KR101513430B1 - System for Operating End-to-End Security Channel between Server and IC Card - Google Patents

System for Operating End-to-End Security Channel between Server and IC Card Download PDF

Info

Publication number
KR101513430B1
KR101513430B1 KR1020080078190A KR20080078190A KR101513430B1 KR 101513430 B1 KR101513430 B1 KR 101513430B1 KR 1020080078190 A KR1020080078190 A KR 1020080078190A KR 20080078190 A KR20080078190 A KR 20080078190A KR 101513430 B1 KR101513430 B1 KR 101513430B1
Authority
KR
South Korea
Prior art keywords
card
server
random number
information
terminal
Prior art date
Application number
KR1020080078190A
Other languages
Korean (ko)
Other versions
KR20090074680A (en
Inventor
이성만
Original Assignee
이성만
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이성만 filed Critical 이성만
Priority to KR1020080078190A priority Critical patent/KR101513430B1/en
Publication of KR20090074680A publication Critical patent/KR20090074680A/en
Application granted granted Critical
Publication of KR101513430B1 publication Critical patent/KR101513430B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템에 관한 것으로서, IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 사용자 공개키와 상기 IC카드에 구비된 암호함수E를 통해 상기 생성된 난수(Rs)를 암호화하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 암호화된 난수E(Rs)를 상기 IC카드로 전송하는 서버와 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K')를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC')를 생성하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드;를 구비하며, 상기 서버는, 상기 종단간 통신경로를 통해 상기 IC카드에 생성한 난수(Rc)와 카드 검증자(MAC')를 수신하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K)를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC)를 생성하고, 상기 카드 검증자(MAC')와 카드 검증자(MAC)를 비교하여 상기 세션키(K')를 인증하고, 상기 세션키(K') 인증시, 상기 세션키(K)를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC)를 생성하고, 상기 종단간 통신경로를 통해 상기 IC카드로 상기 서버 검증자(MAC)를 전송하고, 상기 IC카드는, 상기 종단간 통신경로를 통해 상기 서버 검증자(MAC)를 수신하고, 상기 세션키(K')를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC')를 생성하고, 상기 서버 검증자(MAC')와 서버 검증자(MAC)을 비교하여 상기 서버에서 생성된 세션키(K)를 인증하고, 상기 세션키(K) 인증시, 상기 서버와 종단간 보안채널을 연결된 것으로 처리한다.The present invention relates to an end-to-end security channel operating system between a server and an IC card in a communication network, and more particularly, to an end-to-end secure channel operating system between an IC card and an IC card, A system for connecting a secure channel, the system comprising: generating a random number (Rs) for transmission to the IC card; encrypting the generated random number (Rs) through a user public key and a cryptographic function (E) A server for transmitting the encrypted random number E (Rs) to the IC card using the terminal as an end-to-end communication path between the IC card and the server, and a server for using the terminal as an end- (Rs) encrypted with a random number (Rs) generated by the server, decrypts the E (Rs) through a user private key, and generates a random number (Rc) to be transmitted to the server through the end- Generates a session key K 'through the random number Rs and the random number Rc and encrypts the random number Rs through the generated session key K' And an IC card for transmitting the random number Rc and a card verifier (MAC ') to the server using the terminal as an end-to-end communication path between the IC card and the server, Receives a random number Rc and a card verifier (MAC ') generated in the IC card through the end-to-end communication path, generates a session key (K) through the random number (Rs) and the random number (Rc) Generates a card verifier (MAC) by encrypting the random number Rs through the generated session key K ', compares the card verifier (MAC') with a card verifier (MAC) (K '), and when the session key (K') is authenticated, the server verifier (MAC) is generated by encrypting the random number (Rc) through the session key (K) barrel Wherein the server card verifier transmits the server verifier (MAC) to the IC card, the IC card receives the server verifier (MAC) via the end-to-end communication path, Rc) to generate a server verifier (MAC '), authenticates the session key (K) generated by the server by comparing the server verifier (MAC') with a server verifier (MAC) At the time of key (K) authentication, the server and the end-to-end secure channel are treated as connected.

종단간보안채널, 보안채널운용 End-to-end secure channel, secure channel operation

Description

통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템{System for Operating End-to-End Security Channel between Server and IC Card}[0001] The present invention relates to an end-to-end secure channel operating system between a server on a communication network and an IC card,

도 1은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템을 도시한 도면이다.1 is a diagram illustrating a card issuing system for connecting a financial system and an end-to-end secure channel according to an embodiment of the present invention.

도 2는 본 발명의 실시 방법에 따라 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 구성을 도시한 도면이다.FIG. 2 is a diagram illustrating an IC card configuration for connecting a financial system and an end-to-end secure channel on a communication network according to an embodiment of the present invention.

도 3은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.3 is a diagram illustrating a card issuance process for connecting a financial system and an end-to-end secure channel according to an embodiment of the present invention.

도 4는 본 발명의 다른 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.4 is a diagram illustrating a card issuance process for connecting a financial system and an end-to-end secure channel according to another embodiment of the present invention.

도 5는 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.5 is a diagram illustrating a banking system for end-to-end secure channel operation between a server on a communication network and an IC card according to an embodiment of the present invention.

도 6은 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.6 is a diagram illustrating a banking system for end-to-end secure channel operation between a server on a communication network and an IC card according to an embodiment of the present invention.

<도면의 주요부분에 대한 설명>DESCRIPTION OF THE EMBODIMENTS

100 : 카드발급 서버 105 : 인터페이스부100: card issuing server 105: interface unit

110 : 인터페이스 제공부 115 : 정보 수신부110: interface providing unit 115: information receiving unit

120 : 유효성 인증부 125 : 정보 생성부120: validity authentication unit 125: information generation unit

130 : 카드 발급부 135 : 정보 저장부130: card issuing unit 135: information storing unit

140 : 카드발급 장치 145 : 저장매체140: Card issuing device 145: Storage medium

150 : 카드발급 단말150: card issuing terminal

본 발명은 IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 사용자 공개키와 상기 IC카드에 구비된 암호함수E를 통해 상기 생성된 난수(Rs)를 암호화하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 암호화된 난수E(Rs)를 상기 IC카드로 전송하는 서버와 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K')를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC')를 생성하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드;를 구비하며, 상기 서버는, 상기 종단간 통신경로를 통해 상기 IC카드에 생성한 난수(Rc)와 카드 검증자(MAC')를 수신하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K)를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC)를 생성하고, 상기 카드 검증자(MAC')와 카드 검증자(MAC)를 비교하여 상기 세션키(K')를 인증하고, 상기 세션키(K') 인증시, 상기 세션키(K)를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC)를 생성하고, 상기 종단간 통신경로를 통해 상기 IC카드로 상기 서버 검증자(MAC)를 전송하고, 상기 IC카드는, 상기 종단간 통신경로를 통해 상기 서버 검증자(MAC)를 수신하고, 상기 세션키(K')를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC')를 생성하고, 상기 서버 검증자(MAC')와 서버 검증자(MAC)을 비교하여 상기 서버에서 생성된 세션키(K)를 인증하고, 상기 세션키(K) 인증시, 상기 서버와 종단간 보안채널을 연결된 것으로 처리하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템에 관한 것이다.A system for connecting an end-to-end secure channel between an IC card and a server using a terminal having an IC card reader as an end-to-end communication path between an IC card and a server, the system comprising: Rs), encrypts the generated random number (Rs) through a user public key and a cryptographic function E provided in the IC card, and uses the terminal as an end-to-end communication path between the IC card and the server, (Rs) obtained by encrypting the random number (Rs) generated by the server using the server for transmitting the random number E (Rs) to the IC card and the terminal as an end-to-end communication path between the IC card and the server Decrypts the E (Rs) through a user private key, generates a random number Rc to be transmitted to the server through the end-to-end communication path, and generates a session key K (k) through the random number Rs and the random number Rc. '), And transmits the generated session key K' (Rc) and a card verifier (MAC ') by using the terminal as an end-to-end communication path between the IC card and the server by encrypting the random number Rs to generate a card verifier The server receives a random number Rc and a card verifier (MAC ') generated on the IC card through the end-to-end communication path, and transmits the random number Rs Generates a card verifier (MAC) by generating a session key (K) through a random number (Rc), encrypting the random number (Rs) through the generated session key (K '), (R ') through the session key (K) when authenticating the session key (K') by comparing the session key (K ') with the card validator (MAC) (MAC), and transmits the server verifier (MAC) to the IC card via the end-to-end communication path, the IC card comprising: And generates a server verifier (MAC ') by encrypting the random number (Rc) through the session key (K'). The server verifier (MAC ') receives the server verifier A server on a communication network for processing the session key (K) authenticated by the server by comparing the server verifier (MAC) to authenticate the session key (K) To an end-to-end secure channel operating system.

정보통신 기술과 현대사회의 발전은 다양한 금융거래 서비스 이용을 위해 인터넷 뱅킹 등의 다양한 비대면 채널을 통한 금융거래 서비스를 제공하고 있다.The development of information and communication technologies and modern society provides financial transaction services through various non-face-to-face channels such as Internet banking for various financial transaction services.

그러나, 현재 제공되고 있는 공인인증서를 이용하는 모델의 경우, 금융사 서버(또는 인증기관 서버)와 연계하여 보안채널을 형성하는 과정에 컴퓨터 등의 단말을 이용하고 있으나, 컴퓨터의 경우 금융거래 서비스 이외에 다양한 인터넷 서비스를 이용하고 있으므로 인하여, 해킹의 위험에 항상 노출되어 있는 문제가 있다.However, in the case of a model using the public certificate currently provided, a terminal such as a computer is used in the process of forming a secure channel in connection with a financial company server (or an authentication institution server) Because of the service, there is always a risk of being exposed to the risk of hacking.

이를 해결하기 위하여, 보안프로그램을 설치하고, 이를 이용하여 보안을 강화하고는 있으나, 이 부분 역시 빠른 정보통신 기술의 발전으로 인하여 많은 해커들이 개발된 보안프로그램을 무력화 시키고, 무력화된 보안프로그램을 이용하여 금융거래 서비스를 해킹하는 문제는 여전히 존재하고 있다.In order to solve this problem, security program is installed and used to enhance security. However, due to rapid development of information and communication technology, many hackers disable the developed security program and use the disabled security program The problem of hacking financial transaction services still exists.

상기 문제점을 해결하기 위한 본 발명의 목적은, IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 사용자 공개키와 상기 IC카드에 구비된 암호함수E를 통해 상기 생성된 난수(Rs)를 암호화하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 암호화된 난수E(Rs)를 상기 IC카드로 전송하는 서버와 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K')를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC')를 생성하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드;를 구비하며, 상기 서버는, 상기 종단간 통신경로를 통해 상기 IC카드에 생성한 난수(Rc)와 카드 검증자(MAC')를 수신하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K)를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC)를 생성하고, 상기 카드 검증자(MAC')와 카드 검증자(MAC)를 비교하여 상기 세션키(K')를 인증하고, 상기 세션키(K') 인증시, 상기 세션키(K)를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC)를 생성하고, 상기 종단간 통신경로를 통해 상기 IC카드로 상기 서버 검증자(MAC)를 전송하고, 상기 IC카드는, 상기 종단간 통신경로를 통해 상기 서버 검증자(MAC)를 수신하고, 상기 세션키(K')를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC')를 생성하고, 상기 서버 검증자(MAC')와 서버 검증자(MAC)을 비교하여 상기 서버에서 생성된 세션키(K)를 인증하고, 상기 세션키(K) 인증시, 상기 서버와 종단간 보안채널을 연결된 것으로 처리하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템을 제공함에 있다.In order to solve the above problems, an object of the present invention is to provide a system for connecting an end-to-end secure channel between an IC card using a terminal having an IC card reader as an end-to-end communication path between an IC card and a server, Generates a random number (Rs) for transmission to the IC card, encrypts the generated random number (Rs) through a user public key and a cryptographic function E provided in the IC card, (Rs) to the IC card by using the encrypted random number E (Rs) as an end-to-end communication path, and using the terminal as an end-to-end communication path between the IC card and the server, Decrypts the E (Rs) through a user private key, generates a random number (Rc) to be transmitted to the server through the end-to-end communication path, receives the random number (Rs) (K ') through the session key Rc And generates a card verifier (MAC ') by encrypting the random number (Rs) through the generated session key (K'). Using the terminal as an end-to-end communication path between the IC card and the server, And an IC card for transmitting a random number Rc and a card validator MAC 'to the server, wherein the server compares the random number Rc generated in the IC card with the card verifier Generates a session key K through the random number Rs and the random number Rc and encrypts the random number Rs through the generated session key K ' (K ') by comparing the card validator (MAC') with a card validator (MAC) to authenticate the session key (K '), Encrypts the random number Rc to generate a server verifier (MAC) via the terminal K, transmits the server verifier (MAC) to the IC card via the end-to-end communication path , The IC card receives the server verifier (MAC) via the end-to-end communication path and encrypts the random number (Rc) through the session key (K ') to generate a server verifier (MAC') And authenticates the session key (K) generated by the server by comparing the server verifier (MAC ') with a server verifier (MAC), and when authenticating the session key (K) To-end secure channel operation system between a server on a communication network and an IC card.

본 발명에 따른 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템은, IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 사용자 공개키와 상기 IC카드에 구비된 암호함수E를 통해 상기 생성된 난수(Rs)를 암호화하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 암호화된 난수E(Rs)를 상기 IC카드로 전송하는 서버와 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K')를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC')를 생성하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드;를 구비하며, 상기 서버는, 상기 종단간 통신경로를 통해 상기 IC카드에 생성한 난수(Rc)와 카드 검증자(MAC')를 수신하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K)를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC)를 생성하고, 상기 카드 검증자(MAC')와 카드 검증자(MAC)를 비교하여 상기 세션키(K')를 인증하고, 상기 세션키(K') 인증시, 상기 세션키(K)를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC)를 생성하고, 상기 종단간 통신경로를 통해 상기 IC카드로 상기 서버 검증자(MAC)를 전송하고, 상기 IC카드는, 상기 종단간 통신경로를 통해 상기 서버 검증자(MAC)를 수신하고, 상기 세션키(K')를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC')를 생성하고, 상기 서버 검증자(MAC')와 서버 검증자(MAC)을 비교하여 상기 서버에서 생성된 세션키(K)를 인증하고, 상기 세션키(K) 인증시, 상기 서버와 종단간 보안채널을 연결된 것으로 처리하는 것을 특징으로 한다.The end-to-end secure channel operating system between the server and the IC card on the communication network according to the present invention is characterized in that the terminal having the IC card reader is used as an end-to-end security between the IC card using the IC card as an end- A system for connecting channels, the method comprising: generating a random number (Rs) for transmission to the IC card, encrypting the generated random number (Rs) through a user public key and a cryptographic function E provided in the IC card, A server for transmitting the encrypted random number E (Rs) to the IC card by using the terminal as an end-to-end communication path between the IC card and the server, and a server for using the terminal as an end- Decrypts the E (Rs) using the user private key, generates a random number Rc to be transmitted to the server through the end-to-end communication path, receives the E (Rs) , The random number ( Generates a card verifier (MAC ') by encrypting the random number (Rs) through the generated session key (K') by generating a session key (K ') through a random number (Rs) And an IC card for transmitting the random number (Rc) and the card verifier (MAC ') to the server using the terminal as an end-to-end communication path between the IC card and the server, (Rc) and a card verifier (MAC ') generated on the IC card through the random number Rc and the random number Rc, generates a session key K, (K ') by comparing the card verifier (MAC') with the card verifier (MAC) by encrypting the random number (Rs) through the key verifier (K ') to generate a card verifier Encrypts the random number (Rc) through the session key (K) to generate a server verifier (MAC) when authenticating the session key (K '), Wherein the IC card transmits the server verifier (MAC), the IC card receives the server verifier (MAC) via the end-to-end communication path and encrypts the random number (Rc) through the session key (K ' (K ') generated by the server by comparing the server verifier (MAC') with a server verifier (MAC) to generate a server verifier (MAC '), And upon authentication, the server and the end-to-end secure channel are concatenated.

또한, 상기 IC카드 리더를 구비한 단말과 연결되고, 상기 IC카드와 서버 간 통신경로를 제공하고, 상기 서버로 전송할 데이터를 상기 단말로 전달하여 상기 IC카드와 서버 사이의 종단간 보안채널을 통해 상기 서버로 전송되도록 처리하는 고객단말을 더 포함하여 이루어지는 것을 특징으로 한다.The IC card is connected to a terminal equipped with the IC card reader and provides a communication path between the IC card and the server and transmits data to be transmitted to the server to the terminal, And a client terminal for processing the data to be transmitted to the server.

삭제delete

삭제delete

이하 첨부된 도면과 설명을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 다만, 하기에 도시되는 도면과 후술되는 설명은 본 발명의 특징을 효과적으로 설명하기 위한 여러 가지 방법 중에서 바람직한 실시 방법에 대한 것이며, 본 발명이 하기의 도면과 설명만으로 한정되는 것은 아니다. 또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 발명에서 전반에 걸친 내용을 토대로 내려져야 할 것이다. The operation principle of the preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings and description. It should be understood, however, that the drawings and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention, and are not to be construed as limiting the present invention. In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. The terms used below are defined in consideration of the functions of the present invention, which may vary depending on the user, intention or custom of the operator. Therefore, the definition should be based on the contents throughout the present invention.

*또한, 이하 실시되는 본 발명의 바람직한 실시예는 본 발명을 이루는 기술적 구성요소를 효율적으로 설명하기 위해 각각의 시스템 기능구성에 기 구비되어 있거나, 또는 본 발명이 속하는 기술분야에서 통상적으로 구비되는 시스템 기능구성은 가능한 생략하고, 본 발명을 위해 추가적으로 구비되어야 하는 기능구성을 위주로 설명한다. 만약 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 하기에 도시하지 않고 생략된 기능구성 중에서 종래에 기 사용되고 있는 구성요소의 기능을 용이하게 이해할 수 있을 것이며, 또한 상기와 같이 생략된 구성요소와 본 발명을 위해 추가된 구성요소 사이의 관계도 명백하게 이해할 수 있을 것이다. It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention and are incorporated in and constitute a part of this specification. The functional configuration is omitted as much as possible, and a functional configuration that should be additionally provided for the present invention is mainly described. Those skilled in the art will readily understand the functions of components that have been used in the prior art among the functional configurations that are not shown in the following description, The relationship between the elements and the components added for the present invention will also be clearly understood.

또한, 이하 실시예는 본 발명의 핵심적인 기술적 특징을 효율적으로 설명하기 위해 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 명백하게 이해할 수 있도록 용어를 적절하게 변형하여 사용할 것이나, 이에 의해 본 발명이 한정되는 것은 결코 아니다. In order to efficiently explain the essential technical features of the present invention, the following embodiments properly modify the terms so that those skilled in the art can clearly understand the present invention, It is by no means limited.

