KR20170050906A - Authentication device, program for controlling authentication between a mobile communication device and recording media for the program - Google Patents
Authentication device, program for controlling authentication between a mobile communication device and recording media for the program Download PDFInfo
- Publication number
- KR20170050906A KR20170050906A KR1020150153029A KR20150153029A KR20170050906A KR 20170050906 A KR20170050906 A KR 20170050906A KR 1020150153029 A KR1020150153029 A KR 1020150153029A KR 20150153029 A KR20150153029 A KR 20150153029A KR 20170050906 A KR20170050906 A KR 20170050906A
- Authority
- KR
- South Korea
- Prior art keywords
- terminal
- authentication
- key
- message
- public key
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
본 발명은 모바일 환경에서의 인증 기술에 관한 것으로, 더욱 상세하게는, 단말에 탑재되는 유심(USIM)의 암호화 기술을 기반으로 별도의 개인정보를 이용하지 않고도 단말 간의 인증을 수행하기 위한 방안에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to an authentication technology in a mobile environment, and more particularly to a technology for performing authentication between terminals without using personal information based on encryption technology of a USIM will be.
최근 모바일 단말(이하, 단말)의 기능이 향상됨에 따라 사용자는 단말을 이용하여 단말간의 통화 및 메시지 전송과 같은 통신서비스를 이용하는 것 이외에도 전자결제, 스마트 뱅킹(smart banking), 증권 거래, 소액결제 등과 같은 금융관련거래를 처리하기도 한다.In recent years, as a function of a mobile terminal (hereinafter referred to as a terminal) has been improved, a user can use a communication service such as communication and message transmission between terminals using a terminal, It also handles the same financial transactions.
즉, 모바일 환경에서 다양한 서비스를 이용할 수 있도록 다양한 애플리케이션(이하, 앱)이 제공되고 있으며, 사용자는 자유롭게 원하는 앱을 단말에 설치하여 해당 서비스를 이용하게 되는 것이다.That is, various applications (hereinafter referred to as "apps") are provided so that various services can be used in a mobile environment, and a user freely installs desired apps in a terminal and uses the services.
이처럼, 다양한 앱을 자유롭게 설치할 수 있는 모바일 환경(예: Open OS)에서는 앱을 통해 송수신되는 메시지(예: SMS, MMS 등)의 변조 및 탈취가 용이함에 따라 해킹 피해 역시 급속히 증가하고 있다.In this way, hacking damage is also rapidly increasing due to the ease of modifying and taking out messages (eg SMS, MMS) transmitted and received through the app in a mobile environment (eg, Open OS) where various applications can be freely installed.
대표적인 해킹 피해의 예로서 스미싱(Smishing)을 들 수 있는데, 스미싱(Smishing)은, 메시지(SMS)와 피싱(Phishing)의 합성어로 메시지를 이용한 새로운 모바일 해킹 기법이다.An example of a typical hacking damage is smishing, which is a new mobile hacking technique that uses messages as a compound word of message (SMS) and phishing.
이러한 문제를 해소하기 위해, 메시지의 보안이 강화될 수 있도록 사용자가 별도의 앱을 설치하여 공개키(PKI, Public Key Infrastructure) 방식에 따라 전자 서명된 메시지를 상대방으로 전송하고, 상대방의 비밀키(Private Key)로 복호화(decrypt)하여 메시지를 확인하는 방안이 제안되기도 하였다.In order to solve this problem, in order to enhance the security of the message, a user installs a separate application and transmits an electronically signed message according to a public key (PKI) scheme to the other party, Private key) to decrypt the message and confirm the message.
그러나, 공개키(PKI) 방식을 이용하여 메시지의 보안을 강화하기 위해서는 별도의 앱을 설치해야 하며, 별도로 설치된 앱을 통해 자신의 개인정보를 이용하여 사용자 인증을 위한 개인키와 비밀키를 미리 생성해야만 하는 번거로운 절차를 수행해야만 한다.However, in order to enhance the security of the message by using the public key (PKI) method, a separate application must be installed, and a private key and a secret key for user authentication are previously created You have to do the cumbersome procedure that you have to do.
이에, 메시지의 보안을 강화하기 위해 별도의 앱을 설치하여 개인정보를 입력하지 않고도 단말 간의 인증을 수행하여 안전하게 메시지를 제공하기 위한 기술이 요구된다.Accordingly, there is a need for a technology for providing a secure message by authenticating between terminals without installing a separate app to input a personal information in order to enhance the security of the message.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 모바일 환경에서의 인증 기술과 관련하여, 단말에 탑재되는 유심(USIM)의 암호화 기술을 기반으로 개인정보를 이용하지 않고도 단말 간의 인증을 수행함으로써, 메시지가 해킹되더라도 인증되지 않은 단말에서는 메시지의 내용이 확인되지 않도록 보안이 강화된 메시지 서비스를 제공하는 데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and it is an object of the present invention to provide a mobile communication system and a mobile communication method using personal information based on encryption technology of a USIM The present invention provides a message service with enhanced security so that the content of a message can not be confirmed at an unauthenticated terminal even if a message is hacked by performing authentication between terminals.
또한, 본 발명의 해결하려는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.Further, it is to be understood that the present invention is not limited to the above-mentioned embodiments, and other and further objects which are not mentioned can be clearly understood by those skilled in the art from the following description .
상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 인증장치는, 메시지를 송수신하는 제1 단말과 제2 단말의 전처리정보를 생성하는 전처리정보생성부; 상기 제1 단말의 전처리정보 및 상기 제2 단말의 전처리정보 중 적어도 하나를 기반으로 상기 단말 간의 인증을 위한 인증키를 생성하는 인증키생성부; 및 상기 인증키를 이용하여 상기 제1 단말과 상기 제2 단말 간의 인증을 수행하는 인증부를 포함하는 것을 특징으로 한다.According to a first aspect of the present invention, there is provided an authentication apparatus comprising: a preprocessing information generating unit for generating preprocessing information of a first terminal and a second terminal transmitting and receiving a message; An authentication key generation unit for generating an authentication key for authentication between the terminals based on at least one of the preprocessing information of the first terminal and the preprocessing information of the second terminal; And an authentication unit that performs authentication between the first terminal and the second terminal using the authentication key.
상기 제1 단말에 탑재되는 제1 유심(USIM)의 고유식별자를 기반으로 상기 제1 단말의 제1 공개키 및 제1 비밀키가 생성되며, 상기 제2 단말에 탑재되는 제2 유심(USIM)의 고유식별자를 기반으로 상기 제2 단말의 제2 공개키 및 제2 비밀키가 생성되는 것을 특징으로 한다.A first public key and a first secret key of the first terminal are generated based on a unique ID of a first USIM loaded on the first terminal, a second USIM is loaded on the second terminal, The second public key and the second private key of the second terminal are generated based on the unique identifier of the second terminal.
상기 제1 단말과 관련되는 서비스서버에 상기 제1 단말의 사용자정보와, 상기 제1 공개키 및 상기 제1 비밀키가 매칭되어 저장되며, 상기 제2 단말과 관련되는 서비스서버에 상기 제2 단말의 사용자정보와, 상기 제2 공개키 및 상기 제2 비밀키가 매칭되어 저장되는 것을 특징으로 한다.Wherein the service server associated with the first terminal stores user information of the first terminal, the first public key, and the first secret key in a matching manner and stores the same in a service server associated with the second terminal, And the second public key and the second private key are matched and stored.
상기 제1 단말로부터 상기 제2 단말로 상기 메시지를 전송할 것이 요청되어, 상기 제1 단말의 전처리정보가 상기 제1 공개키를 기반으로 생성되며, 상기 제2 단말의 전처리정보가 상기 제2 공개키를 기반으로 생성되면, 상기 인증키생성부는, 상기 제1 비밀키와 상기 제2 공개키를 이용하여 암호화를 위한 제1 인증키를 생성하며, 상기 제2 비밀키와 상기 제1 공개키를 이용하여 복호화를 위한 제2 인증키를 생성하는 것을 특징으로 한다.Wherein the pre-processing information of the first terminal is generated based on the first public key, and the preprocessing information of the second terminal is transmitted to the second terminal The authentication key generating unit generates a first authentication key for encryption using the first secret key and the second public key, and uses the second secret key and the first public key And generates a second authentication key for decryption.
