KR101415698B1 - Certificate System and Method - Google Patents

Certificate System and Method Download PDF

Info

Publication number
KR101415698B1
KR101415698B1 KR1020130001306A KR20130001306A KR101415698B1 KR 101415698 B1 KR101415698 B1 KR 101415698B1 KR 1020130001306 A KR1020130001306 A KR 1020130001306A KR 20130001306 A KR20130001306 A KR 20130001306A KR 101415698 B1 KR101415698 B1 KR 101415698B1
Authority
KR
South Korea
Prior art keywords
wireless terminal
communication
security token
digital signature
security
Prior art date
Application number
KR1020130001306A
Other languages
Korean (ko)
Inventor
이정엽
Original Assignee
주식회사 키페어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 키페어 filed Critical 주식회사 키페어
Priority to KR1020130001306A priority Critical patent/KR101415698B1/en
Application granted granted Critical
Publication of KR101415698B1 publication Critical patent/KR101415698B1/en

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21VFUNCTIONAL FEATURES OR DETAILS OF LIGHTING DEVICES OR SYSTEMS THEREOF; STRUCTURAL COMBINATIONS OF LIGHTING DEVICES WITH OTHER ARTICLES, NOT OTHERWISE PROVIDED FOR
    • F21V21/00Supporting, suspending, or attaching arrangements for lighting devices; Hand grips
    • F21V21/02Wall, ceiling, or floor bases; Fixing pendants or arms to the bases
    • F21V21/04Recessed bases
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21SNON-PORTABLE LIGHTING DEVICES; SYSTEMS THEREOF; VEHICLE LIGHTING DEVICES SPECIALLY ADAPTED FOR VEHICLE EXTERIORS
    • F21S8/00Lighting devices intended for fixed installation
    • F21S8/02Lighting devices intended for fixed installation of recess-mounted type, e.g. downlighters
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21VFUNCTIONAL FEATURES OR DETAILS OF LIGHTING DEVICES OR SYSTEMS THEREOF; STRUCTURAL COMBINATIONS OF LIGHTING DEVICES WITH OTHER ARTICLES, NOT OTHERWISE PROVIDED FOR
    • F21V17/00Fastening of component parts of lighting devices, e.g. shades, globes, refractors, reflectors, filters, screens, grids or protective cages
    • F21V17/10Fastening of component parts of lighting devices, e.g. shades, globes, refractors, reflectors, filters, screens, grids or protective cages characterised by specific fastening means or way of fastening
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21VFUNCTIONAL FEATURES OR DETAILS OF LIGHTING DEVICES OR SYSTEMS THEREOF; STRUCTURAL COMBINATIONS OF LIGHTING DEVICES WITH OTHER ARTICLES, NOT OTHERWISE PROVIDED FOR
    • F21V21/00Supporting, suspending, or attaching arrangements for lighting devices; Hand grips
    • F21V21/14Adjustable mountings
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S362/00Illumination
    • Y10S362/80Light emitting diode

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephone Function (AREA)

Abstract

The present invention relates to a certificate authentication system and method. According to the present invention, the certificate authentication system is configured to comprise a security token which includes financial authentication certificates, generates a digital signature based on the financial authentication certificates, and transfers the digital signature to a wireless terminal via a near field wireless communication; the wireless terminal which transfers the digital signature transferred from the security token to an authentication server; and the authentication server which verifies the digital signature transmitted from the wireless terminal.

Description

공인인증 시스템 및 방법 {Certificate System and Method}{Certificate System and Method}

본 발명은 공인인증 시스템 및 방법에 관한 것으로, 보다 상세하게는 PC 환경과 스마트 폰 환경에서 공용으로 공인인증서를 안전하고 편리하게 사용할 수 있는 공인인증 시스템 및 방법에 관한 것이다.The present invention relates to a public authentication system and method, and more particularly, to a public authentication system and method that can use public certificates securely and conveniently in common in a PC environment and a smart phone environment.

공인인증서는 공신력이 있는 공인인증기관에서 발급한 전자서명 인증서로서, 우리나라의 경우 인터넷 뱅킹뿐만 아니라 온라인 증명서 발급, 전자상거래, 인터넷 주식거래 등 매우 다양한 분야에서 필수적으로 사용되고 있다. 그리고, 최근에는 급격히 보급된 스마트 폰(smart phone)에서의 금융거래가 급증하고 있어 스마트 폰에서의 공인인증서 사용도 점차 확대되고 있다.An official certificate is an electronic signature certificate issued by a public certificate authority that has public confidence. In Korea, it is used in various fields such as online banking, online certificate issuance, electronic commerce, and internet stock trading. In recent years, financial transactions have been rapidly increasing in smart phones, which have been widely used, and the use of official certificates in smartphones is gradually increasing.

기존의 PC 환경에서 공인인증서 사용 형태를 살펴보면, 공인인증서를 하드 디스크, 이동식 디스크, 휴대폰, 저장 토큰, 보안 토큰 등에 저장해 두고 있다가 인터넷 금융거래를 위해 공인인증이 필요한 경우 하드 디스크 등에 저장된 공인인증서를 통해 전자서명을 생성하고 이를 인증 서버가 검증함으로써 공인인증을 수행하는 방식이다.In the conventional PC environment, if you look at the form of using a public certificate, you can store the public certificate in a hard disk, a removable disk, a mobile phone, a storage token, a security token and the like. And the authentication server verifies the digital signature, thereby performing public authentication.

하지만, 하드 디스크 또는 이동식 디스크 저장방식의 경우, 해킹 프로그램이 특정 폴더에 파일 형태로 저장되어 있는 공인인증서를 손쉽게 복사할 수 있고 또한 PC를 모니터링하여 공인인증서 비밀번호를 손쉽게 알아낼 수 있으므로, 보안이 취약하여 해킹으로 인한 금융사고가 빈번히 발생하는 문제점이 있다. 한편 이동식 디스크를 사용하면 PC에 연결되어 있을 때만 해킹에 노출될 수 있으므로 하드 디스크보다 안전하다고 생각할 수 있지만, 반면 이동식 디스크는 분실의 가능성이 높아 이로 인한 공인인증서의 유출 가능성이 높다. 그리고, 휴대폰, 저장 토큰 저장방식의 경우에도, 비록 공인인증서가 파일 형태로 저장되지는 않지만 공인인증서를 사용할 때 PC에서 전자서명을 수행해야 하므로, 공인인증서의 개인키가 PC 메모리에 노출되어 해킹될 수 있는 취약점이 여전히 존재한다.However, in the case of a hard disk or a removable disk storage method, it is possible to easily copy a public certificate in which a hacking program is stored as a file in a specific folder, and also to easily identify a public certificate password by monitoring the PC, There is a problem that financial accidents are frequently caused by hacking. On the other hand, if a removable disk is used, it can be considered safer than a hard disk because it can be exposed to hacking only when it is connected to a PC. However, a portable disk is likely to be lost, Also, even in the case of the mobile phone or the storage token storage method, although the public key certificate is not stored as a file, when the public key certificate is used, the personal key of the public key certificate is exposed to the PC memory and hacked There is still a vulnerability that can be exploited.

그러므로, 공인인증서를 보안칩 안에 저장하고 보안칩 안에서 전자서명을 수행하는 보안 토큰(HSM; Hardware Security Module) 저장방식이 가장 안전하며, 한국인터넷진흥원에서도 보안 토큰의 사용을 권장하고 있다. 그러나, 현재 한국인터넷진흥원에서 인증받아 판매되고 있는 이러한 형태의 보안 토큰 제품들은 PC 환경에서만 동작하는 방식이므로 스마트 폰에서는 사용할 수 없는 문제점이 있다.Therefore, a security token (HSM (Hardware Security Module) storing method that stores the authorized certificate in the security chip and performs the electronic signature in the security chip is the most secure, and the Korea National Internet Development Agency also recommends the use of the security token. However, since these types of security token products, which are currently being certified and sold by the Korea Internet & Security Agency, operate only in a PC environment, there is a problem that they can not be used in a smart phone.

한편, 기존의 스마트 폰 환경에서 공인인증서를 사용하는 형태를 살펴보면, PC에서 발급된 공인인증서를 스마트 폰으로 복사하여 특정 폴더에 파일 형태로 저장해 두고 여러 애플리케이션(Application)들이 공용으로 사용하거나 또는 PC에서 발급된 공인인증서를 스마트 폰 애플리케이션마다 자신의 데이터 저장공간에 복사하여 저장해 두고 사용하는 방식이다.Meanwhile, in the case of using a public certificate in an existing smartphone environment, a public certificate issued by a PC is copied to a smart phone and stored as a file in a specific folder, and various applications (applications) It is a method of copying and storing the issued official certificate to each data storage space of each smartphone application.

하지만, 이 경우에도 PC 환경에서 하드 디스크 저장방식과 마찬가지로 스마트 폰에 저장되어 있는 공인인증서가 해킹될 수 있으며, 이동식 디스크 저장방식과 마찬가지로 스마트 폰 분실로 인하여 공인인증서가 유출될 수 있는 문제점이 있다.However, even in this case, the public certificate stored in the smartphone can be hacked in the same manner as the hard disk storage method in the PC environment, and there is a problem that the public certificate can leak due to the loss of the smart phone as in the case of the mobile disk storage method.

그러므로, 해킹이 사실상 불가능하고 분실에 대해서도 안전한 보안 토큰을 스마트 폰에서도 사용할 수 있는 방안이 요구되며, 특히 이러한 보안 토큰을 PC 환경과 스마트 폰 환경에서 공용으로 안전하고 편안하게 사용할 수 있는 방안이 절실히 요구된다.Therefore, there is a demand for a security token that can not be hacked and is safe to be lost even in a smartphone. In particular, there is a desperate need for a way to use such a security token in a safe and comfortable manner in a shared environment between a PC environment and a smart phone environment do.

미국 특허출원공개공보 US2012/0072718호United States Patent Application Publication No. US2012 / 0072718 한국 공개특허공보 제10-2011-0078601호Korean Patent Publication No. 10-2011-0078601

본 발명은 전술한 바와 같은 요구를 충족시키기 위해 창안된 것으로, 본 발명의 목적은 PC 환경과 스마트 폰 환경에서 공인인증서를 안전하고 편리하게 사용할 수 있는 공인인증 시스템 및 방법을 제공하는 것이다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a public authentication system and method that can use a public certificate securely and conveniently in a PC environment and a smartphone environment.

본 발명의 다른 목적은 근거리 무선통신을 이용하여 스마트 폰에서도 보안 토큰을 이용한 공인인증이 가능하게 하는 공인인증 시스템 및 방법을 제공하는 것이다.It is another object of the present invention to provide a public authentication system and method that enables public authentication using a security token even in a smartphone using short-range wireless communication.

본 발명의 또 다른 목적은 기존의 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서도 기존의 방식보다 더 안전하게 사용할 수 있는 공인인증 시스템 및 방법을 제공하는 것이다.It is yet another object of the present invention to provide a public authentication system and method that can be used more securely than existing methods while maintaining the form of using public certificates in an existing smartphone environment.