결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.As a result, the technical idea of the present invention is determined by the claims, and the following embodiments are merely means for effectively explaining the technical idea of the present invention to a person having ordinary skill in the art to which the present invention belongs Only.

도면1은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템을 도시한 도면이다.FIG. 1 is a diagram illustrating a card issuing system for connecting a financial system and an end-to-end secure channel according to an embodiment of the present invention.

보다 상세하게 본 도면1은 소정의 고객이 소정의 카드발급 인터페이스를 통해 금융시스템으로 소정의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 발급신청 정보를 제공하면, 상기 금융시스템에서 상기 제공된 IC카드 발급신청 정보를 기반으로 상기 고객에게 IC(Integrated Circuit)카드 형태의 IC카드를 발급하는 시스템 구성에 대한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여 상기 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하며, 본 도면1에 도시된 실시 방법만으로 한정되지 아니한다.More specifically, in FIG. 1, when a predetermined customer provides IC card issuance application information for connection between a financial system and an end-to-end secure channel in a financial system through a predetermined card issuance interface, 1 is a block diagram of a system configuration for issuing an IC card in the form of an IC (Integrated Circuit) card to the customer on the basis of the issuance application information. As shown in FIG. 1 and FIG. 1, The present invention may be embodied in various ways of implementing the card issuing system for connection between the financial system and the end-to-end secure channel. However, the present invention includes all of the above- But not limited to, methods.

예컨대, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여, 상기 금융시스템과 종단간 보안채널을 연결하기 위한 카드발급 시스템 이외에 통신망 상의 특정 서버와 종단간 보안채널을 연결하기 위한 카드발급 시스템의 구성을 유추할 수 있을 것이나, 이에 의해 본 발명이 한정되지 아니한다.For example, those skilled in the art will be able to refer to and / or modify the FIG. 1 to provide a card issuing system for connecting the financial system and an end-to-end secure channel, The configuration of the card issuing system for connecting the end-to-end secure channel can be inferred, but the present invention is not limited thereto.

또한, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여, 상기 발급되는 IC카드가 금융거래를 위한 정보를 구비하지 않을 수도 있으며, 이에 의해 본 발명이 한정되지 아니한다.In addition, if the person skilled in the art is familiar with the present invention, referring to and / or modified from FIG. 1, the issued IC card may not have information for financial transactions, The invention is not limited.

또한, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여, 본 도면1에 도시된 실시 방법의 효율적인 설명을 위해 금융시스템과 연계하여 처리하는 부분을 기준으로 도시하지만, 이에 의해 본 발명이 한정되지 아니한다.In addition, those skilled in the art will be able to refer to and / or modify the drawings to better understand the method of operation shown in FIG. 1, The present invention is not limited thereto.

이하, 본 도면1에 도시된 카드발급 시스템 상에서 소정의 카드발급 인터페이스를 통해 상기 고객으로부터 제공되는 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 소정의 IC카드를 발급하는 적어도 하나 이상의 수단 및/또는 기능구성에 대응하는 구성요소를 편의상 "카드발급 서버(100)"라고 한다.Hereinafter, at least one or more means for issuing a predetermined IC card to the customer based on the IC card issuing application information provided from the customer through a predetermined card issuing interface on the card issuing system shown in FIG. 1 and / or The components corresponding to the functional configuration are referred to as "card issuing server 100" for the sake of convenience.

여기서, 상기 카드발급 서버(100) 상에 구비되는 적어도 하나 이상의 수단 및/또는 기능구성을 적어도 하나 이상의 서버에 구비할 수도 있으며, 이에 의해 본 발명이 한정되지 아니한다.Here, the at least one means and / or the functional structure provided on the card issuing server 100 may be provided in at least one server, and thus the present invention is not limited thereto.

본 발명의 실시 방법을 따르는 본 도면1을 참조하면, 상기 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템은, 적어도 하나 이상의 카드발급기관(또는 금융기관)에 구비되는 카드발급 담당 직원이 이용하는 직원단말을 포함하여 이루어지는 것을 특징으로 하며, 및/또는 상기 카드발급 시스템이 비대면 방식의 카드발급 신청을 지원하는 경우, 상기 고객이 이용하는 유선단말 및/또는 무선단말을 적어도 하나 이상의 포함하는 클라이언트 단말 포함하여 이루어지는 것을 특징 으로 하며, 상기 직원단말 및/또는 클라이언트 단말은 소정의 네트워크 수단을 통해 상기 금융시스템 상에 구비된 카드발급 서버(100)와 통신채널이 연결된다.Referring to FIG. 1 according to an embodiment of the present invention, a card issuance system for connection between the financial system and an end-to-end secure channel includes at least one card issuing institution (or financial institution) Wherein the card issuing system includes an employee terminal, and / or when the card issuing system supports the non-face issuing card issuing application, the client terminal and / or the wireless terminal, The client terminal and / or the client terminal are connected to a card issuing server (100) provided on the financial system through a predetermined network means.

본 발명의 일 실시 방법에 따르면, 상기 고객은 상기 금융시스템과 종단간 보안채널 연결을 위해 상기 카드발급기관(또는 금융기관)에 방문하여 상기 카드발급기관(또는 금융기관)에 구비된 창구를 통해(또는 카드발급 담당 직원을 통해) 상기 금융시스템과 종단간 보안채널 연결을 위한 소정의 카드발급 신청서(예컨대, 상기 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 정보항목을 기입하기 위한 서식이 구비된 서류)를 작성하고(또는 상기 카드발급 담당 직원이 상기 고객에게 방문하여 상기 고객으로 하여금 상기 금융시스템과 종단간 보안채널 연결을 위한 소정의 카드발급 신청서를 작성하도록 하고), 상기 작성된 카드발급 신청서를 카드발급 담당 직원에게 제출하면, 상기 카드발급 담당 직원은 소정의 직원단말을 통해 상기 카드발급 신청서에 기입된 정보를 입력(또는 선택)하고, 상기 직원단말은 상기 입력(또는 선택)된 정보를 상기 네트워크 수단을 통해 상기 금융시스템 상에 구비된 카드발급 서버(100)로 전송하는 것이 바람직하다.According to an embodiment of the present invention, the customer visits the card issuing organization (or financial institution) for connection between the financial system and the end-to-end secure channel, and accesses the card issuing institution (or financial institution) (For example, a form for filling at least one information item for connection between the financial system and an end-to-end secure channel) for establishing an end-to-end secure channel between the financial system and the financial system (Or the card issuing staff visits the customer to make the customer create an application for issuing a predetermined card for connecting the end-to-end secure channel with the financial system) When an application form is submitted to a card issuing staff member, the card issuing staff member (Or selects) the information written in the card issuance server 100, and the employee terminal transmits the input (or selected) information to the card issuing server 100 provided on the financial system through the network means desirable.

여기서, 상기 직원단말은 상기 카드발급기관(또는 금융기관)에 구비된 카드발급 담당 직원이 이용하는 직원단말을 포함하여 이루어지는 것이 바람직하며, 상기 직원단말과 연결되는 카드발급 서버(100)는 상기 카드발급기관(또는 금융기관, 또는 상기 카드발급기관과 제휴된 카드발급 제휴기관) 상에 구비된 서버를 포함하 여 이루어지는 것이 바람직하며, 상기 직원단말과 카드발급 서버(100)를 연결하는 상기 네트워크 수단은 상기 직원단말과 카드발급 서버(100) 간 통신채널을 연결하는 통신망을 포함하여 이루어지는 것이 바람직하다.Preferably, the employee terminal includes an employee terminal used by a card issuing staff provided in the card issuing institution (or financial institution), and the card issuing server 100 connected to the employee terminal issues the card issuing request The card issuing server 100 may include a server provided on an institution (or a financial institute, or a card issuing affiliate affiliated with the card issuing institution), and the network means for connecting the employee terminal and the card issuing server 100 And a communication network for connecting a communication channel between the employee terminal and the card issuing server 100.

상기와 같은 카드발급 시스템에 있어서, 상기 고객이 작성하는 카드발급 신청서와, 상기 카드발급 담당 직원이 이용하는 직원단말 및 상기 직원단말과 상기 카드발급 서버(100)를 연결하는 금융망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하다.In the card issuing system as described above, the card issuing application created by the customer, the employee terminal used by the card issuing staff, and the financial network connecting the employee terminal and the card issuing server (100) And functions as a card issuing interface for registering IC card issuance application information for connection between the financial system and an end-to-end secure channel.

본 발명의 다른 일 실시 방법에 따르면, 상기 카드발급 시스템이 비대면 방식의 카드발급 신청을 지원하는 경우, 상기 고객은 소정의 유선 통신망에 연결된 유선단말 및/또는 소정의 무선 통신망에 연결된 무선단말 중 적어도 하나 이상의 클라이언트 단말을 통해 상기 카드발급 서버(100)에 접속하고, 상기 카드발급 서버(100)가 제공하는 적어도 하나 이상의 사용자 인터페이스를 통해 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드 발급신청 정보를 입력(또는 선택)하면, 상기 클라이언트 단말에서 소정의 네트워크 수단을 통해 상기 금융시스템 상에 구비된 카드발급 서버(100)로 전송하는 것이 바람직하다.According to another embodiment of the present invention, when the card issuing system supports the non-face-based card issuance application, the customer can use a wired terminal connected to a predetermined wired communication network and / or a wireless terminal connected to a predetermined wireless communication network An IC card issuing application 100 for connecting an end-to-end secure channel with the financial system through at least one or more user interfaces provided by the card issuing server 100 via at least one client terminal, When the information is inputted (or selected), it is preferable that the client terminal transmits the information to the card issuing server 100 provided on the financial system through a predetermined network means.

여기서, 상기 유선 통신망에 연결된 유선단말은 TCP/IP(Transmission Control Protocol/Internet Protocol) 기반의 통신망에 연결된 모든 단말장치의 총칭으로서, 상기 TCP/IP 기반 통신망에 연결된 데스크탑(Desktop) 컴퓨터 및/또는 노트북(Notebook), 또는 상기 TCP/IP 기반 통신망에 연결된 가전단말(예컨대, 셋탑박스(Set-Top-Box) 등), 또는 TCP/IP 기반 통신망에 연결된 키오스크(KIOSK) 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Here, the wired terminal connected to the wired communication network is a collective term of all terminal devices connected to a TCP / IP (Broadcast Control Protocol / Internet Protocol) based communication network. The wired terminal is a desktop computer connected to the TCP / (KIOSK) connected to a TCP / IP based communication network, etc., which are connected to the TCP / IP based communication network, and the like, .

또한, 상기 무선 통신망에 연결된 무선단말은 CDMA(Code Division Multiple Access) 기반의 이동 통신망에 연결된 모든 단말장치, 및/또는 HSDPA(High Speed Downlink Packet Access) 기반의 무선 통신망에 연결된 모든 단말장치, 및/또는 IEEE 802.16x 기반의 휴대 인터넷에 연결된 모든 단말장치, 및/또는 Motorola사의 DataTAC 방식 및/또는 Erricson사의 Mobitex 방식의 무선 데이터 통신망에 연결된 모든 단말장치의 총칭으로서, 상기 CDMA 기반 이동통신망에 연결된 개인 통신 단말기(Personal Communication System; PCS) 및/또는 GSM(Global System for Mobile communications) 단말기 및/또는 개인 디지털 셀룰러 단말기(Personal Digital Cellular; PDC) 및/또는 PHS(Personal Handyphone System) 단말기 및/또는 개인 정보 단말기(Personal Digital Assistant; PDA) 및/또는 스마트폰(Smart Phone) 및/또는 텔레매틱스(Telematics), 또는 HSDPA(High Speed Downlink Packet Access) 기반의 무선 통신망에 연결된 무선통신 단말, 또는 상기 IEEE 802.16x 기반 휴대 인터넷에 연결된 휴대 인터넷 단말, 또는 상기 DataTAC/Mobitex 기반 무선 데이터 통신망에 연결된 무선 데이터 통신 단말 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Also, the wireless terminal connected to the wireless communication network may include all terminal devices connected to a CDMA (Code Division Multiple Access) based mobile communication network, and / or all terminal devices connected to a wireless communication network based on HSDPA (High Speed Downlink Packet Access) Or all terminal devices connected to the portable Internet based on IEEE 802.16x, and / or all the terminal devices connected to the DataTAC system of Motorola company and / or the Mobitex system wireless data communication network of Erricson Co., A Personal Digital Cellular (PDC) and / or a Personal Handyphone System (PHS) terminal and / or a Personal Digital Assistant (PC) terminal and / or a Personal Digital Assistant (PDAs) and / or smart phones and / or telematics, or HSDPA (High Speed Dow) and a wireless data communication terminal connected to the DataTAC / Mobitex-based wireless data communication network, or the like, which are connected to the IEEE 802.16x-based portable Internet, .

또한, 상기 클라이언트 단말은 상기 카드발급 서버(100)에서 제공하는 적어도 하나 이상의 사용자 인터페이스를 출력하고, 상기 사용자 인터페이스를 통해 적어도 하나 이상의 정보를 입력 및/또는 선택하여 상기 카드발급 서버(100)로 전송하기 위한 기능 구성(예컨대, 브라우져 프로그램과 통신 기능, 또는 상기 카드발급 서버(100)와 통신하는 소정의 통신 프로그램과 통신 기능 등)이 구비되어 있는 것이 바람직하다.Also, the client terminal outputs at least one user interface provided by the card issuing server 100, inputs and / or selects at least one information through the user interface, and transmits the selected at least one information to the card issuing server 100 (For example, a browser program and a communication function, or a predetermined communication program and a communication function for communicating with the card issuing server 100).

본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 적어도 하나 이상의 유선단말 및/또는 무선단말에 대응하는 상기 클라이언트 단말의 특징을 용이하게 유추할 수 있을 것이므로, 이에 대한 상세한 설명은 편의상 생략한다.Those skilled in the art will readily be able to deduce the characteristics of the client terminal corresponding to at least one of the wired terminal and / or the wireless terminal, and a detailed description thereof will be omitted for the sake of convenience .

상기와 같은 카드발급 시스템에 있어서, 상기 고객이 이용하는 유선단말 및/또는 무선단말을 적어도 하나 이상 포함하는 클라이언트 단말과, 상기 클라이언트 단말과 상기 카드발급 서버(100)를 연결하는 적어도 하나 이상의 유선 통신망 및/또는 무선 통신망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하다.The card issuing system may further include a client terminal including at least one of a wired terminal and / or a wireless terminal used by the customer, at least one wired communication network connecting the client terminal and the card issuing server (100) And / or the wireless communication network performs a card issuing interface function for registering the IC card issuing application information for the end-to-end secure channel connection with the financial system.

본 발명의 또다른 일 실시 방법에 따르면, 상기 카드발급 시스템이 비대면 방식의 카드발급 신청을 지원하는 경우, 상기 카드발급 단말(150)은 상기 직원단말 및/또는 클라이언트 단말 이외에, 소정의 금융망(예컨대, 금융공동망)에 연결된 현금 자동 입출금기(Automatic Teller Machine; ATM), 현금 자동 지급기(Cash Dispenser; CD)를 포함하는 금융자동화기기(도시생략)를 더 포함하여 이루어지거나, 및/또는 소정의 공중전화망(Public Switched Telephone Network; PSTN), VoIP(Voice over IP)망과 같은 유선전화망에 연결된 소정의 통화단말(도시생략)을 더 포함하여 이루어지거나, 및/또는 이동통신망, 무선 VoIP망과 같은 무선전화망에 연결된 소정의 통화단말(도시생략)을 더 포함하여 이루어지거나, 및/또는 상기 카드발급기관(또는 금융기관)과 제휴된 적어도 하나 이상의 기관에 구비된 단말(및/또는 서버)(도시생략)를 더 포함할 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.According to another embodiment of the present invention, when the card issuing system supports the non-face-based card issuing application, the card issuing terminal 150 may include, in addition to the employee terminal and / or the client terminal, (Not shown) including an automatic teller machine (ATM) and a cash dispenser (CD) connected to a network (for example, a financial joint network), and / (Not shown) connected to a wired telephone network such as a public switched telephone network (PSTN) or a voice over IP (VoIP) network, and / or a mobile communication network, a wireless VoIP network (Not shown) connected to the same wireless telephone network, and / or at least one or more institutions affiliated with the card issuing organization (or financial institution) The it may further comprise a (not shown), the terminal (and / or server), which the present invention is not limited.

상기와 같이 비대면 방식의 카드발급 신청을 지원하는 경우에 있어서, 상기 카드발급 단말(150)이 상기 금융자동화기기(도시생략)인 경우, 상기 금융자동화기기(도시생략) 및 상기 금융자동화기기(도시생략)와 상기 카드발급 서버(100)를 연결하는 금융망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하며, 및/또는 상기 카드발급 단말(150)이 상기 통화단말(도시생략)인 경우, 상기 통화단말(도시생략) 및 상기 통화단말(도시생략)과 상기 카드발급 서버(100)를 연결하는 유선전화망 및/또는 무선전화망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하며, 및/또는 상기 카드발급 단말(150)이 상기 카드발급기관(또는 금융기관)과 제휴된 기관에 구비된 단말(및/또는 서버)(도시생략)인 경우, 상기 단말(및/또는 서버)(도시생략) 및 상기 단말(및/또는 서버)(도시생략)과 상기 카드발급 서버(100)를 연결하는 네트워크는 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하다.In the case where the card issuing terminal 150 supports the non-facing card issuing application as described above, when the card issuing terminal 150 is the banking automation apparatus (not shown), the banking automation apparatus (not shown) and the banking automation apparatus (Not shown) and the card issuing server 100 functions as a card issuing interface for registering the IC card issuing application information for the end-to-end secure channel connection with the financial system, and (Not shown) and the card issuing server 100 when the card issuing terminal 150 is the call terminal (not shown) and / or the card issuing terminal 150 Or the wireless telephone network performs a function of a card issuing interface for registering the IC card issuing application information for the end-to-end security channel connection with the financial system, and / (And / or server) (not shown) and the terminal (and / or server) (not shown) provided in the card issuing terminal 150 The network connecting the terminal (and / or server) (not shown) and the card issuing server 100 issues a card for the customer to register the IC card issuance application information for the end-to-end secure channel connection with the financial system Perform the functions of the interface.

본 발명에 따른 금융시스템 상에 구비되는 상기 저장매체(145)는 상기 카드발급 단말(150)로부터 제공되는 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 소정의 IC카드를 발급한 후, 상기 IC카드 발급에 따른 IC카드 발급정보를 저장하는 것을 특징으로 하며, 상기 저장매체(145)에 저장된 상기 IC카드 발급정보는 금융시스템 상에서 상기 금융시스템과 종단간 보안채널 연결을 위해 이용된다.The storage medium 145 provided on the financial system according to the present invention issues a predetermined IC card to the customer based on the IC card issuing application information provided from the card issuing terminal 150, The IC card issuing information stored in the storage medium (145) is used for connecting an end-to-end secure channel with the financial system on the financial system.