상기 인증부는, 상기 제1 인증키를 이용하여 상기 메시지를 암호화하여 보안메시지가 생성되는 경우, 상기 보안메시지가 상기 제2 인증키를 이용하여 복호화 가능하면 상기 제1 단말과 상기 제2 단말 사이의 인증이 성공한 것으로 판단하는 것을 특징으로 한다.Wherein the authentication unit encrypts the message using the first authentication key to generate a security message, and when the security message can be decrypted using the second authentication key, It is determined that the authentication is successful.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 컴퓨터 판독 가능 기록매체는, 메시지를 송수신하는 제1 단말과 제2 단말의 전처리정보를 생성하는 전처리정보생성단계; 상기 제1 단말의 전처리정보 및 상기 제2 단말의 전처리정보 중 적어도 하나를 기반으로 상기 단말 간의 인증을 위한 인증키를 생성하는 인증키생성단계; 및 상기 인증키를 이용하여 상기 제1 단말과 상기 제2 단말 간의 인증을 수행하는 인증수행단계를 수행하는 명령어를 포함하는 것을 특징으로 한다.According to a second aspect of the present invention, there is provided a computer readable recording medium including: a preprocessing information generating step of generating preprocessing information of a first terminal and a second terminal for transmitting and receiving a message; An authentication key generation step of generating an authentication key for authentication between the terminals based on at least one of the preprocessing information of the first terminal and the preprocessing information of the second terminal; And performing an authentication step of performing authentication between the first terminal and the second terminal using the authentication key.
상기 제1 단말에 탑재되는 제1 유심(USIM)의 고유식별자를 기반으로 상기 제1 단말의 제1 공개키 및 제1 비밀키가 생성되며, 상기 제2 단말에 탑재되는 제2 유심(USIM)의 고유식별자를 기반으로 상기 제2 단말의 제2 공개키 및 제2 비밀키가 생성되는 명령어를 포함하는 것을 특징으로 한다.A first public key and a first secret key of the first terminal are generated based on a unique ID of a first USIM loaded on the first terminal, a second USIM is loaded on the second terminal, And generating a second public key and a second secret key of the second terminal based on the unique identifier of the second terminal.
상기 제1 단말과 관련되는 서비스서버에 상기 제1 단말의 사용자정보와, 상기 제1 공개키 및 상기 제1 비밀키가 매칭되어 저장되며, 상기 제2 단말과 관련되는 서비스서버에 상기 제2 단말의 사용자정보와, 상기 제2 공개키 및 상기 제2 비밀키가 매칭되어 저장되는 명령어를 포함하는 것을 특징으로 한다.Wherein the service server associated with the first terminal stores user information of the first terminal, the first public key, and the first secret key in a matching manner and stores the same in a service server associated with the second terminal, And the second public key and the second private key are matched with each other.
상기 제1 단말로부터 상기 제2 단말로 상기 메시지를 전송할 것이 요청되어, 상기 제1 단말의 전처리정보가 상기 제1 공개키를 기반으로 생성되며, 상기 제2 단말의 전처리정보가 상기 제2 공개키를 기반으로 생성되면, 상기 인증키생성단계는, 상기 제1 비밀키와 상기 제2 공개키를 이용하여 암호화를 위한 제1 인증키를 생성하는 단계; 및 상기 제2 비밀키와 상기 제1 공개키를 이용하여 복호화를 위한 제2 인증키를 생성하는 단계를 수행하는 명령어를 포함하는 것을 특징으로 한다.Wherein the pre-processing information of the first terminal is generated based on the first public key, and the preprocessing information of the second terminal is transmitted to the second terminal Generating the first authentication key for encryption using the first secret key and the second public key when the authentication key is generated based on the first secret key and the second public key; And generating a second authentication key for decryption using the second secret key and the first public key.
상기 인증수행단계는, 상기 제1 인증키를 이용하여 상기 메시지를 암호화하여 보안메시지가 생성되는 경우, 상기 보안메시지가 상기 제2 인증키를 이용하여 복호화 가능하면 상기 제1 단말과 상기 제2 단말 사이의 인증이 성공한 것으로 판단하는 단계를 수행하는 명령어를 포함하는 것을 특징으로 한다.Wherein the authentication step comprises the steps of: when the security message is generated by encrypting the message using the first authentication key, if the security message can be decrypted using the second authentication key, And a step of determining that authentication between the first and second terminals is successful.
이에, 본 발명의 인증장치, 및 단말 간의 인증을 위한 프로그램 및 그 프로그램이 기록된 컴퓨터 판독 가능 기록매체에 의하면, 모바일 환경에서의 인증 기술과 관련하여, 단말에 탑재되는 유심(USIM)의 암호화 기술을 기반으로 개인정보를 이용하지 않고도 단말 간의 인증을 수행함으로써, 메시지가 해킹되더라도 인증되지 않은 단말에서는 메시지의 내용이 확인되지 않도록 보안이 강화된 메시지 서비스를 제공할 수 있는 효과가 성취된다.Thus, according to the authentication apparatus of the present invention and the program for authentication between terminals and the computer-readable recording medium on which the program is recorded, with respect to the authentication technology in the mobile environment, encryption technology of USIM It is possible to provide a message service with enhanced security so that the contents of a message can not be confirmed in an unauthenticated terminal even if the message is hacked.
도 1은 본 발명의 바람직한 실시예에 따른 인증장치가 적용될 통신 환경을 보여주는 예시도이다.
도 2는 본 발명의 바람직한 실시예에 따른 유심(USIM)의 생산단계에서 인증서(Key Pair)가 생성되는 과정의 일례를 나타내는 예시도이다.
도 3은 본 발명의 바람직한 실시예에 따른 인증장치의 구성을 보여주는 블록도이다.
도 4는 본 발명의 바람직한 실시예에 따른 인증장치에서 보안메시지를 송수신하는 동작 흐름도이다.1 is an exemplary diagram illustrating a communication environment to which an authentication apparatus according to a preferred embodiment of the present invention is applied.
FIG. 2 is a diagram illustrating an example of a process of generating a key pair in a production step of a USIM according to a preferred embodiment of the present invention.
3 is a block diagram illustrating a configuration of an authentication apparatus according to a preferred embodiment of the present invention.
4 is a flowchart illustrating an operation of transmitting and receiving a security message in an authentication apparatus according to a preferred embodiment of the present invention.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 대하여 설명한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.
먼저, 도 1을 참조하여 본 발명의 실시예가 적용될 통신 환경을 설명하도록 하겠다.First, a communication environment to which the embodiment of the present invention is applied will be described with reference to FIG.
