KR101425513B1 - System for certificating device using hsm and applet of certification and method therefor - Google Patents
System for certificating device using hsm and applet of certification and method therefor Download PDFInfo
- Publication number
- KR101425513B1 KR101425513B1 KR1020140015984A KR20140015984A KR101425513B1 KR 101425513 B1 KR101425513 B1 KR 101425513B1 KR 1020140015984 A KR1020140015984 A KR 1020140015984A KR 20140015984 A KR20140015984 A KR 20140015984A KR 101425513 B1 KR101425513 B1 KR 101425513B1
- Authority
- KR
- South Korea
- Prior art keywords
- verification
- hsm
- authentication
- signature key
- digital signature
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Abstract
Description
본 발명은 HSM(Hardware Security Module)과 인증 APPLET을 이용한 디바이스 인증 시스템에 관한 것으로 더욱 상세하게는, 모바일기기 또는 통신 가능 단말의 SE(Secure Element) (애플릿이 탑재 가능한 USIM, 금융microSD, 메모리카드, 스마트카드 등을 포함) 내에 구비된 HSM 기반 인증 애플릿과 HSM 인증 서버간의 전자서명 값의 검증을 통한 디바이스 고유성 인증을 수행하고, CP(Contents Provider) 또는 PG사 서버, 금융사, VAN사, 통신사, 카드사, 개인고객의 요청에 따른 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 단말기를 통한 결제 또는 금융사고를 미연에 방지하고, SMS의 보조수단 또는 대체수단으로 PUSH 시스템을 이용함으로써 메시징 발송 비용 절감과 보안성을 확보하는 기술에 관한 것이다.The present invention relates to a device authentication system using an HSM (Hardware Security Module) and an authentication APPLET, and more particularly, to a device authentication system using a Secure Element (SE) of a mobile device or a communicatable terminal (USIM, microSD, Based authentication applet and an HSM authentication server included in a smart card, a smart card, and the like, and verifies the device unique authentication by verifying the digital signature value between the HSM authentication server and the HSM authentication server. By performing authentication according to the request of an individual customer, it is possible to prevent a payment or financial accident through an illegal mobile phone or terminal such as a phishing or smsing accident, and to use the PUSH system as an auxiliary or alternative means of SMS, And a technology for securing shipping cost reduction and security.
모바일 단말을 이용한 서버에서 생성한 Key-In 방식의 인증은 언제 어디서나 편리하게 사용자를 확인할 수 있는 장점이 있어, 온오프라인을 망라한 결제인증이나 사용자인증에 사용되고 있다.Key-in authentication, which is generated by a server using a mobile terminal, is advantageous in that the user can be conveniently accessed at anytime and anywhere, and is used for payment authentication or user authentication covering both on-line and off-line.
그러나, 모바일 단말을 이용한 서버에서 생성한 Key-In 방식 인증의 경우, 도 1에 도시된 바와 같이, 의해 모바일 단말 A가 모바일 단말 B로 서버에서 생성하여 전송하는 Key 또는 비밀번호와 같은 인증 정보를 제3의 모바일 단말 또는 서버 C가 중간에 편취할 수 있어, 보안에 취약한 문제점이 있다.However, in the case of the key-in method authentication generated by the server using the mobile terminal, as shown in FIG. 1, authentication such as a key or a password generated and transmitted from the server to the mobile terminal B by the mobile terminal A The third mobile terminal or the server C can intercept the information in the middle, which is problematic in security.
이러한 문제점의 구체적인 예로는, 모바일 단말 A에 설치된 악성코드가 모바일 단말 A와 모바일 단말 B 간에 사용자 인증을 위한 인증번호(Key 또는 비밀번호, 주민번호) 또는 특정 url의 클릭을 유도하여, 모바일 단말 A의 금융정보 또는 개인정보, 거래정보를 제3의 모바일 단말 또는 서버 C가 중간에 편취하는 즉, 스미싱(Smishing)에 취약한 문제점이 있다.As a specific example of such a problem, a malicious code installed in the mobile terminal A induces a click of an authentication number (key or password, resident number) or a specific url for user authentication between the mobile terminal A and the mobile terminal B, Financial information or personal information, and transaction information to a third mobile terminal or server There is a problem that C is shunted in the middle, that is, vulnerable to smearing.