본 발명의 일 실시 방법에 따르면, 상기 저장매체(145)는 상기 금융시스템 상에 구비되는(또는 상기 금융시스템과 연계되는) 소정의 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체(145)는 상기 금융시스템 상의 DBMS에 구비되는 원장 D/B가거나, 및/또는 상기 원장 D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.According to an embodiment of the present invention, the storage medium 145 is preferably provided in a DBMS on a predetermined financial system provided on the financial system (or associated with the financial system) (145) may be a ledger D / B included in the DBMS on the financial system, and / or a predetermined database associated with the ledger D / B, and thus the present invention is not limited thereto.

본 발명에 따른 금융시스템 상에 구비되는 상기 카드발급 서버(100)는 상기 카드발급 단말(150)과 소정의 네트워크 수단을 통해 연결되는 상기 금융시스템 측 구성요소의 총칭으로서, 적어도 하나 이상의 서버(또는 장치)를 포함하여 구현되거나, 및/또는 소정의 서버(또는 장치)에 구비된 기록매체에 기록되는 적어도 하나 이상의 프로그램으로 구현될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.The card issuing server 100 provided on the financial system according to the present invention is a collective term of the financial system side components connected to the card issuing terminal 150 through a predetermined network means and includes at least one server (Or apparatus), and / or at least one program recorded on a recording medium provided in a predetermined server (or apparatus), and thus the present invention is not limited thereto.

본 발명의 실시 방법에 따르면, 상기 카드발급 서버(100)는 상기 네트워크 수단을 통해 상기 카드발급 단말(150)로 소정의 카드발급 인터페이스를 제공하는 인터페이스부(105)(또는 인터페이스 수단)를 구비하여 이루어지는 것을 특징으로 한다.According to the embodiment of the present invention, the card issuing server 100 includes an interface unit 105 (or interface means) for providing a predetermined card issuing interface to the card issuing terminal 150 via the network means .

본 발명의 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 금융망에 연결되는 직원단말 인 경우, 상기 인터페이스부(105)는 상기 금융망에 정의된 프로토콜 스택을 기반으로 상기 직원단말과 소정의 통신채널을 연결하고, 상기 직원단말에 구비된 카드발급 신청 프로그램에 정의된 통신 프로토콜을 이용하여 적어도 하나 이상의 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공하는 것이 바람직하다.According to an embodiment of the present invention, when the card issuing terminal 150 is an employee terminal connected to a predetermined financial network, the interface unit 105 transmits, to the employee terminal, based on the protocol stack defined in the financial network, It is preferable to connect a predetermined communication channel and provide a communication interface for transmitting and receiving at least one information (or data) using a communication protocol defined in a card issuing application program provided in the employee terminal.

본 발명의 다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 유선 통신망에 연결되는 유선단말을 포함하는 클라이언트 단말인 경우, 상기 인터페 이스부(105)는 상기 유선 통신망에 정의된 프로토콜 스택을 기반으로 상기 클라이언트 단말과 소정의 통신 채널을 연결하고, 상기 클라이언트 단말에 구비된 통신 프로그램에 정의된 통신 프로토콜을 이용하여 적어도 하나 이상의 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공하는 것이 바람직하다. According to another embodiment of the present invention, when the card issuing terminal 150 is a client terminal including a wired terminal connected to a predetermined wired communication network, the interface unit 105 transmits the protocol stack defined in the wired communication network It is preferable to provide a communication interface for connecting at least one information channel to the client terminal and transmitting and receiving at least one information (or data) using a communication protocol defined in the communication program of the client terminal .

예컨대, 상기 클라이언트 단말에 HTTP(Hyper-Text Transfer Protocol) 프로토콜에 대응하는 브라우져 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 TCP/IP 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 브라우져 프로그램에 정의된 HTPP 프로토콜을 이용하여 웹페이지(예컨대, HTML(Hyper-Text Markup Language) 호환 웹페이지) 및/또는 정보 송수신을 위한 통신 인터페이스를 제공한다.For example, when the client terminal is provided with a browser program corresponding to HTTP (Hyper-Text Transfer Protocol) protocol, the interface unit 105 connects a communication channel with the client terminal based on the TCP / IP protocol, (E.g., a Hyper-Text Markup Language (HTML) compliant web page) and / or a communication interface for transmitting / receiving information using the HTPP protocol defined in the browser program.

또는, 상기 클라이언트 단말에 상기 카드발급 서버(100)에서 제공한 소정의 카드발급 신청 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 TCP/IP 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 통신 프로그램에 정의된 통신 프로토콜을 이용하여 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공한다.Alternatively, when the client terminal is provided with a predetermined card issuance application program provided by the card issuing server 100, the interface unit 105 connects the communication channel with the client terminal based on the TCP / IP protocol And provides a communication interface for information (or data) transmission and reception using the communication protocol defined in the communication program.

본 발명의 또다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 무선 통신망에 연결되는 무선단말을 포함하는 클라이언트 단말인 경우, 상기 인터 페이스부(105)는 상기 무선 통신망에 정의된 프로토콜 스택을 기반으로 상기 클라이언트 단말과 소정의 통신 채널을 연결하고, 상기 클라이언트 단말에 구비된 통신 프로그램에 정의된 통신 프로토콜을 이용하여 적어도 하나 이상의 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공하는 것이 바람직하다. According to another embodiment of the present invention, when the card issuing terminal 150 is a client terminal including a wireless terminal connected to a predetermined wireless communication network, the interface unit 105 transmits a protocol defined in the wireless communication network It is desirable to connect a predetermined communication channel with the client terminal based on the stack, and to provide a communication interface for transmitting and receiving at least one information (or data) using a communication protocol defined in a communication program provided in the client terminal Do.

예컨대, 상기 클라이언트 단말에 WAP(Wireless Application Protocol) 및/또는 ME(Mobile Explorer) 프로토콜에 대응하는 브라우져 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 CDMA 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 브라우져 프로그램에 정의된 WAP/ME 프로토콜을 이용하여 웹페이지(예컨대, WML(Wireless Markup Language) 호환 웹페이지, 또는 HTML 호환 웹페이지) 및/또는 정보 송수신을 위한 통신 인터페이스를 제공한다.For example, when the client terminal is provided with a browser program corresponding to a wireless application protocol (WAP) and / or a mobile explorer (ME) protocol, the interface unit 105 transmits, (E.g., a Wireless Markup Language (WML) compliant web page, or an HTML compatible web page) and / or a communication interface for transmitting / receiving information using the WAP / ME protocol defined in the browser program .

또는, 상기 클라이언트 단말에 상기 카드발급 서버(100)에서 제공한 카드발급 신청 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 CDMA 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 통신 프로그램에 정의된 통신 프로토콜을 이용하여 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공한다.Alternatively, if the client terminal is provided with a card issue application program provided by the card issuing server 100, the interface unit 105 connects a communication channel with the client terminal based on the CDMA protocol, And provides a communication interface for transmitting and receiving information (or data) using a communication protocol defined in the program.

도면1을 참조하면, 상기 카드발급 서버(100)는 소정의 카드발급 단말(150)이 상기 인터페이스부(105)를 통해 상기 카드발급 서버(100)에 접속시, 상기 인터페이 스부(105)와 연동하여 상기 카드발급 단말(150)에서 소정의 IC카드 발급신청 정보를 입력(또는 선택)하여 전송하도록 하는 소정의 사용자 인터페이스를 생성(또는 추출)하여 상기 카드발급 단말(150)로 제공하는 인터페이스 제공부(110)(또는 인터페이스 제공수단)와, 상기 인터페이스부(105)와 연동하여 상기 카드발급 단말(150)에서 상기 사용자 인터페이스를 통해 입력(또는 선택)하여 전송하는 소정의 IC카드 발급신청 정보를 수신하는 정보 수신부(115)(또는 정보 수신수단)와, 상기 수신된 IC카드 발급신청 정보를 기반으로 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성을 확인하는 유효성 인증부(120)(또는 유효성 인증수단)와, 상기 수신된 IC카드 발급신청 정보를 기반으로 상기 고객에게 발급할 IC카드에 대응하는 소정의 IC카드 저장정보를 생성(또는 추출)하는 정보 생성부(125)(또는 정보 생성수단)와, 소정의 카드발급 장치(140)를 통해 상기 IC카드 저장정보를 포함하는 소정의 IC카드를 발급하는 카드 발급부(130)(카드 발급수단)와, 상기 고객에게 발급된 IC카드에 대응하는 IC카드 발급정보를 상기 저장매체(145)에 저장하는 정보 저장부(135)(또는 정보 저장수단)를 구비하여 이루어지는 것을 특징으로 한다.1, when the predetermined card issuing terminal 150 accesses the card issuing server 100 through the interface unit 105, the card issuing server 100 interlocks with the interface unit 105 (Or extracts) a predetermined user interface for inputting (or selecting) the predetermined IC card issuing application information from the card issuing terminal 150 and transmitting the generated IC card issuing terminal 150 to the card issuing terminal 150, (Or an interface providing means), and a predetermined IC card issuing application information which is input (or selected) by the card issuing terminal 150 in cooperation with the interface unit 105 through the user interface (Or information receiving means) 115 for receiving the IC card issuance request information from the IC card issuance request receiving unit 115, a validity authentication process for verifying the validity of issuing the IC card to the customer based on the received IC card issuance request information (Or extracting) predetermined IC card storing information corresponding to the IC card to be issued to the customer based on the received IC card issuing application information, A card issuing unit 130 (card issuing means) for issuing a predetermined IC card including the IC card storing information via a predetermined card issuing device 140, And an information storage unit 135 (or information storage means) for storing the IC card issuing information corresponding to the issued IC card in the storage medium 145. [

상기 인터페이스 제공부(110)는 소정의 카드발급 단말(150)이 상기 인터페이스부(105)를 통해 상기 카드발급 서버(100)에 접속시, 상기 카드발급 단말(150)에 구비된 기능구성에 대응하여 상기 IC카드 발급신청 정보를 입력(또는 선택)하여 상기 네트워크 수단을 통해 상기 카드발급 서버(100)로 전송할 수 있는 소정의 사용자 인터페이스를 생성하거나, 및/또는 소정의 데이터베이스(도시생략)로부터 추출 하고, 상기 인터페이스부(105)와 연동하여 상기 생성(또는 추출)된 사용자 인터페이스를 상기 네트워크 수단을 통해 상기 카드발급 단말(150)로 제공하는 것을 특징으로 한다.When the predetermined card issuing terminal 150 accesses the card issuing server 100 through the interface unit 105, the interface providing unit 110 responds to a function configuration provided in the card issuing terminal 150 (Or selects) the IC card issuing application information to generate a predetermined user interface that can be transmitted to the card issuing server 100 through the network means and / or extracts from the predetermined database (not shown) And provides the generated (or extracted) user interface to the card issuing terminal 150 via the network unit in association with the interface unit 105. [

이후, 상기 카드발급 단말(150)은 상기 사용자 인터페이스를 기반으로 상기 IC카드 발급신청 정보를 입력(또는 선택)하며, 상기 입력(또는 선택)된 IC카드 발급신청 정보를 상기 네트워크 수단을 통해 상기 카드발급 서버(100)로 전송한다.Then, the card issuing terminal 150 inputs (or selects) the IC card issuing application information based on the user interface, and transmits the input (or selected) IC card issuing application information to the card To the issuing server (100).

본 발명의 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 금융망에 연결되는 직원단말인 경우, 상기 인터페이스 제공부(110)는 상기 직원단말에 구비된 카드발급 신청 프로그램으로 제공 가능한 소정의 사용자 인터페이스를 생성(또는 추출)하고, 상기 인터페이스부(105)를 통해 상기 생성(또는 추출)된 사용자 인터페이스를 상기 직원단말로 제공하는 것이 바람직하다.According to an embodiment of the present invention, when the card issuing terminal 150 is an employee terminal connected to a predetermined financial network, the interface providing unit 110 may receive a card issuing application program (Or extracts) a user interface of the user terminal, and provides the generated (or extracted) user interface to the employee terminal through the interface unit 105. [

본 발명의 다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 유선 통신망에 연결되는 유선 단말을 포함하는 클라이언트 단말인 경우, 상기 인터페이스 제공부(110)는 상기 클라이언트 단말에 구비된 브라우져 프로그램 및/또는 통신 프로그램으로 제공 가능한 소정의 사용자 인터페이스를 생성(또는 추출)하고, 상기 인터페이스부(105)를 통해 상기 생성(또는 추출)된 사용자 인터페이스를 상기 클라이언트 단말로 제공하는 것이 바람직하다.According to another embodiment of the present invention, when the card issuing terminal 150 is a client terminal including a wired terminal connected to a predetermined wired communication network, the interface providing unit 110 transmits a browser program (Or extracts) a predetermined user interface that can be provided to the client terminal and / or a communication program, and provides the created (or extracted) user interface to the client terminal through the interface unit 105.

본 발명의 또다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 무선 통신망에 연결되는 무선단말을 포함하는 클라이언트 단말인 경우, 상기 인터페이스 제공부(110)는 상기 클라이언트 단말에 구비된 브라우져 프로그램 및/또는 통신 프로그램으로 제공 가능한 소정의 사용자 인터페이스를 생성(또는 추출)하고, 상기 인터페이스부(105)를 통해 상기 생성(또는 추출)된 사용자 인터페이스를 상기 클라이언트 단말로 제공하는 것이 바람직하다.According to another embodiment of the present invention, when the card issuing terminal 150 is a client terminal including a wireless terminal connected to a predetermined wireless communication network, the interface providing unit 110 may include a browser (Or extracts) a predetermined user interface that can be provided by the program and / or the communication program, and provides the generated (or extracted) user interface to the client terminal through the interface unit 105. [

상기 정보 수신부(115)는 상기 카드발급 단말(150)에서 상기 사용자 인터페이스를 통해 소정의 IC카드 발급신청 정보를 입력(또는 선택)하여 상기 네트워크 수단을 통해 전송하면, 상기 인터페이스부(105)와 연동하여 상기 IC카드 발급신청 정보를 수신하는 것을 특징으로 하며, 상기 수신된 IC카드 발급신청 정보를 상기 유효성 인증부(120) 또는 정보 생성부(125)로 제공한다.The information receiving unit 115 receives (or selects) predetermined IC card issuance request information from the card issuing terminal 150 through the user interface and transmits the IC card issuing application information through the network unit, And receives the IC card issuance application information, and provides the received IC card issuance application information to the validity authentication unit 120 or the information generation unit 125. [

본 발명의 실시 방법에 따르면, 상기 IC카드 발급신청 정보는 상기 카드발급 고객의 고객정보와, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보를 적어도 하나 이상 포함하여 이루어진다.According to the embodiment of the present invention, the IC card issuance application information includes information on the customer of the card issuance customer, IC for confirming that the IC card issued to the customer is an IC card for end-to- And at least one card information.

여기서, 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성 명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버(100)에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Herein, the customer information includes personal information (e.g., customer name, resident registration number, address, wireless terminal information (or mobile phone number), mail address, etc.) of the card issuance customer, And preferably includes at least one member information (for example, member ID information) that has been registered.

또한, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보는 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드에 구비되는 사용자 인증서 정보를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 IC카드를 이용한 이용내역 정보를 더 저장할 수도 있다.The IC card information for confirming that the IC card issued to the customer is an IC card for connection between the financial system and an end-to-end secure channel includes IC card information for connection with the financial system, And may further store usage history information using the IC card according to the intention and purpose of a person skilled in the art.

상기 정보 생성부(125)는 상기 정보 수신부(115)를 통해 수신된 상기 IC카드 발급신청 정보를 근거로 상기 고객에게 상기 IC카드에 구비될 소정의 IC카드 저장정보를 생성(또는 추출)하는 것을 특징으로 하며, 상기 IC카드 저장정보는 상기 IC카드에 대응하는 카드번호(예컨대, 16자리 카드번호)와 유효기간 정보(일부 생략가능)와 카드발급기관 정보(또는 코드)를 적어도 하나 이상 포함하여 이루어진다.The information generating unit 125 generates (or extracts) predetermined IC card storing information to be provided in the IC card to the customer based on the IC card issuing application information received through the information receiving unit 115 Wherein the IC card storage information includes at least one or more card numbers (e.g., 16-digit card numbers) corresponding to the IC card, validity period information (some of which may be omitted), and card issuing authority information .

예컨대, 상기 카드번호는(일부 예외는 존재하지만) 4자리의 카드발급기관 번호와 2자리의 카드종류 번호와 9자리의 일련번호 및 하나의 체크디지트를 포함하여 이루어지는 것이 바람직하다.For example, the card number preferably includes a 4-digit card issuing organization number, a 2-digit card type number, a 9-digit serial number, and a check digit (although there are some exceptions).

상기 유효기간 정보는 상기 IC카드를 사용할 수 있는 기간(또는 만료일시)를 포함하여 이루어지는 것이 바람직하며, 상기 IC카드에 유효기간이 존재하지 않는 경우 생략될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.The expiration date information preferably includes a period (or an expiration date) during which the IC card can be used, and may be omitted if the IC card does not have an expiration date, so that the present invention is not limited thereto .

상기 카드발급기관 정보(또는 코드)는 상기 고객에게 상기 IC카드를 발급하는 카드발급기관(또는 금융사)에 할당된 고유번호(또는 고유코드)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The card issuing organization information (or code) preferably includes at least one unique number (or unique code) assigned to a card issuing institution (or financial institution) that issues the IC card to the customer.

상기 정보 생성부(125)에 의해 상기 IC카드에 구비된 소정의 IC카드 저장정보가 생성되면, 상기 카드 발급부(130)는 소정의 카드발급 장치(140)를 통해 상기 IC카드 저장정보를 포함하는 IC카드를 제작(또는 상기 IC카드에 상기 IC카드 저장정보를 구비)하는 것을 특징으로 하며, 상기 IC카드는 상기 고객에게 제공(또는 배송)된다.When the information generating unit 125 generates predetermined IC card storing information included in the IC card, the card issuing unit 130 stores the IC card storing information through a predetermined card issuing unit 140 (Or the IC card storing information is provided in the IC card), and the IC card is provided (or delivered) to the customer.