도 1에 도시된 바와 같이, 본 발명이 적용될 통신 환경은, 단말(100), 인증장치(200) 및 서비스서버(300)를 포함할 수 있다.1, the communication environment to which the present invention is applied may include a
단말(100)은, 상대방과의 통화를 시도(발신)하거나 또는 상대방으로부터 시도되는 통화를 수신(착신)하는 등 기본적인 통화 서비스를 이용할 수 있는 디바이스로서, 유선 단말일 수도 있고 무선 단말일 수도 있다.The
물론, 단말(100)은, 기본적인 통화 서비스 외에도, 메시지(예: SMS, MMS 등)를 발/착신하는 등의 메시지 서비스와, 데이터 다운로드 및 정보 검색 등의 데이터 서비스를 이용할 수도 있다.Of course, the
이때, 단말(100)에는 유심(USIM, Universal Subscriber Identity Module)이 탑재되며, 유심(USIM)에는 통신회선에 가입한 단말(100)이 구분될 수 있도록 고유식별자가 할당되게 된다.At this time, a Universal Subscriber Identity Module (USIM) is loaded in the
인증장치(200)는, 단말(100)에 탑재되는 유심(USIM)의 암호화 기술을 기반으로 별도의 개인정보를 이용하지 않고도 단말 간의 인증을 수행하기 위한 장치로서, 특히 본 발명에서 제공하고자 하는 서비스 즉 단말 간의 인증이 성공한 경우에만 메시지의 내용의 내용이 확인되도록 보안이 강화된 메시지 제공을 위한 인증 서비스를 제공하기 위한 장치이다.The
이러한 인증장치(200)는, 예를 들어 단말(100)에 탑재되는 유심(USIM)을 관리하기 위한 USAT(USIM Application Toolkit)일 수 있으며, 단말(100) 내부에 기본으로 탑재된 또는 별도 다운로드 과정을 거쳐 추가로 탑재된 애플리케이션이거나, 이러한 애플리케이션과 연동하는 프로그램에 의해 구현될 수 있다.The
결국, 본 발명에서 제안하는 인증 서비스는, 메시지 보안을 위해 별도의 애플리케이션을 설치하여 개인정보를 입력하는 번거로운 과정을 수행하지 않고도, 단말(100)에 탑재되는 유심(USIM)과 USAT(USIM Application Toolkit)를 이용하여 단말 간의 인증이 성공한 경우에만 메시지의 내용의 내용이 확인되도록 보안메시지를 제공할 수 있는 새로운 개념의 서비스이다.As a result, the authentication service proposed in the present invention can be implemented using a USIM (USIM) and a USIM (USIM Application Toolkit) installed in the
서비스서버(300)는, 단말(100)에 대하여 기본적인 통화 서비스 외에도, 다양한 부가서비스를 제공하기 위한 서버로서, 특히 본 발명에서는 통신회선에 가입한 단말(100)이 구분될 수 있도록 단말(100)에 탑재되는 유심(USIM)의 생산을 관리하며, 유심(USIM)의 고유식별자를 기반으로 생성되는 인증서(Key Pair)(예: 공개키, 비밀키)를 사용자정보와 매칭하여 인증 서비스가 제공되도록 하기 위한 인증기관으로 동작한다.The
본 발명에서는 서비스서버(300)가 유심(USIM) 생산단계에서 인증서(Key Pair)(예: 공개키, 비밀키)가 발급되도록 하기 위한 인증기관(CA, Certificate Authority)인 것으로 언급하였으나, 이 외에도 베리사인(Verisign) 등과 같은 제3 의 기관이 인증기관(CA)일 될 수 있음은 물론이다.In the present invention, the
이와 관련하여, 도 2에는 본 발명의 바람직한 실시예에 따른 인증 서비스를 제공을 위해 유심(USIM)의 생산단계에서 인증서(Key Pair)(예: 공개키, 비밀키)가 생성되는 과정의 일례를 보여주고 있다.2 illustrates an example of a process of generating a key pair (e.g., a public key and a secret key) in a production step of a USIM to provide an authentication service according to a preferred embodiment of the present invention .
도 2에 도시된 바와 같이, 본 발명의 일 실시예에 따른 서비스서버(300)는, 단말(100)의 주요 보안 수단인 유심(USIM)의 생산단계에서 공개키(PKI, Public Key Infrastructure) 방식에 필요한 인증서(Key Pair)(예: 공개키, 비밀키)가 생성되도록 제어하는 기능을 수행한다.2, the
이하에서는, 공개키(PKI) 방식의 알고리즘으로 ECC(Elliptic Curve Cryptosystem) 기반의 키 분배 알고리즘인 ECDH(Elliptic Curve Diffie-Hellman) 알고리즘을 이용하는 것으로 언급하여 설명하도록 하겠다.Hereinafter, an Elliptic Curve Diffie-Hellman (ECDH) algorithm, which is a key distribution algorithm based on an ECC (Elliptic Curve Cryptosystem), is used as an algorithm of a public key (PKI) scheme.
즉, 서비스서버(300)는, 유심(USIM)을 생산하는 제조공장(400)으로 인증서(Key Pair)(예: 공개키, 비밀키)의 발급을 요청한다.That is, the
이처럼 인증서(Key Pair)(예: 공개키, 비밀키)의 발급이 요청되면, 제조공장(400)의 양산 프로세스에 의해 유심(USIM)의 인증서(410)(Key Pair)(예: 공개키, 비밀키)가 자동으로 생성되게 된다.When the issuance of a key pair (e.g., a public key or a secret key) is requested, a certificate 410 (Key Pair) (e.g., public key, Secret key) is automatically generated.
결국, 양산 프로세스에 의해 유심(USIM) 별로 고유식별자가 할당되면, 유심(USIM)에 탑재된 애플릿(Applet)에 의해 유심(USIM)의 고유식별자를 기반으로 ECDH 알고리즘에 필요한 공개키(PK, Public Key) 및 비밀키(SK, Secret Key)가 생성되는 것이다.If a unique identifier is assigned to each USIM by the mass production process, a public key (PK, Public) required for the ECDH algorithm based on the unique identifier of the USIM is generated by an applet mounted on the USIM, Key and a secret key (SK, Secret Key) are generated.
여기서, 애플릿(Applet)은, 유심(USIM)의 전반적인 동작을 제어하는 기능을 수행하게 되며, 특히 본 발명에서는 유심(USIM)의 고유식별자를 기반으로 ECDH 알고리즘에 필요한 공개키(PK) 및 비밀키(SK)를 생성하는 기능을 수행한다. 이때, 유심(USIM)의 고유식별자는, 유심 시리얼번호(ICCID, Integrate Circuit Card Identity, or the SIM card's ID number)일 수 있다.Here, the applet functions to control the overall operation of the USIM. Particularly, in the present invention, a public key (PK) necessary for the ECDH algorithm based on a unique identifier of a USIM (USIM) (SK). In this case, the unique identifier of the USIM may be an ICCID, an integrated circuit card identity, or a SIM card's ID number.
이에, 유심(USIM)의 생산단계에서, 인증서(410)로서 할당된 공개키(PK) 및 비밀키(SK)와, 통신사인 서비스서버(300)의 인증서(MNOC, MNO Certificate)(420)가 발급되게 된다.Accordingly, at the production stage of the USIM, the public key PK and the private key SK assigned as the
전술과 같이 양산 프로세스에 의해 유심(USIM)의 생산이 완료되면, 서비스서버(300)에서 제공하는 통신회선에 새롭게 가입하려는 단말에 탑재될 수 있도록 대리점(500)으로 분배되게 된다. When production of the USIM is completed by the mass production process as described above, the production is distributed to the
만일, 제1 단말(100a) 및 제2 단말(100b)이 서비스서버(300)에서 제공하는 통신회선에 새롭게 가입하려는 경우, 대리점(500)에서는, 제1 단말(100a)에 제1 유심(500a)을 탑재하여 서비스 개통을 수행한 후 제1 단말(100a)이 제1 유심(500a)에 의해 개통되었음을 전산에 입력하여 저장하게 된다. 동일하게, 제2 단말(100b)에 제2 유심(500b)을 탑재하여 서비스 개통을 수행한 후 제2 단말(100b)이 제2 유심(500b)에 의해 개통되었음을 전산에 입력하여 저장하게 된다.If the
이때, 대리점(500)으로부터 전산을 통해 입력된 정보는 모두 서비스서버(300)의 데이터베이스(DB)에 저장되게 되므로, 서비스서버(300)는, 데이터베이스(DB)에 저장된 정보에 기초하여 통신회선에 새롭게 가입한 제1 단말(100a)에 제1 유심(500a)이 탑재되었으며, 제2 단말(100b)에 제2 유심(500b)이 탑재되었음을 확인할 수 있게 되는 것이다.At this time, all the information input through the
이후, 서비스서버(300)는, 제1 단말(100a)의 사용자정보에 제1 유심(500a)의 고유식별자를 매칭하여 저장하며, 제2 단말(100b)의 사용자정보에 제2 유심(500b)의 고유식별자를 매칭하여 저장한다.The
여기서, 사용자정보는, 서비스서버(300)에서 제공하는 통신회선에 가입하는 과정에서 생성되는 모든 정보를 포함할 수 있으며, 예를 들어 단말의 식별정보(ID), 전화번호, 주소, 이름, 성별, 생년월일 등이 포함될 수 있다.Here, the user information may include all information generated in the process of subscribing to the communication line provided by the
결국, 서비스서버(300)는, 제1 유심(500a)의 생산단계에서 선 발급된 제1 공개키 및 제1 비밀키를 제1 단말(100a)의 사용자정보와 매칭하여 저장하게 되며, 제2 유심(500b)의 생산단계에서 선 발급된 제2 공개키와 제2 비밀키를 제2 단말(100b)의 사용자정보와 매칭하여 저장하게 되는 것이다.As a result, the
이후, 서비스서버(300)는, 보안메시지를 송수신해야 하는 상황이 발생하게 되면, 단말 별로 매칭하여 저장된 공개키 및 비밀키를 인증장치(200)와 공유하게 된다. Thereafter, the
전술과 같이 유심(USIM)의 생산단계 및 서비스 개통단계에서 유심(USIM)의 고유식별자를 기반으로 ECDH 알고리즘에 필요한 공개키(PK) 및 비밀키(SK)가 생성 및 등록되어 통신회선의 가입자에 대한 사용자 인증이 완료됨에 따라, 메시지의 보안 강화를 위해 불필요한 사용자 인증절차를 수행하는 과정을 생략할 수 있게 되는 것이다.A public key PK and a secret key SK required for the ECDH algorithm are generated and registered on the basis of the unique identifier of the USIM in the production phase and the service opening phase of the USIM as described above, As a result, the process of performing unnecessary user authentication procedures for enhancing the security of the message can be omitted.