한편, 대한민국 공개특허 제2011-0117744호(모바일 결제 방법 및 시스템)에는, 전자 인증서를 이동 통신 단말기 내에 저장하여 인증 서버와의 통신 처리 절차를 간소화하고 보안성을 향상시키는 기술이 개시되어 있으나, 중계 모듈이 특정 전자 인증서의 인증서 번호, 사용자로부터 수신한 비밀번호, 및 거래 정보를 모바일 안전 결제 애플릿으로 전송하는 프로세스를 포함하고 있기 때문에, 여전히 스미싱에 취약한 문제점을 내포하고 있다.Korean Patent Publication No. 2011-0117744 (mobile payment method and system) discloses a technique of storing an electronic certificate in a mobile communication terminal to simplify a communication processing procedure with an authentication server and improve security, Since the module includes the process of transmitting the certificate number of the specific electronic certificate, the password received from the user, and the transaction information to the mobile safe settlement applet, the problem still remains vulnerable to spicing.
본 발명의 목적은, 모바일기기 또는 통신 가능 단말의 SE(Secure Element) (애플릿이 탑재 가능한 USIM, 금융microSD, 메모리카드, 스마트카드 등을 포함)를 포함한 디바이스 내에 구비된, HSM 기반 인증 애플릿과 HSM 인증 서버간에 있어서 디바이스 고유의 전자서명값의 검증을 통한 디바이스 고유성 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는데 그 목적이 있다.It is an object of the present invention to provide an HSM-based authentication applet and an HSM-based authentication applet provided in a device including a SE (Secure Element) of a mobile device or a communication capable terminal (including a USIM, a financial microSD, a memory card, It is an object of the present invention to prevent unauthorized settlement or financial accidents through illegal mobile phones or mobile terminals such as phishing or smsing accidents by performing device uniqueness authentication by verifying digital signatures unique to the authentication server among the authentication servers.
또한, 본 발명의 목적은, 운용서버가 HSM인증 애플릿이 탑재된 디바이스와 HSM장비간의 상호 인증 결과를 통해 CP(Contents Provider) 또는 PG사 서버, 금융사, VAN사, 통신사, 카드사, 개인고객이 요청한 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는데 그 목적이 있다.It is another object of the present invention to provide a system and a method for controlling an HSM authentication applet in which an operation server requests a CP (contents provider) or a PG server, a financial institution, a VAN company, a communication company, The purpose of the authentication is to prevent payment or financial accidents through illegal mobile phones or mobile terminals, such as phishing or spying accidents.
그리고, 본 발명의 목적은, 디바이스 인증요청은 PUSH 형태로 전송하고 (디바이스 인증요청은 SMS로 전송될 수 있으며, 이 경우에는 스미싱이 발생하였더라도 HSM 인증 과정에서 디바이스 고유값이 불일치하여 인증이 진행하지 않음), 디바이스에서 생성한 전자서명키 등 검증요청은 암호화된 온라인(TCP/IP) 통신 형태로 전송함으로써 메시징 발송 비용 절감과 보안성을 확보하는데 그 목적이 있다. It is an object of the present invention to transmit a device authentication request in the form of PUSH (the device authentication request can be transmitted by SMS, and in this case, the device unique value is inconsistent in the HSM authentication process even if the smsing occurs, ), An electronic signature key generated by the device, etc. Verification requests are aimed at reducing messaging sending costs and securing security by sending them in encrypted online (TCP / IP) communication format.