여기서, 상기 카드발급 장치(140)는 상기 IC카드의 IC칩에 구비된 메모리에 상기 IC카드 저장정보를 기록하는 장치를 포함하여 이루어지며, 이 때 상기 정보 생성부(125)는 상기 IC칩에 구비된 COS(Chip Operating System)를 통해 동작 가능한 파일 구조로 상기 IC카드 저장정보를 생성(또는 추출)하고, 상기 카드 발급부(130)는 상기 카드발급 장치(140)를 통해 상기 IC카드 저장정보를 상기 IC칩의 메모리에 기록함으로써, 상기 고객에게 발급할 소정의 IC카드를 발급한다.Here, the card issuing device 140 includes a device for recording the IC card storage information in a memory provided in the IC chip of the IC card, (Or extracts) the IC card storage information by a file structure operable through a COS (Chip Operating System), and the card issuing unit 130 stores the IC card storage information To the memory of the IC chip, thereby issuing a predetermined IC card to be issued to the customer.

상기와 같이 제작된 IC카드는 상기 고객에게 제공되거나, 및/또는 소정의 카드 제공 절차에 따라 상기 고객에게 배송되며, 이 후 상기 고객은 본 발명에 따른 금융시스템을 통해 상기 IC카드를 사용하게 된다.The IC card manufactured as described above is provided to the customer and / or is delivered to the customer according to a predetermined card providing procedure, after which the customer uses the IC card through the financial system according to the present invention .

이후, 상기 정보 저장부(135)는 상기 정보 수신부(115)를 통해 상기 고객으로부터 수신된 상기 IC카드 발급신청 정보에 포함된 고객정보와 상기 생성된 IC카드 저장정보와 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 인증서 정보(예컨대, 사용자 인증서 정보 등)를 포함하는 IC카드 발급정보를 상기 저장매체(145)에 저장하는 것을 특징으로 한다.Then, the information storage unit 135 stores the customer information included in the IC card issuance request information received from the customer through the information receiving unit 115, the generated IC card storage information, the financial system and the end-to- And IC card issuing information including at least one or more pieces of certificate information (e.g., user certificate information, etc.) for connection is stored in the storage medium (145).

상기 IC카드 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버(100)에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The customer information included in the IC card issuing information includes personal information of the card issuing customer (e.g., customer name, resident registration number, address, wireless terminal information (or mobile phone number), mail address, (For example, member ID information) that is subscribed to the server 100. [0064]

상기 IC카드 발급정보에 포함되는 인증서 정보는, 상기 IC카드와 금융시스템과 종단간 보안채널 연결을 위해, 사용자 인증서 정보를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The certificate information included in the IC card issuance information may include at least one user certificate information for connection between the IC card and the financial system and an end-point security channel.

여기서, 상기 사용자 인증서 정보는 상기 금융시스템과 종단간 보안채널 연결을 위해, 상기 금융시스템에서 생성되는 난수(Rs)를 암호화 하기 위한 공개키 정보를 포함하여 이루어지는 것이 바람직하다.Here, the user certificate information may include public key information for encrypting a random number (Rs) generated in the financial system for end-to-end secure channel connection between the financial system and the financial system.

도면2는 본 발명의 실시 방법에 따라 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 구성을 도시한 도면이다.FIG. 2 is a diagram illustrating an IC card configuration for connecting a financial system and an end-to-end secure channel on a communication network according to an embodiment of the present invention.

보다 상세하게 본 도면2는 상기 도면1에 도시된 카드발급 시스템을 통해 발급되는 IC카드에 구비된 IC칩 상의 메모리에 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)를 구비한 IC카드 기능 구성에 대한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면2를 참조 및/또는 변형하여 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면2에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.2 is a block diagram illustrating a configuration of the IC card according to an embodiment of the present invention. Referring to FIG. 2, a memory on an IC chip provided in an IC card issued through the card issuing system shown in FIG. 1 includes predetermined user certificate information 215 ). Referring to FIG. 2, a person skilled in the art will be able to refer to and / or modify the structure of an IC card to provide an end-to-end secure channel connection between the financial system on the communication network and the end- It is to be understood that the present invention is not limited to the above-described exemplary embodiments, and various changes and modifications may be made without departing from the scope of the present invention.

도면2를 참조하면, 상기 IC카드에 구비되는 IC칩은 데이터의 입출력을 하는 적어도 하나 이상의 입출력 인터페이스(200)와, 소정의 카드정보 및 카드 애플리케이션 코드를 저장하는 메모리부(210) 및 상기 애플리케이션을 실행하는 프로세서부(205)를 구비하여 이루어지는 것을 특징으로 한다.2, the IC chip of the IC card includes at least one input / output interface 200 for inputting / outputting data, a memory unit 210 for storing predetermined card information and card application code, And a processor unit 205 for executing the program.

IC카드의 IC칩은 ISO/IEC 7816 규격을 참조하면, 전원 공급(VCC), 리셋 신호(RST), 클럭 신호(CLK), 접지(GND), 프로그래밍 전원 공급(VPP), 및/또는 입출력(I/O) 등과 같은 접촉점을 통해 접촉식으로 카드단말과 연결하고, 상기 카드단말을 통해 상기 금융시스템과 통신(예컨대, 명령 또는 데이터 교환 등)하는 입출력 인터페이스(200)를 구비하여 이루어지는 것을 특징으로 하며, ISO/IEC 14443 규격을 참조하면, 두개의 안테나 연결 접촉점(도시생략)를 통해 비접촉식으로 카드단말을 통해 상기 금융시스템과 통신(예컨대, 명령 또는 데이터 교환 등)하는 입출력 인터페이스(200)를 구비하여 이루어지는 것을 특징으로 한다.Referring to the ISO / IEC 7816 standard, the IC chip of the IC card has a power supply (VCC), a reset signal (RST), a clock signal (CLK), a ground (GND), a programming power supply (VPP) And an input / output interface (200) for communicating with the card terminal through a contact point such as I / O, and communicating with the financial system through the card terminal (for example, command or data exchange) Referring to the ISO / IEC 14443 standard, an input / output interface 200 for communicating (for example, command or data exchange) with the financial system through a card terminal in a non-contact manner via two antenna connecting points (not shown) .

또한, 상기 프로세서부(205)는 CPU(Central Process Unit), MPU(Micro Process Unit), 및/또는 코프로세서(Coprocessor) 등을 포함하는 적어도 하나 이상의 연산 소자로 이루어지는 것을 특징으로 하며, 상기 메모리부(210)에 저장된 카드 애플리케이션 코드를 실행하는 것을 특징으로 한다.The processor unit 205 may include at least one computing element including a central processing unit (CPU), a micro processing unit (MPU), and / or a coprocessor, And executes the card application code stored in the memory card (210).

또한, 상기 메모리부(210)는 ROM(Read Only Memory), EEPROM(Electrically Erasable and Programmable Read Only Memory), FM(Flash Memory) 등을 포함하는 적어도 하나 이상 포함하는 비휘발성 메모리와, RAM(Random Access Memory)과 같은 휘발성 메모리(또는 실행 메모리)를 적어도 하나 이상 포함하여 이루어지는 것을 특징으로 하며, 소정의 카드정보와 상기 카드정보를 기반으로 동작하는 카드 애플 리케이션 코드를 저장하는 것을 특징으로 한다.The memory unit 210 may include a nonvolatile memory including at least one or more of ROM (Read Only Memory), EEPROM (Electrically Erasable Programmable Read Only Memory), FM (Flash Memory) And a volatile memory (or execution memory), such as a memory, for storing predetermined card information and a card application code operating based on the card information.

특히, 상기 메모리부(210) 중 일부 메모리(예컨대, ROM 등)에는 IC카드 내부 자원을 관리하고 운영하는 칩 운영 체제(Chip Operating System; COS)에 대응하는 프로그램 코드가 저장되는데, 상기 입출력 인터페이스(200)의 전원 공급(VCC) 접촉점을 통해 카드단말을 통해 상기 금융시스템으로부터 소정의 전원이 공급되는 경우 상기 메모리부(210)에 저장된 COS가 소정의 실행 메모리로 로딩되어 상기 IC칩의 전반적인 동작을 제어하고, 상기 클럭 신호(CLK) 접촉점의 클럭주파수(예컨대, 3.57MHz 또는 4.9MHz)를 기반으로 APDU(Application Protocol Data Unit)를 통해 상기 IC칩과 카드단말을 통해 상기 금융시스템 사이의 정보 또는 데이터 교환을 제어한다.Particularly, a program code corresponding to a chip operating system (COS) for managing and operating internal resources of an IC card is stored in some memory (for example, ROM) of the memory unit 210. The I / When a predetermined power is supplied from the financial system through a card terminal through a power supply (VCC) contact point of the IC chip 200, the COS stored in the memory unit 210 is loaded into a predetermined execution memory to perform an overall operation of the IC chip And information or data between the financial system through the IC chip and the card terminal via APDU (Application Protocol Data Unit) based on the clock frequency of the clock signal (CLK) contact point (for example, 3.57 MHz or 4.9 MHz) Control the exchange.

도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210)에는 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 사용자 인증서 정보(215)가 저장되는 것을 특징으로 하며, 상기 사용자 인증서 정보(215) 역시 상기 카드 저장정보와 마찬가지로 상기 사용자 인증서 정보(215)에 대응하는 개인키 정보를 저장하는 저장부(225)와 상기 사용자 인증서 정보(215)에 대응하여 상기 IC칩에 구비되는 카드 애플리케이션 코드에 대응하는 처리부(220)를 구비하여 이루어지는 것을 특징으로 한다.Referring to FIG. 2, a memory unit 210 of the IC chip provided in the IC card stores user certificate information 215 for connection between a financial system on the communication network and an end-to-end secure channel. The user certificate information 215 also includes a storage unit 225 for storing the private key information corresponding to the user certificate information 215 as well as the card storage information, And a processing unit 220 corresponding to the card application code.

본 발명의 실시 방법에 따르면, 상기 개인키 정보(즉, 사용자 개인키 정보)는, 상기 통신망 상의 금융시스템에서 생성한 난수(Rs)를 암호화하여 전송한 E(Rs)를 수신하여 복호화 하기 위한 정보를 포함하여 이루어지는 것이 바람직하다.According to the embodiment of the present invention, the private key information (i.e., the user private key information) includes information for receiving and decoding E (Rs) transmitted by encrypting the random number Rs generated in the financial system on the communication network And the like.

도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210)에는 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위해, 금융시스템으로부터 수신하여 복호화한 난수(Rs)와, 상기 IC카드에서 생성한 난수(Rc)를 통해 세션키(K’)를 생성하는 생성부(230)와, 상기 생성된 세션키(K’)를 이용하여 상기 난수(Rs)를 암호화한 카드 검증자(MAC’)을 생성하고, 상기 생성된 카드 검증자(MAC’)을 상기 카드 검증자(MAC’)을 상기 통신망 상의 금융시스템으로 전송하도록 처리하거나, 또는, 상기 IC카드에서 생성한 난수(Rc)를 상기 금융시스템으로 전송하도록 처리하거나, 또는 상기 금융시스템으로부터 수신한 서버 검증자(MAC)을 수신하고, 상기 세션키(K’)을 통해 상기 IC카드에서 생성한 난수(Rc)를 암호화한 카드 검증자(MAC’)을 생성 및 비교하여, 세션키(K’)을 인증하는 처리부(235)를 구비하여 이루어지는 것을 특징으로 한다.Referring to FIG. 2, the memory unit 210 of the IC chip provided in the IC card is provided with a random number Rs received from the financial system and decrypted in order to connect an end-to-end secure channel with the financial system on the communication network, A generator 230 for generating a session key K 'through a random number Rc generated by the IC card, a card verifier 240 for encrypting the random number Rs using the generated session key K' (MAC '), and transmits the generated card verifier (MAC') to transmit the card verifier (MAC ') to the financial system on the communication network, or to generate a random number Rc ) To the financial system, or receives a server verifier (MAC) received from the financial system, and encrypts the random number (Rc) generated by the IC card via the session key (K ') Generates and compares a card verifier (MAC ') to generate a session key (K ) It characterized in that formed by a processing section 235 to authenticate.

또한, 상기 처리부(235)는 상기 세션키(K’)에 대한 인증이 완료되면, 상기 IC카드에서 상기 금융시스템과 종단간 보안채널이 연결된 것으로 처리하는 기능을 더 포함하여 이루어지는 것이 바람직하다.When the authentication of the session key K 'is completed, the processing unit 235 may further include a function of processing the IC card as a connection between the financial system and an end-to-end secure channel.

또한, 상기 처리부(235)는 상기 세션키(K’)에 대한 인증이 완료되면 상기 보안채널을 통해 상기 금융시스템으로 전송할 데이터(Data’)을 생성하고, 상기 생성한 데이터(Data’)을 상기 세션키(K’)로 암호화한 E(Data’)을 생성한 후, 상기 생성된 E(Data’)을 상기 보안채널을 통해 상기 금융시스템으로 전송하는 기능을 더 포함하여 이루어지는 것이 바람직하다.When the authentication of the session key K 'is completed, the processing unit 235 generates data (Data') to be transmitted to the financial system through the secure channel, and transmits the generated data Data ' And transmitting the generated E (Data ') to the financial system through the secure channel after generating E (Data') encrypted with the session key (K ').

또한, 상기 처리부(235)는 상기 통신망을 통해 상기 금융시스템으로부터 E(Data)를 수신하면, 상기 수신된 E(Data)를 상기 생성한 세션키(K’)로 복호화하는 기능을 더 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 복호화된 데이터(Data)를 IC카드 리더가 구비된 단말(또는 상기 IC카드 리더가 구비된 단말과 연결된 단말)로 제공하는 것이 바람직하다.The processing unit 235 further includes a function of decrypting the received E (Data) into the generated session key (K ') upon receiving E (Data) from the financial system through the communication network And it is preferable to provide the decrypted data Data to a terminal equipped with an IC card reader (or a terminal connected to a terminal equipped with the IC card reader) according to the intention and purpose of a person skilled in the art.

또한, 상기 처리부(235)는 상기 IC카드 리더가 구비된 단말에서 입력된 정보(또는 APDU 프로토콜에 따라 수신되는 정보)를 상기 입출력 인터페이스(200)와 연계하여 수신하는 기능을 더 포함하여 이루어지는 것이 바람직하다.The processing unit 235 preferably further includes a function of receiving information input from the terminal equipped with the IC card reader (or information received according to the APDU protocol) in connection with the input / output interface 200 Do.

본 발명의 실시 방법에 따르면, 상기 세션키(K’)는, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위 영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.According to the embodiment of the present invention, the session key K 'includes a random number Rs obtained by decrypting the encrypted E (Rs) received from the financial system, a random number Rc generated by the IC card, The upper area Rc_H of the random number Rs and the lower area Rc_L of the random number Rc generated by the IC card in the upper area Rs_H and the lower area Rs_L of the random number Rs, ) To generate a higher SEED value (Rc_L XOR Rs_H) and a lower SEED value (Rc_H XOR Rs_L), and encrypts the generated SEED value with a secret key to generate a session key.

본 발명의 다른 실시 방법에 따르면, 상기 세션키(K’)은, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.According to another embodiment of the present invention, the session key K 'includes a random number Rs obtained by decrypting the encrypted E (Rs) received from the financial system, and a random number Rc (Rs_H) of the random number (Rs) and the lower area (Rs_L) of the random number (Rc) generated by the IC card to the upper area (Rc_H) of the random number (Rs) It is preferable to generate an upper SEED value (Rs_L XOR Rc_H) and a lower SEED value (Rs_H XOR Rc_L) by performing XOR (Exclusive OR) operation on the generated SEED value with the secret key to generate a session key .

본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.The present invention is not limited to the above-described method of generating a session key, but may be variously performed by using a random number Rc generated in the IC card and a random number Rs generated in the financial system The method of generating a session key can be easily deduced, and thus the present invention is not limited thereto.

여기서, 상기 비밀키는 상기 IC카드 상에 별도 저장되어 있는 마스터키인 것이 바람직하다.Here, it is preferable that the secret key is a master key separately stored on the IC card.

본 발명의 실시 방법에 따르면, 상기 카드 검증자(MAC’)는, 상기 생성한 세션키(K’)을 통해 상기 금융시스템으로부터 수신한 난수(Rs)를 암호화한 것이 바람직하다.According to an embodiment of the present invention, the card verifier (MAC ') preferably encrypts a random number (Rs) received from the financial system through the generated session key (K').

본 발명의 다른 실시 방법에 따르면, 상기 카드 검증자(MAC’)는, 상기 생성한 세션키(K’)을 통해 상기 IC카드에서 생성한 난수(Rc)를 암호화한 것이 바람직하다.According to another embodiment of the present invention, the card verifier (MAC ') preferably encrypts the random number (Rc) generated by the IC card through the generated session key (K').

본 발명의 실시 방법에 따르면, 상기 IC칩의 메모리부(210)는 ISO/IEC 10202에 기반하는 보안구조를 포함하여 이루어지는데, 이에 따르면 상기 메모리부(210)는 CSN(Chip Serial Number)와 같은 비밀정보가 저장되는 보호영역과, COS 제어 영역, 사용자 애플리케이션 영역, 읽기/쓰기 접근 영역, 애플리케이션 프로그램 영역, 및 FAT(File Allocation Table) 관리 영역 등으로 이루어지며, 상기 카드 저장정보와 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)는 상기 보호영역과 COS 제어 영역을 제외한 영역에 저장되는 것이 바람직하다.According to an embodiment of the present invention, the memory unit 210 of the IC chip includes a security structure based on ISO / IEC 10202. According to this, the memory unit 210 may store a security code such as a CSN (Chip Serial Number) A storage area in which secret information is stored, a COS control area, a user application area, a read / write access area, an application program area, and a FAT (File Allocation Table) management area, The predetermined user certificate information 215 for connection between the system and the end-to-end secure channel is preferably stored in an area other than the protection area and the COS control area.

또한, ISO/IEC 7816 및/또는 ISO/IEC 14443 ICC 규격에 따르면, 상기 메모리부(210)는 루트 파일(Root File)에 해당하는 하나의 마스터 파일(Master File; MF)과, 상기 마스터 파일 하위에 적어도 하나 이상의 저장정보에 대한 기능 정보를 포 함하는 ATR(Answer To Reset)과, 각각의 ICC 저장 정보에 대응하는 적어도 하나 이상의 전용 파일(Dedicate File; DF)과, 그리고 상기 전용 파일 하위에 배치되며 스마트 카드 서비스를 위한 실질적인 정보 및/또는 데이터가 포함된 요소 파일(Element File; EF)로 이루어진 파일 구조를 포함하고 있는데, 상기 카드 저장정보와 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)도 상기와 같은 파일 구조를 포함하여 이루어진다.According to ISO / IEC 7816 and / or ISO / IEC 14443 ICC standards, the memory unit 210 includes one master file (MF) corresponding to a root file, An ATR (Answer To Reset) including function information on at least one storage information, at least one Dedicated File (DF) corresponding to each ICC storage information, And a file structure including an element file (EF) including substantial information and / or data for a smart card service, wherein the card storage information and the financial system on the communication network are used for end- The predetermined user certificate information 215 includes the above-described file structure.