상기 목적을 위하여, 본 발명의 일 형태에 따른 공인인증 시스템은, 공인인증서를 구비하고, 상기 공인인증서에 기초하여 전자서명을 생성하며, 상기 전자서명을 근거리 무선통신을 통해 무선 단말로 전송하는 보안 토큰; 상기 보안 토큰으로부터 전송된 전자서명을 인증 서버로 전송하는 무선 단말; 및 상기 무선 단말로부터 전송된 전자서명을 검증하는 인증 서버를 포함하는 것을 특징으로 한다.According to an aspect of the present invention, there is provided a public authentication system including a public key certificate, generating an electronic signature based on the public key certificate, and transmitting the electronic signature to the mobile terminal through short- token; A wireless terminal for transmitting the digital signature transmitted from the security token to an authentication server; And an authentication server for verifying the digital signature transmitted from the wireless terminal.

그리고, 본 발명의 다른 형태에 따른 공인인증 시스템은, 공인인증서를 구비하고, 상기 공인인증서를 근거리 무선통신을 통해 무선 단말로 전송하는 보안 토큰; 상기 보안 토큰으로부터 전송된 공인인증서에 기초하여 전자서명을 생성하며, 상기 전자서명을 인증 서버로 전송하는 무선 단말; 및 상기 무선 단말로부터 전송된 전자서명을 검증하는 인증 서버를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a public authentication system including: a security token having a public certificate and transmitting the public certificate to a wireless terminal through short-range wireless communication; A wireless terminal for generating an electronic signature based on the public key certificate transmitted from the security token and transmitting the electronic signature to the authentication server; And an authentication server for verifying the digital signature transmitted from the wireless terminal.

그리고, 본 발명의 일 형태에 따른 공인인증 시스템을 위한 보안 토큰은, 공인인증서를 저장하고 전자서명을 생성하는 보안칩; 외부 컴퓨터의 USB 포트와 연결되는 USB 연결부; 및 상기 USB 연결부와 연결되어 상기 컴퓨터와의 USB 통신을 제어하며, 상기 보안칩과 연결되어 상기 보안칩과의 유선통신을 제어하는 내부 통신 제어부를 포함하고, 상기 보안칩은 근거리 무선통신을 통해 외부 무선 단말로부터 요청된 전자서명 또는 공인인증서을 전송하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a security token for a public authentication system, including: a security chip for storing a public key certificate and generating an electronic signature; A USB connection to an external computer's USB port; And an internal communication control unit connected to the USB connection unit to control USB communication with the computer and to control wired communication with the security chip in connection with the security chip, And transmits the digital signature or the authorized certificate requested by the wireless terminal.

또한, 본 발명의 일 형태에 따른 공인인증 시스템을 위한 무선 단말은, 인증 서버와 무선 인터넷 통신을 수행하는 무선 인터넷 모듈; 보안 토큰과 근거리 무선통신을 수행하는 근거리 무선통신 모듈; 및 상기 무선 인터넷 모듈 및 근거리 무선통신 모듈과 연동하며, 애플리케이션의 구동에 의해 공인인증을 수행하는 제어부를 포함하고, 상기 제어부는 보안 토큰으로부터 전송된 공인인증서를 소정 시간 경과 후에 삭제하거나 또는 소정 회수의 공인인증 수행 후 삭제하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a wireless terminal for a public authentication system including: a wireless Internet module for performing wireless Internet communication with an authentication server; A short-range wireless communication module for performing short-range wireless communication with the security token; And a control unit interlocked with the wireless Internet module and the short-range wireless communication module and performing public authentication by driving an application, wherein the control unit deletes the public certificate transmitted from the security token after a predetermined time elapses, After the authentication is performed, the authentication is performed.

한편, 본 발명의 일 형태에 따른 공인인증 방법은, 무선 단말이 근거리 무선통신을 통해 보안 토큰으로 전자서명을 요청하는 단계; 상기 보안 토큰으로부터 근거리 무선통신을 통해 상기 보안 토큰에 저장되어 있는 공인인증서에 기초하여 생성된 전자서명을 수신하는 단계; 상기 전자서명을 무선 인터넷을 통해 인증 서버로 전송하는 단계; 및 상기 인증 서버로부터 무선 인터넷을 통해 인증 결과를 수신하여 공인인증을 수행하는 단계를 포함하는 것을 특징으로 한다.Meanwhile, a public authentication method according to an aspect of the present invention includes: a step in which a wireless terminal requests an electronic signature as a security token through short-range wireless communication; Receiving a digital signature generated based on a public key certificate stored in the security token through short-range wireless communication from the security token; Transmitting the electronic signature to an authentication server via a wireless Internet; And performing authorized authentication by receiving an authentication result from the authentication server through the wireless Internet.

그리고, 본 발명의 다른 형태에 따른 공인인증 방법은, 무선 단말이 근거리 무선통신을 통해 보안 토큰으로 공인인증서를 요청하는 단계; 상기 보안 토큰으로부터 근거리 무선통신을 통해 상기 보안 토큰에 저장되어 있는 공인인증서를 수신하는 단계; 상기 수신한 공인인증서에 기초하여 전자서명을 생성하는 단계; 상기 전자서명을 무선 인터넷을 통해 인증 서버로 전송하는 단계; 및 상기 인증 서버로부터 무선 인터넷을 통해 인증 결과를 수신하여 공인인증을 수행하는 단계를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a public authentication method including: requesting a wireless terminal for a public key certificate as a security token through short-range wireless communication; Receiving a public key certificate stored in the security token through short-range wireless communication from the security token; Generating a digital signature based on the received public key certificate; Transmitting the electronic signature to an authentication server via a wireless Internet; And performing authorized authentication by receiving an authentication result from the authentication server through the wireless Internet.

본 발명에 따르면, PC 환경과 스마트 폰 환경 어디에서든지 공인인증서를 안전하고 편리하게 사용할 수 있는 효과를 가진다.According to the present invention, it is possible to use an authorized certificate safely and conveniently anywhere in a PC environment and a smartphone environment.

그리고, 본 발명에 따르면, 근거리 무선통신을 이용하여 스마트 폰에서도 보안 토큰을 이용한 공인인증이 가능한 효과를 가지며, 특히 근거리 무선통신을 이용하기 때문에 배터리가 필요없어 가볍고 휴대하기 편하며 제조단가가 낮은 효과를 가진다.According to the present invention, it is possible to perform public authentication using a security token even in a smartphone using a short-range wireless communication. Particularly, since a short-range wireless communication is used, a battery is unnecessary, .

또한, 본 발명에 따르면, 스마트 폰의 여러 애플리케이션들이 근거리 무선통신으로 전자서명을 수행하는 기능을 지원하지 않더라도, 기존의 근거리 무선통신을 지원하는 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서, 보안 토큰으로부터 전송된 공인인증서를 소정 시간 후 자동 삭제함으로써, 기존의 방식보다 더 안전하게 공인인증서를 사용할 수 있는 효과를 가진다.In addition, according to the present invention, even if various applications of a smart phone do not support the function of performing digital signature in short-range wireless communication, it is possible to maintain the form of using a public certificate in a smart phone environment supporting conventional short- , The authorized certificate transmitted from the security token is automatically deleted after a predetermined time, so that the authorized certificate can be used more securely than the existing method.

도 1은 본 발명에 따른 PC 환경과 스마트 폰 환경에서 공용으로 사용하는 공인인증 시스템의 개요도이다.
도 2는 본 발명의 일 실시예에 따른 보안 토큰의 상세 구성도이다.
도 3은 본 발명의 일 실시예에 따른 보안 토큰이 PC 환경에서 사용되는 방식을 설명하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 USB 통신을 이용한 공인인증 방법의 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다.
도 6은 본 발명의 일 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.
도 7은 본 발명에 따른 보안칩이 전자서명을 생성하는 일 실시예의 흐름도이다.
도 8은 도 7의 실시예의 경우 보안칩의 전력 변화를 나타낸 도면이다.
도 9는 본 발명에 따른 보안칩이 전자서명을 생성하는 다른 실시예의 흐름도이다.
도 10은 도 9의 실시예의 경우 보안칩의 전력 변화를 나타낸 도면이다.
도 11은 본 발명의 다른 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다.
도 12는 본 발명의 다른 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.1 is a schematic diagram of a public authentication system commonly used in a PC environment and a smartphone environment according to the present invention.
2 is a detailed block diagram of a security token according to an embodiment of the present invention.
3 is a diagram illustrating a method of using a security token according to an embodiment of the present invention in a PC environment.
4 is a flowchart of a public authentication method using a USB communication according to an embodiment of the present invention.
5 is a diagram illustrating a method of using a security token according to an embodiment of the present invention in a smartphone environment.
6 is a flowchart of a public authentication method using near field wireless communication according to an embodiment of the present invention.
7 is a flowchart of an embodiment in which a security chip according to the present invention generates an electronic signature.
FIG. 8 is a diagram illustrating a power change of the security chip in the embodiment of FIG.
9 is a flowchart of another embodiment in which a security chip according to the present invention generates an electronic signature.
FIG. 10 is a diagram illustrating a change in power of the security chip in the embodiment of FIG.
11 is a diagram illustrating a method of using a security token according to another embodiment of the present invention in a smartphone environment.
12 is a flowchart of a public authentication method using near field wireless communication according to another embodiment of the present invention.

이하에서는 첨부 도면 및 바람직한 실시예를 참조하여 본 발명을 상세히 설명한다. 참고로, 하기 설명에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings and preferred embodiments. In the following description, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention unnecessarily obscure.

먼저, 보안 토큰을 PC 환경과 스마트 폰 환경에서 공용으로 사용하는 방안으로는, 보안 토큰을 PC와는 USB로 연결하여 사용하고 스마트 폰(무선 단말)과는 와이파이(Wi-Fi), 블루투스(Bluetooth), 근거리 무선통신(NFC; Near Field Communication) 등으로 연결하여 사용하는 방안을 고려할 수 있다.In order to use the security token commonly in the PC environment and the smartphone environment, a security token is connected to the PC through a USB, and a smart phone (wireless terminal) is used with a Wi-Fi, a Bluetooth, , Near field communication (NFC), and the like.

하지만, 보안 토큰을 와이파이 또는 블루투스로 스마트 폰과 연결하기 위해서는 반드시 배터리를 통한 전력 공급이 필요하며, 보안 토큰에 배터리를 내장하게 되면 제조사 입장에서는 제조 단가가 상승하고 사용자 입장에서는 충전 관리가 필요하다. 또한, 와이파이나 블루투스는 연결 거리가 길어 보안 취약점이 발생할 수 있는 문제점이 있다.However, in order to connect a security token to a smart phone with Wi-Fi or Bluetooth, it is necessary to supply power through a battery. When a battery is built in a security token, a manufacturing cost increases and a charge management is required for a user. In addition, Wi-Fi and Bluetooth have a problem in that a security vulnerability may occur due to a long connection distance.

그러므로, 본 발명에서는 근거리 무선통신(NFC; Near Field Communication)을 이용하여 보안 토큰을 스마트 폰(무선 단말)과 연결하여 사용하는 방안을 제안한다.
Therefore, the present invention proposes a method of using a security token in connection with a smart phone (wireless terminal) by using Near Field Communication (NFC).

도 1은 본 발명에 따른 PC 환경과 스마트 폰 환경에서 공용으로 사용하는 공인인증 시스템의 개요도이다.1 is a schematic diagram of a public authentication system commonly used in a PC environment and a smartphone environment according to the present invention.