이하에서는, 전술에 따라 유심(USIM)의 고유식별자를 기반으로 생성된 공개키(PK) 및 비밀키(SK)를 이용하여 메시지의 보안 강화를 위한 인증 서비스를 제공하는 인증장치(200)의 구성에 대하여 보다 구체적으로 설명하도록 하겠다. Hereinafter, a configuration of an
본 발명의 인증장치(200)의 구성은 동일하므로, 보안메시지를 전송하는 제1 단말(100a)의 측면에서의 동작과, 보안메시지를 수신하는 제2 단말(100b)의 측면에서의 동작을 구분하여 설명하도록 하겠다.Since the configuration of the
도 3은 본 발명의 바람직한 실시예에 따른 인증장치의 구성을 나타낸다. 도 3에서는 동일한 통신사인 서비스서버(300)에 가입한 제1 단말(100a) 및 제2 단말(100b) 간의 인증을 수행하는 것으로 언급하여 설명하도록 하겠다.3 shows a configuration of an authentication apparatus according to a preferred embodiment of the present invention. 3, authentication between the
도 3에 도시한 바와 같이, 본 발명의 일 실시예에 따른 인증장치(200)는, 메시지를 송수신하는 제1 단말(100a)과 제2 단말(100b)의 전처리정보를 생성하는 전처리정보생성부(210), 제1 단말(100a)의 전처리정보 및 제2 단말(100b)의 전처리정보 중 적어도 하나를 기반으로 단말 간의 인증을 위한 인증키를 생성하는 인증키생성부(220), 및 인증키를 이용하여 제1 및 제2 단말(100a, 100b) 간의 인증을 수행하는 인증부(230)를 포함하는 구성을 가질 수 있다.3, the
또한, 인증장치(200)는, 메시지를 송수신하는 과정에서 생성되는 모든 정보(예: 전처리정보, 비밀키, 공개키, 인증키 등)를 저장하는 저장부(240)를 더 포함하는 구성을 가질 수 있다.The
이상의 전처리정보생성부(210), 인증키생성부(220), 인증부(230) 및 저장부(240)를 포함하는 인증장치(200)의 전체 구성 내지는 적어도 일부는 소프트웨어 모듈 또는 하드웨어 모듈 형태로 구현되거나, 또는 소프트웨어 모듈과 하드웨어 모듈이 조합된 형태로도 구현될 수 있다.The entire configuration or at least a part of the
결국, 본 발명이 일 실시예에 따른 인증장치(200)는 위 구성들을 통해 단말에 탑재되는 유심(USIM)의 암호화 기술을 기반으로 개인정보를 이용하지 않고도 단말 간의 인증을 수행함으로써, 메시지가 해킹되더라도 인증되지 않은 단말에서는 메시지의 내용이 확인되지 않도록 보안이 강화된 메시지 서비스를 제공할 수 있는 데, 이하에서는 이를 위한 인증장치(200) 내 각 구성에 대해 구체적으로 설명하기로 한다.As a result, the
전처리정보생성부(210)는, 메시지를 송수신하는 제1 단말(100a)과 제2 단말(100b)의 전처리정보를 생성하는 기능을 한다.The preprocessing
보다 구체적으로, 전처리정보생성부(210)는, 제1 단말(100a)이 메시지를 암호화하여 보안이 강화된 메시지(이하, 보안메시지)를 제2 단말(100b)로 전송하려는 경우, 제1 단말(100a)로부터 보안메시지를 제2 단말(100b)로 전송할 것을 요청하는 전송요청명령을 수신하게 된다.More specifically, when the
이처럼 요청 명령이 수신되면, 전처리정보생성부(210)는, 보안메시지의 송수신을 위한 전처리 과정을 수행하게 된다.When the request command is received, the preprocessing
먼저, 보안메시지를 전송하는 제1 단말(100a)의 측면에서 전처리정보를 생성하는 과정에 대하여 설명하도록 하겠다. First, the process of generating the preprocessing information on the side of the
전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC)와, 제1 단말(100a)의 사용자정보에 매칭하여 저장된 제1 공개키(PK1) 및 제1 비밀키(SK1)를 확인한다.The preprocessing
이와 관련하여, 전술에서도 살펴보았듯이, 제1 단말(100a)에 탑재되는 제1 유심(USIM)의 고유식별자를 기반으로 제1 공개키(PK1) 및 제1 비밀키(SK1)가 생산단계에서 선 발급되게 되며, 제1 단말(100a)의 사용자정보에 매칭되어 서비스서버(300)에 저장되게 되므로, 전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC), 제1 공개키(PK1) 및 제1 비밀키(SK1)를 확인할 수 있게 되는 것이다. In this regard, as described above, the first public key PK1 and the first secret key SK1 are generated based on the unique identifier of the first wormhole (USIM) mounted on the
이후, 전처리정보생성부(210)는, 제2 단말(100b)로 보안메시지를 전송하기 위해 제1 단말(100a)의 제1 공개키(PK1) 및 통신사의 인증서(MNOC)를 포함하는 제1 단말(100a)의 전처리정보를 생성한다.The preprocessing
이때, 제1 단말(100a)의 전처리정보는, 메시지 형태로 아래와 같이 전송될 수 있다.At this time, the preprocessing information of the
A: 제1 단말(100a)의 전처리정보 = [제1 공개키(PK1) + 시그니처(Signature){통신사의 인증서(MNOC) + 제1 공개키(PK1)}]A: Pre-processing information of the
이후, 전처리정보생성부(210)는, 제1 명령(Send SMS USAT command)을 통하여 제1 단말(100a)의 전처리정보를 제2 단말(100b)로 전송한다.Then, the preprocessing
다음으로, 보안메시지를 수신하는 제2 단말(100b)의 측면에서 전처리정보를 생성하는 과정에 대하여 설명하도록 하겠다.Next, the process of generating the preprocessing information on the side of the
전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC)와, 제2 단말(100b)의 사용자정보에 매칭하여 저장된 제2 공개키(PK2) 및 제2 비밀키(SK2)를 확인한다.The preprocessing
이와 관련하여, 전술에서도 살펴보았듯이, 제2 단말(100b)에 탑재되는 제2 유심(USIM)의 고유식별자를 기반으로 제2 공개키(PK2) 및 제2 비밀키(SK2)가 생산단계에서 선 발급되게 되며, 제2 단말(100b)의 사용자정보에 매칭되어 서비스서버(300)에 저장되게 되므로, 전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC), 제2 공개키(PK2) 및 제2 비밀키(SK2)를 확인할 수 있게 되는 것이다.In this regard, as described above, the second public key PK2 and the second private key SK2 are generated based on the unique identifier of the second wormhole (USIM) mounted on the second terminal 100b The preprocessing
이처럼, 제1 단말(100a)의 전처리정보가 제2 단말(100b)로 전송되면, 전처리정보생성부(210)는, 제2 단말(100b)의 제2 공개키(PK2), 및 통신사의 인증서(MNOC)를 포함하는 제2 단말(100b)의 전처리정보를 생성한다.When the preprocessing information of the
이때, 제2 단말(100b)의 전처리정보는, 메시지 형태로 아래와 같이 전송될 수 있다.At this time, the preprocessing information of the
B: 제2 단말(100b)의 전처리정보 = [제2 공개키(PK2) + 시그니처(Signature){통신사의 인증서(MNOC) + 제2 공개키(PK2)}]B: pre-processing information of the
이후, 전처리정보생성부(210)는, 제2 명령(Send SMS USAT command)을 통하여 제2 단말(100b)의 전처리정보를 제1 단말(100a)로 전송한다.Then, the preprocessing
이처럼 제1 단말(100a)의 전처리정보와 제2 단말(100b)의 전처리정보의 전처리정보의 교환이 완료되면, 전처리정보생성부(210)는, 전처리 과정의 수행이 완료되었음을 인증키생성부(220)로 알린다.When the exchange of the pre-processing information of the
인증키생성부(220)는, 제1 단말(100a)의 전처리정보 및 제2 단말(100b)의 전처리정보 중 적어도 하나를 기반으로 단말 간의 인증을 위한 인증키를 생성하는 기능을 한다.The authentication
먼저, 보안메시지를 전송하는 제1 단말(100a)의 측면에서 인증키를 생성하는 과정에 대하여 설명하도록 하겠다. First, a process of generating an authentication key on the side of a first terminal 100a transmitting a security message will be described.