이러한 기술적 과제를 달성하기 위한 본 발명의 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템은, 인증요청사로부터 '디바이스 인증요청정보'를 수신하고, 수신한 '디바이스 인증요청정보'를 디바이스(200)에 PUSH 또는 SMS 형태로 전송하며, 디바이스(200)로부터 수신한 '검증요청정보'를 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)로 전송하고 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송하여, 검증이 완료되는 경우 HSM장비(300)로부터 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송하는 운용서버(100); 운용서버(100)로부터 '디바이스 인증요청정보'를 수신하는 경우, SE(Secure Element)에 내장된 HSM 인증 애플릿의 구동에 의해 '전자서명 키'를 생성하고, 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)에 전송하고, 1차 유효성 검증이 완료되는 경우, HSM장비(300)의 '전자서명 키' 검증에 따른 '검증완료정보'를 운용서버(100)로부터 수신하는 디바이스(200); 및 운용서버(100)로부터 디바이스의 '전자서명 키'를 포함하는 '검증요청정보'를 수신하여 '전자서명 키'와 색인한 '검증키'가 일치하는 경우, '검증완료정보'를 생성하여 운용서버(100)로 전송하는 HSM장비(300);를 포함한다.
The device authentication system using the HSM and the authentication APPLET according to the present invention for receiving the 'device authentication request information' from the authentication requestor and transmitting the received 'device authentication request information' to the
그리고, 전술한 시스템을 기반으로 하는 본 발명의 HSM과 인증 APPLET을 이용한 디바이스 인증 방법은, 운용서버가 인증요청사로부터 수신한 '디바이스 인증요청정보'를 PUSH 또는 SMS 형태로 디바이스에 전송하는 (a) 단계; 디바이스가 USIM에 내장된 애플릿의 구동에 의해 '전자서명 키'를 생성하는 (b) 단계; 디바이스가 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP) 통신 형태로 운용서버에 전송하는 (c) 단계; 운용서버가 수신한 '검증요청정보'를 내부(Internal) 네트워크 통신 형태로 HSM장비로 전송하는 (d) 단계; HSM장비가 '검증요청정보'에 포함된 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간과 대응하는 '검증키'를 색인하여 '전자서명 키'와 색인한 '검증키'가 일치하는지 여부를 판단하는 (e) 단계; (e) 단계의 판단결과, '전자서명 키'와 '검증키'가 일치하는 경우, HSM장비가 '검증완료정보'를 생성하여 운용서버로 전송하는 (f) 단계; 및 운용서버가 수신한 '검증완료정보'를 인증요청사 및 디바이스로 전송하는 (g) 단계;를 포함한다.The device authentication method using the HSM and the authentication APPLET of the present invention based on the system described above is a method in which the operation server transmits 'device authentication request information' received from the authentication request server to the device in the form of PUSH or SMS ) step; (B) the device generates an 'electronic signature key' by driving an applet embedded in the USIM; (C) transmitting 'verification request information' for verification of a 'digital signature key' generated by the device to an operation server in an encrypted online (TCP / IP) communication format through an application; (D) transmitting 'verification request information' received by the operation server to the HSM equipment in an internal network communication format; The HSM device indexes the 'verification key' corresponding to the 'electronic signature key' generation time and the 'verification request information' reception time included in the 'verification request information' to match the 'digital signature key' and the 'verification key' (E) judging whether or not it is possible to determine whether or not it is possible to do so. (f) if the 'digital signature key' and the 'verification key' match as a result of the checking in step (e), the HSM device generates and transmits 'verification completion information' to the operation server; And (g) transmitting the 'verification completion information' received by the operation server to the authentication request server and the device.
상기와 같은 본 발명에 따르면, 모바일기기 또는 통신 가능 단말의 SE(Secure Element) (애플릿이 탑재 가능한 USIM, 금융microSD, 메모리카드, 스마트카드 등을 포함)를 포함한 디바이스 내에 구비된, HSM 기반 인증 애플릿과 HSM 인증 서버간에 있어서 디바이스 고유의 전자서명값의 검증을 통한 디바이스 고유성 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는 효과가 있다.According to the present invention as described above, the HSM-based authentication applet included in the device including the SE (Secure Element) of the mobile device or the communication enabled terminal (including the USIM, financial microSD, memory card, smart card, And the HSM authentication server to authenticate the device by verifying the digital signatures unique to the device, thereby preventing an illegal settlement or financial accident through a mobile phone or a mobile terminal such as a phishing or a smsing accident .
