the customer certificate and the communication company key and performing the designated signature operation, And stores the identification information for identifying the wireless terminal 500 in which the USIM 600 is detached. The identification information includes a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, an identification value for identifying the certificate program 515, The management server 300, the communication server, and the financial company server 200. In this case,
도면2를 참조하면, 상기 금융사서버(200)는, 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인하는 서명 대상 확인부(225)와, 금융사 키를 이용하여 상기 확인된 서명 대상 데이터를 암호화하는 서명 대상 암호부와, 상기 고객 정보를 이용하여 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 확인하고, 상기 암호화된 서명 대상 데이터와 상기 식별 정보를 지정된 관리서버(300)로 전송하는 서명 대상 전송부(235)를 구비하며, 상기 서명 대상 데이터에 대응하는 거래 절차를 수행하는 거래 절차부(220)를 구비하며, 무선단말(500)에 이탈착되는 USIM(600)을 이용한 서명을 위한 인증 절차를 수행하는 서명 인증 절차부(250)를 구비한다.
Referring to FIG. 2, the financial company server 200 includes a signature verification unit (not shown) for verifying signed data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500, A signature object encryption unit for encrypting the verified signature object data using the financial company key, an identification unit for identifying the customer-owned wireless terminal 500 deviating from the USIM 600 using the customer information, And a signature target transmission unit (235) for transmitting the encrypted signature target data and the identification information to the designated management server (300), wherein the signature process unit And a signature authentication procedure unit 250 for performing an authentication procedure for signing using the USIM 600 detached from the wireless terminal 500. [
상기 거래 절차부(220)는 고객이 이용하는 고객단말(100) 또는 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 구비된 애플리케이션과 연동하여 고객이 요청하는 거래 절차를 수행하는 구성부의 총칭으로서, 바람직하게 상기 거래 절차는 고객 인증서를 이용한 서명이 필요한 금융거래 또는 지급 결제를 제공한다. 실시 방법에 따라 상기 거래 절차부(220)는 본 도면2에 도시된 금융사서버(200)와 연동하는 별도의 거래서버의 형태로 구현될 수 있다.
The transaction procedure unit 220 is configured to perform a transaction procedure requested by a customer in cooperation with an application provided in a customer terminal 100 used by a customer or a customer-owned wireless terminal 500 detached from the USIM 600 As a collective term, preferably, the transaction procedure provides a financial transaction or payment requiring signing with a customer certificate. The transaction procedure unit 220 may be implemented in the form of a separate transaction server linked to the financial company server 200 shown in FIG.
상기 서명 대상 확인부(225)는 상기 거래 절차부(220)에 의해 수행되는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The signature verification unit 225 is connected to the USIM 600 which is detached from the customer-owned wireless terminal 500 to establish the transaction procedure in conjunction with the transaction procedure performed by the transaction procedure unit 220 Identify the signature target data to be signed using the customer certificate. For example, the signature subject data may include account transfer details that require a customer's electronic signature while performing account transfer.
본 발명의 실시 방법에 따르면, 상기 서명 인증 절차부(250)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 금융사서버(200)를 인증하도록 하기 위한 금융사 인증정보를 생성하고, 상기 서명 대상 데이터에 상기 금융사 인증정보를 포함시킬 수 있다. 또는 상기 서명 인증 절차부(250)는 별도의 통신채널을 통해 상기 관리서버(300)와 통신사서버(400) 및 무선단말(500)의 인증서 프로그램(515)을 거쳐 상기 USIM(600)으로 금융사 인증정보를 제공함으로써, 상기 USIM(600)으로 하여금 상기 금융사서버(200)를 인증하도록 처리할 수 있다.
According to an embodiment of the present invention, the signature authentication processing unit 250 generates financial institution authentication information for allowing the certificate applet 620 of the USIM 600 to authenticate the financial institution server 200, The financial institution authentication information can be included in the object data. Or the signature authentication procedure unit 250 transmits the certificate to the USIM 600 through the certificate program 515 of the management server 300, the communication company server 400 and the wireless terminal 500 via a separate communication channel, So that the USIM 600 can process the financial institution server 200 to be authenticated.
상기 서명 대상 암호부(230)는 상기 서명 대상 확인부(225)에 의해 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리한다.
The signature subject cipher 230 processes the signature subject data confirmed by the signature subject confirmation unit 225 to be encrypted through a financial transaction key managed by the financial institution.
본 발명의 실시 방법에 따르면, 상기 서명 인증 절차부(250)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 금융사서버(200)를 인증하도록 하기 위한 금융사 인증정보를 생성하고, 상기 암호화된 서명 대상 데이터에 상기 금융사 인증정보를 포함시킬 수 있다.
According to the embodiment of the present invention, the signature authentication processing unit 250 generates the financial institution authentication information for allowing the certificate applet 620 of the USIM 600 to authenticate the financial institution server 200, The financial institution authentication information may be included in the signature subject data.
본 발명의 실시 방법에 따르면, 상기 금융사서버(200)는 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM(Secure Application Module), HSM(Hardware Security Module), TSM(Trusted Service Manager) 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비할 수 있다. 상기 서명 대상 암호부(230)는 상기 서명 대상 확인부(225)에 의해 확인된 서명 대상 데이터를 상기 암복호 모듈(210)로 전달하여 사익 금융사 키를 통해 지정된 알고리즘에 따라 암호화되도록 처리할 수 있다. 한편 상기 보안저장매체(215)와 암복호 모듈(210)은 상기 서명 대상 암호부(230)에 통합될 수 있다.
According to an embodiment of the present invention, the financial company server 200 includes a secure storage medium 215 (e.g., a Secure Application Module (SAM), a Hardware Security Module (HSM), and a Trusted Service Manager And an encryption / decryption module 210 for encrypting or decrypting the designated data according to a specified algorithm using a financial transaction key provided in the secure storage medium 215 can do. The signing object cipher unit 230 can transmit the signature object data confirmed by the signature object verification unit 225 to the encryption decryption module 210 and process it so as to be encrypted according to the algorithm specified by the private key . Meanwhile, the secure storage medium 215 and the encryption / decryption module 210 may be integrated into the signature subject encryption unit 230.
상기 서명 대상 전송부(235)는 상기 정보 저장부(205)에 의해 저장된 고객 정보로부터 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The signature object transmission unit 235 stores the customer certificate and the communication key from the customer information stored by the information storage unit 205 and the USIM 600 having the certificate applet 620 for performing the designated signature operation And confirms the identification information identifying the customer-owned wireless terminal 500 to be connected.
상기 서명 대상 전송부(235)는 상기 서명 대상 암호부(230)를 통해 금융사 키로 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The signature object transmission unit 235 transmits the signature object data encrypted with the financial key through the signing object cipher unit 230 and the identification information about the customer-owned wireless terminal 500 deviating from the USIM 600, To the server (300).
본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)는 고객단말(100)에 구비되거나, 또는 고객 소유 무선단말(500)의 애플리케이션에 구비될 수 있다. 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)가 고객단말(100)에 구비된 경우에 금융사 키를 통해 암호화된 서명 대상 데이터는 금융사서버(200)를 경유하여 관리서버(300)로 전송되거나, 또는 고객단말(100)에서 관리서버(300)로 직접 제공될 수 있다. 한편 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)가 상기 USIM(600)이 구비된 무선단말(500)의 애플리케이션에 구비된 경우에 금융사 키를 통해 암호화된 서명 대상 데이터는 금융사서버(200)를 경유하여 관리서버(300)로 전송되거나, 또는 무선단말(500)에서 관리서버(300)로 직접 제공되거나 또는 통신사서버(400)를 경유하여 관리서버(300)로 제공될 수 있다. 한편 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, 상기 서명 대상 확인부(225)는 고객 소유 무선단말(500)의 애플리케이션에 구비될 수 있으며, 이 경우에 상기 서명 대상 데이터는 애플리케이션과 인증서 프로그램(515) 사이의 프로세스 간 통신을 통해 애플리케이션에서 인증서 프로그램(515)으로 전달될 수 있으며, 이 때 상기 서명 대상 데이터는 암호화되지 않아도 무방하며, 실시 방법에 따라 통신사 키로 암호화될 수 있다.
According to another embodiment of the present invention, the signature verification unit 225, the signature subject encryption unit 230 and the signature subject transmission unit 235 may be provided in the customer terminal 100, Lt; RTI ID = 0.0 > 500 < / RTI > When the signature object confirmation unit 225, the signature subject encryption unit 230 and the signature object transmission unit 235 are provided in the customer terminal 100, the signature subject data encrypted by the financial company key is transmitted to the financial institution server 200, Or may be directly provided to the management server 300 from the customer terminal 100. When the signature verification unit 225, the signature subject encryption unit 230 and the signature subject transmission unit 235 are included in the application of the wireless terminal 500 having the USIM 600, The encrypted signature target data may be transmitted to the management server 300 via the financial company server 200 or may be provided directly to the management server 300 from the wireless terminal 500 or may be provided directly to the management server 300 via the communication company server 400. [ (Not shown). According to another embodiment of the present invention, the signature verification unit 225 may be included in an application of the customer-owned wireless terminal 500. In this case, the signature target data may include an application and a certificate program 515 to the certificate program 515. In this case, the signature target data need not be encrypted, and may be encrypted with the communication key according to the method of execution.
상기 관리서버(300)는 지정된 키 교환 절차에 따라 상기 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 복호화한다. 상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키로 다시 암호화한다. 상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 통신사 키로 암호화된 서명 대상 데이터를 통신사서버(400)로 제공한다.
The management server 300 includes a secure storage medium 215 (e.g., at least one of SAM, HSM, and TSM) for storing and managing a financial transaction key provided from the financial company server 200 according to a designated key exchange procedure And an encryption / decryption module 210 for encrypting or decrypting designated data using a financial transaction key provided in the secure storage medium 215 according to a specified algorithm. The encryption / decryption module 210 And decrypts the signature subject data encrypted and transmitted by the financial company server 200 through the financial company key. The management server 300 is configured to store at least one of a security storage medium 315 (e.g., SAM, HSM, TSM) for storing and managing a communication key provided from the communication company server 400 (or USIM 600) And an encryption / decryption module 310 for encrypting or decrypting the designated data using a communication key provided in the secure storage medium 315 according to a specified algorithm, And encrypts the decrypted signature target data with the communication decryption key using the encryption decryption module 310 through the encryption decryption module 210. [ The management server 300 provides the signature data encrypted with the communication key through the encryption / decryption module 310 to the communication company server 400.
상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)의 인증서 프로그램(515)으로 제공하며, 상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 USIM(600)으로 주입한다.
The communication company server 400 provides the signature target data encrypted with the communication company key to the certificate program 515 of the wireless terminal 500 and the certificate program 515 of the wireless terminal 500 transmits the certificate And inserts the encrypted signature subject data into the USIM 600.
상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 for encrypting or decrypting data designated through the communication key according to a specified algorithm. When the injected signature subject data is encrypted using a communication key, The certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the communication party key via the encryption decryption module 615. [
상기 USIM(600)의 인증서 애플릿(620)은 USIM(600)에 구비된 고객 인증서를 통해 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터를 서명하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 may sign the signature target data using an algorithm (for example, an RSA digital signature algorithm or an ECDSA digital signature algorithm) through a customer certificate provided in the USIM 600, . Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7], [RFC2630] or the like.
상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the communication party key through the encryption decryption module 615 at the same time that the signature data is generated and transmits the certificate program 515 ). The signature data encrypted through the communication company key is encrypted in the USIM 600 using the communication company key as an encryption key or encrypted in the USIM 600 through a cryptographic key generated using the communication company key, A key value exchanged between the USIM 600 and the communication company server 400 based on the communication company key is encrypted in the USIM 600 using the key value as an encryption key or the USIM 600 and the management server 400 300 may be encrypted using at least one of those encrypted within the USIM 600 using the exchanged key value as an encryption key.
상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송하고, 상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signature data signed in the USIM 600 and encrypted using the communication key to the communication company server 400. The communication company server 400 transmits, And transmits the encrypted signature data to the management server 300. [
상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 상기 통신사 키로 암호화된 서명 데이터를 복호화한다. 상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 상기 복호화된 서명 데이터를 금융사 키로 다시 암호화하고, 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다.
The management server 300 decrypts the signature data encrypted with the communication party key through the encryption / decryption module 310. [ The management server 300 again encrypts the decrypted signature data with the financial key through the encryption decryption module 310 and transmits the encrypted signature data to the financial company server 200 through the financial key.
도면2를 참조하면, 상기 금융사서버(200)는, 상기 관리서버(300)부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(240)와, 금융사 키를 통해 상기 암호화된 서명 데이터를 복호화하는 서명 데이터 복호부(245)와, 상기 복호화된 서명 데이터의 인증 절차를 수행하는 서명 인증 절차부(250)를 구비한다.
Referring to FIG. 2, the financial company server 200 is generated from the management server 300 using the signature target data according to a designated signature operation of a certificate applet 620 included in the USIM 600, A signature data receiving unit 240 receiving the signature data encrypted in the USIM 600 through a communication company key provided in the USIM 600, decrypted by the management server 300 and encrypted using the financial key, A signature data decryption unit 245 for decrypting the encrypted signature data through a financial institution key, and a signature authentication procedure unit 250 for performing the authentication procedure of the decrypted signature data.
상기 서명 데이터 수신부(240)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The signature data receiving unit 240 is signed from the management server 300 in the USIM 600 and encrypted in the USIM 600 through a communication key. The signature data is then decrypted by the management server 300, Lt; RTI ID = 0.0 > encrypted signature data.
상기 서명 데이터 복호부(245)는 상기 암복호 모듈(210)을 통해 상기 금융사 키로 암호화된 서명 데이터를 금융사 키를 통해 복호화한다.
The signature data decryption unit 245 decrypts the signature data encrypted with the financial transaction key through the encryption decryption module 210 through the financial company key.
본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial institution key in the management server 300 may include an integrity verification value included in the signature data encrypted through the financial institution key, The control unit 250 may perform a procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the financial institution key.
상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 서명 인증 절차부(250)는 상기 서명 데이터 복호부(245)를 통해 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 서명 인증 절차부(250)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial institution key is decrypted, the signature authentication procedure unit 250 performs a procedure for authenticating the validity of the signature data decrypted through the signature data decryption unit 245. Preferably, the signature authentication processing unit 250 transmits the signature data (or a part of the signature data) to the designated authentication server 105, requests authentication of the signature data, and receives the authentication result.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The signature authentication procedure unit 250 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature procedure using the customer certificate is performed, and the signature authentication procedure unit 250 A procedure for authenticating the medium authentication value included in the signature data may be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, The procedure unit 250 compares the generated key value with the generated key according to the same algorithm and procedure as the code generation algorithm of the USIM 600, You can authenticate. Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 서명 인증 절차부(250)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a server authentication value for authenticating the reliability of the management server 300, which decrypts the signature data and the encrypted signature data in the USIM 600, And the signature authentication procedure unit 250 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm designated by the management server 300, The procedure unit 250 compares the generated key value with the key value in accordance with the same algorithm and procedure as the code generation algorithm of the management server 300, Can be authenticated. Meanwhile, the financial institution server 200 and the management server 300 exchange server certificates. The signature authentication procedure unit 250 uses the exchanged server certificates to determine the reliability of the management server 300 Can be authenticated. Meanwhile, the procedure for authenticating the reliability of the management server 300 may include a process of authenticating the reliability of the communication channel 300 formed between the management server 300 and the financial company server 200 before or after the signature data is received, And in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.
도면3은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 관리서버(300)의 구성을 도시한 도면이다.
FIG. 3 is a diagram illustrating a configuration of a management server 300 of a USIM-based digital signature system according to an embodiment of the present invention.
보다 상세하게 본 도면3은 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 다시 통신사 키를 통해 암호화하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 다시 금융사 키를 통해 암호화하는 관리서버(300)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면3을 참조 및/또는 변형하여 상기 관리서버(300)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면3에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 3 illustrates a method of encrypting signature data encrypted with a financial institution key, then encrypting the signature data encrypted using a communication company key, signature data signed in the USIM 600 and encrypted using a communication company key in the USIM 600, And decrypts the decrypted data and then encrypts the decrypted data through the key of the financial institution. Hereinafter, a person skilled in the art will be able to refer to and / It will be appreciated that various implementations of the configuration of the management server 300 (e.g., some configuration portions may be omitted, or subdivided, or combined) may be inferred, but the present invention includes all of the above- And the technical features thereof are not limited only by the method shown in FIG.
고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-possessed wireless terminal 500 may transmit the customer certificate to the designated area of the USIM 600 that is detached from the wireless terminal 500 according to the designated certificate issuing procedure or the roaming procedure of the issued certificate , And the WEF under DF [F300] of the IC chip 605 provided in the USIM 600).
