KR101425513B1 - System for certificating device using hsm and applet of certification and method therefor - Google Patents

System for certificating device using hsm and applet of certification and method therefor Download PDF

Info

Publication number
KR101425513B1
KR101425513B1 KR1020140015984A KR20140015984A KR101425513B1 KR 101425513 B1 KR101425513 B1 KR 101425513B1 KR 1020140015984 A KR1020140015984 A KR 1020140015984A KR 20140015984 A KR20140015984 A KR 20140015984A KR 101425513 B1 KR101425513 B1 KR 101425513B1
Authority
KR
South Korea
Prior art keywords
verification
hsm
authentication
signature key
digital signature
Prior art date
Application number
KR1020140015984A
Other languages
Korean (ko)
Inventor
박진우
이선구
김영철
조종문
Original Assignee
주식회사 티모넷
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 티모넷 filed Critical 주식회사 티모넷
Priority to KR1020140015984A priority Critical patent/KR101425513B1/en
Application granted granted Critical
Publication of KR101425513B1 publication Critical patent/KR101425513B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

The present invention relates to a device certification system using a hardware security module (HSM) and a certification applet. More specifically, by operating a peculiar certification of a device through a verification of electronic signature value between a HSM-based certification applet and a HSM certification server equipped in a mobile device or a secure element (SE) of a communications terminal (comprising an USIM whereby applet can be loaded, a finance microSD, a memory card, a smartcard, etc.), payment or finance accident such as phishing or smishing through an illegal mobile phone or a mobile terminal can be prevented in advance.

Description

HSM(Hardware Securit Module)과 인증 APPLET을 이용한 디바이스 인증 시스템{SYSTEM FOR CERTIFICATING DEVICE USING HSM AND APPLET OF CERTIFICATION AND METHOD THEREFOR}TECHNICAL FIELD [0001] The present invention relates to a device authentication system using HSM (Hardware Securit Module) and an authentication APPLET,

본 발명은 HSM(Hardware Security Module)과 인증 APPLET을 이용한 디바이스 인증 시스템에 관한 것으로 더욱 상세하게는, 모바일기기 또는 통신 가능 단말의 SE(Secure Element) (애플릿이 탑재 가능한 USIM, 금융microSD, 메모리카드, 스마트카드 등을 포함) 내에 구비된 HSM 기반 인증 애플릿과 HSM 인증 서버간의 전자서명 값의 검증을 통한 디바이스 고유성 인증을 수행하고, CP(Contents Provider) 또는 PG사 서버, 금융사, VAN사, 통신사, 카드사, 개인고객의 요청에 따른 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 단말기를 통한 결제 또는 금융사고를 미연에 방지하고, SMS의 보조수단 또는 대체수단으로 PUSH 시스템을 이용함으로써 메시징 발송 비용 절감과 보안성을 확보하는 기술에 관한 것이다.The present invention relates to a device authentication system using an HSM (Hardware Security Module) and an authentication APPLET, and more particularly, to a device authentication system using a Secure Element (SE) of a mobile device or a communicatable terminal (USIM, microSD, Based authentication applet and an HSM authentication server included in a smart card, a smart card, and the like, and verifies the device unique authentication by verifying the digital signature value between the HSM authentication server and the HSM authentication server. By performing authentication according to the request of an individual customer, it is possible to prevent a payment or financial accident through an illegal mobile phone or terminal such as a phishing or smsing accident, and to use the PUSH system as an auxiliary or alternative means of SMS, And a technology for securing shipping cost reduction and security.

모바일 단말을 이용한 서버에서 생성한 Key-In 방식의 인증은 언제 어디서나 편리하게 사용자를 확인할 수 있는 장점이 있어, 온오프라인을 망라한 결제인증이나 사용자인증에 사용되고 있다.Key-in authentication, which is generated by a server using a mobile terminal, is advantageous in that the user can be conveniently accessed at anytime and anywhere, and is used for payment authentication or user authentication covering both on-line and off-line.

그러나, 모바일 단말을 이용한 서버에서 생성한 Key-In 방식 인증의 경우, 도 1에 도시된 바와 같이, 의해 모바일 단말 A가 모바일 단말 B로 서버에서 생성하여 전송하는 Key 또는 비밀번호와 같은 인증 정보를 제3의 모바일 단말 또는 서버 C가 중간에 편취할 수 있어, 보안에 취약한 문제점이 있다.However, in the case of the key-in method authentication generated by the server using the mobile terminal, as shown in FIG. 1, authentication such as a key or a password generated and transmitted from the server to the mobile terminal B by the mobile terminal A The third mobile terminal or the server C can intercept the information in the middle, which is problematic in security.