또한, 본 발명에 따르면, 운용서버가 HSM인증 애플릿이 탑재된 디바이스와 HSM장비간의 상호 인증 결과를 통해 CP(Contents Provider) 또는 PG사 서버, 금융사, VAN사, 통신사, 카드사, 개인고객이 요청한 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는 효과가 있다.In addition, according to the present invention, the operation server can authenticate a content provider (CP) or a PG server, a financial institution, a VAN company, a communication company, a credit card company, an individual customer through a mutual authentication result between the HSM authentication applet- It is possible to prevent settlement or financial accidents through unlawful cell phones or mobile terminals such as phishing or spying accidents in advance.
그리고, 본 발명에 따르면, 디바이스 인증요청은 PUSH 형태로 전송하고 (디바이스 인증요청은 SMS로 전송될 수 있으며, 이 경우에는 스미싱이 발생하였더라도 HSM 인증 과정에서 디바이스 고유값이 불일치하여 인증이 진행하지 않음), 디바이스에서 생성한 전자서명키 등 검증요청은 암호화된 온라인(TCP/IP) 통신 형태로 전송함으로써 메시징 발송 비용 절감과 보안성을 확보하는 효과가 있다.According to the present invention, the device authentication request is transmitted in the PUSH format (the device authentication request can be transmitted through the SMS, and in this case, even if the smsing occurs, the device unique values are inconsistent in the HSM authentication process, ), An electronic signature key generated by the device, etc. Verification requests are transmitted in the form of encrypted online (TCP / IP) communication, thereby reducing messaging sending costs and securing security.
도 1은 종래의 스미싱에 의한 금융정보 탈취수법을 도시한 예시도.
도 2는 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템을 도시한 구성도.
도 3은 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법을 도시한 순서도.
도 4는 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법의 제S50단계 대한 세부과정을 도시한 순서도.Brief Description of the Drawings Fig. 1 shows an example of a conventional method of dealing financial information by smashing.
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a device authentication system using HSM and an authentication APPLET according to the present invention.
3 is a flowchart illustrating a device authentication method using an HSM and an authentication APPLET according to the present invention;
FIG. 4 is a flowchart illustrating a detailed process of step S50 of a device authentication method using an HSM and an authentication APPLET according to the present invention. FIG.
본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.Specific features and advantages of the present invention will become more apparent from the following detailed description based on the accompanying drawings. Prior to this, terms and words used in the present specification and claims are to be interpreted in accordance with the technical idea of the present invention based on the principle that the inventor can properly define the concept of the term in order to explain his invention in the best way. It should be interpreted in terms of meaning and concept. It is to be noted that the detailed description of known functions and constructions related to the present invention is omitted when it is determined that the gist of the present invention may be unnecessarily blurred.
도 2에 도시된 바와 같이 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템(S)은, 운용서버(100), 디바이스(200) 및 HSM(Hardware Security Module)장비(300)를 포함하여 구성된다.2, the device authentication system S using the HSM and the authentication APPLET according to the present invention includes the
이하에서는 구체적인 언급은 생략하겠으나 본 발명에 따른 디바이스(200)는, HSM 인증 애플릿(APPLET)이 탑재 가능한 USIM, 금융microSD, 메모리카드 또는 스마트카드 중에 어느 하나로 구성된 SE(Secure Element)와 운용서버(100)로부터 인증정보를 송수신하는 Application을 포함하는 기기로 이해함이 바람직하다.Hereinafter, a detailed description will be omitted, but the
또한, 운용서버(100), 디바이스(200) 및 HSM장비(300) 간의 데이터 송수신은 무선통신망을 통해 이루어진다. 이때, 본 발명에 따른 무선통신망은 3G, 4G, 5G, WiFi 또는 WIBRO에 국한되는 것이 아니라, 디바이스 간에 SMS를 포함하여 인터넷 또는 PUSH 방식의 데이터 송수신이 가능한 망으로 이해함이 바람직하다.
Data transmission / reception between the
구체적으로, 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템(S)의 세부구성에 대해 살피면 아래와 같다.In detail, the detailed configuration of the device authentication system S using the HSM and the authentication APPLET according to the present invention will be described below.