본 발명의 실시 방법에 따르면, 상기 카드 저장정보 또는 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)는 상기 마스터 파일의 하위에 배치되며, 상기 카드 저장정보 또는 사용자 인증서 정보(215)에 대한 고유한 식별 정보 내지 특성 정보를 포함하는 전용파일과, 상기 전용파일 하위에 배치되며 파일 제어정보(File Control Information; FCI)를 저장하는 요소파일 및 상기 카드정보에 대응하는 적어도 하나 이상의 요소파일을 포함하여 이루어지는 것이 바람직하다.According to an embodiment of the present invention, the card storage information or predetermined user certificate information 215 for connecting an end-to-end secure channel with the financial system on the communication network is disposed under the master file, A dedicated file including unique identification information or characteristic information for the certificate information 215, an element file disposed under the dedicated file and storing file control information (FCI) And at least one element file.

여기서, 상기 파일 제어정보를 저장하는 요소파일은 카드단말을 통해 상기 금융시스템에 구비된 단말프로그램이 상기 IC카드로 전송하는 SELECT FILE 명령에 대한 응답에 해당하는 데이터 바이트를 저장하는 요소파일로서, ISO/IEC 7816-4의 TABLE 2에 정의된 BER-TLV(Basic Encoding Rules-Tag, Length, Value) 데이터 객체 FCP(File Control Parameter)를 전달하는 FCP 탬플릿 및/또는 ISO/IEC 7816-4의 TABLE 2에 정의된 BER-TLV 데이터 객체 FMD(File Management Data)를 전달하는 FMD 탬플릿 및/또는 FCP와 FMD를 전달하는 FCI 탬플릿 등이 있으며, 상기 탬플릿은 SELECT FILE 명령의 선택사항에 따라 검색된다. 일반적으로 FCP 또는 FMD 선택이 정해지면 그에 상응하는 탬플릿은 필수 사항이며, FCI 선택이 정해지면 FCI 탬플릿의 사용은 선택사항이다.The element file for storing the file control information is an element file for storing data bytes corresponding to a response to a SELECT FILE command transmitted to the IC card by a terminal program provided in the financial system through a card terminal, (FCP) template that carries a File Control Parameter (FCP) data object, and / or a TABLE 2 of ISO / IEC 7816-4, which is a Basic Encoding Rules-Tag, Length, Value (BER-TLV) defined in TABLE 2 of IEC 7816-4. An FMD template that carries the BER-TLV data object FMD (File Management Data) defined in the FEC, and / or an FCI template that carries the FCP and FMD, and the template is retrieved according to the SELECT FILE command options. In general, if an FCP or FMD choice is specified, the corresponding template is mandatory, and use of the FCI template is optional if the FCI choice is established.

본 발명의 바람직한 실시 방법에 따르면, 상기 IC카드에 구비된 다수의 저장정보 중에서 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 방법은, 파일 식별자에 의한 선택방법, 경로에 의한 선택방법, 및 EF 식별자에 의한 선택방법 등이 있는데, 파일 식별자에 의한 선택방법은 각 파일에 할당된 2바이트 식별자를 이용하는 방법으로서 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215) 전용파일에 할당된 식별자를 통해 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 것이고, 경로에 의한 선택방법은 “3FFF” 식별자를 사용하여 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 것이고, EF 식별자에 의한 선택방법은 각 요소파일에 할당된 ‘0’에서 ‘30’ 사이의 5비트 식별자를 통해 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 것이다. 일반적으로 파일 식별자에 의한 선택방법 및 경로에 의한 선택방법을 사용하는 경우, SELECT FILE 명령을 통해 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)에 접근할 수 있으며, 본 발명의 다른 실시 방법으로서 파일 식별자에 의한 선택방법을 사용하지 않는다면 카드 저장정보 또는 상기 사용자 인증서 정보(215)의 전용파일이 생략되어도 무방하다.According to a preferred embodiment of the present invention, a method of selecting the card storage information or the user certificate information 215 from among a plurality of stored information stored in the IC card includes a method of selecting by file identifier, And a selection method based on the EF identifier. A selection method based on the file identifier is a method of using a 2-byte identifier allocated to each file, and an identifier allocated to the card storage information or the file dedicated to the user certificate information 215 The card-storing information or the user certificate information 215 is selected through the use of the &quot; 3FFF &quot; A 5 bit identifier between &quot; 0 &quot; and &quot; 30 &quot; assigned to each element file, Storage information or the user certificate information (215). In general, when the selection method by the file identifier and the selection method by the path are used, the card storage information or the user certificate information 215 can be accessed through the SELECT FILE command. As another embodiment of the present invention, The card storage information or the dedicated file of the user certificate information 215 may be omitted if the selection method by the identifier is not used.

도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210) 상에 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 상기 사용자 인증서 정보(215)에 구비된 상기 저장부에 저장되는 개인키 정보(즉, 사용자 개인키 정보)는, 상기 통신망 상의 금융시스템에서 생성한 난수(Rs)를 암호화하여 전송한 E(Rs)를 수신하여 복호화 하기 위한 정보를 적어도 하나 이상 포함하여 이루어지는 것을 특징으로 하며, 여기서 상기 개인키 정보에 대한 파일구조는 국내외 관련 표준안을 따르는 것이 바람직하다.Referring to FIG. 2, on the memory unit 210 of the IC chip provided in the IC card, the storage unit provided in the user certificate information 215 for connection between the financial system on the communication network and the end- The stored private key information (i.e., the user private key information) includes at least one information for receiving and decoding E (Rs) transmitted by encrypting the random number Rs generated in the financial system on the communication network Wherein the file structure of the private key information conforms to a related standard of domestic and foreign.

본 발명의 실시 방법에 따르면, 상기 개인키 정보(즉, 사용자 개인키 정보)는, 상기 통신망 상의 금융시스템에서 생성한 난수(Rs)를 암호화하여 전송한 E(Rs)를 수신하여 복호화 하기 위한 정보를 포함하여 이루어지는 것이 바람직하다.According to the embodiment of the present invention, the private key information (i.e., the user private key information) includes information for receiving and decoding E (Rs) transmitted by encrypting the random number Rs generated in the financial system on the communication network And the like.

도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210) 상에 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 상기 사용자 인증서 정보(215)에 구비된 상기 저장부에 저장되는 공개키 정보(즉, 서버 공개키)는, 상기 금융시스템으로 전송할 난수(Rc)를 암호화 하여 생성한 E(Rc)를 생성하기 위한 정보를 적어도 하나 이상 포함하여 이루어지는 것을 특징으로 하며, 여기서 상기 공개키 정보에 대한 파일구조는 국내외 관련 표준안을 따르는 것이 바람직하다.Referring to FIG. 2, on the memory unit 210 of the IC chip provided in the IC card, the storage unit provided in the user certificate information 215 for connection between the financial system on the communication network and the end- The stored public key information (i.e., the server public key) includes at least one or more information for generating E (Rc) generated by encrypting a random number Rc to be transmitted to the financial system, wherein Preferably, the file structure of the public key information conforms to a related standard for home and abroad.

본 발명의 실시 방법에 따르면, 상기 공개키 정보(즉, 서버 공개키)는, 상기 금융시스템으로 전송할 난수(Rc)를 생성하고, 상기 공개키 정보를 통해 상기 난수(Rc)를 암호화하여 E(Rc)를 생성하기 위한 정보를 포함하여 이루어지는 것이 바람직하다.According to an embodiment of the present invention, the public key information (i.e., the server public key) generates a random number Rc to be transmitted to the financial system, encrypts the random number Rc through the public key information, Rc), as shown in Fig.

도면3은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.FIG. 3 is a diagram illustrating a card issuance process for connecting a financial system and an end-to-end secure channel according to an embodiment of the present invention.

보다 상세하게 본 도면3은 상기 도면1에 도시된 카드발급 시스템에서 소정의 고객이 대면 방식의 카드발급 인터페이스(예컨대, 상기 카드발급 신청서와 직원단말과 네트워크 수단)를 통해 소정의 카드발급 신청서를 작성하여 카드발급 담당 직원에게 제출하면, 상기 카드발급 담당 직원이 소정의 카드발급 단말을 통해 상기 카드발급 신청서에 대응하는 IC카드 발급신청 정보를 입력(또는 선택)하여 상기 카드발급 서버로 전송하면, 상기 카드발급 서버에서 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드를 발급하는 과정을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면3을 참조 및/또는 변형하여 상기 금융시스템과 종단간 보안채널 연결을 위해 상기 IC카드를 발급하는 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 실시 방법을 모두 포함하며, 본 도면3에 도시된 실시 방법으로 한정되지 아니한다.In more detail, FIG. 3 shows a case where a predetermined customer issues an application for issuing a card through a card issuing interface (for example, the card issuing application and the employee terminal and network means) in a face-to-face card issuing system shown in FIG. The card issuing staff member inputs (or selects) the IC card issuing application information corresponding to the card issuing application form through the predetermined card issuing terminal and transmits the information to the card issuing server, Card issuing server issues an IC card for connection to the financial system and an end-to-end secure channel to the customer based on the IC card issuance application information. The IC card issuing server has a general knowledge in the technical field to which the present invention belongs If so, refer to and / or modify this FIG. 3 to identify the financial system and the end-to- Would be able to infer the various exemplary method of issuing the IC card, the present invention includes all the embodiments in which the inference method, not limited to the exemplary method shown in the figure 3.

예컨대, 본 도면3은 상기 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한 후, 상기 저장매체에 상기 IC카드 발급정보를 저장하는 것으로 도시하여 설명하지만, 당업자의 의도에 따라 상기 저장매체에 소정의 IC카드 발급정보를 저장하는 과정은 상기 IC카드를 제작하기 전, 또는 상기 IC카드가 제작된 후 상기 고객에게 제공(또는 배송)되기 전에 수행되어도 무방하며, 이에 의해 본 발명이 한정되지 아니한다.For example, although FIG. 3 shows that the IC card is manufactured and provided (or delivered) to the customer, the IC card issuing information is stored in the storage medium. However, The process of storing the predetermined IC card issuing information may be performed before the IC card is manufactured or before the IC card is provided (or delivered) to the customer, so that the present invention is not limited thereto .

이하, 본 도면3에서 상기 도면1에 도시된 카드발급 단말을 편의상 "단말"이라고 하고, 상기 카드발급 서버를 편의상 "서버"라고 한다.Hereinafter, in Fig. 3, the card issuing terminal shown in Fig. 1 is referred to as a " terminal "for convenience, and the card issuing server is referred to as a" server "

도면3을 참조하면, 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급 받기 위해 상기 고객이 대면 방식의 카드발급 인터페이스(예컨대, 상기 카드발급 신청서와 직원단말과 네트워크 수단)를 통해 소정의 카드발급 신청서(예컨대, 상기 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 정보항목을 기입하기 위한 서식이 구비된 서류)를 작성하여 카드발급 담당 직원에게 제출하면, 상기 카드발급 담당 직원에 의해 상기 단말은 소정의 사용자 인터페이스를 통해 상기 고객이 작성한 카드발급 신청서에 대응하는 IC카드 발급신청 정보를 입력(또는 선택)받고(300), 상기 네트워크 수단을 통해 상기 IC카드 발급신청 정보 를 상기 서버로 전송한다(305).Referring to FIG. 3, in order to issue the IC card for connection between the financial system and an end-to-end secure channel, the customer transmits a face-to-face communication via a card issuance interface (for example, the card issuance application and the employee terminal and the network means) (For example, a document having a form for filling at least one information item for connection between the financial system and an end-point security channel) of the card issuance application to the card issuing staff, The terminal inputs (or selects) the IC card issuance application information corresponding to the card issuance application created by the customer through a predetermined user interface (300), and transmits the IC card issuance application information to the server (305).

본 발명의 실시 방법에 따르면, 상기 IC카드 발급신청 정보는 상기 카드발급 고객의 고객정보와, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보를 적어도 하나 이상 포함하여 이루어진다.According to the embodiment of the present invention, the IC card issuance application information includes information on the customer of the card issuance customer, IC for confirming that the IC card issued to the customer is an IC card for end-to- And at least one card information.

여기서, 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Herein, the customer information includes personal information (e.g., customer name, resident registration number, address, wireless terminal information (or mobile phone number), mail address, etc.) of the card issuer, (E.g., member ID information).

또한, 상기 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보는In addition, the IC card information for confirming that the IC card issued to the customer is an IC card for connection between the financial system and an end-point secure channel

이후, 상기 서버는 상기 네트워크 수단을 통해 상기 단말로부터 상기 IC카드 발급신청 정보를 수신 및 판독하여 상기 IC카드 발급신청 정보에 포함된 고객정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급하는 것에 대한 카드발급 유효성을 확인한다(310).Thereafter, the server receives and reads the IC card issuance request information from the terminal through the network, and transmits the IC card issuance request information to the customer on the basis of the customer information included in the IC card issuance request information, The validity of issuing the IC card for issuance of the IC card is confirmed (310).

*본 발명의 실시 방법에 따르면, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보에 포함된 고객 성명과 주민등록번호를 기반으로 소정의 통신수단을 통해 소정의 실명확인 서버(도시생략)와 연계하여 상기 고객의 실명을 확인하는 것을 포함하여 이루어지는 것이 바람직하다.According to the embodiment of the present invention, the validity of issuance of the IC card to the customer can be verified by a predetermined real name verification server (e.g., a user) through a predetermined communication means based on a customer name and a resident registration number included in the customer information And confirming the real name of the customer in conjunction with the customer's real name).

또한, 상기 IC카드가 신용카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 소정의 신용평가 서버와 연계하여 상기 고객의 신용도 정보를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.In the case where the IC card includes a credit card, the validity of issuance of the IC card to the customer may be confirmed by associating with the predetermined credit evaluation server through a predetermined communication means based on the customer information, And confirming the customer's creditworthiness information.

또한, 상기 IC카드가 체크카드/직불카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 상기 체크카드/직불카드와 연계된 고객계좌가 개설된 금융사 서버와 연계하여 상기 고객계좌의 개설 및 정상 운용 여부를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.Also, in the case where the IC card includes a check card / debit card, the validity of issuance of the IC card to the customer is confirmed by checking whether the check card / debit card And checking whether the customer account is opened and operated normally in connection with the bank account server in which the customer account associated with the customer account is opened.

만약 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되지 않으면(315), 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객에게 카드발급 오류 정보를 제공하고(320), 상기 고객에게 상 기 IC카드를 발급하는 것을 중지한다.If the validity of issuing the IC card to the customer is not authenticated (315) through the IC card issuance application information, the server provides the card issuance error information to the customer through the card issuing interface (320 ), The issuance of the IC card to the customer is stopped.

반면 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되면(315), 상기 서버는 IC카드 발급신청 정보를 기반으로 상기 고객에게 발급할 IC카드에 대응하는 소정의 IC카드 저장정보를 생성(또는 추출)하며(325), 상기 IC카드 저장정보는 상기 IC카드에 대응하는 카드번호(예컨대, 16자리 카드번호)와 유효기간 정보(일부 생략가능)와 카드발급기관 정보(또는 코드)를 적어도 하나 이상 포함하여 이루어진다.On the other hand, if the validity of issuing the IC card to the customer is authenticated (315) through the IC card issuance application information, the server transmits the IC card issuance request information to the customer (Or extracts) the IC card storage information of the IC card (325), and the IC card storage information includes a card number (e.g., 16-digit card number) corresponding to the IC card, validity period information And / or institution information (or code).

예컨대, 상기 카드번호는(일부 예외는 존재하지만) 4자리의 카드발급기관 번호와 2자리의 카드종류 번호와 9자리의 일련번호 및 하나의 체크디지트를 포함하여 이루어지는 것이 바람직하다.For example, the card number preferably includes a 4-digit card issuing organization number, a 2-digit card type number, a 9-digit serial number, and a check digit (although there are some exceptions).

상기 유효기간 정보는 상기 IC카드를 사용할 수 있는 기간(또는 만료일시)를 포함하여 이루어지는 것이 바람직하며, 상기 IC카드에 유효기간이 존재하지 않는 경우 생략될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.The expiration date information preferably includes a period (or an expiration date) during which the IC card can be used, and may be omitted if the IC card does not have an expiration date, so that the present invention is not limited thereto .

상기 카드발급기관 정보(또는 코드)는 상기 고객에게 상기 IC카드를 발급하는 카드발급기관(또는 금융사)에 할당된 고유번호(또는 고유코드)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The card issuing organization information (or code) preferably includes at least one unique number (or unique code) assigned to a card issuing institution (or financial institution) that issues the IC card to the customer.

여기서, 상기 생성된 IC카드 저장정보는 상기 IC칩에 구비된 COS(Chip Operating System)를 통해 동작 가능한 파일 구조를 포함하여 이루어지는 것이 바람직하다. Here, the generated IC card storage information preferably includes a file structure operable through a COS (Chip Operating System) provided in the IC chip.

이후, 상기 서버는 소정의 카드발급 장치를 통해 상기 IC카드 저장정보를 구비한 소정의 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한다(330).Thereafter, the server generates (or delivers) a predetermined IC card having the IC card storage information to the customer through a predetermined card issuing device (330).

여기서, 상기 카드발급 장치는 상기 IC카드의 IC칩에 구비된 메모리에 상기 IC카드 저장정보를 기록하는 장치를 포함하여 이루어지는 것이 바람직하다.Here, the card issuing device preferably includes a device for recording the IC card storing information in a memory provided in the IC chip of the IC card.

이후, 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객으로부터 제공된 상기 IC카드 발급신청 정보에 포함된 고객정보와 상기 생성된 IC카드 저장정보와 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 인증서 정보(예컨대, 사용자 인증서 정보(215) 등)를 적어도 하나 이상 포함하는 IC카드 발급정보를 상기 저장매체에 저장한다(335).Thereafter, the server transmits, via the card issuing interface, the customer information included in the IC card issuing application information provided from the customer, at least one certificate information for connection between the generated IC card storing information and the financial system, (E.g., user certificate information 215, etc.) to the storage medium (335).

여기서, 상기 IC카드 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예 컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Here, the customer information included in the IC card issuance information includes personal information (e.g., customer name, resident registration number, address, wireless terminal information (or mobile phone number), mail address, etc.) of the card issuer, And at least one member information (for example, member ID information) that is subscribed to the card issuing server.

또한, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위해, 상기 IC카드 발급정보에 포함되는 IC카드 정보는 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드에 구비되는 공인 인증서 정보를 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 IC카드를 이용한 이용내역 정보를 더 저장할 수도 있다.Also, in order to confirm that the IC card issued to the customer is an IC card for connection between the financial system and an end-to-end secure channel, the IC card information included in the IC card issuance information may include an end- And may further store usage history information using the IC card according to an intention and purpose of a person skilled in the art.