이러한 문제점의 구체적인 예로는, 모바일 단말 A에 설치된 악성코드가 모바일 단말 A와 모바일 단말 B 간에 사용자 인증을 위한 인증번호(Key 또는 비밀번호, 주민번호) 또는 특정 url의 클릭을 유도하여, 모바일 단말 A의 금융정보 또는 개인정보, 거래정보를 제3의 모바일 단말 또는 서버 C가 중간에 편취하는 즉, 스미싱(Smishing)에 취약한 문제점이 있다.As a specific example of such a problem, a malicious code installed in the mobile terminal A induces a click of an authentication number (key or password, resident number) or a specific url for user authentication between the mobile terminal A and the mobile terminal B, Financial information or personal information, and transaction information to a third mobile terminal or server There is a problem that C is shunted in the middle, that is, vulnerable to smearing.

한편, 대한민국 공개특허 제2011-0117744호(모바일 결제 방법 및 시스템)에는, 전자 인증서를 이동 통신 단말기 내에 저장하여 인증 서버와의 통신 처리 절차를 간소화하고 보안성을 향상시키는 기술이 개시되어 있으나, 중계 모듈이 특정 전자 인증서의 인증서 번호, 사용자로부터 수신한 비밀번호, 및 거래 정보를 모바일 안전 결제 애플릿으로 전송하는 프로세스를 포함하고 있기 때문에, 여전히 스미싱에 취약한 문제점을 내포하고 있다.Korean Patent Publication No. 2011-0117744 (mobile payment method and system) discloses a technique of storing an electronic certificate in a mobile communication terminal to simplify a communication processing procedure with an authentication server and improve security, Since the module includes the process of transmitting the certificate number of the specific electronic certificate, the password received from the user, and the transaction information to the mobile safe settlement applet, the problem still remains vulnerable to spicing.

본 발명의 목적은, 모바일기기 또는 통신 가능 단말의 SE(Secure Element) (애플릿이 탑재 가능한 USIM, 금융microSD, 메모리카드, 스마트카드 등을 포함)를 포함한 디바이스 내에 구비된, HSM 기반 인증 애플릿과 HSM 인증 서버간에 있어서 디바이스 고유의 전자서명값의 검증을 통한 디바이스 고유성 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는데 그 목적이 있다.It is an object of the present invention to provide an HSM-based authentication applet and an HSM-based authentication applet provided in a device including a SE (Secure Element) of a mobile device or a communication capable terminal (including a USIM, a financial microSD, a memory card, It is an object of the present invention to prevent unauthorized settlement or financial accidents through illegal mobile phones or mobile terminals such as phishing or smsing accidents by performing device uniqueness authentication by verifying digital signatures unique to the authentication server among the authentication servers.

또한, 본 발명의 목적은, 운용서버가 HSM인증 애플릿이 탑재된 디바이스와 HSM장비간의 상호 인증 결과를 통해 CP(Contents Provider) 또는 PG사 서버, 금융사, VAN사, 통신사, 카드사, 개인고객이 요청한 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는데 그 목적이 있다.It is another object of the present invention to provide a system and a method for controlling an HSM authentication applet in which an operation server requests a CP (contents provider) or a PG server, a financial institution, a VAN company, a communication company, The purpose of the authentication is to prevent payment or financial accidents through illegal mobile phones or mobile terminals, such as phishing or spying accidents.

그리고, 본 발명의 목적은, 디바이스 인증요청은 PUSH 형태로 전송하고 (디바이스 인증요청은 SMS로 전송될 수 있으며, 이 경우에는 스미싱이 발생하였더라도 HSM 인증 과정에서 디바이스 고유값이 불일치하여 인증이 진행하지 않음), 디바이스에서 생성한 전자서명키 등 검증요청은 암호화된 온라인(TCP/IP) 통신 형태로 전송함으로써 메시징 발송 비용 절감과 보안성을 확보하는데 그 목적이 있다. It is an object of the present invention to transmit a device authentication request in the form of PUSH (the device authentication request can be transmitted by SMS, and in this case, the device unique value is inconsistent in the HSM authentication process even if the smsing occurs, ), An electronic signature key generated by the device, etc. Verification requests are aimed at reducing messaging sending costs and securing security by sending them in encrypted online (TCP / IP) communication format.