보다 구체적으로, 인증키생성부(220)는, 제2 단말(100b)의 전처리정보가 수신되는 경우, 제2 단말(100b)의 전처리정보를 검증한 후 제2 단말(100b)의 제2 공개키(PK2)와, 제2 단말(100b)이 가입한 통신사의 인증서(MNOC)를 검출한다.More specifically, when the preprocessing information of the
이때, 제2 단말(100b)의 제2 공개키(PK2)는 저장부(240)에 저장되게 된다.At this time, the second public key PK2 of the
이후, 인증키생성부(220)는, 보안메시지를 전송하는 제1 단말(100a)의 제1 비밀키(SK1)와, 보안메시지를 수신하는 제2 단말(100b)의 제2 공개키(PK2)를 이용하여 암호화를 위한 제1 인증키를 생성한다.The authentication
이처럼 암호화를 위한 제1 인증키의 생성이 완료되면, 인증키생성부(220)는, 제1 인증키의 생성이 완료되었음을 인증부(230)로 알린다.When the generation of the first authentication key for encryption is completed, the authentication
다음으로, 보안메시지를 수신하는 제2 단말(100b)의 측면에서 인증키를 생성하는 과정에 대하여 설명하도록 하겠다.Next, a process of generating an authentication key on the side of the
보다 구체적으로, 인증키생성부(220)는, 제1 단말(100a)의 전처리정보가 수신되는 경우, 제1 단말(100a)의 전처리정보를 검증한 후 제1 단말(100a)의 제1 공개키(PK1)와, 제1 단말(100a)이 가입한 통신사의 인증서(MNOC)를 검출한다.More specifically, when the preprocessing information of the
이때, 제1 단말(100a)의 제1 공개키(PK1)는 저장부(240)에 저장되게 된다.At this time, the first public key PK1 of the
이후, 인증키생성부(220)는, 보안메시지를 수신하는 제2 단말(100b)의 제2 비밀키(SK2)와, 보안메시지를 전송하는 제1 단말(100a)의 제1 공개키(PK1)를 이용하여 복호화를 위한 제2 인증키를 생성한다.The authentication
이처럼 복호화를 위한 제2 인증키의 생성이 완료되면, 인증키생성부(220)는, 제2 인증키의 생성이 완료되었음을 인증부(230)로 알린다.When the generation of the second authentication key for decryption is completed, the authentication
인증부(230)는, 인증키를 이용하여 제1 및 제2 단말(100a, 100b) 간의 인증을 수행하는 기능을 한다.The
보다 구체적으로, 인증부(230)는, 인증키생성부(220)로부터 암호화를 위한 제1 인증키와 복호화를 위한 제2 인증키를 수신하게 되면, 이를 이용하여 제1 단말(100a) 및 제2 단말(100b) 간의 인증을 수행한다.More specifically, when the
먼저, 인증부(230)는, 제1 단말(100a)에서 전송하려는 메시지를 제1 인증키를 이용하여 암호화하여 보안메시지를 생성한다. 이후, 인증부(230)는, 보안메시지를 제2 단말(100b)로 전송한다.First, the
이처럼 보안메시지가 제2 단말(100b)로 전송되게 되면, 인증부(230)는, 복호화를 위한 제2 인증키를 이용하여 보안메시지의 복호화 가능여부를 판단한다.When the secure message is transmitted to the
즉, 인증부(230)는, 보안메시지가 복호화를 위한 제2 인증키를 이용하여 복호화 되면, 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 성공한 것으로 판단한다.That is, when the security message is decrypted using the second authentication key for decryption, the
결국, 서로 전처리정보를 교환한 단말 사이에서 보안메시지가 송수신된 것이므로, 보안메시지가 제2 인증키를 이용하여 복호화 된다면 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 성공한 것으로 판단하게 되는 것이다.As a result, if the security message is decrypted using the second authentication key, it is determined that the authentication between the
이후, 인증부(230)는, 제2 단말(100b)의 표시부에 복호화된 메시지가 출력되도록 제어한다.Then, the
만일, 보안메시지가 제2 인증키를 이용하여 복호화 되지 않는 다면, 인증부(230)는, 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 실패한 것으로 판단한다.If the security message is not decrypted using the second authentication key, the
결국, 제1 단말(100a)로부터 제2 단말(100b)로 보안메시지가 전송될 때, 전처리정보를 교환하지 않은 인증되지 않은 제3 단말에 의해 보안메시지가 해킹되어 제3 단말에 의해 보안메시지에 대한 복호화가 시도된 것이므로, 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 실패한 것으로 판단하게 되는 것이다. As a result, when the security message is transmitted from the first terminal 100a to the
이후, 인증부(230)는, 제3 단말의 표시부에 암호화된 보안메시지가 출력되도록 제어한다.Then, the
이에, 제3 단말의 표시부에는, 제1 단말(100a)로부터 전송된 보안메시지가 표시되게 되므로, 보안메시지가 해킹되더라도 인증되지 않은 단말에서는 보안메시지에 대한 복호화 자체를 수행할 수가 없어 해킹 피해를 방지할 수 있게 되는 것이다. Thus, since the security message transmitted from the
이하에서는, 도 4를 참조하여 본 발명의 바람직한 실시예에 따른 인증장치에서 단말 간의 인증을 수행하는 동작 흐름을 구체적으로 설명하도록 한다. 이하에서는 설명의 편의를 위해 전술의 도 1 내지 도 3에서 언급한 참조번호를 언급하여 설명하도록 하겠다.Hereinafter, an operation of performing authentication between terminals in an authentication apparatus according to a preferred embodiment of the present invention will be described in detail with reference to FIG. Hereinafter, for convenience of description, reference will be made to the reference numerals mentioned in FIGS. 1 to 3 described above.