상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 via a key value registered at the time of issuing the USIM 600 or via a designated OTA. Preferably, the communication company key recorded in the USIM 600 is managed through the communication company server 400.
상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued as provided in the USIM 600, or may be written to the USIM 600 via a specified OTA.
상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information for a customer using a financial transaction in a designated DB, and interacts with the OTA procedure of the customer certificate issuing procedure, the roaming procedure, the communication company key or the certificate applet 620, The customer information using the wireless terminal 500 in which the USIM 600 having the certificate applet 620 storing the communication company key and performing the designated signature operation is detached is checked, And stores identification information for identifying the wireless terminal 500 from which the same USIM 600 is detached. The identification information includes a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, an identification value for identifying the certificate program 515, The management server 300, the communication server, and the financial company server 200. In this case,
상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial company server 200 confirms the signature target data to be signed using the customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with the transaction procedure do. For example, the signature subject data may include account transfer details that require a customer's electronic signature while performing account transfer.
상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial company server 200 is provided with a certificate applet 620 that processes the verified signature object data to be encrypted through a financial institution key managed by the financial institution, stores a customer certificate and a communication company key, and performs a designated signature operation The identification information identifying the customer-owned wireless terminal 500 in which the USIM 600 is detached is identified.
상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial company server 200 transmits to the designated management server 300 the signature subject data encrypted with the financial company key and the identification information about the customer-owned wireless terminal 500 deviating from the USIM 600.
도면3을 참조하면, 상기 관리서버(300)는, N(N≥1)개의 금융사서버(200) 중 제n(1≤n≤N) 금융사서버(200)로부터 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보와 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하는 서명 대상 수신부(305)와, 지정된 보안저장매체(215)에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하는 서명 대상 복호부(320)를 구비하며, 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함할 수 있다.
Referring to FIG. 3, the management server 300 stores a customer certificate and a communication key from an nth (1? N? N) financial company server 200 among N (N? 1) The signature information of the customer-owned wireless terminal 500 in which the USIM 600 equipped with the certificate applet 620 performing the specified signature operation is detached is compared with the identification information of the customer- And a signature target decryption unit 320 for decrypting the encrypted signature target data through an nth financial key stored in a designated secure storage medium 215. Preferably, Generates signatures of the data to be signed using the customer certificate according to the received command, and transmits the signature data including the generated signature values to the mobile terminal ≪ / RTI >
상기 관리서버(300)는 N개의 금융사서버(200)와 통신 가능하며, 상기 서명 대상 수신부(305)는 N개의 금융사서버(200) 중 서명 데이터를 전송한 제n 금융사서버(200)로부터 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with the N financial service servers 200. The signature receiving unit 305 receives the signature data from the nth financial server 200 transmitting the signature data among the N financial service servers 200, A customer-owned wireless terminal 500 that receives the encrypted signature target data via the financial agent key, the USIM 600 with the certificate applet 620 that stores the customer certificate and the carrier key, and performs the specified signature operation, Lt; / RTI >
상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 서명 대상 복호부(320)는 상기 제n 금융사서버(200)에서 제n 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 transmits a secure storage medium 215 (for example, at least one of SAM, HSM, and TSM) for storing and managing a financial key provided from N financial server servers 200 according to a designated key exchange procedure And an encryption / decryption module 210 for encrypting or decrypting the designated data according to a specified algorithm by using N financial keys provided in the secure storage medium 215, The decryption unit 320 identifies the signature target data encrypted and transmitted through the nth financial institution key in the nth financial institution server 200 and transmits the signature data to the secure storage medium 215 using the encryption decryption module 210 And decrypts the encrypted signature subject data via the first financial institution key.
도면3을 참조하면, 상기 관리서버(300)는, M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체(315)에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하는 서명 대상 재암호부(325)와, 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 제m 통신사서버(400)로 전송하는 서명 대상 중계부(335)를 구비하며, 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하는 명령어 확인부(330)를 더 구비하고, 이 경우에 상기 서명 대상 중계부(335)는 상기 확인된 명령어를 제m 통신사서버(400)로 전송한다. 한편 상기 관리서버(300)는, 상기 서명 대상 데이터의 중계를 위한 적어도 하나의 인증 절차를 수행하는 인증 처리부(355)를 구비할 수 있다.
Referring to FIG. 3, the management server 300 identifies m (1? M? M) communication companies corresponding to the identification information among M (M? 1) communication companies, A signature subject re-encryption unit 325 for re-encrypting the decrypted signature subject data through the mth communication company key stored in the mth communication company server 400, And a signature object relay unit 335 for sending the certificate application 620 included in the USIM 600 deviating from the customer-owned wireless terminal 500 corresponding to the identification information to the designated signing operation The signing target relay unit 335 transmits the confirmed command to the mth communication company server 400. In this case, Meanwhile, the management server 300 may include an authentication processing unit 355 for performing at least one authentication procedure for relaying the signature data.
본 발명의 실시 방법에 따르면, 상기 인증 처리부(355)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 관리서버(300)를 인증하도록 하기 위한 관리사 인증정보를 생성하고, 상기 서명 대상 데이터에 상기 관리사 인증정보를 포함시킬 수 있다. 또는 상기 인증 처리부(355)는 별도의 통신채널을 통해 상기 통신사서버(400)와 무선단말(500)의 인증서 프로그램(515)을 거쳐 상기 무선단말(500)에 이탈착되는 USIM(600)으로 관리사 인증정보를 제공함으로써, USIM(600)으로 하여금 상기 관리서버(300)를 인증하도록 처리할 수 있다.
According to an embodiment of the present invention, the authentication processing unit 355 generates manager authentication information for allowing the certificate applet 620 of the USIM 600 to authenticate the management server 300, The management company authentication information may be included in the management company authentication information. Or the authentication processing unit 355 is a USIM 600 that is detached from the wireless terminal 500 via the certificate program 515 of the communication company server 400 and the wireless terminal 500 via a separate communication channel, By providing the authentication information, the USIM 600 can process the management server 300 to authenticate.
상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 서명 대상 재암호부(325)는 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 제m 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is configured to store at least one of a security storage medium 315 (e.g., SAM, HSM, TSM) for storing and managing a communication key provided from the communication company server 400 (or USIM 600) And an encryption / decryption module 310 for encrypting or decrypting the designated data using a communication key provided in the secure storage medium 315 according to a specified algorithm, The signee re-cipher unit 325 processes the decrypted signature target data through the encryption / decryption module 210 using the encryption / decryption module 310 to re-encrypt the data with the m-th communication key.
본 발명의 실시 방법에 따르면, 상기 인증 처리부(355)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 관리서버(300)를 인증하도록 하기 위한 관리사 인증정보를 생성하고, 상기 암호화된 서명 대상 데이터에 상기 관리사 인증정보를 포함시킬 수 있다.
According to an embodiment of the present invention, the authentication processing unit 355 generates manager authentication information for allowing the certificate applet 620 of the USIM 600 to authenticate the management server 300, The manager data may include the manager authentication information.
상기 서명 대상 중계부(335)는 상기 서명 대상 재암호부(325)를 통해 제m 통신사 키로 다시 암호화된 서명 대상 데이터를 제m 통신사서버(400)로 전송한다.
The signature subject relay unit 335 transmits the signature subject data encrypted again with the mth communication subject key to the mth communication company server 400 through the signature subject rewriting unit 325. [
본 발명의 실시 방법에 따르면, 상기 명령어 확인부(330)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 서명 대상 중계부(335)는 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 제m 통신사서버(400)로 전송할 수 있다.
According to the embodiment of the present invention, the command checking unit 330 allows the certificate applet 620 included in the USIM 600, which is detached from the customer-owned wireless terminal 500 corresponding to the identification information, And the signature subject relay unit 335 may transmit the command to the mth communication company server 400 together with the encrypted signature subject data.
상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The communication company server 400 receives the encrypted subject data from the management server 300 through the mth communication company key and provides it to the certificate program 515 of the wireless terminal 500. [ Preferably, the communication company server 400 receives the command together with the signature target data encrypted with the mth communication company key from the management server 300, and provides the command word to the certificate program 515 of the wireless terminal 500 .
상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 무선단말(500)에 이탈착되는 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 본 발명의 실시 방법에 따르면, 상기 명령어는 관리서버(300)로부터 통신사서버(400)를 경유하여 수신되거나, 또는 통신사서버(400)로부터 수신되거나, 또는 인증서 프로그램(515)이 내부적으로 확인할 수 있다.
The certificate program 515 of the wireless terminal 500 receives the encrypted signature target data from the communication company server 400 via the mth communication company key and injects it into the USIM 600 detached from the wireless terminal 500 And injects a command to the USIM 600 to cause the certificate applet 620 provided in the USIM 600 to perform the specified signature operation. According to an embodiment of the present invention, the command may be received from the management server 300 via the communication company server 400, received from the communication company server 400, or internally verified by the certificate program 515 .
상기 USIM(600)은 상기 제m 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 제m 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 제m 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 for encrypting or decrypting the designated data through the mth communication company key according to a specified algorithm, and the injected signature data is encrypted The certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the mth communication party key via the encryption decryption module 615 based on the command.
상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 verifies the customer certificate included in the USIM 600 based on the command and performs an algorithm (e.g., an RSA digital signature algorithm or an ECDSA digital signature Algorithm) to generate signature data by performing an electronic signature procedure on the signature subject data. Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7], [RFC2630] or the like.
상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 제m 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 제m 통신사 키를 통해 암호화된 서명 데이터는 상기 제m 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the mth communication company key through the encryption decryption module 615 at the same time that the signature data is generated, (515). The signature data encrypted with the mth communication company key is encrypted in the USIM 600 using the mth communication company key as a cryptographic key, or encrypted using the encryption key generated using the mth communication company key, Or encrypted in the USIM 600 using the key value exchanged between the USIM 600 and the communication company server 400 based on the mth communication carrier key as an encryption key, May be encrypted through at least one of those encrypted within the USIM 600 using the key value exchanged between the USIM 600 and the management server 300 as an encryption key.
상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 제m 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송하고, 상기 통신사서버(400)는 상기 제m 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signature data signed in the USIM 600 and encrypted with the mth communication company key to the communication company server 400, And transmits the signature data encrypted through the mth communication company key to the management server 300. [
도면3을 참조하면, 상기 관리서버(300)는, 상기 제m 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 제m 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(340)와, 지정된 보안저장매체(315)에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하는 서명 데이터 복호부(345)와, 지정된 보안저장매체(215)에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하는 서명 데이터 재암호부(350)와, 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송하는 서명 데이터 중계부(360)를 구비하며, 상기 서명 데이터의 중계를 위한 적어도 하나의 인증 절차를 수행하는 인증 처리부(355)를 구비할 수 있다.
Referring to FIG. 3, the management server 300 generates (using) the signature target data according to a designated signature operation of a certificate applet 620 included in the USIM 600 from the mth communication company server 400 A signature data receiving unit 340 for receiving the signature data encrypted in the USIM 600 through an m-th communication key provided in the USIM 600, and a m- And a signature data re-encryption unit 350 for re-encrypting the decrypted signature data through the nth financial key stored in the designated secure storage medium 215. The signature data decryption unit 345 decrypts the decrypted signature data, And a signature data relay unit 360 for transmitting the signature data encrypted through the nth financial institution key to the nth financial institution server 200. The signature data relay unit 360 may include at least one authentication procedure for relaying the signature data Which may be provided with the authentication processing unit (355).
상기 서명 데이터 수신부(340)는 상기 제m 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 제m 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 제m 통신사서버(400)를 경유하여 수신한다.
The signature data receiving unit 340 generates the signature data using the signature object data according to the signature operation of the certificate applet 620 included in the USIM 600 from the mth communication company server 400, The certificate program 515 of the wireless terminal 500 and the mth communication company server 400 encrypt the signature data in the USIM 600 through the mth communication company key provided in the wireless terminal 500. [
본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 제m 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 인증 처리부(355)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the mth communication company key in the USIM 600 may include an integrity verification value for the encrypted signature data, and the authentication processing unit 355 And authenticate the validity of the integrity verification value included in the signature data encrypted by the financial institution key.
상기 서명 데이터 복호부(345)는 상기 제m 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 제m 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The signature data decryption unit 345 checks the encrypted signature data in the USIM 600 through the mth communication company key and transmits the signature data to the USIM 600 via the mth communication company key using the encryption / 600 to decrypt the encrypted signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 인증 처리부(355)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The authentication processing unit 355 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 인증 처리부(355)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 처리부(355)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature procedure using the customer certificate is performed, and the authentication processing unit 355 may include the signature A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, The key generation unit 355 verifies and compares the exchanged key value according to the key exchange procedure or compares the generated value according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
상기 서명 데이터 재암호부(350)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 제n 금융사 키를 통해 다시 암호화하도록 처리한다.
The signature data re-encryption unit 350 decrypts the encrypted signature data in the USIM 600 and re-encrypts the decrypted signature data via the n-th financial key through the encryption / decryption module 210 .
본 발명의 실시 방법에 따르면, 상기 서명 데이터 재암호부(350)에 의해 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 인증 처리부(355)는 상기 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 제n 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to the embodiment of the present invention, while the process of encrypting signature data decrypted through the mth communication company key by the signature data re-encryption unit 350 through the nth financial institution key is performed, the authentication processing unit 355, Generates the integrity authentication value of the signature data for the process of encrypting the signature data decrypted through the mth communication company key through the nth financial key, and transmits the integrity authentication value to the signature data .
상기 서명 데이터 중계부(360)는 상기 서명 데이터 재암호부(350)에 의해 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송한다.
The signature data relay unit 360 transmits the signature data encrypted by the signature data re-encryption unit 350 through the n-th financial institution key to the n-th financial institution server 200.
상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 제m 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 제n 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The financial company server 200 is signed from the management server 300 in the USIM 600 and encrypted in the USIM 600 through the mth communication company key and then decrypted by the management server 300, n Receives the encrypted signature data through the financial agent key.
상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 제n 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted by the management server 300 via the nth financial key through the encryption decryption module 210 through the financial key.
본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 제n 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the nth financial key in the management server 300 may include an integrity verification value for the encrypted signature data, And authenticate the validity of the integrity verification value included in the signature data encrypted by the financial institution key.
상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial agent key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial company server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105, requests authentication of the signature data, and receives the authentication result.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The financial company server 200 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature process using the customer certificate is performed, A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, (200) verifies and compares the exchanged key value according to the key exchange procedure or compares a value generated according to the same algorithm and procedure as the code generation algorithm of the USIM (600) with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 제n 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data is decrypted by the server 200, which decrypts the signed and encrypted signature data in the USIM 600, And the financial company server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, (200) checks the exchanged key value according to the key exchange procedure or compares the generated value with the key value according to the same algorithm and procedure as the code generation algorithm of the management server (300) can do. Meanwhile, the financial company server 200 and the management server 300 exchange server certificates, and the financial company server 200 authenticates the reliability of the management server 300 using the exchanged server certificates can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 may include a process of authenticating the reliability of the communication channel 300 formed between the management server 300 and the financial company server 200 before or after the signature data is received, And in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.
도면4는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 통신사서버(400)의 구성을 도시한 도면이다.
FIG. 4 is a diagram illustrating a configuration of a communication company server 400 of a USIM-based digital signature system according to an embodiment of the present invention.
보다 상세하게 본 도면4는 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)의 인증서 프로그램(515)으로 전달하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전달하는 통신사서버(400)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면4를 참조 및/또는 변형하여 상기 통신사서버(400)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면4에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 4 illustrates a method of transmitting signature subject data encrypted with a communication company key to a certificate program 515 of a wireless terminal 500, signed in the USIM 600, And a person skilled in the art to which the present invention pertains, refer to FIG. 4 and / or the modified example of the communication server server 400 for transmitting the encrypted signature data to the management server 300 (For example, some of the constituent parts may be omitted, or a subdivided or combined method) may be inferred from the configuration of the communication company server 400. However, the present invention includes all of the above- And the technical features thereof are not limited only by the method shown in FIG.
고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-possessed wireless terminal 500 may transmit the customer certificate to the designated area of the USIM 600 that is detached from the wireless terminal 500 according to the designated certificate issuing procedure or the roaming procedure of the issued certificate , And the WEF under DF [F300] of the IC chip 605 provided in the USIM 600).
상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 via a key value registered at the time of issuing the USIM 600 or via a designated OTA. Preferably, the communication company key recorded in the USIM 600 is managed through the communication company server 400.
상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued as provided in the USIM 600, or may be written to the USIM 600 via a specified OTA.