이러한 기술적 과제를 달성하기 위한 본 발명의 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템은, 인증요청사로부터 '디바이스 인증요청정보'를 수신하고, 수신한 '디바이스 인증요청정보'를 디바이스(200)에 PUSH 또는 SMS 형태로 전송하며, 디바이스(200)로부터 수신한 '검증요청정보'를 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)로 전송하고 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송하여, 검증이 완료되는 경우 HSM장비(300)로부터 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송하는 운용서버(100); 운용서버(100)로부터 '디바이스 인증요청정보'를 수신하는 경우, SE(Secure Element)에 내장된 HSM 인증 애플릿의 구동에 의해 '전자서명 키'를 생성하고, 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)에 전송하고, 1차 유효성 검증이 완료되는 경우, HSM장비(300)의 '전자서명 키' 검증에 따른 '검증완료정보'를 운용서버(100)로부터 수신하는 디바이스(200); 및 운용서버(100)로부터 디바이스의 '전자서명 키'를 포함하는 '검증요청정보'를 수신하여 '전자서명 키'와 색인한 '검증키'가 일치하는 경우, '검증완료정보'를 생성하여 운용서버(100)로 전송하는 HSM장비(300);를 포함한다.
The device authentication system using the HSM and the authentication APPLET according to the present invention for receiving the 'device authentication request information' from the authentication requestor and transmitting the received 'device authentication request information' to the device 200 via the PUSH Or SMS, and transmits the 'verification request information' received from the device 200 to the operation server 100 in the form of encrypted online (TCP / IP) communication and transmits the verification request information to the HSM equipment 300) and transmits the 'verification completion information' received from the HSM equipment 300 to the authentication request server and the device 200 when the verification is completed. When receiving the 'device authentication request information' from the operation server 100, generates an 'electronic signature key' by driving an HSM authentication applet embedded in a secure element (SE) Verification request information for verification is transmitted to the operation server 100 in the form of an encrypted on-line (TCP / IP) communication through the application. When the first validity verification is completed, A device 200 receiving 'verification completion information' according to the 'key' verification from the operation server 100; Verification request information 'including the' digital signature key 'of the device from the operation server 100 and generates the' verification completion information 'when the' digital signature key 'and the' verification key ' And HSM equipment 300 for transmitting the HSM equipment 300 to the operation server 100.

그리고, 전술한 시스템을 기반으로 하는 본 발명의 HSM과 인증 APPLET을 이용한 디바이스 인증 방법은, 운용서버가 인증요청사로부터 수신한 '디바이스 인증요청정보'를 PUSH 또는 SMS 형태로 디바이스에 전송하는 (a) 단계; 디바이스가 USIM에 내장된 애플릿의 구동에 의해 '전자서명 키'를 생성하는 (b) 단계; 디바이스가 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP) 통신 형태로 운용서버에 전송하는 (c) 단계; 운용서버가 수신한 '검증요청정보'를 내부(Internal) 네트워크 통신 형태로 HSM장비로 전송하는 (d) 단계; HSM장비가 '검증요청정보'에 포함된 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간과 대응하는 '검증키'를 색인하여 '전자서명 키'와 색인한 '검증키'가 일치하는지 여부를 판단하는 (e) 단계; (e) 단계의 판단결과, '전자서명 키'와 '검증키'가 일치하는 경우, HSM장비가 '검증완료정보'를 생성하여 운용서버로 전송하는 (f) 단계; 및 운용서버가 수신한 '검증완료정보'를 인증요청사 및 디바이스로 전송하는 (g) 단계;를 포함한다.The device authentication method using the HSM and the authentication APPLET of the present invention based on the system described above is a method in which the operation server transmits 'device authentication request information' received from the authentication request server to the device in the form of PUSH or SMS ) step; (B) the device generates an 'electronic signature key' by driving an applet embedded in the USIM; (C) transmitting 'verification request information' for verification of a 'digital signature key' generated by the device to an operation server in an encrypted online (TCP / IP) communication format through an application; (D) transmitting 'verification request information' received by the operation server to the HSM equipment in an internal network communication format; The HSM device indexes the 'verification key' corresponding to the 'electronic signature key' generation time and the 'verification request information' reception time included in the 'verification request information' to match the 'digital signature key' and the 'verification key' (E) judging whether or not it is possible to determine whether or not it is possible to do so. (f) if the 'digital signature key' and the 'verification key' match as a result of the checking in step (e), the HSM device generates and transmits 'verification completion information' to the operation server; And (g) transmitting the 'verification completion information' received by the operation server to the authentication request server and the device.