본 발명의 인증장치(200)의 구성은 동일하므로, 보안메시지를 전송하는 제1 단말(100a)의 측면에서의 동작과, 보안메시지를 수신하는 제2 단말(100b)의 측면에서의 동작을 구분하여 설명하도록 하겠다.Since the configuration of the
도 4에 도시된 바와 같이, 제1 단말(100a)이 보안메시지를 제2 단말(100b)로 전송하려는 경우, 전처리정보생성부(210)는, 제1 단말(100a)로부터 보안메시지를 제2 단말(100b)로 전송할 것을 요청하는 전송요청명령을 수신하게 된다(S100).4, when the first terminal 100a transmits a secure message to the
이처럼 요청 명령이 수신되면, 전처리정보생성부(210)는, 보안메시지의 송수신을 위한 전처리 과정을 수행하게 된다.When the request command is received, the preprocessing
먼저, 보안메시지를 전송하는 제1 단말(100a)의 측면에서 전처리정보를 생성하는 과정에 대하여 설명하도록 하겠다(S101, S102). First, the process of generating the preprocessing information on the side of the
전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC)와, 제1 단말(100a)의 사용자정보에 매칭하여 저장된 제1 공개키(PK1) 및 제1 비밀키(SK1)를 확인한다.The preprocessing
이와 관련하여, 전술에서도 살펴보았듯이, 제1 단말(100a)에 탑재되는 제1 유심(USIM)의 고유식별자를 기반으로 제1 공개키(PK1) 및 제1 비밀키(SK1)가 생산단계에서 선 발급되게 되며, 제1 단말(100a)의 사용자정보에 매칭되어 서비스서버(300)에 저장되게 되므로, 전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC), 제1 공개키(PK1) 및 제1 비밀키(SK1)를 확인할 수 있게 되는 것이다. In this regard, as described above, the first public key PK1 and the first secret key SK1 are generated based on the unique identifier of the first wormhole (USIM) mounted on the
이후, 전처리정보생성부(210)는, 제2 단말(100b)로 보안메시지를 전송하기 위해 제1 단말(100a)의 제1 공개키(PK1), 및 통신사의 인증서(MNOC)를 포함하는 제1 단말(100a)의 전처리정보를 생성한다.The preprocessing
이때, 제1 단말(100a)의 전처리정보는, 메시지 형태로 아래와 같이 전송될 수 있다.At this time, the preprocessing information of the
A: 제1 단말(100a)의 전처리정보 = [제1 공개키(PK1) + 시그니처(Signature){통신사의 인증서(MNOC) + 제1 공개키(PK1)}]A: Pre-processing information of the
이후, 전처리정보생성부(210)는, 제1 명령(Send SMS USAT command)을 통하여 제1 단말(100a)의 전처리정보를 제2 단말(100b)로 전송한다.Then, the preprocessing
다음으로, 보안메시지를 수신하는 제2 단말(100b)의 측면에서 전처리정보를 생성하는 과정에 대하여 설명하도록 하겠다(S103, S104).Next, the process of generating the preprocessing information on the side of the
전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC)와, 제2 단말(100b)의 사용자정보에 매칭하여 저장된 제2 공개키(PK2) 및 제2 비밀키(SK2)를 확인한다.The preprocessing
이와 관련하여, 전술에서도 살펴보았듯이, 제2 단말(100b)에 탑재되는 제2 유심(USIM)의 고유식별자를 기반으로 제2 공개키(PK2) 및 제2 비밀키(SK2)가 생산단계에서 선 발급되게 되며, 제2 단말(100b)의 사용자정보에 매칭되어 서비스서버(300)에 저장되게 되므로, 전처리정보생성부(210)는, 서비스서버(300)로부터 통신사의 인증서(MNOC), 제2 공개키(PK2) 및 제2 비밀키(SK2)를 확인할 수 있게 되는 것이다.In this regard, as described above, the second public key PK2 and the second private key SK2 are generated based on the unique identifier of the second wormhole (USIM) mounted on the second terminal 100b The preprocessing
이처럼, 제1 단말(100a)의 전처리정보가 제2 단말(100b)로 전송되면, 전처리정보생성부(210)는, 제2 단말(100b)의 제2 공개키(PK2) 및 통신사의 인증서(MNOC)를 포함하는 제2 단말(100b)의 전처리정보를 생성한다.When the preprocessing information of the
이때, 제2 단말(100b)의 전처리정보는, 메시지 형태로 아래와 같이 전송될 수 있다.At this time, the preprocessing information of the
B: 제2 단말(100b)의 전처리정보 = [제2 공개키(PK2) + 시그니처(Signature){통신사의 인증서(MNOC) + 제2 공개키(PK2)}]B: pre-processing information of the
이후, 전처리정보생성부(210)는, 제2 명령(Send SMS USAT command)을 통하여 제2 단말(100b)의 전처리정보를 제1 단말(100a)로 전송한다.Then, the preprocessing
이처럼 제1 단말(100a)의 전처리정보와 제2 단말(100b)의 전처리정보의 전처리정보의 교환이 완료되면, 전처리정보생성부(210)는, 전처리 과정의 수행이 완료되었음을 인증키생성부(220)로 알린다.When the exchange of the pre-processing information of the
전술에 따라 전처리정보의 교환이 완료되면, 제1 단말(100a)의 전처리정보 및 제2 단말(100b)의 전처리정보 중 적어도 하나를 기반으로 단말 간의 인증을 수행하게 된다.Upon completion of the exchange of the preprocessing information according to the above description, authentication between the terminals is performed based on at least one of the preprocessing information of the
먼저, 제1 단말(100a)의 측면에서 인증키를 생성하여 보안메시지를 전송하는 과정에 대하여 설명하도록 하겠다. First, a process of generating an authentication key on the side of the
보다 구체적으로, 인증키생성부(220)는, 제2 단말(100b)의 전처리정보가 수신되는 경우, 제2 단말(100b)의 전처리정보를 검증한 후 제2 단말(100b)의 제2 공개키(PK2)와, 제2 단말(100b)이 가입한 통신사의 인증서(MNOC)를 검출하고, 이를 저장부(240)에 저장한다(S105).More specifically, when the preprocessing information of the
이후, 인증키생성부(220)는, 보안메시지를 전송하는 제1 단말(100a)의 제1 비밀키(SK1)와, 보안메시지를 수신하는 제2 단말(100b)의 제2 공개키(PK2)를 이용하여 암호화를 위한 제1 인증키를 생성한다(S106).The authentication
이처럼 암호화를 위한 제1 인증키의 생성이 완료되면, 인증키생성부(220)는, 제1 인증키의 생성이 완료되었음을 인증부(230)로 알린다.When the generation of the first authentication key for encryption is completed, the authentication
인증부(230)는, 제1 단말(100a)에서 전송하려는 메시지를 제1 인증키를 이용하여 암호화하여 보안메시지를 생성한다(S107). 이후, 인증부(230)는, 보안메시지를 제2 단말(100b)로 전송한다(S108).The
다음으로, 제2 단말(100b)의 측면에서 인증키를 생성하여 수신된 보안메시지를 복호화하는 과정에 대하여 설명하도록 하겠다. Next, a process of generating an authentication key on the side of the
인증키생성부(220)는, 제1 단말(100a)의 전처리정보가 수신되는 경우, 제1 단말(100a)의 전처리정보를 검증한 후 제1 단말(100a)의 제1 공개키(PK1)와, 제1 단말(100a)이 가입한 통신사의 인증서(MNOC)를 검출하고, 이를 저장부(240)에 저장한다(S109).The authentication
이후, 인증키생성부(220)는, 보안메시지를 수신하는 제2 단말(100b)의 제2 비밀키(SK2)와, 보안메시지를 전송하는 제1 단말(100a)의 제1 공개키(PK1)를 이용하여 복호화를 위한 제2 인증키를 생성한다(S110).The authentication
이처럼 복호화를 위한 제2 인증키의 생성이 완료되면, 인증키생성부(220)는, 제2 인증키의 생성이 완료되었음을 인증부(230)로 알린다.When the generation of the second authentication key for decryption is completed, the authentication
이처럼 제2 인증키의 생성이 완료된 이후 제1 단말(100a)로부터 보안메시지가 수신되는 경우, 인증부(230), 복호화를 위한 제2 인증키를 이용하여 보안메시지의 복호화 가능여부를 판단한다(S111).If the security message is received from the
S111 단계의 판단결과, 제2 인증키를 이용하여 보안메시지의 복호화가 가능한 경우, 인증부(230), 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 성공한 것으로 판단한다(S112).If it is determined in step S111 that the security message can be decrypted using the second authentication key, it is determined that the authentication between the
결국, 서로 전처리정보를 교환한 단말 사이에서 보안메시지가 송수신된 것이므로, 보안메시지가 제2 인증키를 이용하여 복호화 된다면 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 성공한 것으로 판단하게 되는 것이다.As a result, if the security message is decrypted using the second authentication key, it is determined that the authentication between the
이후, 인증부(230)는, 제2 단말(100b)의 표시부에 복호화된 메시지가 출력되도록 제어한다(S113).Then, the
S111 단계의 판단결과, 제2 인증키를 이용하여 보안메시지의 복호화가 가능하지 않은 경우, 인증부(230)는, 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 실패한 것으로 판단한다(S114).If it is determined in step S111 that the secure message can not be decrypted using the second authentication key, the
결국, 제1 단말(100a)로부터 제2 단말(100b)로 보안메시지가 전송될 때, 전처리정보를 교환하지 않은 인증되지 않은 제3 단말에 의해 보안메시지가 해킹되어 제3 단말에 의해 보안메시지에 대한 복호화가 시도된 것이므로, 제1 단말(100a)과 제2 단말(100b) 사이의 인증이 실패한 것으로 판단하게 되는 것이다.As a result, when the security message is transmitted from the first terminal 100a to the
이후, 인증부(230)는, 제3 단말의 표시부에 암호화된 보안메시지가 출력되도록 제어한다(S115).Then, the
이에, 제3 단말의 표시부에는, 제1 단말(100a)로부터 전송된 보안메시지가 표시되게 되므로, 보안메시지가 해킹되더라도 인증되지 않은 단말에서는 보안메시지에 대한 복호화 자체를 수행할 수가 없어 해킹 피해를 방지할 수 있게 되는 것이다. Thus, since the security message transmitted from the