상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information for a customer using a financial transaction in a designated DB, and interacts with the OTA procedure of the customer certificate issuing procedure, the roaming procedure, the communication company key or the certificate applet 620, The customer information using the wireless terminal 500 in which the USIM 600 having the certificate applet 620 storing the communication company key and performing the designated signature operation is detached is checked, And stores identification information for identifying the wireless terminal 500 from which the same USIM 600 is detached. The identification information includes a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, an identification value for identifying the certificate program 515, The management server 300, the communication server, and the financial company server 200. In this case,
상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial company server 200 confirms the signature target data to be signed using the customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with the transaction procedure do. For example, the signature subject data may include account transfer details that require a customer's electronic signature while performing account transfer.
상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial company server 200 is provided with a certificate applet 620 that processes the verified signature object data to be encrypted through a financial institution key managed by the financial institution, stores a customer certificate and a communication company key, and performs a designated signature operation The identification information identifying the customer-owned wireless terminal 500 in which the USIM 600 is detached is identified.
상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial company server 200 transmits to the designated management server 300 the signature subject data encrypted with the financial company key and the identification information about the customer-owned wireless terminal 500 deviating from the USIM 600.
상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 can communicate with N (N > = 1) financial company servers 200, and receives a signature encrypted with a financial company key from a financial company server 200 that has transmitted signature data among N financial server 200 And receives the identification information for the customer-owned wireless terminal 500, which receives the target data, stores the customer certificate and the communication key, and the USIM 600 equipped with the certificate applet 620 that performs the specified signature operation is detached .
상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 transmits a secure storage medium 215 (for example, at least one of SAM, HSM, and TSM) for storing and managing a financial key provided from N financial server servers 200 according to a designated key exchange procedure And an encryption / decryption module 210 for encrypting or decrypting designated data using N financial keys provided in the secure storage medium 215 according to a designated algorithm, The encrypted signature object data is decrypted through the financial key provided in the secure storage medium 215 by using the encryption / decryption module 210, .
상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is configured to store at least one of a security storage medium 315 (e.g., SAM, HSM, TSM) for storing and managing a communication key provided from the communication company server 400 (or USIM 600) And an encryption / decryption module 310 for encrypting or decrypting the designated data using a communication key provided in the secure storage medium 315 according to a specified algorithm, The encryption / decryption module 310 encrypts the decrypted signature object data through the encryption / decryption module 210 using the communication key.
상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the communication company key to the communication company server 400. According to the embodiment of the present invention, the management server 300 allows the certificate applet 620 included in the USIM 600, which is detached from the customer-owned wireless terminal 500 corresponding to the identification information, And transmits the command to the communication company server 400 together with the encrypted signature target data.
도면4를 참조하면, 상기 통신사서버(400)는, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되고, 상기 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 식별하는 T(T≥1)개의 식별 정보를 저장하는 정보 관리부(410)를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to FIG. 4, the communication company server 400 separates a USIM 600 having a certificate applet 620 storing a customer certificate and a communication key and performing a designated signature operation, and the certificate applet 620 (T > = 1) pieces of identification information for identifying a wireless terminal 500 having a certificate program 515 for causing the wireless terminal 500 to perform the designated signing operation. Preferably, the designated signature operation includes receiving signature data and an instruction, generating a signature value of the signature target data using a customer certificate according to a received command, and transmitting the generated signature value using a communication key And encrypting the included signature data.
상기 정보 관리부(410)는 지정된 USIM(600) 인증 절차를 결과로서, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 확인한다. 상기 USIM(600) 인증 절차는 UICC(Universal Integrated Circuit Card) 규격에 정의된 인증 절차를 포함할 수 있다.
As a result of the designated USIM 600 authentication procedure, the information management unit 410 stores a customer certificate and a communication key, and transmits the certificate to the wireless terminal 600, which is a detached USIM 600 having a certificate applet 620, (500). The USIM 600 authentication procedure may include an authentication procedure defined in a UICC (Universal Integrated Circuit Card) standard.
상기 정보 관리부(410)는 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 확인한다. 상기 인증서 프로그램(515)의 구비된 상태는 상기 무선단말(500)로 인증서 프로그램(515)을 제공한 서버 또는 상기 인증서 프로그램(515)을 관리하는 서버와 연동하여 확인될 수 있다.
The information management unit 410 identifies the wireless terminal 500 having the certificate program 515 for allowing the certificate applet 620 included in the USIM 600 to perform the specified signature operation. The state of the certificate program 515 may be checked in conjunction with a server providing the certificate program 515 to the wireless terminal 500 or a server managing the certificate program 515.
상기 정보 관리부(410)는 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되고, 상기 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 식별하는 T개의 식별 정보를 확인하여 저장한다.
The information management unit 410 separates a USIM 600 having a certificate applet 620 storing a customer certificate and a communication key and performing a designated signing operation, (T) identifying the wireless terminal (500) having the certificate program (515) for performing the authentication process.
도면4를 참조하면, 상기 통신사서버(400)는, 관리서버(300)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말(500)을 식별하는 식별 정보를 수신하는 서명 대상 수신부(405)와, 상기 관리서버(300)로부터 수신된 식별 정보가 상기 T개의 식별 정보에 속한 제t(1≤t≤T) 식별 정보인지 확인하는 정보 인증부(415)와, 상기 관리서버(300)로부터 제t 식별 정보가 수신된 경우에 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 대상 데이터를 전송하는 서명 대상 중계부(420)를 구비하며, 상기 서명 대상 수신부(405)는 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하고, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 명령어를 전송할 수 있다.
4, the communication company server 400 is encrypted in the financial company server 200 through the financial transaction key provided in the financial company server 200 from the management server 300 and then transmitted to the management server 300 A signature object receiving unit 405 for receiving the signature object data decrypted by the public key and decrypted by the communication company key and the identification information for identifying the customer owned wireless terminal 500, (1? T? T) identification information belonging to T pieces of identification information; and an information authentication unit 415 for confirming whether or not the t-th identification information is received from the management server 300 And a signature target relay unit 420 for transmitting the encrypted signature target data to the certificate program 515 of the corresponding wireless terminal 500. The signature target receiving unit 405 receives the encrypted signature target data from the client- The USIM 600 detached from the USIM 600 The signature subject relay unit 420 receives an instruction to cause the certificate application applet 620 to perform a specified signature operation and transmits the certificate program 515 of the wireless terminal 500 corresponding to the t- Command can be transmitted.
상기 서명 대상 수신부(405)는 관리서버(300)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 상기 고객 인증서를 통해 상기 서명 대상 데이터를 서명하여 서명 데이터를 생성하고 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하는 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 수신한다.
The signing object receiving unit 405 is encrypted in the financial company server 200 through the financial transaction key provided in the financial company server 200 from the management server 300 and then decrypted by the management server 300, (600), which encrypts the generated signature data via a communication key, is generated by signing the signature subject data through the customer certificate, And receives identification information that identifies the wireless terminal 500.
상기 정보 인증부(415)는 상기 관리서버(300)로부터 수신된 식별 정보가 상기 정보 관리부(410)에 의해 저장된 T개의 식별 정보에 속한 제t 식별 정보인지 확인한다. 만약 상기 관리서버(300)로부터 제t 식별 정보가 수신되었다면, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 대상 데이터를 전송한다.
The information authentication unit 415 checks whether the identification information received from the management server 300 is t identification information belonging to the T identification information stored by the information management unit 410. [ If the t-th identification information is received from the management server 300, the signing target relay unit 420 transmits the encrypted signature object 515 to the certificate program 515 of the wireless terminal 500 corresponding to the t- And transmits the data.
본 발명의 실시 방법에 따르면, 상기 서명 대상 수신부(405)는 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하고, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 명령어를 전송할 수 있다. 본 발명의 다른 실시 방법에 따르면, 상기 명령어는 상기 통신사서버(400)에서 확인되어 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 전송될 수 있다. 본 발명의 다른 실시 방법에 따르면, 상기 명령어는 상기 무선단말(500)의 인증서 프로그램(515)을 통해 결정될 수 있다.
According to the embodiment of the present invention, the signing object receiving unit 405 receives a command for causing the certificate applet 620 included in the USIM 600 detached from the customer-owned wireless terminal 500 to perform a specified signature operation And the signature subject relay unit 420 may transmit the command to the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. According to another embodiment of the present invention, the command may be transmitted to the certificate program 515 of the wireless terminal 500 identified by the communication company server 400 and corresponding to the t-th identification information. According to another embodiment of the present invention, the command may be determined through the certificate program 515 of the wireless terminal 500.
상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 무선단말(500)에 이탈착되는 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 본 발명의 실시 방법에 따르면, 상기 명령어는 관리서버(300)로부터 통신사서버(400)를 경유하여 수신되거나, 또는 통신사서버(400)로부터 수신되거나, 또는 인증서 프로그램(515)이 내부적으로 확인할 수 있다.
The certificate program 515 of the wireless terminal 500 receives the signature subject data encrypted with the communication company key from the communication company server 400 and injects it into the USIM 600 detached from the wireless terminal 500, At this time, the certificate applet 620 included in the USIM 600 injects a command to the USIM 600 to perform the designated signature operation. According to an embodiment of the present invention, the command may be received from the management server 300 via the communication company server 400, received from the communication company server 400, or internally verified by the certificate program 515 .
상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 for encrypting or decrypting data designated through the communication key according to a specified algorithm. When the injected signature subject data is encrypted using a communication key, The certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the communication party key via the encryption decryption module 615 based on the command.
상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 verifies the customer certificate included in the USIM 600 based on the command and performs an algorithm (e.g., an RSA digital signature algorithm or an ECDSA digital signature Algorithm) to generate signature data by performing an electronic signature procedure on the signature subject data. Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7], [RFC2630] or the like.
상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the communication party key through the encryption decryption module 615 at the same time that the signature data is generated and transmits the certificate program 515 ). The signature data encrypted through the communication company key is encrypted in the USIM 600 using the communication company key as an encryption key or encrypted in the USIM 600 through a cryptographic key generated using the communication company key, A key value exchanged between the USIM 600 and the communication company server 400 based on the communication company key is encrypted in the USIM 600 using the key value as an encryption key or the USIM 600 and the management server 400 300 may be encrypted using at least one of those encrypted within the USIM 600 using the exchanged key value as an encryption key.
상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signature data signed in the USIM 600 and encrypted with the communication key to the communication company server 400.
도면4를 참조하면, 상기 통신사서버(400)는, 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로부터 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(425)와, 상기 암호화된 서명 데이터를 상기 관리서버(300)로 전송하는 서명 데이터 중계부(430)를 구비한다.
4, the communication company server 400 receives a certificate application program 515 of the wireless terminal 500 corresponding to the t-th identification information from a certificate applet 515 included in the USIM 600 of the wireless terminal 500, A signature data receiving unit 425 which receives the signature data encrypted using the signature object data and receives the signature data encrypted in the USIM 600 through a communication key provided in the USIM 600, And a signature data relay unit 430 for transmitting the encrypted signature data to the management server 300.
상기 서명 데이터 수신부(425)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로부터 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신한다.
The signature data receiving unit 425 receives from the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information a specified signature of the certificate applet 620 included in the USIM 600 of the wireless terminal 500 And receives the encrypted signature data in the USIM 600 through a communication key provided in the USIM 600. [
상기 서명 데이터 중계부(430)는 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 상기 관리서버(300)로 전송한다.
The signature data relay unit 430 generates the signature data using the signature object data in accordance with the designated signature operation of the certificate applet 620 included in the USIM 600 of the wireless terminal 500, And transmits the encrypted signature data to the management server 300 through the USIM 600 via the communication company key.
상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 generates the signature data using the signature object data according to the designated signature operation of the certificate applet 620 included in the USIM 600 from the communication company server 400, The encrypted signature data in the USIM 600 is received via the certificate program 515 and the communication company server 400 of the wireless terminal 500 via the communication company key.
본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the communication key in the USIM 600 may include an integrity verification value for the encrypted signature data, A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted by the key can be performed.
상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 confirms the encrypted signature data in the USIM 600 through the communication key and transmits the encrypted signature data to the management server 300 through the encryption decryption module 310, And processes the signature data to decrypt it.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The management server 300 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature process using the customer certificate is performed, A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, (300) confirms the exchanged key value according to the key exchange procedure or compares the generated value according to the same algorithm and procedure as the code generation algorithm of the USIM (600) with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 decrypts the encrypted signature data in the USIM 600 and processes the decrypted signature data again through the encryption decryption module 210 through the financial key.
본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to the method of the present invention, while the process of encrypting the decrypted signature data through the financial key is performed, the management server 300 encrypts the decrypted signature data through the financial key And the integrity authentication value may be included in the signature data encrypted through the financial key.
상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial institution key to the financial company server 200. The financial company server 200 is signed from the management server 300 in the USIM 600 and encrypted in the USIM 600 through the communication company key, and decrypted by the management server 300, And receives the encrypted signature data.
상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted by the management server 300 through the encryption decryption module 210 through the financial company key.
본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial agent key in the management server 300 may include an integrity verification value for the encrypted signature data, A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted by the key can be performed.
상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial agent key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial company server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105, requests authentication of the signature data, and receives the authentication result.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The financial company server 200 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature process using the customer certificate is performed, A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, (200) verifies and compares the exchanged key value according to the key exchange procedure or compares a value generated according to the same algorithm and procedure as the code generation algorithm of the USIM (600) with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a server authentication value for authenticating the reliability of the management server 300, which decrypts the signature data and the encrypted signature data in the USIM 600, And the financial company server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, (200) checks the exchanged key value according to the key exchange procedure or compares the generated value with the key value according to the same algorithm and procedure as the code generation algorithm of the management server (300) can do. Meanwhile, the financial company server 200 and the management server 300 exchange server certificates, and the financial company server 200 authenticates the reliability of the management server 300 using the exchanged server certificates can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 may include a process of authenticating the reliability of the communication channel 300 formed between the management server 300 and the financial company server 200 before or after the signature data is received, And in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.
도면5는 본 발명의 실시 방법에 따른 무선단말(500)과 인증서 프로그램(515)의 기능 구성을 도시한 도면이다.
FIG. 5 is a diagram illustrating a functional configuration of a wireless terminal 500 and a certificate program 515 according to an embodiment of the present invention.
보다 상세하게 본 도면5는 USIM(600)에 구비된 고객 인증서를 통해 서명 대상 데이터가 서명되도록 함과 동시에 USIM(600)에 구비된 통신사 키를 통해 서명된 서명 데이터가 암호화되도록 한 후, 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 지정된 전송채널로 전송하는 프로그램 구성에 대응되는 인증서 프로그램(515)과 무선단말(500) 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면5를 참조 및/또는 변형하여 상기 무선단말(500) 기능에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면5에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 바람직하게, 본 도면5의 무선단말(500)은 무선 통신이 가능한 각종 스마트폰, 각종 태블릿PC, 각종 PDA 및 각종 휴대폰 중 적어도 하나를 포함할 수 있다.
5, signature data to be signed is signed through a customer certificate provided in the USIM 600, and signature data signed through a communication company key provided in the USIM 600 is encrypted. Then, Which shows the certificate program 515 and the configuration of the wireless terminal 500 corresponding to a program configuration for transmitting signed and encrypted signature data in a specified transmission channel within the wireless terminal 600, It will be appreciated that the various embodiments of the functionality of the wireless terminal 500 may be referred to and / or modified by reference to FIG. 5. However, the present invention includes all of the above- The technical features thereof are not limited only by the method shown in FIG. Preferably, the wireless terminal 500 of FIG. 5 may include at least one of various smart phones capable of wireless communication, various tablet PCs, various PDAs, and various mobile phones.
도면5를 참조하면, 상기 무선단말(500)은, 제어부(501)와 메모리부(511)와 화면 출력부(502)와 키 입력부(503)와 사운드 출력부(504)와 사운드 입력부(505)와 무선망 통신부(508)와 근거리 무선 통신부(507)와 근접 무선 통신부(509)와 USIM(600)이 이탈착되는 USIM 리더부(510)를 구비하며, 전원 공급을 위한 배터리(506)를 구비한다.
5, the wireless terminal 500 includes a control unit 501, a memory unit 511, a screen output unit 502, a key input unit 503, a sound output unit 504, a sound input unit 505, And a USIM reader 510 in which the wireless network communication unit 508 and the near wireless communication unit 507 and the proximity wireless communication unit 509 and the USIM 600 are separated from each other and a battery 506 for power supply is provided do.
상기 제어부(501)는 상기 무선단말(500)의 동작을 제어하는 구성의 총칭으로서, 적어도 하나의 프로세서와 실행 메모리를 포함하여 구성되며, 상기 무선단말(500)에 구비된 각 구성부와 버스(BUS)를 통해 연결된다. 본 발명에 따르면, 상기 제어부(501)는 상기 프로세서를 통해 상기 무선단말(500)에 구비되는 적어도 하나의 프로그램코드를 상기 실행 메모리에 로딩하여 연산하고, 그 결과를 상기 버스를 통해 적어도 하나의 구성부로 전달하여 상기 무선단말(500)의 동작을 제어한다. 이하, 편의상 프로그램코드 형태로 구현되는 본 발명의 인증서 프로그램(515) 구성을 본 제어부(501) 내에 도시하여 설명하기로 한다.