상기와 같은 본 발명에 따르면, 모바일기기 또는 통신 가능 단말의 SE(Secure Element) (애플릿이 탑재 가능한 USIM, 금융microSD, 메모리카드, 스마트카드 등을 포함)를 포함한 디바이스 내에 구비된, HSM 기반 인증 애플릿과 HSM 인증 서버간에 있어서 디바이스 고유의 전자서명값의 검증을 통한 디바이스 고유성 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는 효과가 있다.According to the present invention as described above, the HSM-based authentication applet included in the device including the SE (Secure Element) of the mobile device or the communication enabled terminal (including the USIM, financial microSD, memory card, smart card, And the HSM authentication server to authenticate the device by verifying the digital signatures unique to the device, thereby preventing an illegal settlement or financial accident through a mobile phone or a mobile terminal such as a phishing or a smsing accident .

또한, 본 발명에 따르면, 운용서버가 HSM인증 애플릿이 탑재된 디바이스와 HSM장비간의 상호 인증 결과를 통해 CP(Contents Provider) 또는 PG사 서버, 금융사, VAN사, 통신사, 카드사, 개인고객이 요청한 인증을 수행함으로써, 피싱 또는 스미싱 사고와 같은 불법적인 휴대폰 또는 모바일 단말기를 통한 결제 또는 금융사고를 미연에 방지하는 효과가 있다.In addition, according to the present invention, the operation server can authenticate a content provider (CP) or a PG server, a financial institution, a VAN company, a communication company, a credit card company, an individual customer through a mutual authentication result between the HSM authentication applet- It is possible to prevent settlement or financial accidents through unlawful cell phones or mobile terminals such as phishing or spying accidents in advance.

그리고, 본 발명에 따르면, 디바이스 인증요청은 PUSH 형태로 전송하고 (디바이스 인증요청은 SMS로 전송될 수 있으며, 이 경우에는 스미싱이 발생하였더라도 HSM 인증 과정에서 디바이스 고유값이 불일치하여 인증이 진행하지 않음), 디바이스에서 생성한 전자서명키 등 검증요청은 암호화된 온라인(TCP/IP) 통신 형태로 전송함으로써 메시징 발송 비용 절감과 보안성을 확보하는 효과가 있다.According to the present invention, the device authentication request is transmitted in the PUSH format (the device authentication request can be transmitted through the SMS, and in this case, even if the smsing occurs, the device unique values are inconsistent in the HSM authentication process, ), An electronic signature key generated by the device, etc. Verification requests are transmitted in the form of encrypted online (TCP / IP) communication, thereby reducing messaging sending costs and securing security.

도 1은 종래의 스미싱에 의한 금융정보 탈취수법을 도시한 예시도.
도 2는 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템을 도시한 구성도.
도 3은 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법을 도시한 순서도.
도 4는 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법의 제S50단계 대한 세부과정을 도시한 순서도.Brief Description of the Drawings Fig. 1 shows an example of a conventional method of dealing financial information by smashing.
BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a device authentication system using HSM and an authentication APPLET according to the present invention.
3 is a flowchart illustrating a device authentication method using an HSM and an authentication APPLET according to the present invention;
FIG. 4 is a flowchart illustrating a detailed process of step S50 of a device authentication method using an HSM and an authentication APPLET according to the present invention. FIG.

본 발명의 구체적인 특징 및 이점들은 첨부도면에 의거한 다음의 상세한 설명으로 더욱 명백해질 것이다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 할 것이다. 또한, 본 발명에 관련된 공지 기능 및 그 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는, 그 구체적인 설명을 생략하였음에 유의해야 할 것이다.Specific features and advantages of the present invention will become more apparent from the following detailed description based on the accompanying drawings. Prior to this, terms and words used in the present specification and claims are to be interpreted in accordance with the technical idea of the present invention based on the principle that the inventor can properly define the concept of the term in order to explain his invention in the best way. It should be interpreted in terms of meaning and concept. It is to be noted that the detailed description of known functions and constructions related to the present invention is omitted when it is determined that the gist of the present invention may be unnecessarily blurred.

도 2에 도시된 바와 같이 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템(S)은, 운용서버(100), 디바이스(200) 및 HSM(Hardware Security Module)장비(300)를 포함하여 구성된다.2, the device authentication system S using the HSM and the authentication APPLET according to the present invention includes the operation server 100, the device 200, and the HSM (Hardware Security Module) do.