본 발명의 일 실시 방법에 따르면, 상기 저장매체는 상기 금융시스템 상에 구비되는(또는 상기 금융시스템과 연계되는) 소정의 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체는 상기 금융시스템 상의 DBMS에 구비되는 원장 D/B가거나, 및/또는 상기 원장 D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.According to an embodiment of the present invention, the storage medium is preferably provided in a DBMS on a predetermined financial system provided on the financial system (or associated with the financial system) Or a predetermined database associated with the ledger D / B, and thus the present invention is not limited thereto.

도면4는 본 발명의 다른 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.FIG. 4 is a diagram illustrating a card issuance process for connecting a financial system and an end-to-end secure channel according to another embodiment of the present invention.

보다 상세하게 본 도면4는 상기 도면1에 도시된 카드발급 시스템에서 소정의 고객이 비대면 방식의 카드발급 인터페이스(예컨대, 유선단말 및/또는 무선단말을 적어도 하나 이상 포함하는 클라이언트 단말과 네트워크 수단)를 통해 상기 카드발 급 서버에 접속하여 소정의 IC카드 발급신청 정보를 입력(또는 선택)하여 전송하면, 상기 카드발급 서버에서 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드를 발급하는 과정을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면4를 참조 및/또는 변형하여 상기 금융시스템과 종단간 보안채널 연결을 위해 상기 IC카드를 발급하는 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 실시 방법을 모두 포함하며, 본 도면4에 도시된 실시 방법으로 한정되지 아니한다.FIG. 4 illustrates a card issuing system according to an embodiment of the present invention. The card issuing system includes a card issuing interface (for example, a client terminal including at least one of a wire terminal and / or a wireless terminal and a network means) (Or selects) the IC card issuing application information by connecting to the card issuing server through the card issuing server, and transmits the IC card issuing application information to the card issuing server 4 is a flowchart illustrating a process of issuing an IC card for connection to a secure channel. Referring to FIG. 4, the financial system and end-to-end secure channel connection It will be appreciated that the present invention is not limited to the above embodiments, Two it included and is not limited to the exemplary method shown in the figure 4.

예컨대, 본 도면4는 상기 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한 후, 상기 저장매체에 상기 IC카드 발급정보를 저장하는 것으로 도시하여 설명하지만, 당업자의 의도에 따라 상기 저장매체에 소정의 IC카드 발급정보를 저장하는 과정은 상기 IC카드를 제작하기 전, 또는 상기 IC카드가 제작된 후 상기 고객에게 제공(또는 배송)되기 전에 수행되어도 무방하며, 이에 의해 본 발명이 한정되지 아니한다.For example, FIG. 4 illustrates the case in which the IC card is manufactured and provided (or delivered) to the customer, and then the IC card issuing information is stored in the storage medium. However, The process of storing the predetermined IC card issuing information may be performed before the IC card is manufactured or before the IC card is provided (or delivered) to the customer, so that the present invention is not limited thereto .

이하, 본 도면4에서 상기 도면1에 도시된 카드발급 단말을 편의상 "단말"이라고 하고, 상기 카드발급 서버를 편의상 "서버"라고 한다.Hereinafter, in Fig. 4, the card issuing terminal shown in Fig. 1 is referred to as "terminal" for the sake of convenience, and the card issuing server is referred to as "server"

도면4를 참조하면, 상기 고객은 소정의 단말을 통해 상기 서버에 접속하여 카드발급 신청을 위한 통신채널을 연결하고, 상기 통신채널을 통해 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급을 신청하고(400), 이에 대응하여 상기 서버는 상기 IC카드 발급을 위한 사용자 인터페이스를 생성(또는 추출)하여 상기 통신채널을 통해 상기 단말로 제공한다(405).Referring to FIG. 4, the customer accesses the server through a predetermined terminal, connects a communication channel for requesting card issuance, and transmits the IC card for end-to-end secure channel connection to the financial system through the communication channel (400). In response, the server generates (or extracts) a user interface for issuing the IC card and provides it to the terminal through the communication channel (405).

이후, 상기 단말은 상기 사용자 인터페이스를 통해 상기 IC카드 발급신청 정보를 입력(또는 선택)받아 상기 통신채널을 통해 상기 입력(또는 선택)된 상기 IC카드 발급신청 정보를 상기 서버로 전송한다(410).Then, the terminal inputs (or selects) the IC card issuing application information through the user interface and transmits the input (or selected) IC card issuing application information to the server through the communication channel (410) .

본 발명의 실시 방법에 따르면, 상기 IC카드 발급신청 정보는 상기 카드발급 고객의 고객정보와, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보를 적어도 하나 이상 포함하여 이루어진다.According to the embodiment of the present invention, the IC card issuance application information includes information on the customer of the card issuance customer, IC for confirming that the IC card issued to the customer is an IC card for end-to- And at least one card information.

여기서, 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Herein, the customer information includes personal information (e.g., customer name, resident registration number, address, wireless terminal information (or mobile phone number), mail address, etc.) of the card issuer, (E.g., member ID information).

또한, 상기 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보 안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보는In addition, the IC card information for confirming that the IC card issued to the customer is an IC card for connection between the financial system and the end-to-end security channel

이후, 상기 서버는 상기 네트워크 수단을 통해 상기 단말로부터 상기 IC카드 발급신청 정보를 수신 및 판독하여 상기 IC카드 발급신청 정보에 포함된 고객정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급하는 것에 대한 카드발급 유효성을 확인한다(415).Thereafter, the server receives and reads the IC card issuance request information from the terminal through the network, and transmits the IC card issuance request information to the customer on the basis of the customer information included in the IC card issuance request information, (Step 415). In step 415, it is determined whether the issuance of the IC card for issuing the IC card is valid.

본 발명의 실시 방법에 따르면, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보에 포함된 고객 성명과 주민등록번호를 기반으로 소정의 통신수단을 통해 소정의 실명확인 서버(도시생략)와 연계하여 상기 고객의 실명을 확인하는 것을 포함하여 이루어지는 것이 바람직하다.According to an embodiment of the present invention, the validity of issuance of the IC card to the customer is confirmed by a predetermined real name verification server (not shown) through a predetermined communication means based on the customer's name and resident registration number included in the customer information And confirming the real name of the customer in association with the customer's real name.

또한, 상기 IC카드가 신용카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 소정의 신용평가 서버와 연계하여 상기 고객의 신용도 정보를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.In the case where the IC card includes a credit card, the validity of issuance of the IC card to the customer may be confirmed by associating with the predetermined credit evaluation server through a predetermined communication means based on the customer information, And confirming the customer's creditworthiness information.

또한, 상기 IC카드가 체크카드/직불카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 상기 체크카드/직불카드와 연계된 고객계좌가 개설된 금융사 서버와 연계하여 상기 고객계좌의 개설 및 정상 운용 여부를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.Also, in the case where the IC card includes a check card / debit card, the validity of issuance of the IC card to the customer is confirmed by checking whether the check card / debit card And checking whether the customer account is opened and operated normally in connection with the bank account server in which the customer account associated with the customer account is opened.

만약 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되지 않으면(420), 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객에게 카드발급 오류 정보를 제공하고(425), 상기 고객에게 상기 IC카드를 발급하는 것을 중지한다.If the validity of issuing the IC card to the customer is not authenticated (420) through the IC card issuance application information, the server provides the card issuance error information to the customer through the card issuance interface (425 ), And stops issuing the IC card to the customer.

반면 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되면(420), 상기 서버는 IC카드 발급신청 정보를 기반으로 상기 고객에게 발급할 IC카드에 대응하는 소정의 IC카드 저장정보를 생성(또는 추출)하며(430), 상기 IC카드 저장정보는 상기 IC카드에 대응하는 카드번호(예컨대, 16자리 카드번호)와 유효기간 정보(일부 생략가능)와 카드발급기관 정보(또는 코드)를 적어도 하나 이상 포함하여 이루어진다.On the other hand, if the validity of issuing the IC card to the customer is authenticated (420) through the IC card issuance application information, the server determines whether the IC card issuing application information (Or extract) (430) the IC card storage information of the IC card, and the IC card storage information includes a card number (e.g., 16-digit card number) corresponding to the IC card, validity period information And / or institution information (or code).

예컨대, 상기 카드번호는(일부 예외는 존재하지만) 4자리의 카드발급기관 번호와 2자리의 카드종류 번호와 9자리의 일련번호 및 하나의 체크디지트를 포함하여 이루어지는 것이 바람직하다.For example, the card number preferably includes a 4-digit card issuing organization number, a 2-digit card type number, a 9-digit serial number, and a check digit (although there are some exceptions).

상기 유효기간 정보는 상기 IC카드를 사용할 수 있는 기간(또는 만료일시)를 포함하여 이루어지는 것이 바람직하며, 상기 IC카드에 유효기간이 존재하지 않는 경우 생략될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.The expiration date information preferably includes a period (or an expiration date) during which the IC card can be used, and may be omitted if the IC card does not have an expiration date, so that the present invention is not limited thereto .

상기 카드발급기관 정보(또는 코드)는 상기 고객에게 상기 IC카드를 발급하는 카드발급기관(또는 금융사)에 할당된 고유번호(또는 고유코드)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The card issuing organization information (or code) preferably includes at least one unique number (or unique code) assigned to a card issuing institution (or financial institution) that issues the IC card to the customer.

여기서, 상기 생성된 IC카드 저장정보는 상기 IC칩에 구비된 COS(Chip Operating System)를 통해 동작 가능한 파일 구조를 포함하여 이루어지는 것이 바람직하다. Here, the generated IC card storage information preferably includes a file structure operable through a COS (Chip Operating System) provided in the IC chip.

이후, 상기 서버는 소정의 카드발급 장치를 통해 상기 IC카드 저장정보를 구비한 소정의 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한다(435).Then, the server creates a predetermined IC card having the IC card storing information through a predetermined card issuing device and provides (or delivers) the IC card to the customer (435).

여기서, 상기 카드발급 장치는 상기 IC카드의 IC칩에 구비된 메모리에 상기 IC카드 저장정보를 기록하는 장치를 포함하여 이루어지는 것이 바람직하다.Here, the card issuing device preferably includes a device for recording the IC card storing information in a memory provided in the IC chip of the IC card.

이후, 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객으로부터 제공된 상기 IC카드 발급신청 정보에 포함된 고객정보와 상기 생성된 IC카드 저장정보와 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 인증서 정보 (예컨대, 사용자 인증서 정보(215) 등)를 적어도 하나 이상 포함하는 IC카드 발급정보를 상기 저장매체에 저장한다(440).Thereafter, the server transmits, via the card issuing interface, the customer information included in the IC card issuing application information provided from the customer, at least one certificate information for connection between the generated IC card storing information and the financial system, (E.g., user certificate information 215, etc.) to the storage medium (440).

여기서, 상기 IC카드 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Here, the customer information included in the IC card issuance information includes personal information (e.g., customer name, resident registration number, address, wireless terminal information (or mobile phone number), mail address, etc.) of the card issuer, And at least one member information (e.g., member ID information) that is subscribed to the card issuing server.

또한, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위해, 상기 IC카드 발급정보에 포함되는 IC카드 정보는 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드에 구비되는 공인 인증서 정보를 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 IC카드를 이용한 이용내역 정보를 더 저장할 수도 있다.Also, in order to confirm that the IC card issued to the customer is an IC card for connection between the financial system and an end-to-end secure channel, the IC card information included in the IC card issuance information may include an end- And may further store usage history information using the IC card according to an intention and purpose of a person skilled in the art.

본 발명의 일 실시 방법에 따르면, 상기 저장매체는 상기 금융시스템 상에 구비되는(또는 상기 금융시스템과 연계되는) 소정의 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체는 상기 금융시스템 상의 DBMS에 구비되는 원장 D/B가거나, 및/또는 상기 원장 D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.According to an embodiment of the present invention, the storage medium is preferably provided in a DBMS on a predetermined financial system provided on the financial system (or associated with the financial system) Or a predetermined database associated with the ledger D / B, and thus the present invention is not limited thereto.

도면5는 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.5 is a diagram illustrating a banking system for end-to-end secure channel operation between a server on a communication network and an IC card 550 according to an embodiment of the present invention.

보다 상세하게 본 도면5는 금융거래 서비스를 이용하고자 하는 고객이 소정의 금융거래 인터페이스를 통해 뱅킹 시스템으로 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 고객이 소지한 IC카드(550)를 통해 상기 뱅킹 시스템 상의 서버에 접속하여 통신채널을 연결한 후, 보안채널을 생성하기 위한 뱅킹 시스템의 구성을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면5를 참조 및/또는 변형하여 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하며, 본 도면5에 도시된 실시 방법만으로 한정되지 아니한다.FIG. 5 illustrates a case in which a customer who wishes to use a financial transaction service transmits a banking service to a banking system through a predetermined financial transaction interface, in order to operate an end-to-end secure channel between the server on the communication network and the IC card 550 A banking system for connecting a communication channel to a server on the banking system through an IC card 550 and creating a secure channel. It is possible to refer to and modify various aspects of the banking system configuration for end-to-end secure channel operation between the server on the communication network and the IC card 550. However, The present invention is not limited to the method shown in FIG.

본 발명의 실시 방법을 따르는 본 도면5를 참조하면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템은, 고객이 이용하는 유선 단말 및/또는 무선 단말을 적어도 하나 이상의 포함하는 클라이언트 단말 등을 적어도 하나 이상 포함하는 고객단말(540)을 포함하여 이루어지는 것을 특징으로 하며, 상기 고객단말(540)은 소정의 네트워크 수단을 통해 상기 뱅킹 시스템 상에 구비된 뱅킹서버(500)와 통신채널이 연결된다.Referring to FIG. 5 according to an embodiment of the present invention, a banking system for end-to-end secure channel operation between a server on the communication network and an IC card 550 includes at least one wired terminal and / And a client terminal 540 including at least one client terminal including at least one client terminal 540. The customer terminal 540 is connected to a banking server 500 ) And a communication channel are connected.

본 발명의 일 실시 방법에 따르면, 상기 고객은 소정의 유선 통신망에 연결된 유선 단말 및/또는 소정의 무선 통신망에 연결된 무선 단말 중 적어도 하나 이상의 클라이언트 단말을 통해 상기 뱅킹서버(500)에 접속을 요청하면, 이에 대응하여 상기 뱅킹서버(500)는 상기 고객단말(540)과 연결된 단말장치(545)를 통해 PIN 입력을 요청하고, IC카드(550)에서 PIN인증이 완료되면, 이에 대응하여 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 적어도 하나 이상의 정보를 송수신하여 보안채널을 연결하는 것이 바람직하다.According to one embodiment of the present invention, when the customer requests connection to the banking server 500 through at least one client terminal among a wired terminal connected to a predetermined wired communication network and / or a wireless terminal connected to a predetermined wireless communication network The banking server 500 requests PIN input through the terminal device 545 connected to the customer terminal 540. When the PIN authentication is completed in the IC card 550, It is preferable to transmit and receive at least one information for end-to-end secure channel operation between the server and the IC card 550 to connect the secure channel.

여기서, 상기 고객단말(540)과 연결된 단말장치(545)는 IC카드(550) 리더기능을 포함하는 모든 단말장치(545)의 총칭으로서, 상기 IC카드(550) 리더기능 탑재가 가능한 모든 단말을 포함하여 이루어지는 것이 바람직하다.The terminal device 545 connected to the customer terminal 540 is a collective term for all the terminal devices 545 including the reader function of the IC card 550 and includes all terminals capable of loading the IC card 550 reader function .

또한, 상기 유선 통신망에 연결된 유선 단말은 TCP/IP(Transmission Control Protocol/Internet Protocol) 기반의 통신망에 연결된 모든 단말장치(545)의 총칭으로서, 상기 TCP/IP 기반 통신망에 연결된 데스크탑(Desktop) 컴퓨터 및/또는 노트북(Notebook), 또는 상기 TCP/IP 기반 통신망에 연결된 가전단말(예컨대, 셋탑박스(Set-Top-Box) 등), 또는 TCP/IP 기반 통신망에 연결된 키오스크(KIOSK) 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The wired terminal connected to the wired communication network is a general term for all terminal devices 545 connected to a TCP / IP (Telecommunications Control Protocol / Internet Protocol) based communication network. The wired terminal is a desktop computer connected to the TCP / Or a kiosk (KIOSK) connected to a TCP / IP-based communication network, or a home terminal (e.g., a set top box) connected to the TCP / IP based communication network, .

또한, 상기 무선 통신망에 연결된 무선 단말은 CDMA(Code Division Multiple Access) 기반의 이동통신망에 연결된 모든 단말장치(545), 및/또는 IEEE 802.16x 기반의 휴대 인터넷에 연결된 모든 단말장치(545), 및/또는 Motorola사의 DataTAC 방식 및/또는 Erricson사의 Mobitex 방식의 무선 데이터 통신망에 연결된 모든 단말장치(545)의 총칭으로서, 상기 CDMA 기반 이동통신망에 연결된 개인 통신 단말기(Personal Communication System; PCS) 및/또는 GSM(Global System for Mobile communications) 단말기 및/또는 개인 디지털 셀룰러 단말기(Personal Digital Cellular; PDC) 및/또는 PHS(Personal Handyphone System) 단말기 및/또는 개인 정보 단말기(Personal Digital Assistant; PDA) 및/또는 스마트폰(Smart Phone) 및/또는 텔레매틱스(Telematics), 또는 상기 IEEE 802.16x 기반 휴대 인터넷에 연결된 휴대 인터넷 단말, 또는 상기 DataTAC/ Mobitex 기반 무선 데이터 통신망에 연결된 무선 데이터 통신 단말 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.Also, the wireless terminal connected to the wireless communication network may include all the terminal devices 545 connected to the CDMA (Code Division Multiple Access) based mobile communication network, and / or all the terminal devices 545 connected to the IEEE 802.16x based portable Internet, (PCS) connected to the CDMA-based mobile communication network and / or a personal digital assistant (PDA) connected to the CDMA-based mobile communication network, (PDA) and / or a smart phone (PDA) and / or a personal digital assistant (PDA) and / or a personal digital assistant (Smart Phone) and / or telematics, or a Portable Internet terminal connected to the IEEE 802.16x based portable Internet, or the DataTAC / Mobitex It comprises a wireless data communication terminal connected to a wireless data network, such as at least one is preferable.

또한, 상기 클라이언트 단말과 연결되는 뱅킹서버(500)는 상기 클라이언트 단말의 특성과 네트워크 수단에 따라 인터넷 뱅킹 서버 및/또는 무선 뱅킹 서버 및/또는 텔레 뱅킹 서버 및/또는 TV 뱅킹 서버 중 어느 하나 이거나, 및/또는 상기 정보등록을 위한 별도의 웹서버를 포함하여 이루어지는 것이 바람직하다.Also, the banking server 500 connected to the client terminal may be any one of an Internet banking server and / or a wireless banking server and / or a telebanking server and / or a TV banking server according to the characteristics of the client terminal and the network means, And / or a separate web server for the information registration.