먼저, 운용서버(100)는 PG(Payment Gateway)사, 금융사, 콘텐츠공급업체(Content Provider: CP) VAN(Value Added Network)사, 카드사 또는 개인고객 중에 어느 하나를 포함하는 인증요청사로부터 '디바이스 인증요청정보'를 수신하고, 수신한 '디바이스 인증요청정보'를 디바이스(200)에 PUSH 또는 SMS 형태로 전송하며, 디바이스(200)로부터 수신한 '검증요청정보'를 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)로 전송하고 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송하여, 검증이 완료되는 경우 HSM장비(300)로부터 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송한다.
First, the
또한, 디바이스(200)는 운용서버(100)로부터 '디바이스 인증요청정보'를 수신하는 경우, SE(Secure Element)에 내장된 HSM 인증 애플릿의 구동에 의해 '전자서명 키'를 생성하고, 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)에 전송하고, 1차 유효성 검증이 완료되는 경우, HSM장비(300)의 '전자서명 키' 검증에 따른 '검증완료정보'를 운용서버(100)로부터 수신
When the
그리고, HSM장비(300)는 운용서버(100)로부터 디바이스의 '전자서명 키'를 포함하는 '검증요청정보'를 수신하여 '전자서명 키'와 색인한 '검증키'가 일치하는 경우, '검증완료정보'를 생성하여 운용서버(100)로 전송한다.The
이때, '검증완료정보'는, HSM장비(300)가 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간 각각과 대응하도록 기 설정된 '검증키'와 '전자서명 키'가 일치하는지 여부를 비교하여 일치하는 경우에 생성한다.At this time, the 'verification completion information' indicates whether or not the 'verification key' and the 'digital signature key' set in advance so that the
즉, 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템(S)에 의하면, HSM장비(300)가 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간에 따라 각기 상이한 '검증키'를 색인 및 '전자서명 키'와 비교하여 상호인증을 수행하는 구성이다.That is, according to the device authentication system S using the HSM and the authentication APPLET according to the present invention, when the
따라서, 스미싱에 의해 변경된 '전자서명 키'의 값을 통한 인증 시 HSM장비(300)를 통해 미연에 방지할 수 있다.
Therefore, authentication through the value of the 'digital signature key' changed by the smoothing can be prevented in advance through the
이하, 도 3을 참조하여 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법에 대해 살피면 아래와 같다.Hereinafter, a device authentication method using the HSM and the authentication APPLET according to the present invention will be described with reference to FIG.
먼저, 운용서버(100)가 인증요청사로부터 수신한 '디바이스 인증요청정보'를 PUSH 또는 SMS 형태로 디바이스(200)에 전송한다(S10).First, the
이어서, 디바이스(200)가 USIM에 내장된 애플릿의 구동에 의해 '전자서명 키'를 생성한다(S20).Subsequently, the
뒤이어, 디바이스(200)가 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP)통신 형태로 운용서버(100)에 전송한다(S30).Subsequently, 'verification request information' for verifying the 'digital signature key' generated by the
이어서, 운용서버(100)가 수신한 '검증요청정보'를 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송한다(S40).Then, the
뒤이어, HSM장비(300)가 '검증요청정보'에 포함된 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간과 대응하는 '검증키'를 색인하여 '전자서명 키'와 색인한 '검증키'가 일치하는지 여부를 판단한다(S50).Subsequently, the
제S50단계의 판단결과, '전자서명 키'와 '검증키'가 일치하는 경우, HSM장비(300)가 '검증완료정보'를 생성하여 운용서버(100)로 전송한다(S60).If the 'digital signature key' and the 'verification key' match in step S50, the
그리고, 운용서버(100)가 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송한다(S70).Then, the
한편, 제S50단계의 판단결과, '전자서명 키'와 '검증키'가 일치하지 않는 경우, HSM장비(300)가 '검증불일치정보'를 생성하여 운용서버(100)로 전송한다(S80).On the other hand, if the 'digital signature key' and the 'verification key' do not match as a result of the determination in operation S50, the
그리고, 운용서버(100)가 수신한 '검증불일치정보'를 인증요청사 및 디바이스(200)로 전송한다(S90).
Then, the
이하, 도 4를 참조하여 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법의 제S50단계에 대한 세부과정을 살피면 아래와 같다.Hereinafter, the detailed procedure of step S50 of the device authentication method using the HSM and the authentication APPLET according to the present invention will be described with reference to FIG. 4 as follows.