이하에서는 구체적인 언급은 생략하겠으나 본 발명에 따른 디바이스(200)는, HSM 인증 애플릿(APPLET)이 탑재 가능한 USIM, 금융microSD, 메모리카드 또는 스마트카드 중에 어느 하나로 구성된 SE(Secure Element)와 운용서버(100)로부터 인증정보를 송수신하는 Application을 포함하는 기기로 이해함이 바람직하다.Hereinafter, a detailed description will be omitted, but the device 200 according to the present invention is not limited to HSM authentication It is preferable to be understood as an apparatus including an application for transmitting and receiving authentication information from the operation server 100 and a secure element (SE) composed of a USIM, a financial microSD, a memory card, or a smart card on which an applet APPLET can be loaded.

또한, 운용서버(100), 디바이스(200) 및 HSM장비(300) 간의 데이터 송수신은 무선통신망을 통해 이루어진다. 이때, 본 발명에 따른 무선통신망은 3G, 4G, 5G, WiFi 또는 WIBRO에 국한되는 것이 아니라, 디바이스 간에 SMS를 포함하여 인터넷 또는 PUSH 방식의 데이터 송수신이 가능한 망으로 이해함이 바람직하다.
Data transmission / reception between the operation server 100, the device 200, and the HSM equipment 300 is performed through a wireless communication network. Here, the wireless communication network according to the present invention is not limited to 3G, 4G, 5G, WiFi, or WIBRO, but is preferably understood as a network capable of transmitting and receiving Internet or PUSH data including SMS among devices.

구체적으로, 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템(S)의 세부구성에 대해 살피면 아래와 같다.In detail, the detailed configuration of the device authentication system S using the HSM and the authentication APPLET according to the present invention will be described below.

먼저, 운용서버(100)는 PG(Payment Gateway)사, 금융사, 콘텐츠공급업체(Content Provider: CP) VAN(Value Added Network)사, 카드사 또는 개인고객 중에 어느 하나를 포함하는 인증요청사로부터 '디바이스 인증요청정보'를 수신하고, 수신한 '디바이스 인증요청정보'를 디바이스(200)에 PUSH 또는 SMS 형태로 전송하며, 디바이스(200)로부터 수신한 '검증요청정보'를 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)로 전송하고 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송하여, 검증이 완료되는 경우 HSM장비(300)로부터 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송한다.
First, the operation server 100 receives an authentication request from an authentication requestor including any one of a payment gateway (PG) company, a financial company, a content provider (CP) VAN Authentication request information 'to the device 200 in the form of PUSH or SMS and transmits the' verification request information 'received from the device 200 to the encrypted online (TCP / IP ) To the HSM equipment 300 in the form of an internal communication. When the verification is completed, the 'verification completion information' received from the HSM equipment 300 is transmitted to the operation server 100 in the form of an authentication request To the device (200).

또한, 디바이스(200)는 운용서버(100)로부터 '디바이스 인증요청정보'를 수신하는 경우, SE(Secure Element)에 내장된 HSM 인증 애플릿의 구동에 의해 '전자서명 키'를 생성하고, 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)에 전송하고, 1차 유효성 검증이 완료되는 경우, HSM장비(300)의 '전자서명 키' 검증에 따른 '검증완료정보'를 운용서버(100)로부터 수신
When the device 200 receives the 'device authentication request information' from the operation server 100, the device 200 generates an 'electronic signature key' by driving an HSM authentication applet embedded in a secure element (SE) Verification request information for verification of the 'digital signature key' is transmitted to the operation server 100 in the form of on-line (TCP / IP) communication encrypted through the application, and when the first validity verification is completed, Verification completion information according to the 'digital signature key' verification of the authentication server 300 from the operation server 100

그리고, HSM장비(300)는 운용서버(100)로부터 디바이스의 '전자서명 키'를 포함하는 '검증요청정보'를 수신하여 '전자서명 키'와 색인한 '검증키'가 일치하는 경우, '검증완료정보'를 생성하여 운용서버(100)로 전송한다.The HSM device 300 receives the 'verification request information' including the 'digital signature key' of the device from the operation server 100, and when the 'digital signature key' and the 'verification key' Verification completion information 'to the operation server 100.

이때, '검증완료정보'는, HSM장비(300)가 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간 각각과 대응하도록 기 설정된 '검증키'와 '전자서명 키'가 일치하는지 여부를 비교하여 일치하는 경우에 생성한다.At this time, the 'verification completion information' indicates whether or not the 'verification key' and the 'digital signature key' set in advance so that the HSM device 300 corresponds to each of the 'digital signature key' generation time and the 'verification request information' And generates them when they match.