The control unit 501 is a general term for controlling the operation of the wireless terminal 500. The control unit 501 includes at least one processor and an execution memory, BUS). According to the present invention, the control unit 501 loads at least one program code included in the wireless terminal 500 into the execution memory through the processor, and outputs the result through at least one configuration And controls the operation of the mobile terminal 500. [ Hereinafter, the configuration of the certificate program 515 of the present invention implemented in the form of program code will be described in the control unit 501 for convenience.
상기 메모리부(511)는 상기 무선단말(500)의 저장 자원에 대응되는 비휘발성 메모리의 총칭으로서, 상기 제어부(501)를 통해 실행되는 적어도 하나의 프로그램코드와, 상기 프로그램코드가 이용하는 적어도 하나의 데이터셋트를 저장하여 유지한다. 상기 메모리부(511)는 기본적으로 상기 무선단말(500)의 운영체제에 대응하는 시스템프로그램코드와 시스템데이터셋트, 상기 무선단말(500)의 무선 통신 연결을 처리하는 통신프로그램코드와 통신데이터셋트 및 적어도 하나의 응용프로그램코드와 응용데이터셋트를 저장하며, 본 발명의 인증서 프로그램(515)에 대응하는 프로그램코드와 데이터셋트도 상기 메모리부(511)에 저장된다.
The memory unit 511 is a general term of a nonvolatile memory corresponding to a storage resource of the wireless terminal 500 and includes at least one program code executed through the control unit 501 and at least one Save and maintain the dataset. The memory unit 511 basically comprises a system program code and a system data set corresponding to the operating system of the wireless terminal 500, a communication program code and a communication data set for processing a wireless communication connection of the wireless terminal 500, And stores the application code and the application data set, and the program code and data set corresponding to the certificate program 515 of the present invention are also stored in the memory unit 511.
상기 화면 출력부(502)는 상기 무선단말(500)의 출력 자원에 대응되는 화면출력기(예컨대, LCD(Liquid Crystal Display) 등)와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산 결과 중 화면 출력에 대응하는 연산 결과를 상기 화면출력 장치로 출력한다.
The screen output unit 502 includes a screen output device (e.g., a liquid crystal display (LCD)) corresponding to the output resource of the wireless terminal 500 and a driving module for driving the screen output device. And outputs the calculation result corresponding to the screen output among the various calculation results of the controller 501 to the screen output device.
상기 키 입력부(503)는 상기 무선단말(500)의 입력 자원에 대응되는 하나 이상의 사용자입력기(예컨대, 버튼, 키패드, 터치패드, 화면 출력부(502)와 연동하는 터치스크린 등)와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산을 명령하는 명령을 입력하거나, 또는 상기 제어부(501)의 연산에 필요한 데이터를 입력한다.
The key input unit 503 may include at least one user input device corresponding to the input resource of the wireless terminal 500 such as a button, a keypad, a touch pad, a touch screen linked to the screen output unit 502, And inputs a command for instructing various operations of the control unit 501 in cooperation with the control unit 501 or inputs data necessary for the operation of the control unit 501. [
상기 사운드 출력부(504)는 상기 무선단말(500)의 출력 자원에 대응되는 스피커와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산 결과 중 사운드 출력에 대응하는 연산 결과를 상기 스피커를 통해 출력한다. 상기 구동 모듈은 상기 스피커를 통해 출력할 사운드 데이터를 디코딩(Decoding)하여 사운드 신호로 변환한다.
The sound output unit 504 includes a speaker corresponding to the output resource of the wireless terminal 500 and a drive module for driving the speaker. The sound output unit 504 is connected to the control unit 501, And outputs an operation result corresponding to the output through the speaker. The driving module decodes sound data to be outputted through the speaker and converts the sound data into a sound signal.
상기 사운드 입력부(505)는 상기 무선단말(500)의 입력 자원에 대응되는 마이크로폰과 이를 구동하는 구동 모듈로 구성되며, 상기 마이크로폰을 통해 입력되는 사운드 데이터를 상기 제어부(501)로 전달한다. 상기 구동 모듈은 상기 마이크로폰을 통해 입력되는 사운드 신호를 엔코딩(Encoding)하여 부호화한다.
The sound input unit 505 includes a microphone corresponding to the input resource of the wireless terminal 500 and a drive module for driving the microphone and transmits the sound data input through the microphone to the controller 501. The driving module encodes and encodes a sound signal input through the microphone.
상기 무선망 통신부(508)와 근거리 무선 통신부(507)는 상기 무선단말(500)을 지정된 통신망에 접속시키는 통신 자원의 총칭이다. 바람직하게, 상기 무선단말(500)은 무선망 통신부(508)를 기본 통신 자원으로 구비할 수 있으며, 하나 이상의 근거리 무선 통신부(507)를 구비할 수 있다.
The wireless network communication unit 508 and the short-range wireless communication unit 507 are collectively referred to as communication resources for connecting the wireless terminal 500 to a designated communication network. Preferably, the wireless terminal 500 may include a wireless network communication unit 508 as a basic communication resource, and may include one or more short-range wireless communication units 507.
상기 무선망 통신부(508)는 상기 무선단말(500)을 기지국을 경유하는 무선 통신망에 접속시키는 통신 자원의 총칭으로서, 특정 주파수 대역의 무선 주파수 신호를 송수신하는 안테나, RF모듈, 기저대역모듈, 신호처리모듈을 적어도 하나 포함하여 구성되며, 상기 제어부(501)와 연결되어 상기 제어부(501)의 각종 연산 결과 중 무선 통신에 대응하는 연산 결과를 무선 통신망을 통해 전송하거나 또는 무선 통신망을 통해 데이터를 수신하여 상기 제어부(501)로 전달함과 동시에, 상기 무선 통신의 접속, 등록, 통신, 핸드오프의 절차를 수행한다. 본 발명에 따르면, 상기 무선망 통신부(508)는 상기 무선단말(500)을 교환기를 경유하는 통화채널과 데이터채널을 포함하는 전화통화망에 연결할 수 있으며, 경우에 따라 상기 교환기를 경유하지 않고 패킷 통신 기반의 무선망 데이터 통신(예컨대, 인터넷)을 제공하는 데이터망에 연결할 수 있다.
The wireless network communication unit 508 collectively refers to a communication resource for connecting the wireless terminal 500 to a wireless communication network via a base station. The wireless communication unit 508 includes an antenna, an RF module, a baseband module, And at least one processing module. The control unit 501 is connected to the control unit 501 and transmits the calculation result corresponding to the wireless communication among the various calculation results of the control unit 501 through the wireless communication network or receives data through the wireless communication network To the control unit 501, and performs the connection, registration, communication, and handoff procedures of the wireless communication. According to the present invention, the wireless network communication unit 508 can connect the wireless terminal 500 to a telephone communication network including a communication channel and a data channel via the exchange, and in some cases, May be connected to a data network providing communication-based wireless network data communication (e.g., the Internet).
본 발명의 실시 방법에 따르면, 상기 무선망 통신부(508)는 CDMA/WCDMA/LTE 규격에 따라 이동 통신망에 접속, 위치등록, 호처리, 통화연결, 데이터통신, 핸드오프를 적어도 하나 수행하는 이동 통신 구성을 포함한다. 한편 당업자의 의도에 따라 상기 무선망 통신부(508)는 IEEE 802.16 관련 규격에 따라 휴대인터넷에 접속, 위치등록, 데이터통신, 핸드오프를 적어도 하나 수행하는 휴대 인터넷 통신 구성을 더 포함할 수 있으며, 상기 무선망 통신부(508)가 제공하는 무선 통신 구성에 의해 본 발명이 한정되지 아니함을 명백히 밝혀두는 바이다. 즉, 상기 무선망 통신부(508)는 무선 구간의 주파수 대역이나 통신망의 종류 또는 프로토콜에 무관하게 셀 기반의 기지국을 통해 무선 통신망에 접속하는 구성부의 총칭이다.
According to an embodiment of the present invention, the wireless network communication unit 508 is a mobile communication unit that performs at least one connection, a location registration, a call processing, a call connection, a data communication, and a handoff to a mobile communication network according to the CDMA / WCDMA / ≪ / RTI > Meanwhile, according to the intention of the person skilled in the art, the wireless network communication unit 508 may further include a portable internet communication configuration for performing at least one of connection to the portable Internet, location registration, data communication and handoff according to the IEEE 802.16 standard, It is evident that the present invention is not limited by the wireless communication configuration provided by the wireless network communication unit 508. [ That is, the wireless network communication unit 508 is a general term for a configuration unit that connects to a wireless communication network through a cell-based base station irrespective of a frequency band of a wireless section, a type of a communication network, or a protocol.
상기 근거리 무선 통신부(507)는 일정 거리 이내(예컨대, 10m)에서 무선 주파수 신호를 통신매체로 이용하여 통신세션을 연결하고 이를 기반으로 상기 무선단말(500)을 통신망에 접속시키는 통신 자원의 총칭으로서, 바람직하게는 와이파이 통신, 블루투스 통신, 공중무선 통신, UWB 중 적어도 하나를 통해 상기 무선단말(500)을 통신망에 접속시킬 수 있다. 본 발명의 실시 방법에 따르면, 상기 근거리 무선 통신부(507)는 상기 무선망 통신부(508)와 통합 또는 분리된 형태로 구현될 수 있다. 본 발명에 따르면, 상기 근거리 무선 통신부(507)는 무선AP를 통해 상기 무선단말(500)을 패킷 통신 기반의 근거리 무선 데이터 통신을 제공하는 데이터망에 연결한다.
The short-range wireless communication unit 507 is a generic name of communication resources connecting a communication session using a radio frequency signal within a predetermined distance (for example, 10 m) as a communication medium and connecting the wireless terminal 500 to the communication network based on the communication session , The wireless terminal 500 may be connected to the communication network through at least one of Wi-Fi communication, Bluetooth communication, public wireless communication, and UWB. According to an embodiment of the present invention, the short-range wireless communication unit 507 may be integrated with or separated from the wireless network communication unit 508. According to the present invention, the short-range wireless communication unit 507 connects the wireless terminal 500 to a data network providing packet-based short-range wireless data communication through a wireless AP.
상기 근접 무선 통신부(509)는 근접 거리(예컨대, 10cm 내외)에서 무선 주파수 신호를 통신매체로 이용하여 양방향 근접 무선 통신, 전이중 근접 무선 통신, 반이중 근접 무선 통신 중 하나 이상의 근접 무선 통신을 처리하는 통신 자원의 총칭으로서, 바람직하게 13.56Mz 주파수 대역의 NFC(Near Field Communication) 규격에 따라 근접 무선 통신을 처리할 수 있다. 또는 상기 근접 무선 통신부(509)는 ISO 18000 시리즈 규격의 근접 무선 통신을 처리할 수 있으며, 이 경우 13.56Mz 주파수 대역 이외의 다른 주파수 대역에 대한 근접 무선 통신을 처리할 수도 있다. 예를들어, 상기 근접 무선 통신부(509)는 리더 모드로 동작하거나, 태그 모드로 동작하거나, 양방향 통신 모드로 동작하는 것이 모두 가능하다. 한편 상기 근접 무선 통신부(509)는 근접하여 통신하는 대상에 따라 상기 무선단말(500)을 통신망에 접속시키는 통신 자원에 포함될 수 있다.
The proximity wireless communication unit 509 is a communication unit that processes one or more proximity wireless communication among a bidirectional proximity wireless communication, a full-duplex proximity wireless communication, and a half-duplex proximity wireless communication using a radio frequency signal as a communication medium at a close distance (e.g., As a collective term of resources, it is possible to process the proximity wireless communication according to the NFC (Near Field Communication) standard of the 13.56 Mz frequency band. Alternatively, the proximity wireless communication unit 509 may process the proximity wireless communication of the ISO 18000 series standard, and in this case, may process the proximity wireless communication for the frequency band other than the 13.56 Mz frequency band. For example, the proximity wireless communication unit 509 can operate in a reader mode, a tag mode, or a bidirectional communication mode. Meanwhile, the proximity wireless communication unit 509 may be included in a communication resource for connecting the wireless terminal 500 to a communication network according to an object to be communicated nearby.
상기 USIM 리더부(510)는 ISO/IEC 7816 규격을 기반으로 상기 무선단말(500)에 탑재 또는 이탈착되는 범용가입자식별모듈(Universal Subscriber Identity Module)과 적어도 하나의 데이터셋트를 교환하는 구성의 총칭으로서, 상기 데이터셋트는 APDU(Application Protocol Data Unit)를 통해 반이중 통신 방식으로 교환된다.
The USIM reader 510 is a generic term of a configuration for exchanging at least one data set with a universal subscriber identity module that is mounted or detached from the wireless terminal 500 based on the ISO / IEC 7816 standard , And the data set is exchanged in a half duplex communication manner through an APDU (Application Protocol Data Unit).
상기 통신 자원이 접속 가능한 데이터망을 통해 프로그램제공서버(예컨대, 애플사의 앱스토어 등)로부터 본 발명의 인증서 프로그램(515)이 다운로드되어 상기 메모리부(511)에 저장된다. 상기 다운로드된 인증서 프로그램(515)은 지정된 서버와 연동하여 동작하며, 사용자에 의해 수동으로 구동되거나, 메시지 수신에 의해 사용자 확인 후 또는 자동으로 구동(또는 활성화)될 수 있다. 한편 상기 인증서 프로그램(515)을 사용자 확인 후 또는 자동으로 구동하기 위해 별도의 인증서 프로그램(515)이 미리 구동 중일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
The certificate program 515 of the present invention is downloaded from a program providing server (for example, an Apple AppStore or the like) through a data network to which the communication resource can be connected, and is stored in the memory unit 511. The downloaded certificate program 515 operates in conjunction with a designated server, and can be manually activated by a user, or can be activated (or activated) automatically after user confirmation or automatically by receiving a message. Meanwhile, a separate certificate program 515 may be running in advance for activating the certificate program 515 after user confirmation or automatically, and thus the present invention is not limited thereto.
도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서를 기록하는 인증서 기록부(520)와, 상기 무선단말(500)에 이탈착되는 USIM(600)에 통신사 키를 기록하는 통신사 키 기록부(525)와, 상기 무선단말(500)에 이탈착되는 USIM(600)에 지정된 서명 동작을 수행하는 인증서 애플릿(620)을 기록하는 애플릿 기록부(530) 중, 적어도 하나의 기록부를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
5, the certificate program 515 of the wireless terminal 500 includes a certificate recording unit 520 for recording a customer certificate in the USIM 600 detached from the wireless terminal 500, And a certificate applet 620 that performs a signature operation assigned to the USIM 600 detached from the wireless terminal 500. The certificate issuer 620 records the communication key in the USIM 600 detached from the wireless terminal 500, And an applet recording unit 530 that records the applet recording unit 530. Preferably, the designated signature operation includes receiving signature data and an instruction, generating a signature value of the signature target data using a customer certificate according to a received command, and transmitting the generated signature value using a communication key And encrypting the included signature data.
상기 인증서 기록부(520)는 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate recording unit 520 may transmit a customer certificate to a designated area (e.g., USIM 600) of the USIM 600 detached from the wireless terminal 500 according to a designated certificate issuing procedure or a roaming procedure of a certificate issued To the WEF under DF [F300] of the IC chip 605).
상기 통신사 키 기록부(525)는 USIM(600) 발급 시점에 등록된 키 값이 상기 USIM(600) 내부의 암호화 또는 복호화에 이용되도록 설정하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 통신사 키를 기록할 수 있다.
The communication company key recording unit 525 sets the key value registered at the time of issuing the USIM 600 to be used for encryption or decryption in the USIM 600 or transmits the communication company key to the USIM 600 via the designated OTA Can be recorded.
상기 애플릿 기록부(530)는 USIM(600) 제조 또는 시점에 USIM(600)에 기록된 애플릿이 상기 USIM(600) 내부의 전자서명 절차 및 암호화 또는 복호화를 위한 인증서 애플릿(620)으로 이용되도록 설정하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 인증서 애플릿(620)을 기록할 수 있다.
The applet recording unit 530 may set the applet recorded in the USIM 600 at the time of manufacture or at the time of the USIM 600 to be used as the digital signature procedure inside the USIM 600 and the certificate applet 620 for encryption or decryption , Or write the certificate applet 620 to the USIM 600 via the designated OTA.