제S40단계 이후, HSM장비(300)가 '전자서명 키'와 대응하는 '검증키'를 색인한다(S51).After step S40, the
그리고, HSM장비(300)가 수신한 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간과 색인한 '검증키'로 '전자서명 키'가 서로 매칭되는지 여부를 판단한다(S52).Then, it is determined whether the 'digital signature key' generation time and the 'verification request information' reception time received by the
이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시 예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등 물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.While the present invention has been particularly shown and described with reference to preferred embodiments thereof, it will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It will be appreciated by those skilled in the art that numerous changes and modifications may be made without departing from the invention. And all such modifications and changes as fall within the scope of the present invention are therefore to be regarded as being within the scope of the present invention.
S: HSM과 인증 APPLET을 이용한 디바이스 인증 시스템
100: 운용서버 200: 디바이스
300: HSM장비S: Device authentication system using HSM and authentication APPLET
100: Operation server 200: Device
300: HSM equipment
Claims (6)
인증요청사로부터 '디바이스 인증요청정보'를 수신하고, 수신한 '디바이스 인증요청정보'를 디바이스(200)에 PUSH 또는 SMS 형태로 전송하며, 디바이스(200)로부터 수신한 '검증요청정보'를 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)로 전송하고 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송하여, 검증이 완료되는 경우 HSM장비(300)로부터 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송하는 운용서버(100);
상기 운용서버(100)로부터 '디바이스 인증요청정보'를 수신하는 경우, SE(Secure Element)에 내장된 HSM 인증 애플릿의 구동에 의해 '전자서명 키'를 생성하고, 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통해 온라인(TCP/IP) 통신을 암호화하고, 이를 운용서버(100)에 전송하며, 상기 '전자서명 키'에 대한 유효성 검증이 완료되는 경우, HSM장비(300)의 '전자서명 키' 검증에 따른 '검증완료정보'를 운용서버(100)로부터 수신하는 디바이스(200); 및
상기 운용서버(100)로부터 디바이스의 '전자서명 키'를 포함하는 '검증요청정보'를 수신하여 '전자서명 키'와 색인한 '검증키'가 일치하는 경우, '검증완료정보'를 생성하여 운용서버(100)로 전송하는 HSM장비(300);를 포함하되,
상기 '검증완료정보'는,
상기 HSM장비(300)가 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간 각각과 대응하도록 기 설정된 '검증키'와 상기 운용서버(100)로부터 수신한 '전자서명 키'가 일치하는지 여부를 비교하여 일치하는 경우에 생성되고,
상기 인증요청사는,
PG(Payment Gateway)사, 금융사, 콘텐츠공급업체(Content Provider: CP), VAN(Value Added Network), 카드사 또는 개인고객 중에 어느 하나를 포함하며,
상기 SE는,
애플릿이 탑재 가능한 USIM, 금융 microSD, 메모리카드 또는 스마트카드 중에 어느 하나인 것을 특징으로 하는 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템.A device authentication system comprising:
Device authentication request information 'from the authentication requestor and transmits the received' device authentication request information 'to the device 200 in the form of PUSH or SMS. The' verification request information 'received from the device 200 is encrypted (HSDPA) 300 to the HSM 300 in the form of an on-line (TCP / IP) communication, To the authentication request device and the device (200);
When receiving the 'device authentication request information' from the operation server 100, an 'electronic signature key' is generated by driving an HSM authentication applet built in a secure element (SE) (TCP / IP) communication through the application with the 'verification request information' for verifying the validity of the 'digital signature key', and transmits it to the operation server 100. When the verification of the 'digital signature key' is completed, A device 200 receiving 'verification completion information' according to 'digital signature key' verification of the device 300 from the operation server 100; And
Verification request information 'including the' digital signature key 'of the device from the operation server 100 and generates' verification completion information' when the 'digital signature key' and the 'verification key' And an HSM device (300) for transmitting the HSM equipment (300) to the operation server (100)
The 'verified information'
The verification key set to correspond to each of the 'digital signature key' generation time and the 'verification request information' reception time matches the 'digital signature key' received from the operation server 100 Whether or not they are generated if they match,
The authentication request server,
(PG), a financial institution, a content provider (CP), a value added network (VAN), a credit card company, or an individual customer,
The SE,