즉, 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템(S)에 의하면, HSM장비(300)가 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간에 따라 각기 상이한 '검증키'를 색인 및 '전자서명 키'와 비교하여 상호인증을 수행하는 구성이다.That is, according to the device authentication system S using the HSM and the authentication APPLET according to the present invention, when the HSM device 300 receives the 'digital signature key' generation time and the 'verification request information' Is compared with an index and an 'electronic signature key' to perform mutual authentication.

따라서, 스미싱에 의해 변경된 '전자서명 키'의 값을 통한 인증 시 HSM장비(300)를 통해 미연에 방지할 수 있다.
Therefore, authentication through the value of the 'digital signature key' changed by the smoothing can be prevented in advance through the HSM device 300.

이하, 도 3을 참조하여 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법에 대해 살피면 아래와 같다.Hereinafter, a device authentication method using the HSM and the authentication APPLET according to the present invention will be described with reference to FIG.

먼저, 운용서버(100)가 인증요청사로부터 수신한 '디바이스 인증요청정보'를 PUSH 또는 SMS 형태로 디바이스(200)에 전송한다(S10).First, the operation server 100 transmits 'device authentication request information' received from the authentication requestor to the device 200 in the form of PUSH or SMS (S10).

이어서, 디바이스(200)가 USIM에 내장된 애플릿의 구동에 의해 '전자서명 키'를 생성한다(S20).Subsequently, the device 200 generates an 'electronic signature key' by driving an applet embedded in the USIM (S20).

뒤이어, 디바이스(200)가 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통하여 암호화된 온라인(TCP/IP)통신 형태로 운용서버(100)에 전송한다(S30).Subsequently, 'verification request information' for verifying the 'digital signature key' generated by the device 200 is transmitted to the operation server 100 in the form of an encrypted online (TCP / IP) communication through the application (S30) .

이어서, 운용서버(100)가 수신한 '검증요청정보'를 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송한다(S40).Then, the operation server 100 transmits 'verification request information' received to the HSM equipment 300 in an internal communication format (S40).

뒤이어, HSM장비(300)가 '검증요청정보'에 포함된 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간과 대응하는 '검증키'를 색인하여 '전자서명 키'와 색인한 '검증키'가 일치하는지 여부를 판단한다(S50).Subsequently, the HSM device 300 indexes the 'verification key' corresponding to the 'digital signature key' generation time and the 'verification request information' reception time included in the 'verification request information' Verification key '(step S50).

제S50단계의 판단결과, '전자서명 키'와 '검증키'가 일치하는 경우, HSM장비(300)가 '검증완료정보'를 생성하여 운용서버(100)로 전송한다(S60).If the 'digital signature key' and the 'verification key' match in step S50, the HSM device 300 generates and transmits 'verification completion information' to the operation server 100 (S60).

그리고, 운용서버(100)가 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송한다(S70).Then, the operation server 100 transmits the 'verification completion information' to the authentication request server and the device 200 (S70).

한편, 제S50단계의 판단결과, '전자서명 키'와 '검증키'가 일치하지 않는 경우, HSM장비(300)가 '검증불일치정보'를 생성하여 운용서버(100)로 전송한다(S80).On the other hand, if the 'digital signature key' and the 'verification key' do not match as a result of the determination in operation S50, the HSM device 300 generates 'verification mismatch information' and transmits it to the operation server 100 (S80) .

그리고, 운용서버(100)가 수신한 '검증불일치정보'를 인증요청사 및 디바이스(200)로 전송한다(S90).
Then, the operation server 100 transmits the 'verification mismatch information' to the authentication request server and the device 200 (S90).

이하, 도 4를 참조하여 본 발명에 따른 HSM과 인증 APPLET을 이용한 디바이스 인증 방법의 제S50단계에 대한 세부과정을 살피면 아래와 같다.Hereinafter, the detailed procedure of step S50 of the device authentication method using the HSM and the authentication APPLET according to the present invention will be described with reference to FIG. 4 as follows.

제S40단계 이후, HSM장비(300)가 '전자서명 키'와 대응하는 '검증키'를 색인한다(S51).After step S40, the HSM device 300 indexes the 'verification key' corresponding to the 'digital signature key' (S51).