상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부(511) 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information for a customer using a financial transaction in a designated DB, and interacts with the OTA procedure of the customer certificate issuing procedure, the roaming procedure, the communication company key or the certificate applet 620, The customer information using the wireless terminal 500 in which the USIM 600 having the certificate applet 620 storing the communication company key and performing the designated signature operation is detached is checked, And stores identification information for identifying the wireless terminal 500 from which the same USIM 600 is detached. The identification information identifies a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit 511 or the SE of the wireless terminal 500, a key value, and the certificate program 515 The identification value, the identification value uniquely assigned by the server of at least one of the management server 300, the communication server, and the financial service server 200. [
상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial company server 200 confirms the signature target data to be signed using the customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with the transaction procedure do. For example, the signature subject data may include account transfer details that require a customer's electronic signature while performing account transfer.
상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial company server 200 is provided with a certificate applet 620 that processes the verified signature object data to be encrypted through a financial institution key managed by the financial institution, stores a customer certificate and a communication company key, and performs a designated signature operation The identification information identifying the customer-owned wireless terminal 500 in which the USIM 600 is detached is identified.
상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial company server 200 transmits to the designated management server 300 the signature subject data encrypted with the financial company key and the identification information about the customer-owned wireless terminal 500 deviating from the USIM 600.
상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 can communicate with N (N > = 1) financial company servers 200, and receives a signature encrypted with a financial company key from a financial company server 200 that has transmitted signature data among N financial server 200 And receives the identification information for the customer-owned wireless terminal 500, which receives the target data, stores the customer certificate and the communication key, and the USIM 600 equipped with the certificate applet 620 that performs the specified signature operation is detached .
상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 transmits a secure storage medium 215 (for example, at least one of SAM, HSM, and TSM) for storing and managing a financial key provided from N financial server servers 200 according to a designated key exchange procedure And an encryption / decryption module 210 for encrypting or decrypting designated data using N financial keys provided in the secure storage medium 215 according to a designated algorithm, The encrypted signature object data is decrypted through the financial key provided in the secure storage medium 215 by using the encryption / decryption module 210, .
상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is configured to store at least one of a security storage medium 315 (e.g., SAM, HSM, TSM) for storing and managing a communication key provided from the communication company server 400 (or USIM 600) And an encryption / decryption module 310 for encrypting or decrypting the designated data using a communication key provided in the secure storage medium 315 according to a specified algorithm, The encryption / decryption module 310 encrypts the decrypted signature object data through the encryption / decryption module 210 using the communication key.
상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the communication company key to the communication company server 400. According to the embodiment of the present invention, the management server 300 allows the certificate applet 620 included in the USIM 600, which is detached from the customer-owned wireless terminal 500 corresponding to the identification information, And transmits the command to the communication company server 400 together with the encrypted signature target data.
상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The communication company server 400 receives the encrypted subject data from the management server 300 via the communication company key and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the communication company server 400 receives the command word together with the signature target data encrypted with the communication company key from the management server 300, and provides the command word to the certificate program 515 of the wireless terminal 500 .
도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 통신사서버(400)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하는 서명 대상 수신부(535)를 구비하고, 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인하는 USIM 확인부(540)를 구비할 수 있다.
5, the certificate program 515 of the wireless terminal 500 is encrypted in the financial company server 200 through a financial company key provided in the financial company server 200 from the communication company server 400, And a signing target receiving unit 535 for receiving the signing target data decrypted by the server 300 and encrypted using the communication company key. The USIM 600 detached from the wireless terminal 500 is provided with a customer certificate, And a USIM verification unit 540 for verifying whether a certificate applet 620 storing a key and performing a specified signature operation is provided.
상기 서명 대상 수신부(535)는 무선망 통신부(508)와 근거리 무선 통신부(507) 중 적어도 하나의 통신부를 통해 통신사서버(400)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신한다. 바람직하게, 상기 서명 대상 수신부(535)는 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신할 수 있다.
The signing object receiving unit 535 receives the signing object from the communication company server 400 through at least one communication unit of the wireless network communication unit 508 and the short range wireless communication unit 507 through the financial transaction server 200 and decrypted by the management server 300 and receives the encrypted signature data via the communication key again. The signature object receiver 535 may receive a command for causing the certificate applet 620 included in the USIM 600 to perform a specified signature operation.
본 발명의 일 측면에 따르면, 상기 서명 대상 수신부(535)는 무선망 통신부(508)를 통해 통신사서버(400)로부터 상기 암호화된 서명 대상 데이터를 수신하도록 설정될 수 있다.
According to an aspect of the present invention, the signature subject receiver 535 may be configured to receive the encrypted signature subject data from the communication company server 400 via the wireless network communication unit 508. [
상기 암호화된 서명 대상 데이터가 수신되기 전, 중, 후의 지정된 시점에, 상기 USIM 확인부(540)는 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인한다. 예를들어, 상기 USIM 확인부(540)는 상기 USIM 리더부(510)를 통해 상기 USIM(600)으로 RST신호를 인가하여 응답되는 ATR을 판독하여 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인할 수 있다.
The USIM confirmation unit 540 stores the customer certificate and the communication key in the USIM 600 detached from the wireless terminal 500 at a predetermined time point before, A certificate applet 620 that performs a signature operation is provided. For example, the USIM identification unit 540 reads the ATR response by applying the RST signal to the USIM 600 through the USIM reader 510, stores the customer certificate and the communication company key in the USIM 600 And a certificate applet 620 that performs a specified signature operation is provided.
도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 상기 수신된 암호화된 서명 대상 데이터를 상기 USIM(600)으로 주입하는 서명 요청부(545)와, 상기 USIM(600)으로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(550)와, 상기 암호화된 서명 데이터를 통신사서버(400)로 전송하는 서명 데이터 전송부(555)를 구비한다.
5, the certificate program 515 of the wireless terminal 500 includes a signature request unit 545 for injecting the received encrypted signature subject data into the USIM 600, (600) via the communication key provided in the USIM (600), using the signature object data in accordance with the designated signature operation of the certificate applet (620) provided in the USIM (600) A signature data receiver 550 for receiving the signature data and a signature data transmitter 555 for transmitting the encrypted signature data to the communication company server 400.
상기 서명 요청부(545)는 상기 서명 대상 수신부(535)를 통해 수신된 암호화된 서명 대상 데이터와 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 상기 명령어는, 상기 통신사서버(400)를 통해 확인된 명령어, 상기 관리서버(300)를 통해 확인된 명령어, 상기 인증서 프로그램(515)을 통해 결정된 명령어 중 적어도 하나의 명령어를 포함할 수 있다.
The signature requesting unit 545 transmits a command for causing the encrypted applet 620 included in the USIM 600 and the encrypted signature subject data received through the signature receiving unit 535 to perform a designated signature operation, USIM (600). The command may include at least one of an instruction confirmed through the communication company server 400, an instruction confirmed through the management server 300, and a command determined through the certificate program 515.
상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 for encrypting or decrypting data designated through the communication key according to a specified algorithm. When the injected signature subject data is encrypted using a communication key, The certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the communication party key via the encryption decryption module 615 based on the command.
상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 verifies the customer certificate included in the USIM 600 based on the command and performs an algorithm (e.g., an RSA digital signature algorithm or an ECDSA digital signature Algorithm) to generate signature data by performing an electronic signature procedure on the signature subject data. Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7], [RFC2630] or the like.
상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the communication party key through the encryption decryption module 615 at the same time that the signature data is generated and transmits the certificate program 515 ). The signature data encrypted through the communication company key is encrypted in the USIM 600 using the communication company key as an encryption key or encrypted in the USIM 600 through a cryptographic key generated using the communication company key, A key value exchanged between the USIM 600 and the communication company server 400 based on the communication company key is encrypted in the USIM 600 using the key value as an encryption key or the USIM 600 and the management server 400 300 may be encrypted using at least one of those encrypted within the USIM 600 using the exchanged key value as an encryption key.
상기 서명 데이터 수신부(550)는 상기 USIM 리더부(510)를 통해 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 수신한다. 상기 서명 데이터 전송부(555)는 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송한다. 본 발명의 일 측면에 따르면, 상기 서명 데이터 전송부(555)는 무선망 통신부(508)를 통해 통신사서버(400)로 상기 암호화된 서명 데이터를 전송하도록 설정될 수 있다.
The signature data receiving unit 550 receives signature data signed in the USIM 600 through the USIM reader 510 and encrypted using a communication key. The signature data transmission unit 555 transmits the signature data signed in the USIM 600 and encrypted with the communication company key to the communication company server 400. According to an aspect of the present invention, the signature data transmission unit 555 may be configured to transmit the encrypted signature data to the communication company server 400 via the wireless network communication unit 508. [
상기 통신사서버(400)는 상기 무선단말(500)로부터 암호화된 서명 데이터를 수신하고, 이를 관리서버(300)로 전송한다.
The communication company server 400 receives the encrypted signature data from the wireless terminal 500 and transmits the encrypted signature data to the management server 300.
상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 generates the signature data using the signature object data according to the designated signature operation of the certificate applet 620 included in the USIM 600 from the communication company server 400, The encrypted signature data in the USIM 600 is received via the certificate program 515 and the communication company server 400 of the wireless terminal 500 via the communication company key.
본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the communication key in the USIM 600 may include an integrity verification value for the encrypted signature data, A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted by the key can be performed.
상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 confirms the encrypted signature data in the USIM 600 through the communication key and transmits the encrypted signature data to the management server 300 through the encryption decryption module 310, And processes the signature data to decrypt it.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The management server 300 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature process using the customer certificate is performed, A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, (300) confirms the exchanged key value according to the key exchange procedure or compares the generated value according to the same algorithm and procedure as the code generation algorithm of the USIM (600) with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 decrypts the encrypted signature data in the USIM 600 and processes the decrypted signature data again through the encryption decryption module 210 through the financial key.
본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to the method of the present invention, while the process of encrypting the decrypted signature data through the financial key is performed, the management server 300 encrypts the decrypted signature data through the financial key And the integrity authentication value may be included in the signature data encrypted through the financial key.
상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial institution key to the financial company server 200. The financial company server 200 is signed from the management server 300 in the USIM 600 and encrypted in the USIM 600 through the communication company key, and decrypted by the management server 300, And receives the encrypted signature data.
상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted by the management server 300 through the encryption decryption module 210 through the financial company key.
본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial agent key in the management server 300 may include an integrity verification value for the encrypted signature data, A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted by the key can be performed.
상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial agent key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial company server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105, requests authentication of the signature data, and receives the authentication result.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The financial company server 200 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature process using the customer certificate is performed, A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, (200) verifies and compares the exchanged key value according to the key exchange procedure or compares a value generated according to the same algorithm and procedure as the code generation algorithm of the USIM (600) with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a server authentication value for authenticating the reliability of the management server 300, which decrypts the signature data and the encrypted signature data in the USIM 600, And the financial company server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, (200) checks the exchanged key value according to the key exchange procedure or compares the generated value with the key value according to the same algorithm and procedure as the code generation algorithm of the management server (300) can do. Meanwhile, the financial company server 200 and the management server 300 exchange server certificates, and the financial company server 200 authenticates the reliability of the management server 300 using the exchanged server certificates can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 may include a process of authenticating the reliability of the communication channel 300 formed between the management server 300 and the financial company server 200 before or after the signature data is received, And in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.
도면6은 본 발명의 실시 방법에 따른 USIM(600)의 기능 구성을 도시한 도면이다.
FIG. 6 is a functional block diagram of a USIM 600 according to an embodiment of the present invention.
보다 상세하게 본 도면6은 고객 인증서를 통해 서명 대상 데이터를 서명함과 동시에 통신사 키를 통해 서명된 서명 데이터를 암호화하는 USIM(600)의 기능 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면6을 참조 및/또는 변형하여 상기 USIM(600)의 기능에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면6에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
More specifically, FIG. 6 illustrates a functional configuration of the USIM 600 that encrypts signed data signed by a communication key while signing data to be signed through a customer certificate. In the technical field of the present invention, Those skilled in the art will appreciate that various implementations of the functionality of the USIM 600 may be made with reference to and / or modified with respect to FIG. 6, but the present invention includes all such contemplated embodiments , The technical characteristics thereof are not limited only by the method shown in FIG.
상기 USIM(600)은 IC칩(605)이 구비된 SIM 타입의 카드로서, 상기 무선단말(500)의 USIM 리더부(510)와 연결되는 적어도 하나의 접점을 포함하는 입출력 인터페이스(655)와, 적어도 하나의 IC칩용 프로그램코드와 데이터셋트를 저장하는 메모리부(660)와, 상기 입출력 인터페이스(655)와 연결되어 상기 무선단말(500)로부터 전달되는 적어도 하나의 명령에 따라 상기 IC칩용 프로그램코드를 연산하거나 상기 데이터셋트를 추출(또는 가공)하여 상기 입출력 인터페이스(655)로 전달하는 제어부(610)를 구비하며, 본 발명에서 지정된 서명 동작을 수행하는 인증서 애플릿(620)은 상기 IC칩용 프로그램코드의 형태로 메모리부(660)에 저장되고 상기 제어부(610)에 의해 연산된다. 이하, 상기 인증서 애플릿(620)의 기능 구성을 본 제어부(610) 내에 도시하여 설명하기로 한다.
The USIM 600 is an SIM type card having an IC chip 605 and includes an input / output interface 655 including at least one contact connected to the USIM reader 510 of the wireless terminal 500, A memory unit 660 for storing at least one program code and a data set for an IC chip, and a memory unit 660 connected to the input / output interface 655 for storing the program code for the IC chip in accordance with at least one command transmitted from the wireless terminal 500 Output interface 655. The certificate applet 620 for performing a signature operation designated in the present invention includes a program code for the IC chip, And stored in the memory unit 660 and calculated by the controller 610. Hereinafter, the functional configuration of the certificate applet 620 will be described in the control unit 610. FIG.
본 발명에 따르면, 고객 인증서는 상기 메모리부(660)의 DF[F300] 하위의 WEF에 기록된다. 상기 통신사 키는 메모리부(660)의 지정된 WEF에 저장되거나, 또는 SIM 영역에 저장될 수 있다.
According to the present invention, the customer certificate is recorded in the WEF under DF [F300] of the memory unit 660. The communication party key may be stored in the designated WEF of the memory unit 660, or may be stored in the SIM area.
도면6을 참조하면, 상기 메모리부(660)는 MF(Master File)의 하위에 DF(Dedicate File)이 배치되고, DF의 하위에 WEF(Working Element File)이 배치되는 형태로 구현된다. 바람직하게, 고객 인증서는 DF[F300]에 저장될 수 있다. DF[F300] 하위에 배치되는 WEF는 사용자 정보(WEF[F301]), 타입 정보(WEF[F302]), 서명용 비밀키(WEF[F303]), 서명용 인증서(WEF[F304]), 식별번호 생성용 난수(WEF[F305]), 스마트카드 식별정보(WEF[F306])을 포함할 수 있다. 사용자정보는 사용자 관련 정보를 기록하기 위해서 사용되는 52바이트 영역으로 정의되고, 타입 정보는 카드의 구별자 정보로서 12바이트 영역으로 정의되고, 서명용 개인키는 사용자의 서명용 개인키 정보를 기록하기 위해서 사용되는 1560바이트 영역으로 정의되고, 서명용 인증서는 사용자의 서명용 인증서를 기록하기 위해서 사용되는 2080바이트 영역으로 정의되고, 식별번호 생성용 난수는 식별번호를 생성하는데 사용되는 160비트 이상의 안전한 임의의 난수를 저장하기 위해서 사용되는 42바이트 영역으로 정의되고, 스마트카드 식별정보는 6바이트 영역으로 정의될 수 있다.
Referring to FIG. 6, the memory unit 660 includes a DF (Dedicated File) disposed under the MF (Master File) and a WEF (Working Element File) disposed under the DF. Preferably, the customer certificate may be stored in DF [F300]. The WEF, which is placed under DF [F300], is used to generate user information (WEF [F301]), type information (WEF [F302]), signature private key (WEF [F303] (WEF [F305]), and smart card identification information (WEF [F306]). The user information is defined as a 52-byte area used for recording user-related information, the type information is defined as a 12-byte area as the discriminator information of the card, and the signature private key is used for recording the user's private key information for signature And the signature certificate is defined as a 2080-byte area used for recording the signature certificate of the user. The random number for generating the identification number stores a random random number of 160 or more bits used for generating the identification number , And the smart card identification information can be defined as a 6-byte area.
한편 통신사 키는 DF[F400] 하위에 배치되는 WEF로 저장되거나, 또는 실시 방법에 따라 별도의 영역에 저장될 수 있다. 통신사 키가 DF[F400] 하위에 배치되는 경우에 암호화용 비밀키 영역에 저장되거나, 또는 DF[F400] 하위에 배치되는 별도의 WEF를 정의하여 저장될 수 있다.