이상에서 설명한 바와 같이, 본 발명에 따른 인증장치, 및 단말 간의 인증을 위한 프로그램 및 그 프로그램이 기록된 컴퓨터 판독 가능 기록매체에 따르면, 유심(USIM)의 생산단계 및 서비스 개통단계에서 유심(USIM)의 고유식별자를 기반으로 ECDH 알고리즘에 필요한 공개키(PK) 및 비밀키(SK)가 생성 및 등록되어 사용자 인증이 완료됨에 따라, 유심(USIM)이 단말에 탑재되는 것만으로도 메시지의 보안 강화를 위해 가입자들이 별도로 인증서(Key Pair)(예: 공개키, 비밀키)를 생성하기 위한 불필요한 사용자 인증절차(예: 앱설치, 사용자 인증 등)를 수행하는 과정을 생략할 수 있어 번거로운 서비스 절차를 단순화 시킬 수 있는 효과를 도출한다.As described above, according to the authentication apparatus and the program for authentication between terminals and the computer-readable recording medium on which the program is recorded, USIMs are generated in the production step and service opening step of the USIM, (PK) and secret key (SK) required for the ECDH algorithm are generated and registered based on the unique identifier of the ECDH algorithm and the user authentication is completed. Thus, security of the message can be enhanced It is possible to omit the process of unnecessary user authentication procedures (eg, application installation, user authentication, and the like) for subscribers to separately generate a key pair (eg, a public key and a secret key) The effect can be obtained.
또한, 본 발명에서는, 인증되지 않은 제3 단말에 의해 보안메시지가 해킹되어 제3 단말에 의해 보안메시지에 대한 복호화가 시도되더라도 단말 간의 인증이 성공하지 않는 경우에는 제3 단말에서 메시지의 내용을 확인할 수 없으므로 보다 보안이 강화된 메시지 서비스를 제공할 수 있는 효과를 도출한다.According to the present invention, even if a security message is hacked by an unauthenticated third terminal and authentication of the secure message is unsuccessful even if the third terminal attempts to decrypt the security message, the third terminal checks the contents of the message Therefore, it is possible to provide a message service with enhanced security.
본 발명의 실시예들은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Embodiments of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and configured for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention.
본 발명에 따른 인증장치, 및 단말 간의 인증을 위한 프로그램 및 그 프로그램이 기록된 컴퓨터 판독 가능 기록매체에 따르면, 모바일 환경에서의 인증 기술과 관련하여, 단말에 탑재되는 유심(USIM)의 암호화 기술을 기반으로 개인정보를 이용하지 않고도 단말 간의 인증을 수행함으로써, 메시지가 해킹되더라도 인증되지 않은 단말에서는 메시지의 내용이 확인되지 않도록 보안이 강화된 메시지 서비스를 제공한다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the authentication apparatus and the program for authentication between terminals and the computer-readable recording medium on which the program is recorded according to the present invention, with respect to the authentication technology in the mobile environment, the authentication technology of the USIM The present invention provides a message service with enhanced security so that the contents of a message can not be confirmed in an unauthenticated terminal even if a message is hacked by performing authentication between terminals without using personal information. It is not only the use of the related technology but also the possibility of commercialization or operation of the applied device, but it is an industrially applicable invention since it is practically possible to carry out clearly.
100 : 단말장치
200 : 인증장치
210 : 전처리정보생성부 220 : 인증키생성부
230 : 인증부 240 : 저장부
300 : 서비스서버100: terminal device
200: Authentication device
210: preprocess information generating unit 220: authentication key generating unit
230: authentication unit 240:
300: service server
Claims (11)
상기 제1 단말의 전처리정보 및 상기 제2 단말의 전처리정보 중 적어도 하나를 기반으로 상기 단말 간의 인증을 위한 인증키를 생성하는 인증키생성부; 및
상기 인증키를 이용하여 상기 제1 단말과 상기 제2 단말 간의 인증을 수행하는 인증부
를 포함하는 것을 특징으로 하는 인증장치.A preprocessing information generating unit for generating preprocessing information of a first terminal and a second terminal transmitting and receiving a message;
An authentication key generation unit for generating an authentication key for authentication between the terminals based on at least one of the preprocessing information of the first terminal and the preprocessing information of the second terminal; And
And an authentication unit which performs authentication between the first terminal and the second terminal using the authentication key,
And an authenticating device for authenticating the authenticating device.
상기 제1 단말에 탑재되는 제1 유심(USIM)의 고유식별자를 기반으로 상기 제1 단말의 제1 공개키 및 제1 비밀키가 생성되며,
상기 제2 단말에 탑재되는 제2 유심(USIM)의 고유식별자를 기반으로 상기 제2 단말의 제2 공개키 및 제2 비밀키가 생성되는 것을 특징으로 하는 인증장치.The method according to claim 1,
A first public key and a first secret key of the first terminal are generated based on a unique identifier of a first wormhole (USIM) mounted on the first terminal,
Wherein the second public key and the second private key of the second terminal are generated based on a unique identifier of a second wobble (USIM) mounted on the second terminal.
상기 제1 단말과 관련되는 서비스서버에 상기 제1 단말의 사용자정보와, 상기 제1 공개키 및 상기 제1 비밀키가 매칭되어 저장되며,
상기 제2 단말과 관련되는 서비스서버에 상기 제2 단말의 사용자정보와, 상기 제2 공개키 및 상기 제2 비밀키가 매칭되어 저장되는 것을 특징으로 하는 인증장치.3. The method of claim 2,
Wherein the user information of the first terminal, the first public key, and the first secret key are matched and stored in a service server associated with the first terminal,
Wherein the user information of the second terminal, the second public key, and the second secret key are matched and stored in a service server associated with the second terminal.
상기 제1 단말로부터 상기 제2 단말로 상기 메시지를 전송할 것이 요청되어, 상기 제1 단말의 전처리정보가 상기 제1 공개키를 기반으로 생성되며, 상기 제2 단말의 전처리정보가 상기 제2 공개키를 기반으로 생성되면,
상기 인증키생성부는,
상기 제1 비밀키와 상기 제2 공개키를 이용하여 암호화를 위한 제1 인증키를 생성하며,
상기 제2 비밀키와 상기 제1 공개키를 이용하여 복호화를 위한 제2 인증키를 생성하는 것을 특징으로 하는 인증장치.3. The method of claim 2,
Wherein the pre-processing information of the first terminal is generated based on the first public key, and the preprocessing information of the second terminal is transmitted to the second terminal Lt; RTI ID = 0.0 >
Wherein the authentication-
Generating a first authentication key for encryption using the first secret key and the second public key,
And generates a second authentication key for decryption using the second secret key and the first public key.
상기 인증부는,
상기 제1 인증키를 이용하여 상기 메시지를 암호화하여 보안메시지가 생성되는 경우, 상기 보안메시지가 상기 제2 인증키를 이용하여 복호화 가능하면 상기 제1 단말과 상기 제2 단말 사이의 인증이 성공한 것으로 판단하는 것을 특징으로 하는 인증장치.5. The method of claim 4,
Wherein,
When the security message is generated by encrypting the message using the first authentication key, if the security message can be decrypted using the second authentication key, authentication between the first terminal and the second terminal is successful And judges whether or not the authentication is successful.
상기 제1 단말의 전처리정보 및 상기 제2 단말의 전처리정보 중 적어도 하나를 기반으로 상기 단말 간의 인증을 위한 인증키를 생성하는 인증키생성단계; 및
상기 인증키를 이용하여 상기 제1 단말과 상기 제2 단말 간의 인증을 수행하는 인증수행단계
를 수행하는 명령어를 포함하는 것을 특징으로 하는 컴퓨터 판독 가능 기록매체.A preprocessing information generating step of generating preprocessing information of a first terminal and a second terminal transmitting and receiving a message;
An authentication key generation step of generating an authentication key for authentication between the terminals based on at least one of the preprocessing information of the first terminal and the preprocessing information of the second terminal; And
Performing authentication between the first terminal and the second terminal using the authentication key,
The computer program product comprising: a computer readable medium having computer readable instructions thereon;
상기 제1 단말에 탑재되는 제1 유심(USIM)의 고유식별자를 기반으로 상기 제1 단말의 제1 공개키 및 제1 비밀키가 생성되며,
상기 제2 단말에 탑재되는 제2 유심(USIM)의 고유식별자를 기반으로 상기 제2 단말의 제2 공개키 및 제2 비밀키가 생성되는 명령어를 포함하는 것을 특징으로 하는 컴퓨터 판독 가능 기록매체.The method according to claim 6,
A first public key and a first secret key of the first terminal are generated based on a unique identifier of a first wormhole (USIM) mounted on the first terminal,
And a second public key and a second secret key of the second terminal are generated based on a unique identifier of a second wobble (USIM) mounted on the second terminal.
상기 제1 단말과 관련되는 서비스서버에 상기 제1 단말의 사용자정보와, 상기 제1 공개키 및 상기 제1 비밀키가 매칭되어 저장되며,
상기 제2 단말과 관련되는 서비스서버에 상기 제2 단말의 사용자정보와, 상기 제2 공개키 및 상기 제2 비밀키가 매칭되어 저장되는 명령어를 포함하는 것을 특징으로 하는 컴퓨터 판독 가능 기록매체.8. The method of claim 7,
Wherein the user information of the first terminal, the first public key, and the first secret key are matched and stored in a service server associated with the first terminal,
Wherein the service information includes a command to store user information of the second terminal, the second public key, and the second secret key in a service server associated with the second terminal.
상기 제1 단말로부터 상기 제2 단말로 상기 메시지를 전송할 것이 요청되어, 상기 제1 단말의 전처리정보가 상기 제1 공개키를 기반으로 생성되며, 상기 제2 단말의 전처리정보가 상기 제2 공개키를 기반으로 생성되면,
상기 인증키생성단계는,
상기 제1 비밀키와 상기 제2 공개키를 이용하여 암호화를 위한 제1 인증키를 생성하는 단계; 및
상기 제2 비밀키와 상기 제1 공개키를 이용하여 복호화를 위한 제2 인증키를 생성하는 단계를 수행하는 명령어를 포함하는 것을 특징으로 하는 컴퓨터 판독 가능 기록매체.8. The method of claim 7,
Wherein the pre-processing information of the first terminal is generated based on the first public key, and the preprocessing information of the second terminal is transmitted to the second terminal Lt; RTI ID = 0.0 >
The authentication key generation step includes:
Generating a first authentication key for encryption using the first secret key and the second public key; And
And generating a second authentication key for decryption using the second private key and the first public key.
상기 인증수행단계는,
상기 제1 인증키를 이용하여 상기 메시지를 암호화하여 보안메시지가 생성되는 경우, 상기 보안메시지가 상기 제2 인증키를 이용하여 복호화 가능하면 상기 제1 단말과 상기 제2 단말 사이의 인증이 성공한 것으로 판단하는 단계를 수행하는 명령어를 포함하는 것을 특징으로 하는 컴퓨터 판독 가능 기록매체.10. The method of claim 9,
In the authentication step,
When the security message is generated by encrypting the message using the first authentication key, if the security message can be decrypted using the second authentication key, authentication between the first terminal and the second terminal is successful And a step of judging whether or not the program has been executed.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150153029A KR102104094B1 (en) | 2015-11-02 | 2015-11-02 | Authentication device, program for controlling authentication between a mobile communication device and recording media for the program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020150153029A KR102104094B1 (en) | 2015-11-02 | 2015-11-02 | Authentication device, program for controlling authentication between a mobile communication device and recording media for the program |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170050906A true KR20170050906A (en) | 2017-05-11 |
KR102104094B1 KR102104094B1 (en) | 2020-04-23 |
Family
ID=58741756
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150153029A KR102104094B1 (en) | 2015-11-02 | 2015-11-02 | Authentication device, program for controlling authentication between a mobile communication device and recording media for the program |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102104094B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130007097A (en) * | 2011-06-29 | 2013-01-18 | 동명대학교산학협력단 | Security system of smart phone service and secruity method |
KR20130012220A (en) * | 2011-07-08 | 2013-02-01 | 주식회사 케이티 | Method, apparatus and system for initial provisioning of euicc and changing mobile network operator using public key encryption |
KR20140025553A (en) * | 2011-06-03 | 2014-03-04 | 애플 인크. | System and method for secure instant messaging |
-
2015
- 2015-11-02 KR KR1020150153029A patent/KR102104094B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20140025553A (en) * | 2011-06-03 | 2014-03-04 | 애플 인크. | System and method for secure instant messaging |
KR20130007097A (en) * | 2011-06-29 | 2013-01-18 | 동명대학교산학협력단 | Security system of smart phone service and secruity method |
KR20130012220A (en) * | 2011-07-08 | 2013-02-01 | 주식회사 케이티 | Method, apparatus and system for initial provisioning of euicc and changing mobile network operator using public key encryption |
Also Published As
Publication number | Publication date |
---|---|
KR102104094B1 (en) | 2020-04-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10595201B2 (en) | Secure short message service (SMS) communications | |
KR102026612B1 (en) | Method for Creating Trust Relationship and Embedded UICC | |
KR102621499B1 (en) | Method and device for downloading a profile to an embedded universal integrated circuit card (eUICC) of a terminal | |
KR102502503B1 (en) | Profile providing method and device | |
JP5508428B2 (en) | Key distribution method and system | |
EP3800909B1 (en) | Remote management method, and device | |
KR20160124648A (en) | Method and apparatus for downloading and installing a profile | |
CN107241339B (en) | Identity authentication method, identity authentication device and storage medium | |
US9124561B2 (en) | Method of transferring the control of a security module from a first entity to a second entity | |
US20210058252A1 (en) | Electronic device and method, performed by electronic device, of transmitting control command to target device | |
CN105207774A (en) | Key negotiation method and device of verification information | |
KR102657876B1 (en) | Apparatus and methods for ssp device and server to negociate digital certificates | |
KR101706117B1 (en) | Apparatus and method for other portable terminal authentication in portable terminal | |
KR20130026958A (en) | Method for verification of embedded uicc using euicc certificate, method for provisioning and mno switching, euicc, mno system and recording medium for the same | |
EP2879421A1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
CN107733652B (en) | Unlocking method and system for shared vehicle and vehicle lock | |
US11889307B2 (en) | End-to-end security for roaming 5G-NR communications | |
CN113613227B (en) | Data transmission method and device of Bluetooth equipment, storage medium and electronic device | |
KR101443161B1 (en) | Method for provisioning profile of embedded universal integrated circuit card using capability information and mobile terminal thereof | |
KR101172876B1 (en) | System and method for performing mutual authentication between user terminal and server | |
KR102104094B1 (en) | Authentication device, program for controlling authentication between a mobile communication device and recording media for the program | |
CN111246480A (en) | Application communication method, system, equipment and storage medium based on SIM card | |
KR102149313B1 (en) | Method for Processing Electronic Signature based on Universal Subscriber Identity Module | |
KR102076313B1 (en) | Method for Processing Electronic Signature based on Universal Subscriber Identity Module of Mobile Device | |
KR102637120B1 (en) | APPARATUS AND METHOD FOR MANAGING AUTHORIZATION OF INSTALLING AN eUICC PROFILE |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) |