그리고, HSM장비(300)가 수신한 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간과 색인한 '검증키'로 '전자서명 키'가 서로 매칭되는지 여부를 판단한다(S52).Then, it is determined whether the 'digital signature key' generation time and the 'verification request information' reception time received by the HSM device 300 match the 'digital signature key' with the index verification key (S52).

이상으로 본 발명의 기술적 사상을 예시하기 위한 바람직한 실시 예와 관련하여 설명하고 도시하였지만, 본 발명은 이와 같이 도시되고 설명된 그대로의 구성 및 작용에만 국한되는 것이 아니며, 기술적 사상의 범주를 일탈함이 없이 본 발명에 대해 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다. 따라서 그러한 모든 적절한 변경 및 수정과 균등 물들도 본 발명의 범위에 속하는 것으로 간주되어야 할 것이다.While the present invention has been particularly shown and described with reference to preferred embodiments thereof, it will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. It will be appreciated by those skilled in the art that numerous changes and modifications may be made without departing from the invention. And all such modifications and changes as fall within the scope of the present invention are therefore to be regarded as being within the scope of the present invention.

S: HSM과 인증 APPLET을 이용한 디바이스 인증 시스템
100: 운용서버 200: 디바이스
300: HSM장비S: Device authentication system using HSM and authentication APPLET
100: Operation server 200: Device
300: HSM equipment

Claims (6)

디바이스 인증 시스템에 있어서,
인증요청사로부터 '디바이스 인증요청정보'를 수신하고, 수신한 '디바이스 인증요청정보'를 디바이스(200)에 PUSH 또는 SMS 형태로 전송하며, 디바이스(200)로부터 수신한 '검증요청정보'를 암호화된 온라인(TCP/IP) 통신 형태로 운용서버(100)로 전송하고 내부 네트워크(Internal) 통신 형태로 HSM장비(300)로 전송하여, 검증이 완료되는 경우 HSM장비(300)로부터 수신한 '검증완료정보'를 인증요청사 및 디바이스(200)로 전송하는 운용서버(100);
상기 운용서버(100)로부터 '디바이스 인증요청정보'를 수신하는 경우, SE(Secure Element)에 내장된 HSM 인증 애플릿의 구동에 의해 '전자서명 키'를 생성하고, 생성한 '전자서명 키'에 대한 검증을 위한 '검증요청정보'를 Application을 통해 온라인(TCP/IP) 통신을 암호화하고, 이를 운용서버(100)에 전송하며, 상기 '전자서명 키'에 대한 유효성 검증이 완료되는 경우, HSM장비(300)의 '전자서명 키' 검증에 따른 '검증완료정보'를 운용서버(100)로부터 수신하는 디바이스(200); 및
상기 운용서버(100)로부터 디바이스의 '전자서명 키'를 포함하는 '검증요청정보'를 수신하여 '전자서명 키'와 색인한 '검증키'가 일치하는 경우, '검증완료정보'를 생성하여 운용서버(100)로 전송하는 HSM장비(300);를 포함하되,
상기 '검증완료정보'는,
상기 HSM장비(300)가 '전자서명 키' 생성시간 및 '검증요청정보' 수신시간 각각과 대응하도록 기 설정된 '검증키'와 상기 운용서버(100)로부터 수신한 '전자서명 키'가 일치하는지 여부를 비교하여 일치하는 경우에 생성되고,
상기 인증요청사는,
PG(Payment Gateway)사, 금융사, 콘텐츠공급업체(Content Provider: CP), VAN(Value Added Network), 카드사 또는 개인고객 중에 어느 하나를 포함하며,
상기 SE는,
애플릿이 탑재 가능한 USIM, 금융 microSD, 메모리카드 또는 스마트카드 중에 어느 하나인 것을 특징으로 하는 HSM과 인증 APPLET을 이용한 디바이스 인증 시스템.A device authentication system comprising:
Device authentication request information 'from the authentication requestor and transmits the received' device authentication request information 'to the device 200 in the form of PUSH or SMS. The' verification request information 'received from the device 200 is encrypted (HSDPA) 300 to the HSM 300 in the form of an on-line (TCP / IP) communication, To the authentication request device and the device (200);
When receiving the 'device authentication request information' from the operation server 100, an 'electronic signature key' is generated by driving an HSM authentication applet built in a secure element (SE) (TCP / IP) communication through the application with the 'verification request information' for verifying the validity of the 'digital signature key', and transmits it to the operation server 100. When the verification of the 'digital signature key' is completed, A device 200 receiving 'verification completion information' according to 'digital signature key' verification of the device 300 from the operation server 100; And
Verification request information 'including the' digital signature key 'of the device from the operation server 100 and generates' verification completion information' when the 'digital signature key' and the 'verification key' And an HSM device (300) for transmitting the HSM equipment (300) to the operation server (100)
The 'verified information'
The verification key set to correspond to each of the 'digital signature key' generation time and the 'verification request information' reception time matches the 'digital signature key' received from the operation server 100 Whether or not they are generated if they match,
The authentication request server,
(PG), a financial institution, a content provider (CP), a value added network (VAN), a credit card company, or an individual customer,
The SE,
A micro SIM card, a micro SIM card, a micro SIM card, a micro SIM card, a micro SIM card, or a smart card. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete
KR1020140015984A 2014-02-12 2014-02-12 System for certificating device using hsm and applet of certification and method therefor KR101425513B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140015984A KR101425513B1 (en) 2014-02-12 2014-02-12 System for certificating device using hsm and applet of certification and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140015984A KR101425513B1 (en) 2014-02-12 2014-02-12 System for certificating device using hsm and applet of certification and method therefor

Publications (1)

Publication Number Publication Date
KR101425513B1 true KR101425513B1 (en) 2014-08-05

Family

ID=51749232

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140015984A KR101425513B1 (en) 2014-02-12 2014-02-12 System for certificating device using hsm and applet of certification and method therefor

Country Status (1)

Country Link
KR (1) KR101425513B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021049844A1 (en) * 2019-09-10 2021-03-18 주식회사온결 Communication line encryption system

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070084801A (en) * 2006-02-22 2007-08-27 주식회사 하이스마텍 Creating and authenticating one time password using smartcard and the smartcard therefor
KR20090094579A (en) * 2008-03-03 2009-09-08 비씨카드(주) System and Method for certification
KR20120005363A (en) * 2010-07-08 2012-01-16 정보통신산업진흥원 Electronic document distribution system, and electronic document distribution method
EP2533486A1 (en) * 2011-06-09 2012-12-12 Gemalto SA Method to validate a transaction between a user and a service provider

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070084801A (en) * 2006-02-22 2007-08-27 주식회사 하이스마텍 Creating and authenticating one time password using smartcard and the smartcard therefor
KR20090094579A (en) * 2008-03-03 2009-09-08 비씨카드(주) System and Method for certification
KR20120005363A (en) * 2010-07-08 2012-01-16 정보통신산업진흥원 Electronic document distribution system, and electronic document distribution method
EP2533486A1 (en) * 2011-06-09 2012-12-12 Gemalto SA Method to validate a transaction between a user and a service provider

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021049844A1 (en) * 2019-09-10 2021-03-18 주식회사온결 Communication line encryption system

Similar Documents

Publication Publication Date Title
US9741033B2 (en) System and method for point of sale payment data credentials management using out-of-band authentication
EP2885904B1 (en) User-convenient authentication method and apparatus using a mobile authentication application
KR101904177B1 (en) Data processing method and apparatus
US8606234B2 (en) Methods and apparatus for provisioning devices with secrets
AU2011200445B8 (en) Method and apparatus for dynamic authentication
US20130054473A1 (en) Secure Payment Method, Mobile Device and Secure Payment System
CN101221641B (en) On-line trading method and its safety affirmation equipment
CN102694780A (en) Digital signature authentication method, payment method containing the same and payment system
KR101499906B1 (en) Smart card having OTP generation function and OTP authentication server
KR20130115216A (en) Method for reading an rfid token, rfid card and electronic device
US20180018665A1 (en) Method and device for accessing a service
EP3210359B1 (en) Method for accessing a service, corresponding first device, second device and system
CN104125064A (en) Dynamic password authentication method, client and authentication system
KR101548933B1 (en) System for securiting mobile and method therefor
US11475139B2 (en) System and method for providing secure data access
KR20170080576A (en) Authentication system and method
JP2010117995A (en) System, device and method for issuing application
KR101425513B1 (en) System for certificating device using hsm and applet of certification and method therefor
KR101936941B1 (en) Electronic approval system, method, and program using biometric authentication
CN110098915B (en) Authentication method and system, and terminal
CN105141623A (en) Control method of electronic account, control system and mobile terminal
EP3067848A1 (en) Method and first and second server for transferring voucher data
KR20120018209A (en) Method for downloading mobile certificate

Legal Events

Date Code Title Description
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170724

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180724

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190719

Year of fee payment: 6