Meanwhile, the communication company key may be stored in the WEF disposed under the DF [F400], or may be stored in a separate area according to the implementation method. May be stored in the secret key area for encryption in the case where the communication company key is placed under DF [F400], or may be stored by defining a separate WEF placed under DF [F400].
상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부(660) 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information for a customer using a financial transaction in a designated DB, and interacts with the OTA procedure of the customer certificate issuing procedure, the roaming procedure, the communication company key or the certificate applet 620, The customer information using the wireless terminal 500 in which the USIM 600 having the certificate applet 620 storing the communication company key and performing the designated signature operation is detached is checked, And stores identification information for identifying the wireless terminal 500 from which the same USIM 600 is detached. The identification information identifies a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit 660 or the SE of the wireless terminal 500, a key value, and the certificate program 515 The identification value, the identification value uniquely assigned by the server of at least one of the management server 300, the communication server, and the financial service server 200. [
상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial company server 200 confirms the signature target data to be signed using the customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with the transaction procedure do. For example, the signature subject data may include account transfer details that require a customer's electronic signature while performing account transfer.
상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial company server 200 is provided with a certificate applet 620 that processes the verified signature object data to be encrypted through a financial institution key managed by the financial institution, stores a customer certificate and a communication company key, and performs a designated signature operation The identification information identifying the customer-owned wireless terminal 500 in which the USIM 600 is detached is identified.
상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial company server 200 transmits to the designated management server 300 the signature subject data encrypted with the financial company key and the identification information about the customer-owned wireless terminal 500 deviating from the USIM 600.
상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 can communicate with N (N > = 1) financial company servers 200, and receives a signature encrypted with a financial company key from a financial company server 200 that has transmitted signature data among N financial server 200 And receives the identification information for the customer-owned wireless terminal 500, which receives the target data, stores the customer certificate and the communication key, and the USIM 600 equipped with the certificate applet 620 that performs the specified signature operation is detached .
상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 transmits a secure storage medium 215 (for example, at least one of SAM, HSM, and TSM) for storing and managing a financial key provided from N financial server servers 200 according to a designated key exchange procedure And an encryption / decryption module 210 for encrypting or decrypting designated data using N financial keys provided in the secure storage medium 215 according to a designated algorithm, The encrypted signature object data is decrypted through the financial key provided in the secure storage medium 215 by using the encryption / decryption module 210, .
상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(310)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is configured to store at least one of a security storage medium 315 (e.g., SAM, HSM, TSM) for storing and managing a communication key provided from the communication company server 400 (or USIM 600) And an encryption / decryption module 310 for encrypting or decrypting the designated data using a communication key provided in the secure storage medium 315 according to a specified algorithm, The encryption / decryption module 310 processes the encrypted data to be decrypted through the encryption key using the communication key.
상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the communication company key to the communication company server 400. According to the embodiment of the present invention, the management server 300 allows the certificate applet 620 included in the USIM 600, which is detached from the customer-owned wireless terminal 500 corresponding to the identification information, And transmits the command to the communication company server 400 together with the encrypted signature target data.
상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The communication company server 400 receives the encrypted subject data from the management server 300 via the communication company key and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the communication company server 400 receives the command word together with the signature target data encrypted with the communication company key from the management server 300, and provides the command word to the certificate program 515 of the wireless terminal 500 .
상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다.
The certificate program 515 of the wireless terminal 500 receives the signature subject data encrypted with the communication company key from the communication company server 400 and injects it into the USIM 600. At this time, And injects into the USIM 600 an instruction to cause the certificate applet 620 to perform the specified signature operation.
상기 USIM(600)은 상기 무선단말(500)의 USIM 리더부(510)에 삽입된 상태에서 고객 인증서와 통신사 키 및 인증서 애플릿(620)이 기록된 상태를 유지한다.
The USIM 600 maintains a state in which a customer certificate, a communication key and a certificate applet 620 are recorded in a state where the USIM 600 is inserted into the USIM reader 510 of the wireless terminal 500.
도면6을 참조하면, 상기 USIM(600)은, 상기 고객 인증서를 통해 서명 데이터를 생성하고 상기 통신사 키를 통해 서명 데이터를 암호화하는 동작을 수행하기 위한 인증 절차를 수행하는 인증 절차 수행부(625)를 구비할 수 있으며, 실시 방법에 따라 생략되거나, 또는 서명 데이터를 수신하거나 복호화하는 절차에 통합되거나, 또는 서명 데이터를 생성하거나 암호화하는 절차에 통합될 수 있다.
Referring to FIG. 6, the USIM 600 includes an authentication procedure performing unit 625 that performs an authentication procedure for generating signature data through the customer certificate and encrypting the signature data through the communication company key, And may be omitted in accordance with the method of operation, integrated into a procedure for receiving or decoding signature data, or integrated into a procedure for generating or encrypting signature data.
상기 인증 절차 수행부(625)는 상기 고객 인증서를 통해 서명 데이터를 생성하고 상기 통신사 키를 통해 서명 데이터를 암호화하는 동작을 수행하기 위해, 상기 무선단말(500)의 인증서 프로그램(515)으로부터 PIN 값을 수신하고, 상기 수신된 PIN 값의 유효성을 인증하는 절차를 수행할 수 있다.
The authentication procedure execution unit 625 generates signature data through the customer certificate and encrypts the PIN value from the certificate program 515 of the wireless terminal 500 to perform the operation of encrypting the signature data through the communication company key. And authenticate the validity of the received PIN value.
상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)을 통해 상기 금융사서버(200)를 인증하기 위한 금융사 인증정보를 확인하고, 상기 금융사 인증정보를 통해 상기 금융사를 인증할 수 있다. 예를들어, 상기 금융사 인증정보는 지정된 키 교환 절차에 따라 교환된 키 값, 금융사서버(200)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 절차 수행부(625)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다.
The authentication procedure execution unit 625 checks the financial institution authentication information for authenticating the financial institution server 200 through the certificate program 515 of the wireless terminal 500 and authenticates the financial institution through the financial institution authentication information can do. For example, the financial institution authentication information may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm designated by the financial company server 200, The performing unit 625 may verify the validated key value by comparing the key value with the key value according to the same algorithm and procedure as the code generation algorithm, or may verify the validity.
본 발명의 실시 방법에 따르면, 상기 금융사 인증정보는 별도의 채널을 통해 금융사서버(200)로부터 전송된 후 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신되거나, 또는 상기 서명 대상 데이터에 포함되어 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신될 수 있다. 상기 금융사 인증정보가 서명 대상 데이터에 포함되어 수신되는 경우, 상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 서명 대상 데이터를 수신(또는 복호화)하는 시점에 상기 금융사 인증정보에 대한 인증 절차를 수행할 수 있다.
According to the embodiment of the present invention, the financial institution authentication information is transmitted from the financial company server 200 via a separate channel, received via the certificate program 515 of the wireless terminal 500, And may be received via the certificate program 515 of the wireless terminal 500. When the financial institution authentication information is included in the signature subject data, the authentication procedure performing unit 625 performs a process of receiving (or decrypting) the signature subject data from the certificate program 515 of the wireless terminal 500 The authentication procedure for the financial institution authentication information can be performed.
상기 인증 절차 수행부(625)는 상기 무선단말(500)의 상기 인증서 프로그램(515)을 통해 상기 관리서버(300)를 인증하기 위한 관리사 인증정보를 확인하고, 상기 관리사 인증정보를 통해 상기 관리사를 인증할 수 있다. 예를들어, 상기 관리사 인증정보는 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 절차 수행부(625)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다.
The authentication procedure performing unit 625 checks the management server authentication information for authenticating the management server 300 through the certificate program 515 of the wireless terminal 500, You can authenticate. For example, the manager authentication information may include at least one of a key value exchanged according to a designated key exchange procedure, and a key value generated according to a code generation algorithm designated by the management server 300, The performing unit 625 may verify the validated key value by comparing the key value with the key value according to the same algorithm and procedure as the code generation algorithm, or may verify the validity.
본 발명의 실시 방법에 따르면, 상기 관리사 인증정보는 별도의 채널을 통해 관리서버(300)로부터 전송된 후 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신되거나, 또는 상기 서명 대상 데이터에 포함되어 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신될 수 있다. 상기 관리사 인증정보가 서명 대상 데이터에 포함되어 수신되는 경우, 상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 서명 대상 데이터를 수신(또는 복호화)하는 시점에 상기 금융사 인증정보에 대한 인증 절차를 수행할 수 있다.
According to the embodiment of the present invention, the manager authentication information is transmitted from the management server 300 via a separate channel, and then received via the certificate program 515 of the wireless terminal 500, And may be received via the certificate program 515 of the wireless terminal 500. When the supervisor authentication information is included in the signature target data, the authentication procedure performing unit 625 performs a process of receiving (or decrypting) the signature target data from the certificate program 515 of the wireless terminal 500 The authentication procedure for the financial institution authentication information can be performed.
상기 인증 절차 수행부(625)는 고객 인증서를 이용하여 서명 데이터를 생성하고 통신사 키를 이용하여 서명 데이터를 암호화하는 인증서 애플릿(620)이 구비된 상태의 USIM(600)을 전자서명을 처리하는 매체로 인증시키기 위한 USIM(600)에 대한 매체 인증 값을 생성하고, 상기 무선단말(500)의 상기 인증서 프로그램(515)으로 상기 매체 인증 값을 전송하며, 상기 매체 인증 값은 상기 관리서버(300)로 전송되어 인증되거나, 또는 상기 관리서버(300)를 경유하여 금융사서버(200)로 전송되어 인증될 수 있다. 한편 상기 매체 인증 값은 상기 서명 데이터에 포함되어 전송될 수 있다.
The authentication procedure performing unit 625 generates the signature data using the customer certificate, and transmits the USIM 600 having the certificate applet 620, which encrypts the signature data using the communication company key, And transmits the media authentication value to the certificate program 515 of the wireless terminal 500. The media authentication value is transmitted to the management server 300, Or may be transmitted to the financial company server 200 via the management server 300 and authenticated. Meanwhile, the medium authentication value may be included in the signature data and transmitted.
도면6을 참조하면, 상기 USIM(600)은, 상기 무선단말(500)의 인증서 프로그램(515)으로부터 서명 대상 데이터를 수신하는 서명 대상 수신부(630)와, 상기 서명 대상 데이터가 암호화된 경우에 상기 통신사 키를 이용하여 상기 암호화된 서명 대상 데이터를 복호화하는 서명 대상 복호부(635)를 구비한다.
6, the USIM 600 includes a signature target receiving unit 630 that receives signature target data from the certificate program 515 of the wireless terminal 500, And a signature subject decryption unit 635 for decrypting the encrypted signature subject data using the communication company key.
상기 서명 대상 수신부(630)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 고객 인증서를 통해 서명 처리할 서명 대상 데이터를 수신한다. 본 발명의 실시 방법에 따르면, 상기 서명 대상 수신부(630)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하도록 요청하는 명령어를 수신한다.
The signature receiver 630 receives signature data to be signed through the client certificate from the certificate program 515 of the wireless terminal 500. According to the embodiment of the present invention, the signature receiver 630 generates a signature value of the signature data using the customer certificate from the certificate program 515 of the wireless terminal 500, And receives a command requesting to encrypt the signature data including the generated signature value.
본 발명의 실시 방법에 따르면, 상기 서명 대상 데이터는 지정된 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 지정된 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 데이터를 포함할 수 있다.
According to an embodiment of the present invention, the signature target data is encrypted in the financial company server 200 through a financial company key provided in the specified financial company server 200, decrypted by the designated management server 300, Lt; / RTI > may include encrypted data via the Internet.
상기 서명 대상 수신부(630)를 통해 수신된 서명 대상 데이터가 암호화된 경우, 상기 서명 대상 복호부(635)는 상기 메모리부(660)에 저장된 통신사 키를 이용하여 상기 암호화된 서명 대상 데이터를 복호화한다. 본 발명의 실시 방법에 따르면, 상기 USIM(600)에는 상기 메모리부(660)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비할 수 있으며, 상기 서명 대상 복호부(635)는 상기 암복호 모듈(615)을 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리할 수 있다.
When the signature subject data received through the signature subject receiver 630 is encrypted, the signature subject decryption unit 635 decrypts the encrypted signature subject data using the communication subject key stored in the memory unit 660 . According to an embodiment of the present invention, the USIM 600 may include an encryption / decryption module 615 for encrypting or decrypting designated data using a communication key provided in the memory unit 660 according to a specified algorithm. And the signature subject decryption unit 635 may process the encrypted signature subject data to be decrypted through the encryption decryption module 615. [
도면6을 참조하면, 상기 USIM(600)은, 상기 고객 인증서를 통해 상기 서명 대상 데이터에 대한 서명 데이터를 생성하는 서명 처리부(640)와, 상기 통신사 키를 이용하여 상기 생성된 서명 데이터를 암호화하는 서명 데이터 암호부(645)와, 상기 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 데이터를 전송하는 서명 데이터 전송부(650)를 구비한다.
Referring to FIG. 6, the USIM 600 includes a signature processing unit 640 for generating signature data for the signature target data through the customer certificate, a signature processing unit 640 for encrypting the generated signature data using the communication company key A signature data encryption unit 645 and a signature data transmission unit 650 for transmitting the encrypted signature data to the certificate program 515 of the wireless terminal 500.
상기 서명 처리부(640)는 상기 서명 대상 수신부(630)를 통해 수신된 서명 대상 데이터, 또는 상기 서명 대상 복호부(635)를 통해 복호화된 서명 대상 데이터를 확인하고, 상기 고객 인증서에 대응하는 서명용 키 값을 이용하여 지정된 전자서명 알고리즘(예컨대, RSA 알고리즘 또는 ECDSA 알고리즘)에 따라 상기 서명 대상 데이터를 서명하여 서명 값을 생성한다. 여기서, 서명 값이란 상기 전자서명 알고리즘에 의해 생성되는 값이다.
The signature processing unit 640 checks the signature subject data received through the signature subject receiver 630 or the signature subject data decrypted through the signature subject decryption unit 635 and transmits the signature key corresponding to the customer certificate (E. G., An RSA algorithm or an ECDSA algorithm) to generate a signature value by signing the signature target data. Here, the signature value is a value generated by the digital signature algorithm.
상기 서명 처리부(640)는 상기 전자서명 알고리즘에 지정된 서명 값을 생성하기 위한 옵션 값을 적용할 수 있으며, 상기 옵션 값에 따라 상기 서명 값에는 상기 서명 값의 유효성을 인증하기 위한 서명 검증 키가 포함될 수 있다.
The signature processing unit 640 may apply an option value for generating a signature value specified in the digital signature algorithm, and the signature value includes a signature verification key for authenticating the validity of the signature value according to the option value .
상기 서명 처리부(640)는 상기 서명 값을 포함하는 서명 데이터를 생성한다. 상기 서명 값이 지정된 전자서명문 형태로 생성되는 경우, 상기 생성된 서명 값이 서명 데이터일 수 있다. 한편 상기 생성되는 서명 값이 지정된 전자서명문 형태가 아닌 경우, 상기 서명 처리부(640)는 상기 서명 값을 지정된 전자서명문 형태로 가공하여 서명 데이터를 생성할 수 있다.
The signature processing unit 640 generates signature data including the signature value. If the signature value is generated in the form of a designated digital signature statement, the generated signature value may be signature data. On the other hand, when the generated signature value is not the designated digital signature type, the signature processing unit 640 can generate the signature data by processing the signature value into the designated digital signature type.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 지정된 전자서명문 형태(예컨대, [PKCS7], [RFC2630] 등)를 준용하면서 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있다.
According to the method of the present invention, the signature data is transmitted to the USIM 600 in which the digital signature process using the customer certificate is performed while applying the designated digital signature type (e.g., [PKCS7], [RFC2630] A media authentication value for authentication may be included.
상기 서명 데이터 암호부(645)는 상기 메모리부(660)에 저장된 통신사 키를 이용하여 상기 생성된 서명 데이터를 암호화한다. 본 발명의 실시 방법에 따르면, 상기 USIM(600)에는 상기 메모리부(660)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비할 수 있으며, 상기 서명 데이터 암호부(645)는 상기 암복호 모듈(615)을 통해 상기 서명 데이터가 암호화되도록 처리할 수 있다.
The signature data encryption unit 645 encrypts the generated signature data using a communication key stored in the memory unit 660. According to an embodiment of the present invention, the USIM 600 may include an encryption / decryption module 615 for encrypting or decrypting designated data using a communication key provided in the memory unit 660 according to a specified algorithm. And the signature data encryption unit 645 can process the signature data to be encrypted through the encryption / decryption module 615. [
상기 서명 데이터 전송부(650)는 상기 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 데이터를 전송한다. 상기 암호화된 서명 데이터는 상기 무선단말(500)의 인증서 프로그램(515)을 거쳐 지정된 통신사서버(400)(또는 관리서버(300))로 전송될 수 있는 전송채널 구조로 전송될 수 있다. 이 경우에 상기 무선단말(500)의 인증서 프로그램(515)은 상기 암호화된 서명 데이터를 전송채널 구조로 가공하지 않고도 상기 암호화된 서명 데이터를 지정된 통신사서버(400)(또는 관리서버(300))로 전송할 수 있다.