또한, 상기 클라이언트 단말과 뱅킹서버(500)를 연결하는 상기 네트워크 수단은 상기 클라이언트 단말이 접속한 무선 통신망 종류에 따라 CDMA 기반의 이동통 신망 및/또는 IEEE 802.16x 기반의 휴대 인터넷 및/또는 DataTAC/Mobitex 기반의 무선 데이터 통신망 중 어느 하나 이거나, 및/또는 소정의 무선 구간을 포함하여 향 후 제안되는 모든 종류의 무선 통신망을 포함하여 이루어지는 것이 바람직하다.The network means for connecting the client terminal and the banking server 500 may further include a CDMA-based mobile communication network and / or an IEEE 802.16x-based mobile Internet and / or a DataTAC / Or a Mobitex-based wireless data communication network, and / or all types of wireless communication networks including a predetermined wireless section.

또한, 상기 클라이언트 단말은 상기 뱅킹서버(500)에서 제공하는 적어도 하나 이상의 사용자 인터페이스를 출력하고, 상기 사용자 인터페이스를 통해 적어도 하나 이상의 정보를 입력 및/또는 선택하여 상기 뱅킹서버(500)로 전송하기 위한 기능 구성(예컨대, 브라우져 프로그램과 통신 기능, 또는 상기 뱅킹서버(500)와 통신하는 소정의 통신 프로그램과 통신 기능 등)이 구비되어 있는 것이 바람직하다.In addition, the client terminal may output at least one user interface provided by the banking server 500, and may input and / or select at least one information through the user interface and may be transmitted to the banking server 500 (For example, a browser program and a communication function, or a predetermined communication program and a communication function for communicating with the banking server 500).

본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 적어도 하나 이상의 유선 단말 및/또는 무선 단말에 대응하는 상기 클라이언트 단말의 특징을 용이하게 유추할 수 있을 것이므로, 이에 대한 상세한 설명은 편의상 생략한다.Those skilled in the art will readily be able to deduce the characteristics of the client terminal corresponding to at least one of the wired terminal and / or the wireless terminal, and a detailed description thereof will be omitted for the sake of convenience .

본 발명에 따른 뱅킹 시스템 상에 구비되는 상기 저장매체(535)는 상기 카드발급 서버를 통해 발급된 IC카드(550)에 대한 고객정보, IC카드(550) 저장정보, 적어도 하나 이상의 인증서 정보를 포함하는 IC카드(550) 발급정보를 저장하는 것을 특징으로 한다.The storage medium 535 provided on the banking system according to the present invention includes customer information about the IC card 550 issued through the card issuing server, IC card 550 storage information, and at least one certificate information The issuance information of the IC card 550 is stored.

상기 IC카드(550) 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객 의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The customer information included in the issuance information of the IC card 550 includes personal information of the card issuing customer such as customer's name, resident registration number, address, wireless terminal information (or mobile phone number), e-mail address, And member information (for example, member ID information) that is subscribed to the card issuing server.

*상기 IC카드(550) 발급정보에 포함되는 인증서 정보는, 상기 IC카드(550)와 금융시스템과 종단간 보안채널 연결을 위해, 사용자 인증서 정보를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.The certificate information included in the issuance information of the IC card 550 preferably includes at least one user certificate information for connection between the IC card 550 and the financial system and end-to-end secure channel.

여기서, 상기 사용자 인증서 정보는 상기 금융시스템과 종단간 보안채널 연결을 위해, 상기 금융시스템에서 생성되는 난수(Rs)를 암호화 하기 위한 공개키 정보를 포함하여 이루어지는 것이 바람직하다.Here, the user certificate information may include public key information for encrypting a random number (Rs) generated in the financial system for end-to-end secure channel connection between the financial system and the financial system.

또한, 상기 사용자 인증서 정보를 포함하는 인증서 정보 관리를 위해 상기 인증서 정보에 대응하는 인증서 관리정보를 더 포함하여 이루어질 수도 있으며, 이에 의해 본 발명이 한정되지 아니한다.In addition, the present invention may further include certificate management information corresponding to the certificate information for managing the certificate information including the user certificate information, and thus the present invention is not limited thereto.

본 발명의 일 실시 방법에 따르면, 상기 저장매체(535)는 상기 뱅킹 시스템 상에 구비되는(또는 상기 뱅킹 시스템과 연계되는) 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체(535)는 상기 금융시스템 상의 DBMS에 구 비되는 원장D/B가거나, 및/또는 상기 원장D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.According to one embodiment of the present invention, the storage medium 535 is preferably provided in a DBMS on a banking system (or associated with the banking system), wherein the storage medium 535 May be a ledger D / B associated with the DBMS on the financial system, and / or a predetermined database associated with the ledger D / B, and thus the present invention is not limited thereto.

본 발명의 다른 일 실시 방법에 따르면, 상기 저장매체(535)는 상기 뱅킹 시스템 상에 구비되는(또는 연계되는) 인터넷 뱅킹 시스템, 및/또는 무선 뱅킹 시스템, 및/또는 TV 뱅킹 시스템 중 적어도 하나 이상의 뱅킹 시스템 상의 DBMS에 구비되는 것이 가능하며, 이에 의해 본 발명이 한정되지 아니한다.According to another embodiment of the present invention, the storage medium 535 may include at least one of an Internet banking system (and / or a wireless banking system) and / or a TV banking system The present invention is not limited to this, and can be provided in a DBMS on a banking system.

본 발명에 따른 뱅킹 시스템 상에 구비되는 상기 뱅킹서버(500)는 상기 고객단말(540)과 단말장치(545)를 포함하는 통신망을 통해 상기 IC카드(550)와 연결되는 뱅킹 시스템 측 구성요소의 총칭으로서, 적어도 하나 이상의 서버(또는 장치)를 포함하여 구현되거나, 및/또는 소정의 서버(또는 장치)에 구비된 기록매체에 기록되는 적어도 하나 이상의 프로그램으로 구현될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.The banking server 500 provided on the banking system according to the present invention may include a banking system component connected to the IC card 550 through a communication network including the customer terminal 540 and the terminal device 545 As a generic term, may be embodied as at least one program that is embodied in at least one server (or apparatus), and / or recorded in a recording medium provided in a certain server (or apparatus) It is not limited.

도면5를 참조하면, 상기 뱅킹서버(500)는 상기 IC카드(550)와 통신채널이 연결되면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 IC카드(550)로 전송할 난수(Rs)를 생성하는 난수 생성부(510)(또는 난수 생성수단)와, 상기 생성된 난수(Rs)를 상기 IC카드(550)에 구비된 사용자 인증서 정보에 대응하는 공개키를 통해 암호화한 E(Rs)를 생성하는 암호화 처리부(520)(또 는 암호화 처리수단)와, 상기 생성된 E(Rs)를 상기 통신망을 통해 IC카드(550)로 전송되도록 처리하는 정보 전송부(530)(또는 정보 전송수단)을 구비하여 이루어지는 것을 특징으로 한다.5, when the communication channel is established between the IC card 550 and the IC card 550, the banking server 500 transmits the IC card 550 to the IC card 550 A random number generating unit 510 (or a random number generating unit) for generating a random number Rs to be transmitted to the IC card 550 and a public key corresponding to the user certificate information provided in the IC card 550 An encryption processing unit 520 (or encryption processing means) for generating E (Rs) encrypted through the communication network, and an information transmission unit 530) (or an information transmission means).

상기 난수 생성부(510)는 상기 IC카드(550)와 통신채널이 연결되면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 IC카드(550)로 전송할 난수(Rs)를 생성하는 것을 특징으로 하며, 상기 생성된 난수(Rs)는 상기 암호화 처리부(520)로 제공된다.Number generating unit 510 generates a random number to be transmitted to the IC card 550 in order to operate an end-to-end secure channel between the server on the communication network and the IC card 550 And generates the random number Rs. The generated random number Rs is provided to the encryption processing unit 520.

여기서, 본 발명이 속한 기술분야에서 통상의 기술지식을 가진 자라면, 상기 난수를 생성하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings, in which: FIG.

상기 암호화 처리부(520)는 상기 난수 생성부(510)를 통해 생성된 난수(Rs)를 상기 IC카드(550)에 구비된 사용자 인증서 정보에 대응하는 공개키를 통해 암호화한 E(Rs)를 생성하는 것을 특징으로 하며, 상기 생성된 E(Rs)는 상기 정보 전송부(530)로 제공된다.The encryption processing unit 520 generates E (Rs), which is a random number Rs generated through the random number generation unit 510, by encrypting the random number Rs generated by the random number generation unit 510 through a public key corresponding to the user certificate information included in the IC card 550 , And the generated E (Rs) is provided to the information transmitter 530. [

여기서, 본 발명이 속한 기술분야에서 통상의 기술지식을 가진 자라면, 상기 공개키를 이용하여 암호화 하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.Hereinafter, a person having ordinary skill in the art will be familiar with the technical features of the method and the process of encrypting using the public key, and the detailed description will be omitted for the sake of convenience.

상기 정보 전송부(530)는 상기 생성된 E(Rs)를 상기 통신망을 통해 상기 IC카드(550)로 전송되도록 처리하는 것을 특징으로 한다.The information transmitting unit 530 processes the generated E (Rs) to be transmitted to the IC card 550 through the communication network.

본 발명의 실시 방법에 따르면, 상기 생성된 E(Rs)를 상기 IC카드(550)로 전송하는 방법은 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 전송하는 것이 바람직하다.The method of transmitting the generated E (Rs) to the IC card 550 may be performed by the IC card 550 connected to the customer terminal 540 and the customer terminal 540 It is preferable to transmit the data through the terminal device 545 provided.

본 발명의 다른 실시 방법에 따르면, 상기 생성된 E(Rs)를 상기 IC카드(550)로 전송하는 방법은 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로 전송하는 것이 바람직하다.According to another embodiment of the present invention, a method of transmitting the generated E (Rs) to the IC card 550 is performed by the IC card 550 via the terminal device 545 having the reader function of the IC card 550 550).

도면5를 참조하면, 상기 뱅킹서버(500)는 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 IC카드(550)에서 생성한 카드 검증자(MAC’)를 수신하는 정보 수신부(505)(또는 정보 수신수단)와, 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 이용하여 세션키(K)를 생성하는 세션키 처리부(515)(또는 세션키 처리수단)와, 상기 생성된 세션키(K)로 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 암호화하여 서버 검증자(MAC)을 생성하는 암호화 처리부(520)(또는 암호화 처리수단)와, 상기 생성된 서버 검증자(MAC)를 상기 통신망을 통해 상기 IC카드(550)로 전송하는 정보 전송부(530)(또는 정보 전송수단)을 구비하여 이루어지는 것을 특징으로 한다.5, the banking server 500 includes an information receiving unit (not shown) for receiving a random number Rc generated by the IC card 550 and a card verifier (MAC ') generated by the IC card 550 (K) using the random number (Rc) generated by the IC card (550) and the random number (Rs) generated by the banking server (500) A key processing unit 515 (or a session key processing unit) for encrypting a random number Rs generated by the banking server 500 with the generated session key K, And an information transmission unit 530 (or information transmission means) for transmitting the generated server verifier (MAC) to the IC card 550 via the communication network .

또한, 상기 뱅킹 서버는 상기 암호화 처리부(520)에서 생성된 서버 검증자(MAC)와, 상기 IC카드(550)로부터 수신된 카드 검증자(MAC’)을 비교하여 서버에서 생성된 세션키를 검증하는 세션키 처리부(515)(또는 세션키 처리수단)을 더 구비하여 이루어지는 것을 특징으로 한다.The banking server compares the server verifier (MAC) generated in the encryption processing unit 520 with the card verifier (MAC ') received from the IC card 550 and verifies the session key generated in the server And a session key processing unit 515 (or a session key processing unit).

상기 정보 수신부(505)는 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 IC카드(550)에서 생성한 카드 검증자(MAC’)를 수신하는 것을 특징으로 하며, 상기 수신된 난수(Rc)와, 카드 검증자(MAC’)는 세션키 처리부(515)로 제공한다.The information receiving unit 505 receives the random number Rc generated by the IC card 550 and the card verifier MAC generated by the IC card 550, (Rc) and the card verifier (MAC ') to the session key processing unit 515.

본 발명의 실시 방법에 따르면, 상기 IC카드(550)로부터 난수(Rc), 카드 검증자(MAC’)을 수신하는 방법은, 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 수신하는 것이 바람직하다.The method for receiving the random number Rc and the card verifier MAC from the IC card 550 may be performed by the IC card 550 connected to the customer terminal 540 and the customer terminal 540, (550) via a terminal device (545) having a reader function.

본 발명의 다른 실시 방법에 따르면, 상기 IC카드(550)로부터 난수(Rc), 카드 검증자(MAC’)을 수신하는 방법은, 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로부터 직접 수신하는 것이 바람직하다.According to another embodiment of the present invention, a method of receiving the random number Rc and the card verifier (MAC ') from the IC card 550 includes a terminal device 545 having the reader function of the IC card 550, It is preferable to receive the data directly from the IC card 550.

상기 세션키 처리부(515)는 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 이용하여 세션키(K)를 생성하는 것을 특징으로 한다.The session key processing unit 515 generates the session key K by using the random number Rc generated by the IC card 550 and the random number Rs generated by the banking server 500 do.

*또한, 상기 세션키 처리부(515)는 상기 암호화 처리부(520)에서 생성된 서버 검증자(MAC)와, 상기 IC카드(550)로부터 수신된 카드 검증자(MAC’)을 비교하여 서버에서 생성된 세션키를 검증하는 기능을 더 구비하는 것을 특징으로 한다.The session key processing unit 515 compares the server verifier (MAC) generated in the encryption processing unit 520 with the card verifier (MAC ') received from the IC card 550 and generates And verifying the received session key.

본 발명의 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.According to the embodiment of the present invention, the session key K is a session key K which is generated by combining the random number Rs generated by the banking server 500 and the random number Rc generated by the IC card 550 into upper and lower regions And the upper area Rc_H of the random number Rc generated by the IC card 550 and the lower area Rc_L of the upper area Rs_H and the lower area Rs_L of the random number Rs are XOR (Rc_L XOR Rs_H) and a lower SEED value (Rc_H XOR Rs_L) by performing an Exclusive OR operation on the generated SEED value to generate a session key by encrypting the generated SEED value.

본 발명의 다른 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영 역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.According to another embodiment of the present invention, the session key K includes a random number Rs generated by the banking server 500 and a random number Rc generated by the IC card 550, And the upper area Rc_H of the random number Rs and the lower area Rc_L of the random number Rc generated by the IC card 550 and the lower area Rc_H of the random number Rs, (XOR) to generate a higher SEED value (Rs_L XOR Rc_H) and a lower SEED value (Rs_H XOR Rc_L), and encrypts the generated SEED value to generate a session key.

본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.The present invention is not limited to the above-described method of generating a session key, but may be variously performed by using a random number Rc generated in the IC card and a random number Rs generated in the financial system The method of generating a session key can be easily deduced, and thus the present invention is not limited thereto.

상기 암호화 처리부(520)는 상기 생성된 세션키(K)로 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 암호화하여 서버 검증자(MAC)을 생성하는 것을 특징으로 하며, 상기 생성된 서버 검증자(MAC)는 상기 정보 전송부(530)로 제공된다.The encryption processing unit 520 encrypts a random number Rs generated by the banking server 500 with the generated session key K to generate a server verifier MAC, A verifier (MAC) is provided to the information transmitter 530.

상기 정보 전송부(530)는 상기 생성된 서버 검증자(MAC)를 상기 통신망을 통해 상기 IC카드(550)로 전송되도록 처리하는 것을 특징으로 한다.The information transmitting unit 530 processes the generated server verifier (MAC) to be transmitted to the IC card 550 through the communication network.

본 발명의 실시 방법에 따르면, 상기 생성된 서버 검증자(MAC)를 상기 IC카드(550)로 전송하는 방법은 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 전송하는 것이 바람직하다.A method of transmitting the generated server verifier MAC to the IC card 550 is performed by the IC card 550 connected to the customer terminal 540 and the customer terminal 540 It is preferable to transmit the data through the terminal device 545 having the function.

본 발명의 다른 실시 방법에 따르면, 상기 생성된 서버 검증자(MAC)를 상기 IC카드(550)로 전송하는 방법은 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로 전송하는 것이 바람직하다.According to another embodiment of the present invention, a method of transmitting the generated server verifier (MAC) to the IC card 550 is performed by the IC card 550 through a terminal device 545 having a reader function of the IC card 550 Card 550, as shown in FIG.

도면5를 참조하면, 상기 뱅킹서버(500)는 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 정보 수신부(505)(또는 정보 수신수단)와, 상기 수신된 암호화된 데이터(E(Data’))를 상기 생성된 세션키(K)를 통해 복호화하는 복호화 처리부(525)(또는 복호화 처리수단)와, 상기 통신망을 통해 상기 IC카드(550)로 전송할 데이터(Data)가 있는 경우, 상기 IC카드(550)로 전송할 데이터(Data)를 상기 세션키(K)로 암호화한 E(Data)를 생성하는 암호화 처리부(520)(또는 암호화 처리수단)와, 상기 생성된 E(Data)를 상기 통신망을 통해 상기 IC카드(550)로 전송하는 정보 전송부(530)(또는 정보 전송수단)을 구비하여 이루어지는 것을 특징으로 한다.5, the banking server 500 includes an information receiving unit 505 (or information receiving means) for receiving encrypted data E (Data ') from the IC card 550, A decryption processing unit 525 (or decryption processing means) for decrypting the encrypted data E (Data ') via the generated session key K, An encryption processing unit 520 (or encryption processing means) for generating E (Data) obtained by encrypting data (Data) to be transmitted to the IC card 550 with the session key (K) And an information transmission unit 530 (or information transmission means) for transmitting E (Data) to the IC card 550 through the communication network.

상기 정보 수신부(505)는 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 것을 특징으로 하며, 상기 수신된 암호화된 데이터(E(Data’))은 상기 복호화 처리부(525)로 제공된다.The information receiving unit 505 receives the encrypted data E (Data ') from the IC card 550, and the received encrypted data E (Data') is transmitted to the decryption processing unit 525).

본 발명의 실시 방법에 따르면, 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 방법은, 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 수신하는 것이 바람직하다.The method for receiving the encrypted data E (Data ') from the IC card 550 is performed by the IC card 550 connected to the customer terminal 540 and the customer terminal 540, Through a terminal device 545 having a reader function.

본 발명의 다른 실시 방법에 따르면, 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 방법은, 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로부터 직접 수신하는 것이 바람직하다.According to another embodiment of the present invention, a method of receiving encrypted data E (Data ') from the IC card 550 is performed through a terminal device 545 having a reader function of the IC card 550 It is preferable to receive it directly from the IC card 550.

상기 복호화 처리부(525)는 상기 수신된 암호화된 데이터(E(Data’))를 상기 생성된 세션키(K)를 통해 복호화하는 것을 특징으로 하며, 상기 복호화된 데이터(Data’)은 상기 데이터에 대응하는 금융거래 서비스를 제공하는 것이 바람직하며, 상기 금융거래 서비스 제공을 위한 과정은 편의상 생략한다.The decryption processing unit 525 decrypts the received encrypted data E (Data ') through the generated session key K, and the decrypted data Data' It is preferable to provide a corresponding financial transaction service, and the process for providing the financial transaction service is omitted for convenience.

여기서, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기 IC카드(550)에서 세션키(K’)를 통해 암호화된 데이터(E(Data’))을 복호화하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.Hereinafter, the present invention will be described with reference to a method and a method for decrypting encrypted data E (Data ') through the session key K' in the IC card 550 The detailed description will be omitted for the sake of brevity.

상기 암호화 처리부(520)는 상기 통신망을 통해 상기 IC카드(550)로 전송할 데이터(Data)가 있는 경우, 상기 IC카드(550)로 전송할 데이터(Data)를 상기 세션키(K)로 암호화한 E(Data)를 생성하는 것을 특징으로 하며, 상기 생성된 암호화된 E(Data)는 상기 정보 전송부(530)로 제공된다.When there is data to be transmitted to the IC card 550 through the communication network, the encryption processing unit 520 encrypts data (Data) to be transmitted to the IC card 550 with E (Data), and the generated encrypted E (Data) is provided to the information transmission unit 530. [

여기서, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기 IC카드(550)로 전송할 데이터(Data)를 세션키(K)를 통해 암호화하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.Hereinafter, a person having ordinary skill in the art will be able to understand the technical characteristics of the method and the process of encrypting the data (Data) to be transmitted to the IC card 550 through the session key (K) The detailed description will be omitted for the sake of convenience.

상기 정보 전송부(530)는 상기 생성된 E(Data)를 상기 통신망을 통해 상기 IC카드(550)로 전송하는 것을 특징으로 한다.The information transmitting unit 530 transmits the generated E (Data) to the IC card 550 through the communication network.

본 발명의 실시 방법에 따르면, 상기 생성된 E(Data)를 상기 IC카드(550)로 전송하는 방법은 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 전송하는 것이 바람직하다.The method of transmitting the generated E (Data) to the IC card 550 may be performed by the IC card 550 connected to the customer terminal 540 and the customer terminal 540 It is preferable to transmit the data through the terminal device 545 provided.

본 발명의 다른 실시 방법에 따르면, 상기 생성된 E(Data)를 상기 IC카드(550)로 전송하는 방법은 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로 전송하는 것이 바람직하다.According to another embodiment of the present invention, a method of transmitting the generated E (Data) to the IC card 550 is performed by the IC card 550 via the terminal device 545 having the reader function of the IC card 550 550).

도면6은 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.6 is a diagram illustrating a banking system for end-to-end secure channel operation between a server on a communication network and an IC card 550 according to an embodiment of the present invention.

보다 상세하게 본 도면6은 금융거래 서비스를 이용하고자 하는 고객이 소정의 금융거래 인터페이스를 통해 뱅킹 시스템으로 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 고객이 소지한 IC카드(550)를 통해 상기 뱅킹 시스템 상의 서버에 접속하여 통신채널을 연결한 후, 보안채널을 생성하기 위한 뱅킹 시스템의 구성을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면6을 참조 및/또는 변형하여 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하며, 본 도면6에 도시된 실시 방법만으로 한정되지 아니한다.6 is a flowchart illustrating an operation of a customer who wants to use a financial transaction service as a banking system through a predetermined financial transaction interface to operate an end-to-end secure channel between a server on the communication network and the IC card 550 A banking system for connecting a communication channel to a server on the banking system through an IC card 550 and creating a secure channel. 6, it is possible to infer various implementations of the banking system configuration for end-to-end secure channel operation between the server on the communication network and the IC card 550. However, The present invention is not limited to the method shown in FIG.

이하, 본 도면6에서는 상기 도면5에 도시된 IC카드(550)를 편의상 “카드”라 하고, 상기 도면5에 도시된 뱅킹서버(500)를 편의상 “서버”라 한다.Hereinafter, in Fig. 6, the IC card 550 shown in Fig. 5 is referred to as a &quot; card &quot; for convenience, and the banking server 500 shown in Fig.

도면6을 참조하면, 상기 IC카드(550)와 통신채널이 연결되면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 IC카드(550)로 전송할 난수(Rs)를 생성하고, 상기 생성한 난수(Rs)를 상기 IC카드(550)에 구비된 사용자 인증서 정보에 대응하는 공개키를 통해 암호화한 E(Rs)를 생성한 후(600), 상기 생성된 E(Rs)를 상기 카드로 전송한다(605).6, when a communication channel is established with the IC card 550, a random number Rs to be transmitted to the IC card 550 for end-to-end secure channel operation between a server on the communication network and the IC card 550, And generates E (Rs) by encrypting the generated random number Rs using a public key corresponding to the user certificate information included in the IC card 550 (600), and then generates the generated E (Rs) Rs) to the card (605).

이후, 상기 단말은 상기 수신된 E(Rs)를 사용자 개인키로 복호화하여 난수(Rs)를 추출하고(610), 상기 난수(Rs)와, 난수(Rc)를 이용하여 세션키(K’)을 생성한다(615).Thereafter, the UE decrypts the received E (Rs) with the user's private key to extract a random number Rs (610). The terminal extracts a session key K 'using the random number Rs and the random number Rc (615).

*본 발명의 실시 방법에 따르면, 상기 세션키(K’)는, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.According to the embodiment of the present invention, the session key K 'includes a random number Rs obtained by decrypting the encrypted E (Rs) received from the financial system, and a random number Rs generated by the IC card 550 The upper area Rs_H of the random number Rs and the lower area Rs_L of the random number Rc generated by the IC card 550 are classified into upper and lower areas Rc_H (Rc_L XOR Rs_H) and a lower SEED value (Rc_H XOR Rs_L) by performing XOR (Exclusive OR) operation on the lower area Rc_L and the lower area Rc_L, encrypts the generated SEED value with the secret key, .

본 발명의 다른 실시 방법에 따르면, 상기 세션키(K’)은, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.According to another embodiment of the present invention, the session key K 'includes a random number Rs obtained by decrypting the encrypted E (Rs) received from the financial system, and a random number Rs generated by the IC card 550 The upper area Rs_H of the random number Rs and the lower area Rs_L of the random number Rc generated by the IC card 550 are classified into upper and lower areas Rc_H And a lower SEED value Rs_H XOR Rc_L by performing XOR (Exclusive OR) operation on the lower area Rc_L and the lower area Rc_L to encrypt the generated SEED value with the secret key, .

본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.The present invention is not limited to the above-described method of generating a session key, but may be variously performed by using a random number Rc generated in the IC card and a random number Rs generated in the financial system The method of generating a session key can be easily deduced, and thus the present invention is not limited thereto.

이후, 상기 카드는 상기 생성된 세션키(K’)을 통해 상기 난수(Rs)를 암호화한 카드 검증자(MAC’)을 생성한 후(620), 상기 생성된 카드 검증자(MAC’)과, 상기 난수(Rc)를 상기 서버로 전송한다(625).Thereafter, the card generates a card verifier (MAC ') that encrypts the random number (Rs) through the generated session key (K') (620), and then generates the card verifier , And transmits the random number Rc to the server (625).

본 발명의 실시 방법에 따르면, 상기 카드 검증자(MAC’)는, 상기 생성한 세션키(K’)을 통해 상기 금융시스템으로부터 수신한 난수(Rs)를 암호화한 것이 바람직하다.According to an embodiment of the present invention, the card verifier (MAC ') preferably encrypts a random number (Rs) received from the financial system through the generated session key (K').

상기 서버는 상기 난수(Rc)와 난수(Rs)를 이용하여 세션키(K)를 생성한다(630).The server generates the session key K using the random number Rc and the random number Rs (630).

본 발명의 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.According to the embodiment of the present invention, the session key K is a session key K which is generated by combining the random number Rs generated by the banking server 500 and the random number Rc generated by the IC card 550 into upper and lower regions And the upper area Rc_H of the random number Rc generated by the IC card 550 and the lower area Rc_L of the upper area Rs_H and the lower area Rs_L of the random number Rs are XOR (Rc_L XOR Rs_H) and a lower SEED value (Rc_H XOR Rs_L) by performing an Exclusive OR operation on the generated SEED value to generate a session key by encrypting the generated SEED value.

본 발명의 다른 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.According to another embodiment of the present invention, the session key K includes a random number Rs generated by the banking server 500 and a random number Rc generated by the IC card 550, The upper area Rc_H of the random number Rs and the lower area Rc_L of the random number Rc generated by the IC card 550 are divided into the upper area Rc_H and the lower area Rc_L, It is preferable to generate an upper SEED value (Rs_L XOR Rc_H) and a lower SEED value (Rs_H XOR Rc_L) by performing XOR (Exclusive OR) operation and encrypt the generated SEED value to generate a session key.

본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.The present invention is not limited to the above-described method of generating a session key, but may be variously performed by using a random number Rc generated in the IC card and a random number Rs generated in the financial system The method of generating a session key can be easily deduced, and thus the present invention is not limited thereto.

이후, 상기 서버는 상기 생성된 세션키(K)로 상기 난수(Rs)를 암호화한 서버 검증자(MAC)을 생성하고(635), 상기 생성된 서버 검증자(MAC)과, 상기 수신된 카드 검증자(MAC’)을 비교 검증하고(640), 상기 생성된 세션키(K)로 상기 난수(Rc)를 암호화한 서버 검증자(MAC)을 생성하고(645), 상기 생성된 서버 검증자(MAC)을 상기 카드로 전송한다(650).The server then generates (635) a server verifier (MAC) which encrypts the random number (Rs) with the generated session key (K), and transmits the generated server verifier (645). The generated server verifier (MAC ') is verified (640) and a server verifier (MAC) is generated by encrypting the random number (Rc) with the generated session key (K) (MAC) to the card (650).

여기서, 비교 검증결과, 서로 다른 경우 상기 보안채널을 해제하거나, 또는 금융거래 채널을 재설정할 수도 있다.Here, if the comparison result is different, the secure channel may be canceled or the financial transaction channel may be reset.

이후, 상기 카드는 상기 서버 검증자(MAC)와, 카드 검증자(MAC’)을 비교 검증한다(655).Thereafter, the card compares and verifies the server verifier (MAC) with the card verifier (MAC ') (655).

본 발명에 따르면, 해킹의 위험에 노출되어있는 공인인증서를 IC카드에 탑재함으로써, 공인인증서를 해킹할 수 있는 위험을 방지할 수 있는 장점이 있다.According to the present invention, there is an advantage that the risk of hacking the authorized certificate can be prevented by mounting the authorized certificate exposed to the risk of hacking on the IC card.

본 발명에 다르면, 통신망을 통해 기존의 서버와 단말간 통신채널을 연결하는 방법 이외에 종단간(즉, 서버와 IC카드간) 통신채널에 대한 보안을 제공함으로써, 보다 강력한 보안 기능을 제공할 수 있는 장점이 있다.According to the present invention, in addition to a method of connecting a communication channel between an existing server and a terminal through a communication network, it is possible to provide a security function for a communication channel between terminals (that is, between the server and the IC card) There are advantages.

Claims (4)

IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, A system for connecting an end-to-end secure channel between an IC card and a server using a terminal having an IC card reader as an end-to-end communication path between the IC card and the server, 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 사용자 공개키와 상기 IC카드에 구비된 암호함수E를 통해 상기 생성된 난수(Rs)를 암호화하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 암호화된 난수E(Rs)를 상기 IC카드로 전송하는 서버;Generates a random number (Rs) for transmission to the IC card, encrypts the generated random number (Rs) through a user public key and a cryptographic function E provided in the IC card, A server for transmitting the encrypted random number E (Rs) to the IC card using an end-to-end communication path; 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K')를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC')를 생성하고, 상기 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하여 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드;를 구비하며,Receiving the E (Rs) encrypted with the random number (Rs) generated by the server using the terminal as an end-to-end communication path between the IC card and the server, decrypting the E (Rs) Generates a random number Rc to be transmitted to the server through the end-to-end communication path, generates a session key K 'through the random number Rs and the random number Rc, (Rc) and the card verifier (MAC ') by using the terminal as an end-to-end communication path between the IC card and the server by encrypting the random number (Rs) To the server, 상기 서버는,The server comprises: 상기 종단간 통신경로를 통해 상기 IC카드에 생성한 난수(Rc)와 카드 검증자(MAC')를 수신하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K)를 생성하고, 상기 생성된 세션키(K')를 통해 상기 난수(Rs)를 암호화하여 카드 검증자(MAC)를 생성하고, 상기 카드 검증자(MAC')와 카드 검증자(MAC)를 비교하여 상기 세션키(K')를 인증하고, 상기 세션키(K') 인증시, 상기 세션키(K)를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC)를 생성하고, 상기 종단간 통신경로를 통해 상기 IC카드로 상기 서버 검증자(MAC)를 전송하고,Receives a random number Rc and a card verifier (MAC ') generated in the IC card through the end-to-end communication path, generates a session key (K) through the random number (Rs) and the random number (Rc) Generates a card verifier (MAC) by encrypting the random number Rs through the generated session key K ', compares the card verifier (MAC') with a card verifier (MAC) (K '), and when the session key (K') is authenticated, the server verifier (MAC) is generated by encrypting the random number (Rc) through the session key (K) Transmits the server verifier (MAC) to the IC card, 상기 IC카드는,The IC card includes: 상기 종단간 통신경로를 통해 상기 서버 검증자(MAC)를 수신하고, 상기 세션키(K')를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC')를 생성하고, 상기 서버 검증자(MAC')와 서버 검증자(MAC)을 비교하여 상기 서버에서 생성된 세션키(K)를 인증하고, 상기 세션키(K) 인증시, 상기 서버와 종단간 보안채널을 연결된 것으로 처리하는 것을 특징으로 하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템.Receives the server verifier (MAC) through the end-to-end communication path, generates a server verifier (MAC ') by encrypting the random number (Rc) through the session key (K' (K) generated by the server by comparing the MAC (MAC ') with the server verifier (MAC), and when the session key (K) is authenticated, the server and the end- Terminal security channel operating system between a server on a communication network and an IC card. 제 1항에 있어서,The method according to claim 1, 상기 IC카드 리더를 구비한 단말과 연결되고, 상기 IC카드와 서버 간 통신경로를 제공하고, 상기 서버로 전송할 데이터를 상기 단말로 전달하여 상기 IC카드와 서버 사이의 종단간 보안채널을 통해 상기 서버로 전송되도록 처리하는 고객단말을 더 포함하여 이루어지는 것을 특징으로 하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템.The IC card is connected to a terminal equipped with the IC card reader and provides a communication path between the IC card and a server and transmits data to be transmitted to the server to the terminal, And a client terminal for processing the IC card so that the IC card and the IC card communicate with each other. 삭제delete 삭제delete
KR1020080078190A 2008-08-08 2008-08-08 System for Operating End-to-End Security Channel between Server and IC Card KR101513430B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080078190A KR101513430B1 (en) 2008-08-08 2008-08-08 System for Operating End-to-End Security Channel between Server and IC Card

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080078190A KR101513430B1 (en) 2008-08-08 2008-08-08 System for Operating End-to-End Security Channel between Server and IC Card

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020080000186A Division KR100946114B1 (en) 2008-01-02 2008-01-02 Method for Operating End-to-End Security Channel between Server and IC Card

Publications (2)

Publication Number Publication Date
KR20090074680A KR20090074680A (en) 2009-07-07
KR101513430B1 true KR101513430B1 (en) 2015-04-22

Family

ID=41331941

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080078190A KR101513430B1 (en) 2008-08-08 2008-08-08 System for Operating End-to-End Security Channel between Server and IC Card

Country Status (1)

Country Link
KR (1) KR101513430B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101440421B1 (en) * 2012-06-07 2014-09-15 농협은행(주) Session key generation method for data encryption and decryption of financial transactions services
KR101384702B1 (en) * 2012-06-07 2014-04-14 주식회사 텔큐온 Method of providing financial service using smart card

Also Published As

Publication number Publication date
KR20090074680A (en) 2009-07-07

Similar Documents

Publication Publication Date Title
US8447982B2 (en) System and method for operating end-to-end security channel between server and IC card
KR101125088B1 (en) System and Method for Authenticating User, Server for Authenticating User and Recording Medium
JP2017537421A (en) How to secure payment tokens
KR101513430B1 (en) System for Operating End-to-End Security Channel between Server and IC Card
KR100946112B1 (en) Method for Operating End-to-End Security Channel between Server and IC Card
KR200458538Y1 (en) System for Operating End-to-End Security Channel between Server and IC Card
KR101124230B1 (en) System and Method for Dual-Authentication, Server and Recording Medium
KR101128583B1 (en) Certificate Processing IC Card
KR100924941B1 (en) System for Operating End-to-End Security Channel between Server and IC Card
KR100946114B1 (en) Method for Operating End-to-End Security Channel between Server and IC Card
KR101814795B1 (en) Method for Providing Service by using Duplex Media Authentication
KR101041121B1 (en) System and Method Inquiring Transaction by VoIP Terminal, VoIP Terminal and Recording Medium
KR101078953B1 (en) System and Method for Processing Scrap Public Certificate of Attestation and Recording Medium
US20240086893A1 (en) Method for tokenization of information associated with a payment card
KR101212237B1 (en) System and Method for Paying Input by VoIP Terminal, VoIP Terminal and Recording Medium
KR100928412B1 (en) Payment processing system using virtual merchant network
KR20090074675A (en) Ic card for connecting end-to-end security channel with server beyond network
KR20160042406A (en) Method for Providing Service by using Duplex Media Authentication
KR101041120B1 (en) System and Method for Paying Inquiry by VoIP Terminal, VoIP Terminal and Recording Medium
KR101065424B1 (en) System and Method for Payment Settlement by Using VoIP Devices
KR101311888B1 (en) Method for Relaying Authentication Certificate
KR20090073063A (en) System for non-face banking process using affiliated ic card
KR20090002006A (en) Method and system for non-face banking process using affiliated ic card and program recording medium
KR20170124993A (en) Method for Operating One-Time Authentication Code
KR20090093234A (en) VoIP Terminal with Function of Virtual Financial Terminal and Method for Financial Transaction, Program Recording Medium

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
FPAY Annual fee payment

Payment date: 20180913

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190403

Year of fee payment: 5