A micro SIM card, a micro SIM card, a micro SIM card, a micro SIM card, a micro SIM card, or a smart card.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140015984A KR101425513B1 (en) | 2014-02-12 | 2014-02-12 | System for certificating device using hsm and applet of certification and method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140015984A KR101425513B1 (en) | 2014-02-12 | 2014-02-12 | System for certificating device using hsm and applet of certification and method therefor |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101425513B1 true KR101425513B1 (en) | 2014-08-05 |
Family
ID=51749232
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140015984A KR101425513B1 (en) | 2014-02-12 | 2014-02-12 | System for certificating device using hsm and applet of certification and method therefor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101425513B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021049844A1 (en) * | 2019-09-10 | 2021-03-18 | 주식회사온결 | Communication line encryption system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070084801A (en) * | 2006-02-22 | 2007-08-27 | 주식회사 하이스마텍 | Creating and authenticating one time password using smartcard and the smartcard therefor |
KR20090094579A (en) * | 2008-03-03 | 2009-09-08 | 비씨카드(주) | System and Method for certification |
KR20120005363A (en) * | 2010-07-08 | 2012-01-16 | 정보통신산업진흥원 | Electronic document distribution system, and electronic document distribution method |
EP2533486A1 (en) * | 2011-06-09 | 2012-12-12 | Gemalto SA | Method to validate a transaction between a user and a service provider |
-
2014
- 2014-02-12 KR KR1020140015984A patent/KR101425513B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20070084801A (en) * | 2006-02-22 | 2007-08-27 | 주식회사 하이스마텍 | Creating and authenticating one time password using smartcard and the smartcard therefor |
KR20090094579A (en) * | 2008-03-03 | 2009-09-08 | 비씨카드(주) | System and Method for certification |
KR20120005363A (en) * | 2010-07-08 | 2012-01-16 | 정보통신산업진흥원 | Electronic document distribution system, and electronic document distribution method |
EP2533486A1 (en) * | 2011-06-09 | 2012-12-12 | Gemalto SA | Method to validate a transaction between a user and a service provider |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2021049844A1 (en) * | 2019-09-10 | 2021-03-18 | 주식회사온결 | Communication line encryption system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9741033B2 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
EP2885904B1 (en) | User-convenient authentication method and apparatus using a mobile authentication application | |
KR101904177B1 (en) | Data processing method and apparatus | |
US8606234B2 (en) | Methods and apparatus for provisioning devices with secrets | |
AU2011200445B8 (en) | Method and apparatus for dynamic authentication | |
US20130054473A1 (en) | Secure Payment Method, Mobile Device and Secure Payment System | |
CN101221641B (en) | On-line trading method and its safety affirmation equipment | |
CN102694780A (en) | Digital signature authentication method, payment method containing the same and payment system | |
KR101499906B1 (en) | Smart card having OTP generation function and OTP authentication server | |
KR20130115216A (en) | Method for reading an rfid token, rfid card and electronic device | |
US20180018665A1 (en) | Method and device for accessing a service | |
EP3210359B1 (en) | Method for accessing a service, corresponding first device, second device and system | |
CN104125064A (en) | Dynamic password authentication method, client and authentication system | |
KR101548933B1 (en) | System for securiting mobile and method therefor | |
US11475139B2 (en) | System and method for providing secure data access | |
KR20170080576A (en) | Authentication system and method | |
JP2010117995A (en) | System, device and method for issuing application | |
KR101425513B1 (en) | System for certificating device using hsm and applet of certification and method therefor | |
KR101936941B1 (en) | Electronic approval system, method, and program using biometric authentication | |
CN110098915B (en) | Authentication method and system, and terminal | |
CN105141623A (en) | Control method of electronic account, control system and mobile terminal | |
EP3067848A1 (en) | Method and first and second server for transferring voucher data | |
KR20120018209A (en) | Method for downloading mobile certificate |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
AMND | Amendment | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170724 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180724 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190719 Year of fee payment: 6 |