The signature data transmission unit 650 transmits the encrypted signature data to the certificate program 515 of the wireless terminal 500. The encrypted signature data may be transmitted in a transport channel structure that can be transmitted to the designated communication company server 400 (or the management server 300) via the certificate program 515 of the wireless terminal 500. In this case, the certificate program 515 of the wireless terminal 500 may transmit the encrypted signature data to the designated communication company server 400 (or the management server 300) without processing the encrypted signature data into the transmission channel structure Lt; / RTI >
무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600)으로부터 암호화된 서명 데이터를 수신하고, 이를 통신사서버(400)로 전송한다. 상기 통신사서버(400)는 상기 무선단말(500)로부터 암호화된 서명 데이터를 수신하고, 이를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data from the USIM 600 and transmits it to the communication company server 400. The communication company server 400 receives the encrypted signature data from the wireless terminal 500 and transmits the encrypted signature data to the management server 300.
상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 generates the signature data using the signature object data according to the designated signature operation of the certificate applet 620 included in the USIM 600 from the communication company server 400, The encrypted signature data in the USIM 600 is received via the certificate program 515 and the communication company server 400 of the wireless terminal 500 via the communication company key.
본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the communication key in the USIM 600 may include an integrity verification value for the encrypted signature data, A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted by the key can be performed.
상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 confirms the encrypted signature data in the USIM 600 through the communication key and transmits the encrypted signature data to the management server 300 through the encryption decryption module 310, And processes the signature data to decrypt it.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The management server 300 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature process using the customer certificate is performed, A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, (300) confirms the exchanged key value according to the key exchange procedure or compares the generated value according to the same algorithm and procedure as the code generation algorithm of the USIM (600) with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 decrypts the encrypted signature data in the USIM 600 and processes the decrypted signature data again through the encryption decryption module 210 through the financial key.
본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to the method of the present invention, while the process of encrypting the decrypted signature data through the financial key is performed, the management server 300 encrypts the decrypted signature data through the financial key And the integrity authentication value may be included in the signature data encrypted through the financial key.
상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial institution key to the financial company server 200. The financial company server 200 is signed from the management server 300 in the USIM 600 and encrypted in the USIM 600 through the communication company key, and decrypted by the management server 300, And receives the encrypted signature data.
상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted by the management server 300 through the encryption decryption module 210 through the financial company key.
본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial agent key in the management server 300 may include an integrity verification value for the encrypted signature data, A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted by the key can be performed.
상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial agent key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial company server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105, requests authentication of the signature data, and receives the authentication result.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of the digital signature procedure performed through the certificate applet 620 of the USIM 600. [ For example, if 'INCLUDE_KEY_HASH' is applied to the option of the signature function called in the certificate applet 620, the signature data may include a signature verification key of the digital signature procedure performed within the USIM 600. The financial company server 200 may perform a procedure for authenticating the signature verification key included in the signature data.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature process using the customer certificate is performed, A procedure for authenticating the medium authentication value included in the data can be performed. For example, the media authentication value may include at least one of a key value exchanged according to a designated key exchange procedure, a key value generated according to a code generation algorithm specified in the USIM 600, (200) verifies and compares the exchanged key value according to the key exchange procedure or compares a value generated according to the same algorithm and procedure as the code generation algorithm of the USIM (600) with the key value to authenticate the validity . Meanwhile, the procedure for authenticating the authenticity of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.
본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the embodiment of the present invention, the signature data may include a server authentication value for authenticating the reliability of the management server 300, which decrypts the signature data and the encrypted signature data in the USIM 600, And the financial company server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, (200) checks the exchanged key value according to the key exchange procedure or compares the generated value with the key value according to the same algorithm and procedure as the code generation algorithm of the management server (300) can do. Meanwhile, the financial company server 200 and the management server 300 exchange server certificates, and the financial company server 200 authenticates the reliability of the management server 300 using the exchanged server certificates can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 may include a process of authenticating the reliability of the communication channel 300 formed between the management server 300 and the financial company server 200 before or after the signature data is received, And in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.
도면7은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 선택 및 요청 과정을 도시한 도면이다.
FIG. 7 is a diagram illustrating a USIM-based digital signature selection and request process according to an embodiment of the present invention.
보다 상세하게 본 도면7은 금융사서버(200)에서 거래 절차를 수행하는 중에 고객 소유 무선단말(500)에 이탈착되는 USIM(600) 내부에 구비된 고객 인증서를 이용하여 서명하고 상기 USIM(600) 내부에 구비된 통신사 키를 이용하여 서명 데이터를 암호화하는 방식의 USIM 기반 전자서명을 선택하여 요청하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면7을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 선택 및 요청 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면7에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면7은 본 발명에 따른 USIM 기반 전자서명을 위해 금융사서버(200)에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 선택 및 요청 과정을 위주로 도시 및 설명하기로 한다. 본 도면7에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
FIG. 7 is a flowchart illustrating the operation of the USIM 600 according to an exemplary embodiment of the present invention. Referring to FIG. 7, the USIM 600 is signed using a customer certificate provided in the USIM 600 detached from the customer- 7 is a flowchart illustrating a process of selecting and requesting a USIM-based digital signature of a method for encrypting signature data using a communication company key provided in the present invention. As a person skilled in the art, (E.g., omitting some steps or changing the order) of the USIM-based digital signature selection and request process, the present invention can be applied to all of the above- And the technical features thereof are not limited only by the method shown in FIG. For convenience, FIG. 7 illustrates various key exchange and authentication procedures to be performed in the financial company server 200 for the USIM-based electronic signature according to the present invention. I will explain. The authentication procedure omitted in FIG. 7 for convenience will be described with reference to FIGS. 2 to 6.
도면7을 참조하면, 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 금융사서버(200)로 전자서명이 필요한 거래(예컨대, 금융거래, 지급결제 등)를 요청하고(700), 상기 금융사서버(200)는 상기 요청된 거래 절차를 수행하면서 상기 요청된 거래가 성립되기 위해 전자서명 절차가 수행되어야 하는지 확인한다(705). 만약 상기 요청된 거래가 성립되기 위해 전자서명이 필요하다면, 상기 금융사서버(200)는 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)로 전자서명 절차를 수행할 인증서가 구비된 위치를 선택하도록 요청하고(710), 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 인증서 위치를 선택한다(715).
Referring to FIG. 7, a mobile terminal 500 having a customer terminal 100 or a USIM 600 requests a transaction (for example, financial transaction, payment settlement, etc.) requiring an electronic signature to the financial institution server 200 700), the financial company server 200 checks whether the digital signature procedure should be performed in order to establish the requested transaction while performing the requested transaction procedure (705). If a digital signature is required to establish the requested transaction, the financial company server 200 has a certificate to perform the digital signature procedure to the customer terminal 100 or the wireless terminal 500 equipped with the USIM 600 The mobile terminal 500 having the customer terminal 100 or the USIM 600 selects the certificate location (715).
상기 금융사서버(200)는 상기 선택된 인증서 위치가 고객 소유 무선단말(500)에 구비된 USIM(600)인지 확인한다(720). 만약 상기 선택된 인증서 위치가 상기 USIM(600)이 아니라면, 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 상기 선택된 인증서 위치에 저장된 고객 인증서를 이용하여 전자서명 절차를 수행한다(725).
The financial company server 200 determines whether the selected certificate location is a USIM 600 provided in the customer-owned wireless terminal 500 (operation 720). If the selected certificate location is not the USIM 600, the wireless terminal 500 having the customer terminal 100 or the USIM 600 performs an electronic signature procedure using the customer certificate stored at the selected certificate location (725).
한편 상기 선택된 인증서 위치가 상기 USIM(600)으로 확인되면, 상기 금융사서버(200)는 상기 거래 절차와 연동하여 상기 USIM(600)을 통해 서명할 서명 대상 데이터를 확인하고(730), 금융사 키를 통해 서명 대상 데이터를 암호화하고(735), 상기 서명 대상 데이터의 서명 및 암호화를 처리할 USIM(600)이 구비된 고객 소유 무선단말(500)의 식별 정보를 확인한 후(740), 지정된 관리서버(300)로 상기 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말(500)의 식별 정보를 전송한다(745).
Meanwhile, if the selected certificate location is confirmed by the USIM 600, the financial company server 200 checks the signature subject data to be signed through the USIM 600 in cooperation with the transaction procedure (730) (740), checks the identification information of the customer-owned wireless terminal (500) provided with the USIM (600) for processing the signature and encryption of the signature target data (740) 300) and the identification information of the customer-owned wireless terminal 500 (745).
도면8은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 요청을 중계하는 과정을 도시한 도면이다.
FIG. 8 is a diagram illustrating a process of relaying a USIM-based digital signature request according to an embodiment of the present invention.
보다 상세하게 본 도면8은 관리서버(300)에서 N개의 금융사서버(200) 중 제n 금융사서버(200)로부터 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하여 복호화한 후 M개의 통신사 중 USIM(600)을 구비한 고객 소유 무선단말(500)이 가입된 제m 통신사의 제m 통신사 키로 상기 복호화된 서명 대상 데이터를 다시 암호화하여 상기 통신사서버(400)로 전송하면, 통신사서버(400)가 상기 암호화된 서명 대상 데이터를 USIM(600)을 구비한 고객 소유 무선단말(500)로 전송하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면8을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 요청 중계 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면8에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면8은 본 발명에 따른 USIM 기반 전자서명을 위해 관리서버(300) 및/또는 통신사서버(400) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 요청 중계 과정을 위주로 도시 및 설명하기로 한다. 본 도면8에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
More specifically, in FIG. 8, the management server 300 receives and decrypts the signature target data encrypted by the nth financial institution key 200 from the nth financial company server 200 among the N financial server 200, When the customer-owned wireless terminal 500 having the USIM 600 re-encrypts the decrypted signature target data with the mth communication company key of the mth communication company to which the customer's owned wireless terminal 500 is subscribed and transmits the encrypted data to the communication company server 400, And transmits the encrypted signature target data to the customer-owned wireless terminal 500 having the USIM 600. Those skilled in the art will appreciate that FIG. It is possible to refer to and / or modify the various methods (for example, omitting some steps or changing the order) for the USIM-based digital signature request relay process, All the methods to be inferred are included, and the technical features thereof are not limited only by the method shown in FIG. For convenience, FIG. 8 illustrates a key exchange and authentication procedure to be performed in the management server 300 and / or the communication company server 400 for the USIM-based digital signature according to the present invention, The request relaying process will be mainly described and explained. The authentication procedure omitted in FIG. 8 will be described with reference to FIGS. 2 to 6.
도면8을 참조하면, 관리서버(300)는 N개의 금융사서버(200) 중 상기 도면7에 도시된 과정을 통해 USIM 기반 전자서명을 요청한 제n 금융사서버(200)로부터 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말(500)의 식별 정보를 수신한다(800).
Referring to FIG. 8, the management server 300 receives, from the n-th financial server 200 requesting the USIM-based digital signature through the process shown in FIG. 7 among the N financial server 200, The encrypted signature subject data and the identification information of the customer-owned wireless terminal 500 are received (800).
상기 관리서버(300)는 상기 암호화된 서명 대상 데이터를 제n 금융사 키를 통해 복호화한다(805). 상기 관리서버(300)는 M개의 통신사 중 상기 식별 정보에 대응하는 제m 통신사를 확인하고(810), 상기 암호화된 서명 대상 데이터가 복호화됨과 동시에, 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터를 다시 암호화하고(815), 상기 식별 정보에 대응하는 무선단말(500)의 USIM(600)으로 하여금 상기 서명 대상 데이터를 서명함과 동시에 암호화하는 동작을 수행하게 하는 명령어를 확인한 후(820), 제m 통신사서버(400)로 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 무선단말(500)의 식별 정보 및 상기 동작 수행을 위한 명령어(생략 가능)를 전송한다(825).
The management server 300 decrypts the encrypted signature subject data through the nth financial institution key (805). The management server 300 identifies an mth communication company corresponding to the identification information among M communication companies (810), and at the same time when the encrypted signature target data is decrypted, the management server 300 transmits the decrypted signature target data (815), confirms (820) a command for causing the USIM (600) of the wireless terminal (500) corresponding to the identification information to perform an operation of signing and encrypting the signature target data, (825) the signature subject data encrypted with the mth communication company key, the identification information of the wireless terminal 500, and an instruction (optional) for performing the operation, to the mth communication company server 400.
상기 통신사서버(400)는 상기 관리서버(300)로부터 자사의 통신사 키를 통해 암호화된 서명 대상 데이터와 무선단말(500)의 식별 정보 및 명령어(생략 가능)를 수신한다(830). 한편 실시 방법에 따라 상기 명령어는 상기 통신사서버(400)에서 확인될 수 있다.
The communication company server 400 receives the signature subject data encrypted with the communication server key from the management server 300 and the identification information and the command (optional) of the wireless terminal 500 (830). Meanwhile, the command may be verified by the communication company server 400 according to the method of operation.
상기 통신사서버(400)는 상기 식별 정보를 이용하여 전자서명 절차를 수행할 USIM(600)의 유효성을 인증하거나 및/또는 상기 USIM(600)을 구비한 무선단말(500)의 유효성을 인증한다(835). 만약 상기 유효성이 인증되지 않으면, 상기 통신사서버(400)는 관리서버(300)로 USIM 기반 서명 오류를 전송하고(845), 상기 관리서버(300)는 금융사서버(200)로 상기 USIM 기반 서명 오류를 전송한다(850).
The communication company server 400 authenticates the validity of the USIM 600 to perform the digital signature procedure using the identification information and / or the validity of the wireless terminal 500 having the USIM 600 835). If the validity is not authenticated, the communication company server 400 transmits a USIM-based signature error to the management server 300 (845), and the management server 300 transmits the USIM-based signature error (850).
한편 상기 유효성이 인증되지 않으면, 상기 통신사서버(400)는 상기 식별 정보에 대응하는 무선단말(500)로 상기 통신사 키를 통해 암호화된 서명 데이터와 명령어(생략 가능)를 전송한다(840).
If the validity is not authenticated, the communication company server 400 transmits the encrypted signature data and the command (optional) to the wireless terminal 500 corresponding to the identification information (840).
도면9는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 및 암호화 과정을 도시한 도면이다.
FIG. 9 is a diagram illustrating a USIM-based digital signature and encryption process according to an embodiment of the present invention.
보다 상세하게 본 도면9는 무선단말(500)의 인증서 프로그램(515)의 요청에 따라 USIM(600) 내부에서 고객 인증서를 통해 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 동시에 통신사 키로 암호화하여 전송하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면9를 참조 및/또는 변형하여 상기 USIM 기반 전자서명 및 암호화 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면9에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면9는 본 발명에 따른 USIM 기반 전자서명을 위해 통신사서버(400), 무선단말(500) 및 USIM(600) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 및 암호화 과정을 위주로 도시 및 설명하기로 한다. 본 도면9에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 9 shows signature data to be signed through the customer certificate in the USIM 600 according to a request of the certificate program 515 of the wireless terminal 500 to generate signature data, 9 is a flowchart illustrating a process of encrypting and decrypting a digital signature according to an exemplary embodiment of the present invention. Referring to FIG. 9, The present invention may be embodied in all of the above-described embodiments, and the technical features of the present invention are not limited only by the method shown in FIG. For convenience, FIG. 9 shows a key exchange and authentication procedure to be performed in the communication company server 400, the wireless terminal 500, and the USIM 600 for the USIM-based digital signature according to the present invention, Based digital signature and encryption process will be mainly shown and explained. The authentication procedure omitted in FIG. 9 for convenience will be described with reference to FIGS. 2 to 6.
도면9를 참조하면, 무선단말(500)의 인증서 프로그램(515)은 상기 도면8에 도시된 과정을 통해 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 데이터를 수신하고(900), USIM(600) 내부 서명 및 암호화 동작을 위한 명령어를 수신하거나(900), 또는 상기 명령어를 내부적으로 결정한다(900).
9, the certificate program 515 of the wireless terminal 500 receives (900) the encrypted signature data from the communication company server 400 through the process shown in FIG. 8 through the communication key, 600) receives an internal signature and encryption operation command (900), or internally determines (900) the command.
상기 무선단말(500)의 인증서 프로그램(515)은 상기 무선단말(500)에 이탈착되는 USIM(600)이 상기 명령어를 근거로 상기 서명 대상 데이터에 대한 전자서명 및 암호화 처리를 수행할 수 있는지 상기 USIM(600)에 대한 유효성을 인증한다(905).