도 1을 참조하면, 본 발명에 따른 공인인증 시스템은 크게 보안 토큰(100), 컴퓨터(200), 무선 단말(300), 인증 서버(400) 등으로 구성된다.Referring to FIG. 1, the authentication system according to the present invention includes a security token 100, a computer 200, a wireless terminal 300, and an authentication server 400.

이를 간단히 설명하면, 보안 토큰(100)은 컴퓨터 및 무선 단말 모두에 접속될 수 있으며, 내부에 공인인증서를 구비하여 전자서명을 생성할 수 있는 HSM(Hardware Security Module)이다. 예컨대, 보안 토큰(100)은 컴퓨터(200)와는 USB(Universal Serial Bus) 통신을 수행하고 무선 단말(300)과는 근거리 무선통신(NFC; Near Field Communication)을 수행하여 컴퓨터 및 무선 단말과 모두 통신할 수 있으며, 내부의 공인인증서에 기초하여 생성된 전자서명을 컴퓨터(200) 및/또는 무선 단말(300)에 전송하거나 또는 내부의 공인인증서를 직접 컴퓨터(200) 및/또는 무선 단말(300)에 전송하여 공인인증을 수행한다.The security token 100 can be connected to both a computer and a wireless terminal, and is a hardware security module (HSM) capable of generating an electronic signature by having a public certificate therein. For example, the security token 100 performs a USB (Universal Serial Bus) communication with the computer 200 and a near field communication (NFC) with the wireless terminal 300 to communicate with the computer and the wireless terminal Or transmits the generated digital signature to the computer 200 and / or the wireless terminal 300, or transmits the internal authorized certificate directly to the computer 200 and / or the wireless terminal 300, To perform public authentication.

컴퓨터(200)는 예컨대 USB 통신을 통해 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하여 공인인증을 수행하고, 이에 기초하여 금융, 발급, 게임, 교육 등의 서비스를 제공한다. 참고로, 본 발명에서 컴퓨터(200)는 PC(Personal Computer), 노트북 등과 같이 USB 포트를 구비하여 USB 통신이 가능하며 또한 유무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 컴퓨터를 포함하는 의미이다.The computer 200 transmits the digital signature transmitted from the security token 100 to the authentication server 400 through, for example, USB communication to perform public authentication, and provides services such as finance, issuance, game, and education do. For reference, in the present invention, the computer 200 includes all kinds of computers capable of communicating with the authentication server 400 through a USB port, such as a PC (personal computer), a notebook computer, etc., It is meant to include.

그리고, 무선 단말(300)은 예컨대 근거리 무선통신을 통해 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하거나 또는 보안 토큰(100)으로부터 전송된 공인인증서에 기초하여 전자서명을 생성하고 이를 인증 서버(400)로 전송하여 공인인증을 수행하고, 마찬가지로 이에 기초하여 금융, 발급, 게임, 교육 등의 서비스를 제공한다. 참고로, 본 발명에서 무선 단말(300)은 스마트 폰, 테블릿 PC 등과 같이 근거리 무선통신이 가능하며 또한 무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 무선 단말을 포함하는 의미이다.Then, the wireless terminal 300 transmits the digital signature transmitted from the security token 100 to the authentication server 400, for example, via short-range wireless communication, or transmits the digital signature based on the authentication certificate transmitted from the security token 100 And transmits it to the authentication server 400 to perform public authentication, and similarly provides services such as finance, issuance, game, and education on the basis thereof. For reference, in the present invention, the wireless terminal 300 includes all kinds of wireless terminals capable of short-range wireless communication such as a smart phone and a tablet PC, and capable of communicating with the authentication server 400 via a wireless Internet to be.

마지막으로, 인증 서버(400)는 컴퓨터(200) 및/또는 무선 단말(300)로부터 전송된 전저서명을 검증하여 본인 인증을 수행하고 그 결과를 알려주는 장치이다.
Lastly, the authentication server 400 is a device that verifies the entire book name transmitted from the computer 200 and / or the wireless terminal 300, performs the identity authentication, and informs the result.

도 2는 본 발명의 일 실시예에 따른 보안 토큰(100)의 상세 구성도이다.2 is a detailed block diagram of a security token 100 according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시예에 따른 보안 토큰(100)은 USB 연결부(110), 내부 통신 제어부(120), 보안칩(130), 안테나(140) 등을 포함하고, 보안칩(130)은 다시 접촉식 통신 모듈(131), 근거리 무선통신 모듈(132), 전자서명 모듈(133), 내부 메모리(134), 제어부(135) 등으로 구성된다.2, the security token 100 according to an exemplary embodiment of the present invention includes a USB connection unit 110, an internal communication control unit 120, a security chip 130, an antenna 140, The wireless communication module 130 includes a contact communication module 131, a short range wireless communication module 132, an electronic signature module 133, an internal memory 134, a controller 135, and the like.

USB 연결부(110)는 컴퓨터(200)의 USB 포트(220)와 보안 토큰(100)(구체적으로는, 내부 통신 제어부(120))을 연결하기 위한 장치이다. USB 포트의 모양은 일반적으로 가장 많이 사용되는 Type A가 바람직하지만, Type B, Mini-A, Mini-B, Micro-A, Micro-B 등으로 형성될 수도 있다.The USB connection unit 110 is a device for connecting the USB port 220 of the computer 200 and the security token 100 (specifically, the internal communication control unit 120). The shape of the USB port is typically Type A, which is the most commonly used type, but may be formed of Type B, Mini-A, Mini-B, Micro-A, Micro-B,

내부 통신 제어부(120)는 컴퓨터(200)와 USB 통신을 제어하고 보안칩(130)과 접촉식 통신을 제어하는 장치로, USB 규격에 따라서 컴퓨터(200)로부터 전력을 공급받아 동작한다. 컴퓨터(200)와는 USB 규격을 준수하여 통신하고, 보안칩(130)의 접촉식 통신모듈(131)과는 예컨대 ISO7816 규격을 준수하여 통신하며, 컴퓨터(200)의 응용 소프트웨어(210)에서 전송된 명령어를 보안칩(130)으로 전송하고, 보안칩(130)의 응답을 컴퓨터(200)의 응용 소프트웨어(210)로 전송하는 역할을 한다. 내부 통신 제어부(120)는 하나의 칩으로 구성되는 것이 바람직하지만, USB 통신 제어부와 접촉식 통신 제어부가 독립된 칩으로 구성될 수도 있으며, 또한 내부 통신 제어부(120)가 범용 MCU(Micro Control Unit) 또는 보안칩(130)의 일부로 구성될 수도 있다. 내부 통신 제어부(120)가 보안칩(130)의 일부로 구성될 경우, 보안칩(130)의 접촉식 통신모듈(131)과 통신하지 않고 직접 보안칩(130)의 제어부(135)와 통신할 수도 있다.The internal communication control unit 120 controls the USB communication with the computer 200 and controls the contact type communication with the security chip 130. The internal communication control unit 120 operates by receiving power from the computer 200 according to the USB standard. Communicates with the computer 200 in compliance with the USB standard and communicates with the contact communication module 131 of the security chip 130 in compliance with, for example, the ISO 7816 standard, Command to the security chip 130 and transmits the response of the security chip 130 to the application software 210 of the computer 200. [ The internal communication control unit 120 may be a single chip, but the USB communication control unit and the contact communication control unit may be configured as independent chips, and the internal communication control unit 120 may be a general-purpose MCU Or may be configured as a part of the security chip 130. When the internal communication control unit 120 is configured as a part of the security chip 130, the internal communication control unit 120 may communicate with the control unit 135 of the security chip 130 directly without communicating with the contact communication module 131 of the security chip 130 have.

보안칩(130)은 접촉식 통신 모듈(131), 근거리 무선통신 모듈(132), 전자서명 모듈(133), 내부 메모리(134), 제어부(135) 등으로 구성된다. 보안칩(130)은 보안 토큰(100)이 컴퓨터(200)에 연결된 경우에는 예컨대 ISO7816 규격에 따라서 컴퓨터(200) 및/또는 내부 통신 제어부(120)로부터 전력을 공급받아 동작하고, 컴퓨터(200)에 연결되지 않고 무선 단말(300)에 근접한 경우에는 예컨대 ISO14443 규격에 따라서 무선 단말(300)의 근거리 무선통신 모듈(330)로부터 안테나(140)로 유도된 전력으로 동작한다. 보안칩(130)은 보안 토큰(100)의 기판에 고정된 형태로 구현되는 것이 바람직하지만, SIM(Subscriber Identity Module) 타입으로 삽입되는 형태일 수도 있다.The security chip 130 includes a contact communication module 131, a short range wireless communication module 132, an electronic signature module 133, an internal memory 134, a controller 135, and the like. When the security token 100 is connected to the computer 200, the security chip 130 receives power from the computer 200 and / or the internal communication control unit 120 according to, for example, the ISO 7816 standard, When the mobile terminal 300 is close to the wireless terminal 300, the wireless terminal 300 operates with the power derived from the short range wireless communication module 330 of the wireless terminal 300 to the antenna 140 according to, for example, the ISO14443 standard. The security chip 130 is preferably implemented in a fixed form on a board of the security token 100, but may be inserted into a SIM (Subscriber Identity Module) type.

접촉식 통신 모듈(131)은 내부 통신 제어부(120)와 접촉식 통신을 수행하는 모듈이다. 내부 통신 제어부(120)와는 예컨대 ISO7816 규격을 준수하여 통신하며, 컴퓨터(200)의 응용 소프트웨어(210)에서 전송된 명령어를 내부 통신 제어부(120)를 통해 보안칩(130)으로 수신하고, 보안칩(130)의 응답을 다시 내부 통신 제어부(120)를 통해 컴퓨터(200)의 응용 소프트웨어(210)로 전송하는 역할을 한다.The contact communication module 131 is a module for performing contact communication with the internal communication controller 120. For example, conforming to the ISO 7816 standard, receives commands transmitted from the application software 210 of the computer 200 via the internal communication control unit 120 to the security chip 130, And transmits the response of the application server 130 to the application software 210 of the computer 200 via the internal communication control unit 120 again.

근거리 무선통신 모듈(132)은 무선 단말(300)의 근거리 무선통신 모듈(330)과 통신을 수행하는 모듈이다. 무선 단말(300)의 근거리 무선통신 모듈(330)과는 예컨대 ISO14443 규격을 준수하여 통신하며, 무선 단말(300)의 애플리케이션(320)에서 전송된 명령어를 무선 단말(300)의 근거리 무선통신 모듈(330)을 통해 보안칩(130)으로 수신하고, 보안칩(130)의 응답을 다시 무선 단말(300)의 근거리 무선통신 모듈(330)을 통해 무선 단말(300)의 애플리케이션(320)으로 전송하는 역할을 한다.The short-range wireless communication module 132 is a module for performing communication with the short-range wireless communication module 330 of the wireless terminal 300. For example, conforming to the ISO14443 standard, and transmits the command transmitted from the application 320 of the wireless terminal 300 to the near field wireless communication module 330 of the wireless terminal 300 330 to the security chip 130 and transmits the response of the security chip 130 to the application 320 of the wireless terminal 300 through the short range wireless communication module 330 of the wireless terminal 300 It plays a role.

전자서명 모듈(133)은 보안칩(130) 내부에 저장되어 있는 공인인증서의 개인키를 사용하여 전자서명을 생성하는 모듈이다. 일반적으로는 보안칩(130) 내부의 암호연산가속기를 사용하여 전자서명을 생성한다.The electronic signature module 133 is a module for generating an electronic signature using the private key of the public key stored in the security chip 130. Generally, a digital signature is generated using a cryptographic operation accelerator inside the security chip 130.

내부 메모리(134)는 보안칩(130) 내부에 있는 메모리로서 공인인증서를 저장한다. 공인인증서는 보안칩(130) 내부에서 생성되는 것이 바람직하나, 보안칩(130) 외부에서 생성된 공인인증서를 보안칩(130) 내부 메모리로 복사하여 사용하는 것도 가능하다.The internal memory 134 stores the authorized certificate as a memory inside the security chip 130. [ The authorized certificate is preferably generated in the security chip 130, but it is also possible to copy the authorized certificate generated outside the security chip 130 to the internal memory of the security chip 130 for use.

제어부(135)는 보안칩(130)의 접촉식 통신 모듈(131), 근거리 무선통신 모듈(132), 전자서명 모듈(133), 내부 메모리(134) 등을 전반적으로 제어하며, 공인인증서 발급 및 복사, 전자서명 생성 및 전송, 비밀번호 설정 및 변경, 보안 토큰 자동잠김, 보안 토큰 초기화 등 다양한 기능을 수행한다.The control unit 135 controls the contact communication module 131, the short-range wireless communication module 132, the electronic signature module 133 and the internal memory 134 of the security chip 130 as a whole, Copying, generating and transmitting digital signatures, setting and changing passwords, automatic locking of security tokens, and initialization of security tokens.

한편, 안테나(140)는 보안칩(130)의 근거리 무선통신 모듈(132)과 연결되어 무선 단말(300)과의 근거리 무선통신에 사용되는 장치이다. 안테나(140)는 보안 토큰(100)의 기판에 고정되는 것이 바람직하지만, 보안칩(130)이 SIM 타입으로 보안 토큰(100)에 삽입되는 형태일 경우에는 SIM에 삽입될 수도 있다.
The antenna 140 is connected to the short-range wireless communication module 132 of the security chip 130 and used for short-range wireless communication with the wireless terminal 300. The antenna 140 is preferably fixed to the substrate of the security token 100, but may be inserted into the SIM when the security chip 130 is inserted into the security token 100 as a SIM type.

이하에서는 도 3 내지 도 12를 참조하여 본 발명에 따른 보안 토큰이 PC 환경과 스마트 폰 환경에서 공용으로 사용되는 것에 대해 상세 설명한다.Hereinafter, the security token according to the present invention will be described in detail in connection with the PC environment and the smartphone environment, with reference to FIGS. 3 to 12. FIG.

먼저, 도 3은 본 발명의 일 실시예에 따른 보안 토큰이 PC 환경에서 사용되는 방식을 설명하는 도면이다. 그리고, 도 4는 본 발명의 일 실시예에 따른 USB 통신을 이용한 공인인증 방법의 흐름도이다.3 is a diagram illustrating a method of using a security token according to an exemplary embodiment of the present invention in a PC environment. 4 is a flowchart of a public authentication method using a USB communication according to an embodiment of the present invention.

전술한 바와 같이, 컴퓨터(200)는 PC(Personal Computer), 노트북 등과 같이 USB 포트(220)를 구비하여 USB 통신이 가능하며 유무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 컴퓨터가 해당될 수 있다. 컴퓨터(200)에는 응용 소프트웨어(210)가 설치되어 사용자에게 다양한 서비스를 제공하며, 공인인증이 필요한 경우 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하고, 금융, 발급, 게임, 교육 등의 서비스를 제공한다.As described above, the computer 200 may be any type of computer capable of communicating with the authentication server 400 through a wired / wireless Internet, including a USB port 220 such as a personal computer (PC) . The computer 200 is provided with application software 210 to provide a variety of services to the user and transmits the digital signature transmitted from the security token 100 to the authentication server 400 when authentication is required, Games, and education.

도 3 및 도 4를 참조하여 이를 상술하면, 컴퓨터의 응용 프로그램 실행 중 공인인증이 필요한 경우, 컴퓨터(200)의 응용 소프트웨어(210)는 USB 포트(220)에서 보안 토큰(100)을 찾는다(단계 S100 참조).3 and 4, when the authentication of the application program of the computer is required, the application software 210 of the computer 200 searches the USB port 220 for the security token 100 S100).

컴퓨터(200)의 응용 소프트웨어(210)가 보안 토큰(100) 찾기에 성공하면, 컴퓨터(200)의 응용 소프트웨어(210)와 보안칩(130)이 유선채널을 연결한다. 이때, 컴퓨터(200)의 응용소프트웨어(210)는 USB 통신으로 내부 통신 제어부(120)와 채널을 연결하고, 내부 통신 제어부(120)는 예컨대 ISO7816 통신으로 보안칩(130)과 채널을 연결한다(단계 S101 참조).When the application software 210 of the computer 200 succeeds in finding the security token 100, the application software 210 of the computer 200 and the security chip 130 connect the wired channel. At this time, the application software 210 of the computer 200 connects the channel with the internal communication control unit 120 through the USB communication, and the internal communication control unit 120 connects the channel with the security chip 130 by, for example, ISO7816 communication See step S101).

컴퓨터(200)의 응용 소프트웨어(210)가 연결된 유선채널을 통하여 보안칩(130)에게 전자서명에 사용할 키정보를 전송하며 전자서명을 요청하면(단계 S102 참조), 보안칩(130)은 키정보에 해당하는 내부 메모리(134)에 저장된 공인인증서의 개인키를 읽어와 전자서명 모듈(133)에서 개인키로 전자서명을 생성한다(단계 S103 참조).The security chip 130 transmits the key information to be used for digital signature to the security chip 130 through the wired channel to which the application software 210 of the computer 200 is connected and requests digital signature (refer to step S102) The digital signature module 133 reads the private key of the public key certificate stored in the internal memory 134 and generates an electronic signature using the private key (see step S103).

보안칩(130)이 연결된 유선채널을 통하여 전자서명을 컴퓨터(200)의 응용 소프트웨어(210)로 전송하면(단계 S104 참조), 컴퓨터(200)의 응용 소프트웨어(210)는 전송된 전자서명을 유무선 인터넷을 통해 인증 서버(400)로 전송한다(단계 S105 참조).The application software 210 of the computer 200 transmits the digital signature to the application software 210 of the computer 200 via the wired channel to which the security chip 130 is connected And transmits it to the authentication server 400 via the Internet (see step S105).

그러면, 인증 서버(400)는 전송된 전자서명을 검증하여(단계 S106 참조), 검증 결과를 다시 유무선 인터넷을 통해 컴퓨터(200)의 응용 소프트웨어(210)로 전송한다(단계 S107 참조).Then, the authentication server 400 verifies the transmitted digital signature (refer to step S106), and transmits the verification result again to the application software 210 of the computer 200 via the wired / wireless Internet (refer to step S107).

만약, 검증이 성공하였으면(단계 S108 참조), 컴퓨터(200)의 응용 소프트웨어(210)는 금융, 발급, 게임, 교육 등의 서비스를 제공하고(단계 S109 참조), 공인인증 과정은 종료된다.If the verification is successful (see step S108), the application software 210 of the computer 200 provides services such as finance, issuance, game, and education (refer to step S109), and the authorized authentication process is terminated.

한편, 단계 S100에서 컴퓨터(200)의 응용 소프트웨어(210)가 보안 토큰(100) 찾기에 실패하면, 컴퓨터(200)의 응용 소프트웨어(210)의 계속 찾기 조건을 검사한다(단계 S150 참조). 여기서, 계속 찾기 조건은 설정한 시간 또는 횟수, 무한반복 등을 사용할 수 있다. 그리고, 응용 소프트웨어(210)의 계속 찾기 조건을 만족하면, 다시 단계 S100으로 돌아가 그 이후의 단계를 진행한다.On the other hand, if the application software 210 of the computer 200 fails to find the security token 100 in step S100, the continuous search condition of the application software 210 of the computer 200 is checked (refer to step S150). Here, the continuous search condition can use the set time or number of times, infinite repetition, and the like. If the continuation search condition of the application software 210 is satisfied, the process returns to step S100 and proceeds to the subsequent steps.

그러나, 단계 S150에서 응용 소프트웨어(210)의 계속 찾기 조건을 만족하지 않으면, 컴퓨터(200)의 응용 소프트웨어(210)는 찾기 실패 메시지를 출력하고(단계 S151 참조), 인증과정을 종료한다.However, if the continuous search condition of the application software 210 is not satisfied in step S150, the application software 210 of the computer 200 outputs a search failure message (refer to step S151), and ends the authentication process.

한편, 만약 단계 S108에서 검증이 실패하였으면, 컴퓨터(200)의 응용 소프트웨어(210)는 검증 실패 메시지를 출력하고(단계 S160 참조), 인증과정을 종료한다.
On the other hand, if the verification fails in step S108, the application software 210 of the computer 200 outputs a verification failure message (refer to step S160), and ends the authentication process.

도 5는 본 발명의 일 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다. 그리고, 도 6은 본 발명의 일 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.5 is a diagram illustrating a method of using a security token according to an embodiment of the present invention in a smartphone environment. 6 is a flowchart of a public authentication method using near field wireless communication according to an embodiment of the present invention.

전술한 바와 같이, 무선 단말(300)은 스마트 폰, 테블릿 PC 등과 같이 근거리 무선통신이 가능하며 무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 단말이 해당될 수 있다. 무선 단말(300)은 무선 인터넷 모듈(310), 근거리 무선통신 모듈(330)을 포함하여 구성되며, 스마트 폰 애플리케이션(320)이 설치된다. 무선 인터넷 모듈(310)은 3G, 4G, 와이파이(WiFi), 블루투스(BT) 장치 등으로 구현될 수 있으며, 이 장치들 중에서 적어도 하나를 사용하여 무선으로 인터넷 망에 접속하는 무선통신 모듈이다. 그리고, 근거리 무선통신 모듈(330)은 바람직하게는 10cm이내의 가까운 거리(보통은 3~4cm)에서 무선통신이 가능한 NFC(Near Field Communication)를 사용한다. NFC는 카드 에뮬레이션 모드, 리더 모드, P2P 모드 등으로 동작할 수 있는데, 본 발명에서는 ISO14443 규격의 리더 모드로 사용하는 것이 바람직하다. 한편, 스마트 폰 애플리케이션(320)은 무선 단말(300)에 설치되어 사용자에게 다양한 서비스를 제공하며, 공인인증이 필요한 경우 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하고, 금융, 발급, 게임, 교육 등의 서비스를 제공한다.As described above, the wireless terminal 300 may be any type of terminal capable of short-range wireless communication such as a smart phone, a tablet PC, and the like and capable of communicating with the authentication server 400 through the wireless Internet. The wireless terminal 300 includes a wireless Internet module 310 and a short-range wireless communication module 330, and a smartphone application 320 is installed. The wireless Internet module 310 may be implemented as a 3G, 4G, WiFi, or Bluetooth device, and is a wireless communication module that wirelessly connects to the Internet network using at least one of the devices. The short-range wireless communication module 330 uses NFC (Near Field Communication) capable of wireless communication within a short distance of 10 cm or less (usually 3 to 4 cm). The NFC may operate in a card emulation mode, a reader mode, a P2P mode, or the like. In the present invention, it is preferable to use the reader mode of the ISO14443 standard. The smartphone application 320 is installed in the wireless terminal 300 and provides various services to the user. When the authentication is required, the smartphone application 320 transmits the digital signature transmitted from the security token 100 to the authentication server 400, Finance, issuance, games, and education.

도 5 및 도 6을 참조하여 이를 상술하면, 무선 단말(300)의 애플리케이션 실행 중 공인인증이 필요한 경우, 무선 단말(300)의 애플리케이션(320)은 근거리 무선통신을 이용하여 보안 토큰(100)을 찾는다(단계 S200 참조).5 and 6, when public authentication is required during the execution of the application of the wireless terminal 300, the application 320 of the wireless terminal 300 transmits the security token 100 using short-range wireless communication (See step S200).

무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 성공하면, 무선 단말(300)의 애플리케이션(320)과 보안칩(130)이 근거리 무선채널을 연결한다. 이때, 무선 단말(300)의 근거리 무선통신 모듈(330)은 예컨대 ISO14443 통신으로 보안칩(130)과 채널을 연결한다(단계 S201 참조).When the application 320 of the wireless terminal 300 succeeds in finding the security token 100, the application 320 of the wireless terminal 300 and the security chip 130 connect the short-range wireless channel. At this time, the short-range wireless communication module 330 of the wireless terminal 300 connects the channel with the security chip 130 by, for example, ISO14443 communication (refer to step S201).

무선 단말(300)의 애플리케이션(320)이 연결된 근거리 무선채널을 통하여 보안칩(130)에게 전자서명에 사용할 키정보를 전송하며 전자서명을 요청하면(단계 S202 참조), 보안칩(130)은 키정보에 해당하는 내부 메모리(134)에 저장된 공인인증서의 개인키를 읽어와 전자서명 모듈(133)에서 개인키로 전자서명을 생성한다(단계 S203 참조).When the application 320 of the wireless terminal 300 transmits the key information to be used for digital signature to the security chip 130 through the connected short-range wireless channel and requests digital signature (refer to step S202), the security chip 130 transmits the key information The private key of the public key certificate stored in the internal memory 134 corresponding to the information is read and the electronic signature module 133 generates an electronic signature with the private key (see step S203).

보안칩(130)이 연결된 근거리 무선채널을 통하여 전자서명을 무선 단말(300)의 애플리케이션(320)으로 전송하면(단계 S204 참조), 무선 단말(300)의 애플리케이션(320)은 전송된 전자서명을 무선 인터넷을 통해 인증 서버(400)로 전송한다(단계 S205 참조).The application 320 of the wireless terminal 300 transmits the digital signature to the application 320 of the wireless terminal 300 via the short distance wireless channel to which the security chip 130 is connected To the authentication server 400 via the wireless Internet (see step S205).

그러면, 인증 서버(400)는 전송된 전자서명을 검증하여(단계 S206 참조), 검증 결과를 다시 무선 인터넷을 통해 무선 단말(300)의 애플리케이션(320)으로 전송한다(단계 S207 참조).Then, the authentication server 400 verifies the transmitted digital signature (refer to step S206), and transmits the verification result to the application 320 of the wireless terminal 300 again via the wireless Internet (refer to step S207).

만약, 검증이 성공하였으면(단계 S208 참조), 무선 단말(300)의 애플리케이션(320)은 금융, 발급, 게임, 교육 등의 서비스를 제공하고(단계 S209 참조), 공인인증 과정은 종료된다.If the verification is successful (see step S208), the application 320 of the wireless terminal 300 provides services such as finance, issuance, game, and education (refer to step S209), and the authorized authentication process is terminated.

한편, 단계 S200에서 무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 실패하면, 무선 단말(300)의 애플리케이션(320)의 계속 찾기 조건을 검사한다(단계 S250 참조). 여기서, 계속 찾기 조건은 설정한 시간 또는 횟수, 무한반복 등을 사용할 수 있다. 그리고, 애플리케이션(320)의 계속 찾기 조건을 만족하면, 다시 단계 S200으로 돌아가 그 이후의 단계를 진행한다.On the other hand, if the application 320 of the wireless terminal 300 fails to find the security token 100 in step S200, the continuation condition of the application 320 of the wireless terminal 300 is checked (refer to step S250). Here, the continuous search condition can use the set time or number of times, infinite repetition, and the like. If the continuation search condition of the application 320 is satisfied, the process returns to step S200 and proceeds to the subsequent steps.

그러나, 단계 S250에서 애플리케이션(320)의 계속 찾기 조건을 만족하지 않으면, 무선 단말(300)의 애플리케이션(320)은 찾기 실패 메시지를 출력하고(단계 S251 참조), 인증과정을 종료한다.However, if the continuation search condition of the application 320 is not satisfied in step S250, the application 320 of the wireless terminal 300 outputs a search failure message (refer to step S251), and ends the authentication process.

한편, 만약 단계 S208에서 검증이 실패하였으면, 무선 단말(300)의 애플리케이션(320)은 검증 실패 메시지를 출력하고(단계 S260 참조), 인증과정을 종료한다.
On the other hand, if the verification fails in step S208, the application 320 of the wireless terminal 300 outputs a verification failure message (refer to step S260), and ends the authentication process.

이하에서는 상기 단계 S202, S203 및 S204과 관련하여 본 발명에 따른 보안칩(130)이 전자서명을 생성하는 과정에 대해 상세 설명한다.Hereinafter, the process of generating the digital signature by the security chip 130 according to the present invention will be described in detail with reference to the steps S202, S203, and S204.

먼저, 도 7은 본 발명에 따른 보안칩이 전자서명을 생성하는 일 실시예의 흐름도이다. 참고로, 도 7의 실시예는 보안칩(130)이 한 번의 전력 충전(즉, 한 번의 명령어 실행)으로 전자서명을 수행하는 경우를 예시한 것이다.7 is a flowchart of an embodiment in which a security chip according to the present invention generates an electronic signature. For reference, the embodiment of FIG. 7 illustrates a case where the security chip 130 performs digital signature with one power charge (i.e., one instruction execution).

도 7을 참조하면, 무선 단말(300)은 "COMPUTE DIGITAL SIGNATURE 명령어"로 전자서명에 사용할 키정보와 서명될 데이터를 보안칩(130)으로 전송한다(단계 S202a 참조).Referring to FIG. 7, the wireless terminal 300 transmits the key information to be used for digital signature and the data to be signed to the security chip 130 with the "COMPUTE DIGITAL SIGNATURE command" (refer to step S202a).

그러면, 보안칩(130)은 키정보에 해당하는 공인인증서의 개인키를 선택하고(단계 S203a 참조), 선택된 개인키로 전자서명 연산을 위한 초기화 작업을 수행한 후(단계 S203b 참조), 서명될 데이터에 대해서 전자서명 연산을 수행하여 전자서명 값을 생성한다(단계 S203c 참조).Then, the security chip 130 selects the private key of the public key certificate corresponding to the key information (refer to step S203a), performs the initialization operation for the digital signature operation with the selected private key (see step S203b) And generates an electronic signature value (see step S203c).

그리고, 보안칩(130)은 "COMPUTE DIGITAL SIGNATURE 응답"으로 전자서명 값과 상태정보를 무선 단말(300)에 전송한다(단계 S204a 참조).
Then, the security chip 130 transmits the digital signature value and status information to the wireless terminal 300 in a "COMPUTE DIGITAL SIGNATURE RESPONSE" (see step S204a).

한편, 근거리 무선통신(NFC)은 무선 단말(300)에서 방출하는 전자기파로부터 보안 토큰(100)이 직접 전력을 생산하여 통신하는 방식이므로 배터리가 필요없고 연결 거리도 짧아 보안성이 뛰어나지만, 보안 토큰(100)이 전자서명을 수행할 만큼의 전력을 생산하기가 쉽지 않은 문제점이 있다.Meanwhile, since the wireless token (100) directly generates electric power from the electromagnetic wave emitted from the wireless terminal (300) and communicates, the NFC does not require a battery and has a short connection distance, There is a problem that it is not easy for the mobile terminal 100 to generate electric power for performing digital signature.

예를 들어, 근거리 무선통신 방식의 일 형태인 교통카드 시스템은 버스 단말기에서 방출하는 전자기파로부터 교통카드가 직접 전력을 생산하여 통신하는데, 교통카드에서 수행되는 연산은 데이터를 읽고 쓰는 수준의 간단한 연산이어서 많은 전력을 요구하지 않는다. 하지만, 무선 단말(예, 스마트 폰)은 버스 단말기보다 전자기파의 출력이 약하며, 보안 토큰은 교통카드보다 크기가 작고 내부의 부품들이 전자기파의 유도를 방해하여 생산할 수 있는 전력이 작고, 전자서명에 필요한 2048비트의 RSA(Rivest Shamir Adleman) 연산은 많은 전력을 요구한다.For example, a transportation card system, which is a type of short-distance wireless communication, communicates directly with electric power generated from electromagnetic waves emitted from a bus terminal. The operation performed on the transportation card is a simple operation of reading and writing data It does not require much power. However, the wireless terminal (eg, smart phone) has a weaker electromagnetic wave output than the bus terminal, the security token is smaller than the traffic card, the internal parts interfere with the induction of the electromagnetic wave, The 2048-bit Rivest Shamir Adleman (RSA) operation requires a lot of power.

실제 실험한 결과, 보안 토큰의 구성 요소인 보안칩의 일 구현 형태인 금융결제원의 "금융IC카드 보안토큰 규격 v1.10"을 준수하는 보안칩은, 외부에서 전력을 공급받는 USB 연결 상태에서는 "COMPUTE DIGITAL SIGNATURE 명령어"로 전자서명을 정상적으로 수행하지만, 무선 단말(예, 스마트 폰)에서 방출하는 전자기파로부터 전력을 생산하는 근거리 무선통신 연결 상태에서는 상기 명령어로 전자서명을 정상적으로 수행하지 못하는 경우가 빈번하게 발생하였다.As a result of a practical experiment, a security chip conforming to "Financial IC Card Security Token Specification v1.10" of KFTC, which is one implementation of a security chip, which is a component of a security token, COMPUTE DIGITAL SIGNATURE command ", but in a short-range wireless communication connection state in which power is generated from an electromagnetic wave emitted from a wireless terminal (for example, a smart phone), a case where the electronic signature can not be normally performed by the command is frequently Respectively.

도 8을 참조하여 이를 상술하면, 무선 단말(300)에서 방출하는 전자기파의 출력이 약한 경우, 비록 보안칩(130)이 무선 단말(300)에서 방출하는 전자기파로부터 생산한 전력을 최대로 충전하고 있더라도 "COMPUTE DIGITAL SIGNATURE 명령어"를 수행하는 과정에서 생산 전력보다 소비 전력이 더 많아져 전력이 점차 줄어들게 되고 결국 보안칩을 구동할 수 있는 최소 한계값 이하로 떨어져 리셋(reset)되게 된다.8, if the output of the electromagnetic wave emitted from the wireless terminal 300 is weak, even if the security chip 130 is maximally charged with the power generated from the electromagnetic wave emitted from the wireless terminal 300 In the course of performing the "COMPUTE DIGITAL SIGNATURE command", the power consumption increases more than the produced power, so that the power is gradually reduced and reset to fall below the minimum threshold value for driving the security chip.

그러므로, 무선 단말(300)에서 방출하는 전자기파의 출력이 약한 경우에도 보안칩(130)이 최소한의 전력을 이용해 전자서명을 수행할 수 있는 대안적인 방안이 필요한데, 이하에서는 도 9 및 도 10을 참조하여 이를 설명한다.Therefore, an alternative scheme is needed in which the security chip 130 can perform digital signature using minimum power even when the output of the electromagnetic wave emitted from the wireless terminal 300 is weak. Hereinafter, referring to FIGS. 9 and 10 To explain this.

도 9는 본 발명에 따른 보안칩이 전자서명을 생성하는 다른 실시예의 흐름도이다. 참고로, 도 9의 실시예는, 한 번의 전자서명 명령어를 2개 이상의 전자서명 명령어로 분리하여 전력 사용을 분산시킨 것으로, 보안칩(130)이 2 이상의 전력 충전(즉, 2 이상의 명령어 실행)으로 전자서명을 수행하는 경우를 예시한 것이다.9 is a flowchart of another embodiment in which a security chip according to the present invention generates an electronic signature. The embodiment of FIG. 9 differs the power usage by separating one electronic signature command into two or more electronic signature commands. When the security chip 130 charges two or more power (that is, executes two or more commands) As shown in FIG.

도 9를 참조하면, 먼저 무선 단말(300)은 "INITIALIZE CRYPTO 명령어"로 전자서명에 사용할 키정보를 보안칩(130)으로 전송한다(단계 S202b 참조). 참고로, 이는 무선 단말(300)이 보안칩(130)에게 전자서명 생성의 준비를 요청하는 과정이다.Referring to FIG. 9, first, the wireless terminal 300 transmits key information to be used for digital signature to the security chip 130 with an " INITIALIZE CRYPTO command "(refer to step S202b). For reference, this is a process in which the wireless terminal 300 requests the security chip 130 to prepare for digital signature generation.

그러면, 보안칩(130)은 키정보에 해당하는 공인인증서의 개인키를 선택하고(단계 S203a 참조), 선택된 개인키로 전자서명 연산을 위한 초기화 작업을 수행한다(단계 S203b 참조). 그리고, 보안칩(130)은 "INITALIZE CRYPTO 응답"으로 상태정보를 무선 단말(300)에 전송한다(단계 S204b 참조).Then, the security chip 130 selects a private key of the public key corresponding to the key information (see step S203a), and performs an initialization operation for the digital signature operation with the selected private key (see step S203b). Then, the security chip 130 transmits the status information to the wireless terminal 300 in an " INITALIZE CRYPTO RESPONSE " (see step S204b).

이 후, 무선 단말(300)은 "PERFORM CRYPTO 명령어"로 서명될 데이터를 보안칩(130)으로 전송한다(단계 S202c 참조). 참고로, 이는 무선 단말(300)이 보안칩(130)에게 전자서명 생성의 실행을 요청하는 과정이다.Thereafter, the wireless terminal 300 transmits the data to be signed with the "PERFORM CRYPTO command " to the security chip 130 (see step S202c). For reference, this is a process in which the wireless terminal 300 requests the security chip 130 to execute the digital signature generation.

그러면, 보안칩(130)은 서명될 데이터에 대해서 전자서명 연산을 수행하여 전자서명 값을 생성하고(단계 S203c 참조), "PERFORM CRYPTO 응답"으로 전자서명 값과 상태정보를 무선 단말(300)에 전송한다(단계 S204c 참조).Then, the security chip 130 generates an electronic signature value by performing an electronic signature operation on the data to be signed (refer to step S203c), and transmits the digital signature value and status information to the wireless terminal 300 in the "PERFORM CRYPTO response & (See step S204c).

도 10을 참조하면, "INITIALIZE CRYPTO 명령어"와 "PERFORM CRYPTO 명령어"로 전자서명을 수행하는 과정은, 보안칩(130)의 전력이 최소 한계값 이하로 떨어지기 전에 "INITIALIZE CRYPTO 명령어"를 수행하는 과정이 완료되고, 무선 단말(300)이 "INITIALIZE CRYPTO 응답"을 처리하고 "PERFORM CRYPTO 명령어"를 준비하는 동안 보안칩(130)은 다시 충전되며, 마찬가지로 보안칩(130)의 전력이 최소 한계값 이하로 떨어지기 전에 "PERFORM CRYPTO 명령어"를 수행하는 과정이 완료되어, 전자서명 과정을 정상적으로 수행할 수 있다.
10, the process of performing an electronic signature with the "INITIALIZE CRYPTO command" and the "PERFORM CRYPTO command" performs an "INITIALIZE CRYPTO command" before the power of the security chip 130 falls below a minimum threshold value The security chip 130 is recharged while the process is completed and the wireless terminal 300 processes the " INITIALIZE CRYPTO response "and prepares the" PERFORM CRYPTO command & The process of performing the "PERFORM CRYPTO command" is completed and the digital signature process can be normally performed.

한편, 전술한 본 발명에 따라서, 근거리 무선통신을 이용하여 무선 단말(300)에서 보안 토큰(100)을 이용한 공인인증이 가능하지만, 무선 단말(300)의 여러 애플리케이션들이 근거리 무선통신으로 전자서명을 수행하는 기능을 지원하여야 하므로, 실생활에 적용되기까지는 상당한 시간이 필요할 수 있다.Meanwhile, according to the present invention, it is possible to perform public authentication using the security token 100 in the wireless terminal 300 using the short-range wireless communication. However, various applications of the wireless terminal 300 can use the short- Since it is necessary to support the function to perform, it may take a considerable time to be applied to the real life.

그러므로, 기존의 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서 기존의 형태보다 안전하게 사용할 수 있는 방안도 요구되는데, 이하에서는 도 11 및 도 12를 참조하여 이를 설명한다.Accordingly, it is also required to provide a method of using the public certificate in the existing smartphone environment more safely than the conventional method while maintaining the form of using the public certificate. Hereinafter, a description will be made with reference to FIG. 11 and FIG.

근거리 무선통신을 지원하는 무선 단말(예, 스마트 폰)은 주로 안드로이드 운영체제를 기반으로 하며, 안드로이드 운영체제에서는 주로 PC에서 발급된 공인인증서를 무선 단말로 복사하여 특정 폴더에 파일 형태로 저장해 두고 여러 애플리케이션들이 공용으로 사용하는 방식이 사용된다.Wireless terminals (for example, smart phones) that support short-range wireless communication are mainly based on the Android operating system. In the Android operating system, the official certificates issued by the PC are copied to the wireless terminal and stored as files in a specific folder, A common method is used.

이에, 본 발명에서는 공인인증서가 필요할 때에만 무선 단말(300)이 보안 토큰(100)의 보안칩(130)에 안전하게 저장되어 있는 공인인증서를 근거리 무선통신으로 읽어와서 특정 폴더에 파일 형태로 저장한 후 사용하도록 하고, 소정 시간 경과 후에 또는 소정 회수의 공인인증 수행 후에는 무선 단말(300)에 저장된 공인인증서를 자동으로 삭제함으로써 해킹, 분실 등 보안상의 문제점들을 해결하고자 한다.Accordingly, in the present invention, only when a public certificate is required, the wireless terminal 300 reads the public certificate securely stored in the security chip 130 of the security token 100 as a short-range wireless communication, And the authentication certificate stored in the wireless terminal 300 is automatically deleted after a predetermined time has elapsed or after a predetermined number of authorized authentications have been performed to solve security problems such as hacking and loss.

도 11은 본 발명의 다른 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다. 그리고, 도 12는 본 발명의 다른 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.11 is a diagram illustrating a method of using a security token according to another embodiment of the present invention in a smartphone environment. 12 is a flowchart of a public authentication method using near field wireless communication according to another embodiment of the present invention.

전술한 바와 같이, 무선 단말(300)은 도 5 및 도 6에서 설명한 본 발명의 일 실시예에 따른 무선 단말을 사용할 수 있으며, 또한 무선 단말(300)의 특정 폴더(340)에 파일 형태로 저장되어 있는 공인인증서를 소정 시간 경과 후에 삭제하거나 또는 소정 회수의 공인인증 수행 후 삭제하기 위하여 타이머, 프로세서 감시기 등의 기능을 가지고 있는 것이 바람직하다. 한편, 스마트 폰 애플리케이션(320)은 무선 단말(300)에 설치되어 사용자에게 다양한 서비스를 제공하며, 공인인증이 필요한 경우 보안 토큰(100)으로부터 전송된 공인인증서에 기초하여 전자서명을 생성하고, 생성된 전자서명을 인증 서버(400)로 전송하고, 금융, 발급, 게임, 교육 등의 서비스를 제공한다.As described above, the wireless terminal 300 can use the wireless terminal according to an embodiment of the present invention described in FIG. 5 and FIG. 6, and can also store it in a file form in a specific folder 340 of the wireless terminal 300 Or a processor monitor, in order to delete the authorized certificate after a predetermined time elapses, or to delete the authorized certificate after a predetermined number of authorized authentications. Meanwhile, the smartphone application 320 is installed in the wireless terminal 300 to provide a variety of services to the user, generates an electronic signature based on the public key certificate transmitted from the security token 100 when public authentication is required, Transmits the digital signature to the authentication server 400, and provides services such as finance, issuance, game, and education.

도 11 및 도 12를 참조하여 이를 상술하면, 무선 단말(300)의 애플리케이션 실행 중 공인인증이 필요한 경우, 무선 단말(300)의 애플리케이션(320)은 근거리 무선통신을 이용하여 보안 토큰(100)을 찾는다(단계 S300 참조).11 and 12, when it is required to perform public authentication during the execution of an application of the wireless terminal 300, the application 320 of the wireless terminal 300 transmits the security token 100 using short- (Refer to step S300).

무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 성공하면, 무선 단말(300)의 애플리케이션(320)과 보안칩(130)이 근거리 무선채널을 연결한다. 이때, 무선 단말(300)의 근거리 무선통신 모듈(330)은 예컨대 ISO14443 통신으로 보안칩(130)과 채널을 연결한다(단계 S301 참조).When the application 320 of the wireless terminal 300 succeeds in finding the security token 100, the application 320 of the wireless terminal 300 and the security chip 130 connect the short-range wireless channel. At this time, the short-distance wireless communication module 330 of the wireless terminal 300 connects the channel with the security chip 130 through ISO14443 communication (refer to step S301).

무선 단말(300)의 애플리케이션(320)이 연결된 근거리 무선채널을 통하여 보안칩(130)에게 공인인증서를 요청하면(단계 S302 참조), 보안칩(130)은 연결된 근거리 무선채널을 통하여 공인인증서를 무선 단말(300)의 애플리케이션(320)으로 전송한다(단계 S303 참조).When the application 320 of the wireless terminal 300 requests the security chip 130 from the authorized wireless terminal through the connected wireless LAN channel (refer to step S302), the security chip 130 transmits the authentication certificate to the wireless chip 300 through the connected short- To the application 320 of the terminal 300 (refer to step S303).

무선 단말(300)의 애플리케이션(320)은 전송된 공인인증서를 무선 단말(300)의 특정 폴더(340)에 파일 형태로 저장하고, 저장된 공인인증서의 개인키로 전자서명을 생성한다(단계 S304 참조).The application 320 of the wireless terminal 300 stores the transmitted public key certificate in the form of a file in the specific folder 340 of the wireless terminal 300 and generates an electronic signature with the private key of the stored public key certificate (see step S304) .

참고로, 단계 S304 이후의 무선 단말(300)의 애플리케이션(320)과 단계 S303 이전의 무선 단말(300)의 애플리케이션(320)은 서로 다를 수 있다. 예컨대, 단계 S303 이전의 무선 단말(300)의 애플리케이션(320)은 보안 토큰(100)의 공인인증서를 읽어오기 위한 전용 애플리케이션이고, 단계 S304 이후의 무선 단말(300)의 애플리케이션(320)은 기존의 금융 애플리케이션일 수 있다.For reference, the application 320 of the wireless terminal 300 after step S304 and the application 320 of the wireless terminal 300 before step S303 may be different from each other. For example, the application 320 of the wireless terminal 300 before the step S303 is a dedicated application for reading the public certificate of the security token 100, and the application 320 of the wireless terminal 300 after the step S304, Financial application.

그리고, 무선 단말(300)의 애플리케이션(320)은 생성된 전자서명을 무선 인터넷을 통해 인증 서버(400)로 전송한다(단계 S305 참조).Then, the application 320 of the wireless terminal 300 transmits the generated digital signature to the authentication server 400 via the wireless Internet (refer to step S305).

그러면, 인증 서버(400)는 전송된 전자서명을 검증하여(단계 S306 참조), 검증 결과를 다시 무선 인터넷을 통해 무선 단말(300)의 애플리케이션(320)으로 전송한다(단계 S307 참조).Then, the authentication server 400 verifies the transmitted digital signature (refer to step S306), and transmits the verification result to the application 320 of the wireless terminal 300 again via the wireless Internet (refer to step S307).

만약, 검증이 성공하였으면(단계 S308 참조), 무선 단말(300)의 애플리케이션(320)은 금융, 발급, 게임, 교육 등의 서비스를 제공하고(단계 S309 참조), 공인인증 과정은 종료된다.If the verification is successful (see step S308), the application 320 of the wireless terminal 300 provides services such as finance, issuance, game, and education (refer to step S309), and the authorized authentication process is terminated.

한편, 단계 S300에서 무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 실패하면, 무선 단말(300)의 애플리케이션(320)의 계속 찾기 조건을 검사한다(단계 S350 참조). 여기서, 계속 찾기 조건은 설정한 시간 또는 횟수, 무한반복 등을 사용할 수 있다. 그리고, 애플리케이션(320)의 계속 찾기 조건을 만족하면, 다시 단계 S300으로 돌아가 그 이후의 단계를 진행한다.On the other hand, if the application 320 of the wireless terminal 300 fails to find the security token 100 in step S300, the continuation condition of the application 320 of the wireless terminal 300 is checked (see step S350). Here, the continuous search condition can use the set time or number of times, infinite repetition, and the like. If the continuation search condition of the application 320 is satisfied, the process returns to step S300 and proceeds to the subsequent steps.

그러나, 단계 S350에서 애플리케이션(320)의 계속 찾기 조건을 만족하지 않으면, 무선 단말(300)의 애플리케이션(320)은 찾기 실패 메시지를 출력하고(단계 S351 참조), 인증과정을 종료한다.However, if the continuation search condition of the application 320 is not satisfied in step S350, the application 320 of the wireless terminal 300 outputs a search failure message (refer to step S351), and ends the authentication process.

한편, 만약 단계 S308에서 검증이 실패하였으면, 무선 단말(300)의 애플리케이션(320)은 검증 실패 메시지를 출력하고(단계 S360 참조), 인증과정을 종료한다.On the other hand, if the verification fails in step S308, the application 320 of the wireless terminal 300 outputs a verification failure message (refer to step S360), and ends the authentication process.

또 한편, 무선 단말(300)의 애플리케이션(320)은 공인인증서 저장 시 저장된 공인인증서를 자동으로 삭제하기 위한 타이머(timer)를 시작하고, 무선 단말(300)의 타이머는 지정된 시간이 경과하면 무선 단말(300)의 특정 폴더(340)에 파일 형태로 저장되어 있는 공인인증서를 삭제하도록 구현될 수도 있다. 또한 대안적으로, 무선 단말(320)은 타이머를 사용하는 대신 공인인증 수행 횟수를 감시하여, 소정 회수의 공인인증이 수행된 후에 공인인증서를 삭제할 수도 있다.On the other hand, the application 320 of the wireless terminal 300 starts a timer for automatically deleting the authorized certificate stored at the time of storing the public certificate, and the timer of the wireless terminal 300, The authorized certificate stored in the form of a file in the specific folder 340 of the portable terminal 300 may be deleted. Alternatively, instead of using the timer, the wireless terminal 320 may monitor the number of times the authorized authentication is performed, and delete the authorized certificate after the predetermined number of authorized authentications have been performed.

참고로, 전술한 방식은, 공인인증서를 사용할 때에만 무선 단말(300)에 공인인증서가 존재하므로 공인인증서가 해킹될 수 있는 가능성을 현저히 낮추어주고 무선 단말(300)의 분실에 대해서도 안전하여, 기존의 근거리 무선통신을 지원하는 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서도 기존의 형태보다 안전한 장점을 가진다.
For reference, the above-described method significantly reduces the possibility that the authorized certificate is hacked because the authorized certificate exists in the wireless terminal 300 only when the authorized certificate is used, and is secure against the loss of the wireless terminal 300, In the smartphone environment that supports short-range wireless communication, it has the advantage of being more secure than the existing form while maintaining the form of using the authorized certificate.

다시 도 2를 참조하면, 본 발명의 바람직한 실시예에 따르면, 본 발명의 보안 토큰(100)은 전술한 공인인증 기능 외에도, 비밀번호 설정 및 변경 기능, 공인인증서 복사 및 백업 기능, 보안 토큰 자동잠김 기능, 보안 토큰 초기화 기능 등을 수행할 수 있다.2, in accordance with a preferred embodiment of the present invention, the security token 100 of the present invention includes a password setting and changing function, a public certificate copying and backup function, a security token automatic locking function , A security token initialization function, and the like.

구체적으로, 보안칩(130)의 제어부(135)는 예컨대 USB 통신을 통해 사용자로부터 비밀번호를 입력받아 내부 메모리(134)에 저장하고, 공인인증 요청 시 비밀번호 입력을 요구하여 정당한 사용자임을 확인할 수 있다. 또한, 사용자로부터 비밀번호 변경이 있는 경우에는 이전의 비밀번호를 확인한 후 변경된 비밀번호를 내부 메모리(134)에 저장하여 비밀번호 변경 기능을 수행한다. 한편, 보안칩(130)의 제어부(135)는 사용자로부터 입력된 비밀번호가 소정 회수(예, 5회) 이상 오류난 경우 자동으로 보안 토큰을 비활성화시켜 자동잠금 기능을 수행할 수 있다. 그리고, 보안칩(130)의 제어부(135)는 사용자로부터 입력된 초기화 명령에 의해 보안 토큰을 초기화함으로써 초기화 기능을 수행할 수도 있다.
Specifically, the control unit 135 of the security chip 130 receives the password from the user via the USB communication, stores the password in the internal memory 134, and requests the password input when requesting the authentication, thereby confirming that the user is a legitimate user. If there is a password change from the user, the password change function is performed by storing the changed password in the internal memory 134 after confirming the previous password. Meanwhile, the control unit 135 of the security chip 130 may automatically lock the security token by automatically deactivating the security token when the password inputted from the user is erroneous more than a predetermined number of times (for example, five times). The control unit 135 of the security chip 130 may perform an initialization function by initializing a security token by an initialization command input from a user.

한편, 본 발명에 따른 공인인증 방법의 전체 및/또는 일부 단계는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독가능 기록매체를 통하여 실시될 수 있다. 상기 컴퓨터 판독가능 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기록매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독가능 기록매체의 예로는 하드디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.Meanwhile, all and / or some steps of the public authentication method according to the present invention can be implemented through a computer-readable recording medium including program instructions for performing various computer-implemented operations. The computer-readable recording medium may include a program command, a data file, a data structure, and the like, alone or in combination. The recording medium may be those specially designed and configured for the present invention or may be those known and used by those skilled in the computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floppy disks, and ROMs, And hardware devices specifically configured to store and execute the same program instructions. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like.

또한, 전술한 본 발명에 따른 공인인증 방법의 전체 및/또는 일부 단계를 수행하는 프로그램은 애플리케이션(application) 형태로 제작되어 유무선 통신(예, 인터넷)을 통해 개별 무선 단말(예, 스마트 폰)로 전송될 수 있으며, 본 발명은 이와 같은 공인인증 방법을 수행하는 프로그램을 전송하는 장치(예, 서버)로 구현될 수도 있다.
In addition, the program for performing all and / or partial steps of the public authentication method according to the present invention may be manufactured in the form of an application and may be transmitted to individual wireless terminals (e.g., a smart phone) via wired / wireless communication And the present invention may be embodied as a device (e.g., a server) for transmitting a program that performs such an authorized authentication method.

지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만, 본 발명이 속하는 기술분야의 당업자는 본 발명의 기술적 사상이나 필수적 특징들을 변경하지 않고서 다른 구체적인 다양한 형태로 실시할 수 있는 것이므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It is to be understood that the embodiments are to be considered in all respects as illustrative and not restrictive.

그리고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 특정되는 것이며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태는 본 발명의 범위에 포함되는 것으로 해석되어야 한다.It is to be understood that both the foregoing general description and the following detailed description of the present invention are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. .

Claims (22)

공인인증 시스템에 있어서,
공인인증서를 구비하고, 상기 공인인증서에 기초하여 전자서명을 생성하며, 상기 전자서명을 NFC(Near Field Communication) 통신을 통해 무선 단말로 전송하는 보안 토큰;
상기 보안 토큰으로부터 전송된 전자서명을 인증 서버로 전송하는 무선 단말; 및
상기 무선 단말로부터 전송된 전자서명을 검증하는 인증 서버를 포함하고,
상기 보안 토큰은
상기 무선 단말로부터 전자서명의 생성의 준비를 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 키정보에 해당하는 공인인증서의 개인키를 선택하여 상기 선택된 개인키로 전자서명 연산을 초기화한 후 상기 무선 단말로 상태정보를 전송하고,
상기 무선 단말로부터 전자서명의 생성의 실행을 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 재충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 서명될 데이터에 대해서 전자서명 연산을 수행하고 전자서명 값을 상기 무선 단말로 전송하는 것을 특징으로 하는 시스템.In the authorized authentication system,
A security token having a public certificate, generating a digital signature based on the public certificate, and transmitting the digital signature to a wireless terminal through NFC (Near Field Communication) communication;
A wireless terminal for transmitting the digital signature transmitted from the security token to an authentication server; And
And an authentication server for verifying the digital signature transmitted from the wireless terminal,
The security token
When the mobile terminal is requested to prepare for generation of an electronic signature, selects a private key of a public key corresponding to key information received from the wireless terminal using the electric power charged through the electromagnetic wave radiated from the wireless terminal, Initializing an electronic signature operation with the selected private key, transmitting status information to the wireless terminal,
Wherein the mobile terminal performs a digital signature operation on the data to be signed received from the wireless terminal using the power recharged through the electromagnetic wave emitted from the wireless terminal when the execution of generation of the digital signature is requested from the wireless terminal, To the wireless terminal. 제1항에 있어서, 상기 보안 토큰은
상기 공인인증서를 저장하고 전자서명을 생성하는 보안칩;
외부 컴퓨터의 USB 포트와 연결되는 USB 연결부; 및
상기 USB 연결부와 연결되어 상기 컴퓨터와의 USB 통신을 제어하며, 상기 보안칩의 일부로 구성되거나 또는 상기 보안칩과 연결되어 상기 보안칩과의 유선통신을 제어하는 내부 통신 제어부를 포함하는 것을 특징으로 하는 시스템.The method of claim 1, wherein the security token
A security chip for storing the authorized certificate and generating an electronic signature;
A USB connection to an external computer's USB port; And
And an internal communication control unit connected to the USB connection unit to control USB communication with the computer and configured as a part of the security chip or connected to the security chip to control wired communication with the security chip. system. 제2항에 있어서, 상기 보안칩은
상기 내부 통신 제어부와 접촉식 통신을 수행하는 접촉식 통신 모듈;
상기 무선 단말과 근거리 무선통신을 수행하는 근거리 무선통신 모듈;
상기 공인인증서에 기초하여 전자서명을 생성하는 전자서명 모듈;
상기 공인인증서를 저장하고 있는 내부 메모리; 및
상기 접촉식 통신 모듈, 근거리 무선통신 모듈, 전자서명 모듈, 내부 메모리를 제어하는 제어부를 포함하는 것을 특징으로 하는 시스템.3. The security chip of claim 2,
A contact communication module for performing contact communication with the internal communication controller;
A short range wireless communication module for performing short range wireless communication with the wireless terminal;
An electronic signature module for generating an electronic signature based on the authorized certificate;
An internal memory storing the authorized certificate; And
A contact communication module, a short range wireless communication module, an electronic signature module, and a controller for controlling the internal memory. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 공인인증 시스템을 위한 보안 토큰에 있어서,
공인인증서를 저장하고 있는 내부 메모리, 상기 공인인증서에 기초하여 전자서명을 생성하는 전자서명 모듈, 무선 단말과 NFC(Near Field Communication) 통신을 수행하는 근거리 무선통신 모듈, 및 상기 내부 메모리, 전자서명 모듈, 근거리 무선통신 모듈을 제어하는 제어부를 포함하는 보안칩을 구비하고,
상기 보안칩은
상기 무선 단말로부터 전자서명의 생성의 준비를 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 키정보에 해당하는 공인인증서의 개인키를 선택하여 상기 선택된 개인키로 전자서명 연산을 초기화한 후 상기 무선 단말로 상태정보를 전송하고,
상기 무선 단말로부터 전자서명의 생성의 실행을 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 재충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 서명될 데이터에 대해서 전자서명 연산을 수행하고 전자서명 값을 상기 무선 단말로 전송하는 것을 특징으로 하는 보안 토큰.A security token for a public authentication system,
An electronic signature module for generating an electronic signature based on the public certificate, a short range wireless communication module for performing NFC (Near Field Communication) communication with the wireless terminal, and an internal memory, an electronic signature module And a control unit for controlling the short-range wireless communication module,
The security chip
When the mobile terminal is requested to prepare for generation of an electronic signature, selects a private key of a public key corresponding to key information received from the wireless terminal using the electric power charged through the electromagnetic wave radiated from the wireless terminal, Initializing an electronic signature operation with the selected private key, transmitting status information to the wireless terminal,
Wherein the mobile terminal performs a digital signature operation on the data to be signed received from the wireless terminal using the power recharged through the electromagnetic wave emitted from the wireless terminal when the execution of generation of the digital signature is requested from the wireless terminal, To the wireless terminal. 제10항에 있어서, 상기 보안 토큰은
외부 컴퓨터의 USB 포트와 연결되는 USB 연결부; 및
상기 USB 연결부와 연결되어 상기 컴퓨터와의 USB 통신을 제어하는 내부 통신 제어부를 더 포함하는 것을 특징으로 하는 보안 토큰.11. The method of claim 10, wherein the security token
A USB connection to an external computer's USB port; And
And an internal communication control unit connected to the USB connection unit to control USB communication with the computer. 제10항 또는 제11항에 있어서,
상기 보안칩은 사용자로부터 입력된 비밀번호가 소정 회수 이상 오류난 경우 보안 토큰을 비활성화시키는 것을 특징으로 하는 보안 토큰.The method according to claim 10 or 11,
Wherein the security chip deactivates the security token when the password inputted by the user is more than a predetermined number of times. 제10항 또는 제11항에 있어서,
상기 보안칩은 사용자로부터 입력된 초기화 명령에 의해 보안 토큰을 초기화하는 것을 특징으로 하는 보안 토큰.The method according to claim 10 or 11,
Wherein the security chip initializes a security token by an initialization command input from a user. 삭제delete 공인인증 방법에 있어서,
보안 토큰이 NFC(Near Field Communication) 통신을 통해 무선 단말로부터 전자서명의 생성의 준비를 요청받는 단계;
상기 보안 토큰이, 상기 무선 단말로부터 방출된 전자기파를 통해 충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 키정보에 해당하는 공인인증서의 개인키를 선택하여 상기 선택된 개인키로 전자서명 연산을 초기화한 후 NFC 통신을 통해 상기 무선 단말로 상태정보를 전송하는 단계;
상기 보안 토큰이 NFC 통신을 통해 상기 무선 단말로부터 전자서명의 생성의 실행을 요청받는 단계; 및
상기 보안 토큰이, 상기 무선 단말로부터 방출된 전자기파를 통해 재충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 서명될 데이터에 대해서 전자서명 연산을 수행하고 전자서명 값을 NFC 통신을 통해 상기 무선 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 방법.In the public authentication method,
Receiving a security token from a wireless terminal via NFC (Near Field Communication) communication to prepare for generation of an electronic signature;
The security token selects the private key of the public key certificate corresponding to the key information received from the wireless terminal using the electric power charged through the electromagnetic wave emitted from the wireless terminal and initializes the digital signature operation with the selected private key Transmitting status information to the wireless terminal through the NFC communication;
Receiving the security token from the wireless terminal via NFC communication to perform generation of a digital signature; And
The security token performs an electronic signature operation on the data to be signed received from the wireless terminal using the power recharged through the electromagnetic wave emitted from the wireless terminal and transmits the digital signature value to the wireless terminal through NFC communication Lt; RTI ID = 0.0 > 1, < / RTI > 제15항에 있어서,
상기 무선 단말이 상기 전자서명 값을 무선 인터넷을 통해 인증 서버로 전송하는 단계; 및
상기 무선 단말이 상기 인증 서버로부터 무선 인터넷을 통해 인증 결과를 수신하여 공인인증을 수행하는 단계를 더 포함하는 것을 특징으로 하는 방법.16. The method of claim 15,
The wireless terminal transmitting the digital signature value to an authentication server through a wireless Internet; And
Further comprising the step of the wireless terminal receiving the authentication result from the authentication server through the wireless Internet and performing authorized authentication. 삭제delete 삭제delete 삭제delete 삭제delete 제15항 또는 제16항에 따른 공인인증 방법을 수행하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.A computer-readable recording medium having recorded thereon a program for performing the authorized authentication method according to claim 15 or 16. 삭제delete
KR1020130001306A 2013-01-04 2013-01-04 Certificate System and Method KR101415698B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130001306A KR101415698B1 (en) 2013-01-04 2013-01-04 Certificate System and Method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130001306A KR101415698B1 (en) 2013-01-04 2013-01-04 Certificate System and Method

Publications (1)

Publication Number Publication Date
KR101415698B1 true KR101415698B1 (en) 2014-07-09

Family

ID=51741284

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130001306A KR101415698B1 (en) 2013-01-04 2013-01-04 Certificate System and Method

Country Status (1)

Country Link
KR (1) KR101415698B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170037435A (en) * 2015-09-25 2017-04-04 삼성전자주식회사 Operation Method of Payment Device for Selectively Enabling Payment Function According to Validity of Host

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007174633A (en) 2005-12-22 2007-07-05 Mitsubishi Electric Research Laboratories Inc Computer implementation method for securely acquiring binding key for token device and secure memory device, and system for securely binding token device and secure memory device
JP2008097263A (en) 2006-10-11 2008-04-24 Nec Corp Authentication system, authentication method and service providing server
KR20110078601A (en) * 2009-12-31 2011-07-07 서정훈 Security usb device with secure password input&output function and method of authentication
US20120072718A1 (en) * 2008-11-04 2012-03-22 Troy Jacob Ronda System And Methods For Online Authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007174633A (en) 2005-12-22 2007-07-05 Mitsubishi Electric Research Laboratories Inc Computer implementation method for securely acquiring binding key for token device and secure memory device, and system for securely binding token device and secure memory device
JP2008097263A (en) 2006-10-11 2008-04-24 Nec Corp Authentication system, authentication method and service providing server
US20120072718A1 (en) * 2008-11-04 2012-03-22 Troy Jacob Ronda System And Methods For Online Authentication
KR20110078601A (en) * 2009-12-31 2011-07-07 서정훈 Security usb device with secure password input&output function and method of authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170037435A (en) * 2015-09-25 2017-04-04 삼성전자주식회사 Operation Method of Payment Device for Selectively Enabling Payment Function According to Validity of Host
KR102453705B1 (en) 2015-09-25 2022-10-11 삼성전자주식회사 Operation Method of Payment Device for Selectively Enabling Payment Function According to Validity of Host

Similar Documents

Publication Publication Date Title
KR101604009B1 (en) Hardware Security Module for Certification and Processing Method thereof
KR101375820B1 (en) SYSTEMS AND METHODS FOR PROVIDING NFC SECURE APPLlCATION SUPPORT IN BATTERY ON AND BATTERY OFF MODES
KR101971329B1 (en) Provisioning and authenticating credentials on an electronic device
RU2639690C2 (en) Method, device and secure element for implementation of secure financial transaction in device
US9589160B2 (en) Working method for smart card reader
US11763289B2 (en) Method of operating payment device for selectively enabling payment function according to validity of host
KR20170050055A (en) Portable biometric authentication device and terminal device using near field communication
KR20180019777A (en) Using biometric authentication for nfc-based payments
Alattar et al. Host-based card emulation: Development, security, and ecosystem impact analysis
KR20200121598A (en) Method for replicating near field communication card and electronic device thereof
KR101542111B1 (en) Method for payment using card, digital system, and settlment side system thereof
US10805802B1 (en) NFC-enhanced firmware security
US20240063660A1 (en) Transaction device capable of managing and routing power from an external power source
KR102149042B1 (en) Device for certificating the transaction of cryptocurrency and cryptocurrency wallet application
KR101415698B1 (en) Certificate System and Method
US20130326591A1 (en) Wireless communication device and wireless communication method
US20190172051A1 (en) Electronic device and method for processing remote payment
JP6746244B2 (en) Information processing apparatus, information processing method, program, and information processing system
EP2996368B1 (en) Mobile electronic device
KR101385224B1 (en) Digital system performing secure log-in and providing method thereof
KR100727866B1 (en) Smart Card leader system for the one time password creation
KR20150074820A (en) Security payment device including finance micro secure digital card and method of performing thereof
JP2018116724A (en) Portable electronic device
KR20150072956A (en) Method for payment using card, digital system, and settlment side system thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170623

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180425

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190410

Year of fee payment: 6

R401 Registration of restoration