The certificate program 515 of the wireless terminal 500 determines whether the USIM 600 detached from the wireless terminal 500 can perform digital signature and encryption processing on the signature subject data based on the command And validates the validity of the USIM 600 (905).
만약 상기 USIM(600)의 유효성이 인증되지 않으면, 상기 무선단말(500)의 인증서 프로그램(515)은 통신사서버(400)로 USIM 기반 서명 오류를 전송하고(910), 상기 통신사서버(400)는 상기 USIM 기반 서명 오류를 수신하여(910) 관리서버(300)를 경유하여 금융사서버(200)로 전송한다.
If the validity of the USIM 600 is not authenticated, the certificate program 515 of the wireless terminal 500 transmits a USIM-based signature error to the communication company server 400 (910), and the communication company server 400 And receives the USIM-based signature error (910) and transmits it to the financial company server (200) via the management server (300).
한편 상기 USIM(600)의 유효성이 인증되면, 상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 명령어를 USIM(600)으로 주입하고(915), 상기 USIM(600)은 상기 무선단말(500)의 인증서 프로그램(515)으로부터 통신사 키를 통해 암호화된 서명 대상 데이터와 명령어를 USIM(600)으로 수신한다(920).
Meanwhile, when the validity of the USIM 600 is authenticated, the certificate program 515 of the wireless terminal 500 injects (915) the signature target data and the command encrypted through the communication key into the USIM 600, The USIM 600 receives the encrypted signature data and the command from the certificate program 515 of the wireless terminal 500 via the communication company key in the USIM 600 (920).
상기 USIM(600)은 상기 암호화된 서명 대상 데이터를 통신사 키를 통해 복호화하고(925), 고객 인증서를 이용하여 상기 복호화된 서명 대상 데이터를 서명하여 지정된 전자서명문 형태의 서명 데이터를 생성한다(930). 상기 USIM(600)은 통신사 키를 통해 상기 서명 데이터를 암호화하고(935), 상기 통신사 키를 통해 암호화된 서명 데이터를 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다(940).
The USIM 600 decrypts the encrypted signature target data through a communication key (925), generates signature data in the form of a designated digital signature statement by signing the decrypted signature target data using the customer certificate (930 ). The USIM 600 encrypts (935) the signature data via a communication key, and transmits the encrypted signature data via the communication key to the certificate program 515 of the wireless terminal 500 (940).
상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600)으로부터 상기 통신사 키를 통해 암호화된 서명 데이터를 수신하고(945), 상기 통신사서버(400)로 상기 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 전송한다(950).
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data from the USIM 600 through the communication key and transmits the encrypted signature data to the communication company server 400 in the USIM 600, And transmits the signature data signed through the certificate and encrypted through the communication key (950).
상기 통신사서버(400)는 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 수신하고(955), 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 관리서버(300)로 전송한다(960).
The communication company server 400 receives (955) the signature data encrypted in the USIM 600 through the customer certificate and encrypted using the communication company key, and transmits the signed and encrypted signature data in the USIM 600 to the management server (960).
도면10은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 인증 과정을 도시한 도면이다.
FIG. 10 is a diagram illustrating a USIM-based digital signature authentication process according to an embodiment of the present invention.
보다 상세하게 본 도면10은 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 인증하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면10을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 인증 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면10에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면10은 본 발명에 따른 USIM 기반 전자서명을 위해 관리서버(300), 금융사서버(200) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 인증 과정을 위주로 도시 및 설명하기로 한다. 본 도면10에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 10 illustrates a process of authenticating signature data that is signed by a customer certificate in the USIM 600 and encrypted using a communication company key, and a person skilled in the art , It may be possible to refer to and / or modify the FIG. 10 to various implementations of the USIM-based digital signature authentication process (e.g., omitting some steps or changing the order) All the methods to be inferred are included, and the technical features thereof are not limited only by the method shown in FIG. For convenience, FIG. 10 shows a key exchange and authentication procedure to be performed in the management server 300, the financial company server 200, and the like for the USIM-based digital signature according to the present invention, As shown in FIG. The authentication procedure omitted in FIG. 10 will be described with reference to FIGS. 2 to 6.
도면10을 참조하면, 관리서버(300)는 M개의 통신사서버(400) 중 상기 도면9 도시된 과정을 수행한 제m 통신사서버(400)로부터 무선단말(500)의 USIM(600) 내부에서 서명되고 제m 통신사 키를 통해 암호화된 서명 데이터를 수신한다(1000).
Referring to FIG. 10, the management server 300 receives, from the m-th communication company server 400 performing the process shown in FIG. 9, among M communication company servers 400, And receives the encrypted signature data through the issuer key (1000).
상기 관리서버(300)는 상기 암호화된 서명 데이터를 제m 통신사 키를 통해 복호화(1005)함과 동시에, 상기 복호화된 서명 데이터를 제n 금융사 키를 통해 다시 암호화하고(1010), 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송한다(1015).
The management server 300 decrypts the encrypted signature data through the mth communication company key and re-encrypts the decrypted signature data through the nth financial company key (1010) And transmits the signature data encrypted by the key to the nth financial institution server 200 (1015).
제n 금융사에 해당하는 금융사서버(200)는 상기 관리서버(300)로부터 금융사 키를 통해 암호화된 서명 데이터를 수신하고(1020), 상기 암호화된 서명 데이터를 금융사 키를 통해 복호화하고(1025), 상기 복호화된 서명 데이터에 대한 인증 절차를 수행한다(1030).
The financial company server 200 corresponding to the nth financial institution receives the encrypted signature data from the management server 300 through the financial company key 1020, decrypts the encrypted signature data through the financial company key 1025, And performs an authentication procedure for the decrypted signature data (1030).
만약 상기 복호화된 서명 데이터가 인증되지 않으면, 상기 금융사서버(200)는 거래를 요청한 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)로 USIM 기반 서명 오류를 전송하고(1035), 상기 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)은 상기 USIM 기반 서명 오류를 수신하여 출력한다(1035).
If the decrypted signature data is not authenticated, the financial company server 200 transmits a USIM-based signature error to the customer terminal 100 requesting the transaction or the wireless terminal 500 having the USIM 600 (1035) , The wireless terminal 500 having the customer terminal 100 or the USIM 600 receives and outputs the USIM-based signature error (1035).
한편 상기 복호화된 서명 데이터가 인증되면, 상기 금융사서버(200)는 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)로부터 요청된 거래 절차에 대한 거래가 성립된 것으로 인증하고, 상기 성립된 거래 절차의 나머지 절차를 수행하며(1040), 상기 거래를 요청한 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)은 상기 금융사서버(200)로부터 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 이용한 거래 절차를 수행한 거래 결과를 수신하여 출력한다(1045).
Meanwhile, when the decrypted signature data is authenticated, the financial company server 200 authenticates that the transaction for the requested transaction procedure is established from the customer terminal 100 or the wireless terminal 500 having the USIM 600, The mobile terminal 500 having the customer terminal 100 or the USIM 600 requesting the transaction performs the remaining procedure of the established transaction procedure from the financial server 200 to the inside of the USIM 600 And receives and outputs the transaction result of performing the transaction procedure using the signed and encrypted signature data (1045).
100 : 고객단말 200 : 금융사서버
300 : 관리서버 400 : 통신사서버
405 : 서명 대상 수신부 410 : 정보 관리부
415 : 정보 인증부 420 : 서명 대상 중계부
425 : 서명 데이터 수신부 430 : 서명 데이터 중계부
500 : 무선단말 600 : USIM100: customer terminal 200: financial company server
300: Management server 400:
405: signature subject receiver 410: information manager
415: information authentication unit 420: signature subject relay unit
425: Signature data receiving section 430: Signature data relay section
500: wireless terminal 600: USIM
Claims (10)
지정된 관리서버로부터 금융사서버에 구비된 금융사 키를 통해 상기 금융사서버 내에서 암호화된 후 상기 관리서버에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말을 식별하는 식별 정보를 수신하는 제1 단계;
상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 암호화된 서명 대상 데이터를 전송하는 제2 단계;
상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로부터 상기 무선단말의 USIM(Universal Subscriber Identity Module)에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 통신사 키를 통해 상기 USIM에 내에서 암호화된 서명 데이터를 수신하는 제3 단계; 및
상기 암호화된 서명 데이터를 상기 관리서버로 전송하는 제4 단계;를 포함하는 통신사의 유심기반 전자서명 처리 방법.
A method for processing a digital signature of a communication company executed in a communication company server,
Encrypted by the management server in the financial company server through a financial company key provided in a financial company server provided from a designated management server, and again encrypted with the communication company key and identification information for identifying the customer-owned wireless terminal ;
A second step of transmitting the encrypted signature target data to the certificate program of the wireless terminal corresponding to the identification information;
And a communication unit which is generated using the signature object data according to a designated signature operation of a certificate applet provided in a USIM (Universal Subscriber Identity Module) of the wireless terminal from a certificate program of the wireless terminal corresponding to the identification information, A third step of receiving the encrypted signature data in the USIM via the second step; And
And transmitting the encrypted signature data to the management server.
서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
2. The method of claim 1,
Generating signature values of the signature target data using a customer certificate according to a received command and encrypting signature data including the generated signature value using a communication company key, Based on the result of the analysis.
고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿이 구비된 USIM이 이탈착되고, 상기 인증서 애플릿으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램이 구비된 무선단말을 식별하는 T(T≥1)개의 식별 정보를 저장하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
The method according to claim 1,
A USIM having a certificate applet storing a customer certificate and a communication key and performing a specified signing operation is detached, a T (")" identifying a wireless terminal equipped with a certificate program causing the certificate applet to perform the specified signing operation T > = 1) pieces of identification information.
상기 T개의 식별 정보가 저장된 경우,
상기 관리서버로부터 수신된 식별 정보가 상기 T개의 식별 정보에 속한 제t(1≤t≤T) 식별 정보인지 인증하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
3. The method of claim 2,
If the T pieces of identification information are stored,
Further comprising the step of authenticating whether the identification information received from the management server is t (1? T? T) identification information belonging to the T identification information.
상기 제1 단계는, 상기 고객 소유 무선단말에 이탈착되는 USIM에 구비된 인증서 애플릿으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하는 단계를 포함하고,
상기 제2 단계는, 상기 제t 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 명령어를 전송하는 단계를 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
The method according to claim 1,
The first step includes receiving a command for causing a certificate applet provided in a USIM detached from the customer-owned wireless terminal to perform a specified signature operation,
Wherein the second step comprises transmitting the command to the certificate program of the wireless terminal corresponding to the t-th identification information.
상기 USIM의 인증서 애플릿을 통해 상기 서명 대상 데이터를 RSA 알고리즘과 ECDSA 알고리즘 중 적어도 하나를 통해 서명한 서명 값을 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
2. The method according to claim 1,
And a sign value signed by at least one of an RSA algorithm and an ECDSA algorithm through the certificate applet of the USIM.
상기 USIM의 인증서 애플릿을 통해 수행된 전자서명 절차의 서명 검증 키를 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
2. The method according to claim 1,
And a signature verification key of an electronic signature procedure performed through the certificate applet of the USIM.
상기 통신사 키를 암호 키로 이용하여 상기 USIM 내부에서 암호화되거나,
상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM 내부에서 암호화되거나,
상기 통신사 키를 근거로 USIM과 통신사서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되거나,
상기 통신사 키를 근거로 USIM과 관리서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되는 것 중, 적어도 하나를 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
2. The method according to claim 1, wherein the signature data encrypted through the communication company key includes:
Encrypted in the USIM using the communication company key as an encryption key,
Encrypted in the USIM through a cryptographic key generated using the communication company key,
A key value exchanged between the USIM and the communication company server based on the communication company key is used as an encryption key,
And a key value exchanged between the USIM and the management server based on the communication company key is encrypted in the USIM using the encryption key as an encryption key.
상기 통신사 키를 이용하여 USIM 내에서 수행된 암호화의 무결성 검증 값을 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
2. The method according to claim 1, wherein the signature data encrypted through the communication company key includes:
And the integrity verification value of the encryption performed in the USIM using the communication company key.
상기 관리서버에 의해 복호화되고 다시 금융사 키를 통해 암호화되는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
2. The method according to claim 1, wherein the signature data encrypted through the communication company key includes:
And decrypting the encrypted digital signature by the management server and encrypting the decrypted digital signature by the management server.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130100290A KR102078319B1 (en) | 2013-08-23 | 2013-08-23 | Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130100290A KR102078319B1 (en) | 2013-08-23 | 2013-08-23 | Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20150023150A true KR20150023150A (en) | 2015-03-05 |
KR102078319B1 KR102078319B1 (en) | 2020-04-03 |
Family
ID=53020693
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130100290A KR102078319B1 (en) | 2013-08-23 | 2013-08-23 | Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102078319B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220021522A1 (en) * | 2020-07-20 | 2022-01-20 | Fujitsu Limited | Storage medium, relay device, and communication method |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070051817A (en) * | 2007-04-27 | 2007-05-18 | 주식회사 아이캐시 | The credit card payment system without authorization using mobile commerce celluar phone in internet electronic commerce |
KR100858146B1 (en) * | 2007-02-21 | 2008-09-10 | 주식회사 케이티프리텔 | Method for personal authentication using mobile and subscriber identify module and device thereof |
KR101087215B1 (en) * | 2009-04-08 | 2011-11-29 | 신동현 | USIM direct paying system in mobile phone, direct paying method and storage medium of its method |
KR101103189B1 (en) * | 2009-09-14 | 2012-01-04 | 사단법인 금융결제원 | System and Method for Issueing Public Certificate of Attestation using USIM Information and Recording Medium |
KR101138283B1 (en) * | 2010-04-22 | 2012-04-24 | 비씨카드(주) | Method and system of mobile payment |
-
2013
- 2013-08-23 KR KR1020130100290A patent/KR102078319B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100858146B1 (en) * | 2007-02-21 | 2008-09-10 | 주식회사 케이티프리텔 | Method for personal authentication using mobile and subscriber identify module and device thereof |
KR20070051817A (en) * | 2007-04-27 | 2007-05-18 | 주식회사 아이캐시 | The credit card payment system without authorization using mobile commerce celluar phone in internet electronic commerce |
KR101087215B1 (en) * | 2009-04-08 | 2011-11-29 | 신동현 | USIM direct paying system in mobile phone, direct paying method and storage medium of its method |
KR101103189B1 (en) * | 2009-09-14 | 2012-01-04 | 사단법인 금융결제원 | System and Method for Issueing Public Certificate of Attestation using USIM Information and Recording Medium |
KR101138283B1 (en) * | 2010-04-22 | 2012-04-24 | 비씨카드(주) | Method and system of mobile payment |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20220021522A1 (en) * | 2020-07-20 | 2022-01-20 | Fujitsu Limited | Storage medium, relay device, and communication method |
Also Published As
Publication number | Publication date |
---|---|
KR102078319B1 (en) | 2020-04-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10595201B2 (en) | Secure short message service (SMS) communications | |
US20220417230A1 (en) | Managing credentials of multiple users on an electronic device | |
US11521194B2 (en) | Trusted service manager (TSM) architectures and methods | |
JP5508428B2 (en) | Key distribution method and system | |
US20190251561A1 (en) | Verifying an association between a communication device and a user | |
US20190165947A1 (en) | Signatures for near field communications | |
CN111404706A (en) | Application downloading method, secure element, client device and service management device | |
CN111709747A (en) | Intelligent terminal authentication method and system | |
Bolhuis | Using an NFC-equipped mobile phone as a token in physical access control | |
KR102076313B1 (en) | Method for Processing Electronic Signature based on Universal Subscriber Identity Module of Mobile Device | |
KR102078319B1 (en) | Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator | |
KR102149313B1 (en) | Method for Processing Electronic Signature based on Universal Subscriber Identity Module | |
KR20150023144A (en) | Method for Processing Electronic Signature by using Universal Subscriber Identity Module | |
KR102193696B1 (en) | Method for Providing Safety Login based on One Time Code by using User’s Card | |
KR102149315B1 (en) | Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Financial Institution | |
KR101505735B1 (en) | Method for Authenticating Near Field Communication Card by using Time Verification | |
KR102358598B1 (en) | Method for Processing Two Channel Authentication by using Contactless Media | |
KR101628614B1 (en) | Method for Processing Electronic Signature by using Secure Operating System | |
KR20130126127A (en) | User authentication method using rf local area network communication | |
KR101513435B1 (en) | Method for Protecting Key Input, and Device for Key Input Protection | |
KR101513434B1 (en) | Method and Module for Protecting Key Input | |
KR20150066664A (en) | Method for Providing Multi-Channel Authentication by using Chip Module | |
KR20150066653A (en) | Method for Providing Multi-Channel Authentication by using One Time Code Card |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |