KR101612751B1 - 디지털 인증서의 제공 - Google Patents

디지털 인증서의 제공 Download PDF

Info

Publication number
KR101612751B1
KR101612751B1 KR1020157033359A KR20157033359A KR101612751B1 KR 101612751 B1 KR101612751 B1 KR 101612751B1 KR 1020157033359 A KR1020157033359 A KR 1020157033359A KR 20157033359 A KR20157033359 A KR 20157033359A KR 101612751 B1 KR101612751 B1 KR 101612751B1
Authority
KR
South Korea
Prior art keywords
certificate
digital certificate
mobile device
storage module
request
Prior art date
Application number
KR1020157033359A
Other languages
English (en)
Other versions
KR20150139616A (ko
Inventor
호라티오 넬슨 훅스험
알란 조셉 오'레건
Original Assignee
비자 인터네셔널 서비스 어소시에이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 비자 인터네셔널 서비스 어소시에이션 filed Critical 비자 인터네셔널 서비스 어소시에이션
Publication of KR20150139616A publication Critical patent/KR20150139616A/ko
Application granted granted Critical
Publication of KR101612751B1 publication Critical patent/KR101612751B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/561Adding application-functional data or data for application control, e.g. adding metadata
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/64Self-signed certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Library & Information Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

디지털 인증서를 제공하는 시스템, 방법 및 기기가 개시되어 있다. 원격 액세스가능 서버에서 수행되는 방법에서는, 식별자를 포함하는 디지털 인증서 요구가 수신된다. 그리고나서, 모바일 기기와 통신하는 인증서 저장 모듈을 지니는 모바일 기기의 통신 어드레스로서, 상기 식별자에 연관된 통신 어드레스가 획득된다. 디지털 인증서 요구는 상기 모바일 기기를 통해 상기 인증서 저장 모듈에 전송되며 상기 인증서 저장 모듈은 인증서의 해제 전에 상기 모바일 기기를 통해 상기 인증서 저장 모듈의 사용자에게 비밀번호를 프롬프트하도록 구성된다. 디지털 인증서는 상기 인증서 저장 모듈에 저장되어 있는 오프셋에 상응하는 비밀번호를 상기 인증서 저장 모듈에 입력함에 응답하여 상기 인증서 저장 모듈로부터 상기 모바일 기기를 통해 수신된다. 그리고나서, 상기 디지털 인증서는 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 통신 기기로 전송된다.

Description

디지털 인증서의 제공{Providing digital certificates}
관련 출원의 전후 참조
본원은 2013년 4월 26일자 출원된 남아프리카 공화국 임시특허출원 제2013/03076호를 우선권으로 주장한 것이며, 상기 임시특허출원의 전체 내용은 본원 명세서에 참조로 포함되어 있다.
기술분야
본 발명은 디지털 인증서를 제공하는 시스템, 방법 및 기기에 관한 것이다.
발신자 기기로부터 발신되는 데이터 메시지, 예컨대 이메일과 같은 데이터 메시지는 수신자 기기로 전달되는 도중에 여러 게이트웨이, 컴퓨터 시스템, 서버, 라우터 또는 임의의 다른 그러한 노드를 거칠 수 있다. 발신자는 종종 자신의 데이터 메시지가 거치게 되는 게이트웨이, 컴퓨터 시스템, 서버, 라우터 또는 다른 노드를 제어할 수가 없으며, 심지어는 종종 수신자 기기로 발신됨에 있어서 상기 데이터 메시지가 추적되는 경로를 알지도 못한다.
결과적으로, 상기 데이터 메시지는 이러한 노드들 중 어느 한 노드에서 제3자에 의해 쉽게 감청될 수도 있고 판독될 수도 있으며 심지어는 변경될 수도 있는데, 이것이 의미하는 것은 상기 데이터 메시지가 최종적으로 의도된 수신자 기기에 도착한 경우에 상기 데이터 메시지 및 상기 데이터 메시지의 내용의 무결성, 기밀성 및/또는 유효성이 미심쩍을 수 있음을 의미한다.
수년에 걸쳐 데이터 메시지 무결성, 기밀성 및/또는 유효성의 문제를 해결할 것을 목적으로 하는 개발은 많이 진행되어 왔다.
어느 정도 관심을 끌어 왔던 그러한 문제 해결 수단 중 하나는 공개 키 암호 방식을 사용해 발신자 기기에서 데이터 메시지들을 디지털 방식으로 서명하여 '디지털 서명(digital signature)'을 생성하는 것을 포함한다. 상기 디지털 서명은 상기 데이터 메시지가 중개 노드에서 판독 또는 변경될 수 없게 할 수 있는데, 이것이 의미하는 것은 수신자 기기에서 수신된 데이터 메시지가 전송시 변경되지 않고 판독되지 않는 것으로 인증될 수 있음을 의미한다.
공개 키 암호 방식은 하나의 키가 "사설(private)" 키이고 다른 하나의 키가 "공개(public)" 키인 2개의 개별 키를 필요로 하는 것이 전형적인 암호 체계를 언급한다. 상기 공개 키는 데이터를 암호화하거나 디지털 서명을 검증하는데 사용될 수 있으며 상기 사설 키는 상기 암호화된 데이터를 복호화하거나 디지털 서명을 생성하는데 사용될 수 있다. 어떠한 키도 개별적으로 양자 모두의 기능들을 수행할 수 없다. 전형적으로는, 사용자의 공개 키는 공개될 수 있지만 이에 상응하는 사설 키는 비밀로 유지되어야 한다.
예를 들어, 데이터 메시지를 디지털 방식으로 서명할 경우에, 상기 데이터 메시지(또는 좀더 전형적으로는 상기 데이터 메시지의 해시(hash))가 발신자 기기에서 발신자의 사설 키를 사용하여 암호화될 수 있다. 이러한 디지털 방식으로 서명된 데이터 메시지는 그 후에 상기 발신자의 공개 키뿐만 아니라 원래의 데이터 메시지와 함께 수신자에게 전송될 수 있다. 상기 수신자는 그 후에 상기 공개 키를 사용하여 상기 디지털 방식으로 서명된 데이터 메시지를 암호화하고 상기 원래의 데이터 메시지와 상기 복호화된 디지털 방식으로 서명된 데이터 메시지(또는 좀더 전형적으로는 양자 모두의 해시들)을 비교한다.
데이터 메시지를 암호화할 경우에, 상기 발신자는 상기 수신자의 공개 키를 이용하여 상기 데이터 메시지를 암호화한다. 상기 암호화된 데이터 메시지는 상기 발신자로부터 상기 수신자로 전송된다. 상기 수신자는 그 후에 수신자의 사설 키를 사용하여 상기 데이터 메시지를 복호화한다.
디지털 인증서들은 인증 기관들에 의해 발행되는 것이 전형적이며 공개 키를 아이덴티티에 바인딩(binding)하는데 사용될 수 있다. 상기 디지털 인증서들에는 또한 인증서가 발행되었던 개체(entity) 또는 개인에 관한 정보가 포함될 수 있으며 또한 상기 디지털 인증서를 발행한 인증 기관에 대한 정보가 포함될 수 있다.
디지털 인증서들을 저장하는 현재 기기들에는 필요한 보안 레벨들이 없을 수 있고 이 때문에 내부에 저장된 디지털 인증서들이 공격 또는 부정 사용에 취약할 수 있다.
본 발명의 제1 실시태양에 의하면, 원격 액세스가능 서버에서 수행되는, 디지털 인증서를 제공하는 방법이 제공되며, 상기 디지털 인증서의 제공 방법은, 디지털 인증서 요구를 수신하는 단계로서, 상기 요구는 식별자를 포함하는, 단계; 상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 단계로서, 상기 모바일 기기는 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지니는, 단계; 상기 모바일 기기를 통해 상기 인증서 저장 모듈에 디지털 인증서 요구를 전송하는 단계로서, 상기 인증서 저장 모듈은 인증서의 해제 전에 상기 모바일 기기를 통해 상기 인증서 저장 모듈의 사용자에게 비밀번호를 프롬프트하도록 구성된, 단계; 상기 인증서 저장 모듈에 저장되어 있는 오프셋에 상응하는 비밀번호를 상기 인증서 저장 모듈에 입력함에 응답하여 상기 인증서 저장 모듈로부터 상기 모바일 기기를 통해 디지털 인증서를 수신하는 단계; 및 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 통신 기기로 상기 디지털 인증서를 전송하는 단계;를 포함한다.
본 발명의 부가적인 특징들에서는 상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 단계가, 상기 요구로부터 상기 식별자를 추출하는 단계; 데이터베이스에 질의(query)하여 상기 식별자가 상기 원격 액세스가능 서버에 등록되어 있는지를 결정하는 단계; 및 상기 식별자가 등록되어 있는 경우에, 상기 데이터베이스로부터, 상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 단계;를 포함하며, 상기 모바일 기기는 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지니는 것이 제공된다.
본 발명의 여전히 부가적인 특징에서는 상기 디지털 인증서 요구를 수신하는 단계가 하이퍼텍스트 전송 프로토콜 요구 메시지(hypertext transfer protocol request message)를 수신하는 단계를 포함하는 것이 제공된다.
본 발명의 또 부가적인 특징들에서는 상기 요구로부터 식별자를 추출하는 단계가 상기 통신 기기에 의해 상기 원격 액세스가능 서버에 제출되는 자원 위치 지정자(Uniform Resource Locator; URL)의 경로 부분으로부터 상기 식별자를 추출하는 단계를 포함하며, 상기 식별자는 상기 인증서 저장 모듈에 고유하게 연관된 영숫자 시퀀스인 것이 제공된다.
본 발명의 한 부가적인 특징에서는 상기 요구로부터 상기 식별자를 추출하는 단계가 상기 요구에 포함된 이메일 어드레스를 추출하는 단계를 포함하는 것이 제공된다.
본 발명의 또 부가적인 특징들에서는 상기 인증서 저장 모듈로부터 디지털 인증서를 요구하는 단계, 상기 인증서 저장 모듈로부터 디지털 인증서를 수신하는 단계, 및 상기 통신 기기로 상기 디지털 인증서를 전송하는 단계가 암호화 터널(encrypted tunnel)을 통해 수행되고, 상기 암호화 터널이 인터넷 프로토콜 보안(internet protocol security; IPSec), 보안 소켓 계층(secure socket layer; SSL), 전송 계층 보안(transport layer security; TLS) 또는 보안 쉘(secure shell; SSH) 암호화 터널인 것이 제공된다.
본 발명의 또 부가적인 특징들에서는 상기 인증서 저장 모듈이 단지 상기 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신함에 응답하여서만 상기 디지털 인증서를 상기 원격 액세스가능 서버에 전송하도록 구성되며, 상기 모바일 기기에 의해 수행되는 기능들 및 상기 통신 기기에 의해 수행되는 기능들이 단일 기기에 의해 수행되는 것이 제공된다.
본 발명의 부가적인 특징들에서는 상기 식별자에 연관된 모바일 기기의 통신 어드레스를 획득하는 단계가, 상기 요구가 전송된 모바일 기기의 통신 어드레스와 상기 획득된 통신 어드레스를 비교하는 단계;를 포함하는 것이 제공된다.
본 발명의 제2 실시태양에 의하면, 디지털 인증서가 저장된 인증서 저장 모듈이 연결되어 있는 모바일 기기에서 수행되는, 디지털 인증서의 제공 방법이 제공되며, 상기 디지털 인증서의 제공 방법은, 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신하는 단계로서, 상기 요구는 상기 원격 액세스가능 서버가 디지털 인증서 요구를 수신함에 응답하여 상기 원격 액세스가능 서버에 의해 전송되는, 단계; 상기 디지털 인증서의 해제를 허가하도록 사용자에 의해 입력된 비밀번호를 수신하는 단계; 상기 입력된 비밀번호를 비밀번호 오프셋에 비교하는 단계; 및 상기 입력된 비밀번호가 상기 오프셋과 일치하는 경우에, 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 디지털 인증서를 상기 인증서 저장 모듈로부터 상기 원격 액세스가능 서버로 전송하는 단계;를 포함한다.
본 발명의 한 부가적인 특징에서는 상기 디지털 인증서 요구를 수신하는 단계가 상기 모바일 기기를 통해 상기 인증서 저장 모듈에서 디지털 인증서 요구를 수신하는 것이 제공된다.
본 발명의 여전히 부가적인 특징들에서는 상기 사용자에 의해 입력된 비밀번호를 수신하는 단계가 상기 모바일 기기를 통해 상기 인증서 저장 모듈에서 상기 비밀번호를 수신하며, 상기 입력된 비밀번호를 비밀번호 오프셋에 비교하는 단계가 상기 인증서 저장 모듈에서 수행되는 것이 제공된다.
본 발명의 제3 실시태양에 의하면, 원격 액세스가능 서버를 포함하는, 디지털 인증서의 제공 시스템이 제공되며, 상기 원격 액세스 가능 서버는, 디지털 인증서 요구를 수신하는 요구 수신 구성요소로서, 상기 요구는 식별자를 포함하는, 요구 수신 구성요소; 상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 획득 구성요소로서, 상기 모바일 기기는 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지니는, 획득 구성요소; 상기 모바일 기기를 통해 상기 인증서 저장 모듈에 디지털 인증서 요구를 전송하는 요구 전송 구성요소로서, 상기 인증서 저장 모듈은 인증서의 해제 전에 상기 모바일 기기를 통해 상기 인증서 저장 모듈의 사용자에게 비밀번호를 프롬프트하도록 구성된, 요구 전송 구성요소; 상기 인증서 저장 모듈에 저장된 오프셋에 상응하는 비밀번호를 상기 인증서 저장 모듈에 입력함에 응답하여 상기 모바일 기기를 통해 상기 인증서 저장 모듈로부터 상기 디지털 인증서를 수신하는 디지털 인증서 수신 구성요소; 및 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 디지털 인증서를 통신 기기에 전송하는 디지털 인증서 전송 구성요소;를 포함한다.
본 발명의 부가적인 특징들에서는 상기 디지털 인증서의 제공 시스템이 모바일 기기를 부가적으로 포함하며, 상기 모바일 기기에는 디지털 인증서가 저장된 인증서 저장 모듈이 연결되어 있고, 상기 모바일 기기가, 상기 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신하는 요구 수신 구성요소로서, 상기 요구는 상기 원격 액세스가능 서버가 디지털 인증서 요구를 수신함에 응답하여 상기 원격 액세스가능 서버에 의해 전송되는, 요구 수신 구성요소; 상기 디지털 인증서의 해제를 허가하도록 사용자에 의해 입력된 비밀번호를 수신하는, 비밀번호 수신 구성요소; 상기 입력된 비밀번호를 비밀번호 오프셋에 비교하는, 비교 구성요소; 및 상기 입력된 비밀번호가 상기 오프셋과 일치하는 경우에, 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 상기 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 인증서 저장 모듈로부터 상기 원격 액세스가능 서버로 상기 디지털 인증서를 전송하는, 디지털 인증서 전송 구성요소;를 포함하는 것이 제공된다.
본 발명의 여전히 부가적인 특징들에서는 상기 디지털 인증서의 제공 시스템이 통신 기기를 부가적으로 포함하며, 상기 통신 기기가, 상기 원격 액세스가능 서버에 디지털 인증서 요구를 전송하도록 구성되고, 상기 원격 액세스가능 서버로부터 상기 디지털 인증서를 수신하도록 구성되며, 그리고 상기 수신된 디지털 인증서를 사용하여 상기 데이터 메시지를 디지털 방식으로 서명하거나 암호화하도록 구성되는 것이 제공된다.
본 발명의 또 부가적인 특징에서는 상기 디지털 인증서가 공개 키 암호화를 위한 '보안/다목적 인터넷 메일 확장(secure/multipurpose internet mail extensions; S/MIME)' 표준 디지털 인증서인 것이 제공된다.
본 발명의 또 부가적인 특징에서는 상기 인증서 저장 모듈이 상기 모바일 기기에 배치되어 있는 것이 제공된다.
본 발명의 여전히 부가적인 특징들에서는 상기 인증서 저장 모듈이 인증서 저장 라벨에 연결되어 있거나 배치되어 있으며, 상기 인증서 저장 라벨이 상기 모바일 기기의 통신 구성요소에 연결되어 있는 것이 제공된다.
본 발명의 부가적인 특징들에서는 상기 인증서 저장 모듈이 모바일 기기의 통신 구성요소에 배치되어 있으며, 상기 통신 구성요소가 가입자 아이덴티티 모듈(subscriber identity module; SIM) 카드인 것이 제공된다.
본 발명의 여전히 부가적인 특징들에서는 상기 인증서 저장 모듈이 단지 상기 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신함에 응답하여서만 상기 원격 액세스가능 서버에 상기 디지털 인증서를 전송하도록 구성되며, 상기 모바일 기기에 의해 수행되는 기능들 및 상기 통신 기기에 의해 수행되는 기능들이 단일 기기에 의해 수행되고, 상기 단일 기기가 상기 모바일 기기인 것이 제공된다.
본 발명의 제4 실시태양에 의하면, 디지털 인증서를 제공하는 인증서 저장 라벨이 제공되며, 상기 인증서 저장 라벨은, 모바일 기기와의 인터페이스를 위해 상기 인증서 저장 라벨의 상부 측 상에 배치되어 있는 제1 세트의 전기 접점들; 통신 구성요소와의 인터페이스를 위해 상기 인증서 저장 라벨의 하부 측 상에 배치되어 있는 제2 세트의 전기 접점들; 상기 통신 구성요소에 상기 인증서 저장 라벨을 부착하도록 구성된 커플링 요소; 및 상기 인증서 저장 라벨에 배치되어 있으며 상기 제1 및 제2 세트의 전기 접점들에 연결되어 있는 인증서 저장 모듈;을 포함하며, 상기 인증서 저장 모듈은 내부에 디지털 인증서가 저장되어 있고, 상기 인증서 저장 모듈은, 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신하는 요구 수신 구성요소로서, 상기 요구는 상기 원격 액세스가능 서버가 디지털 인증서 요구를 수신함에 응답하여 상기 원격 액세스가능 서버에 의해 전송되는, 요구 수신 구성요소; 상기 디지털 인증서의 해제를 허가하도록 사용자에 의해 입력된 비밀번호를 수신하는, 비밀번호 수신 구성요소; 상기 입력된 비밀번호를 비밀번호 오프셋에 비교하는, 비교 구성요소; 및 상기 입력된 비밀번호가 상기 오프셋과 일치하는 경우에, 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 인증서 저장 모듈로부터 상기 원격 액세스가능 서버로 상기 디지털 인증서를 전송하는, 디지털 인증서 전송 구성요소;를 포함한다.
본 발명의 부가적인 특징들에서는 상기 인증서 저장 모듈이 보안 처리 유닛 및 공개 처리 유닛을 포함하며, 상기 보안 처리 유닛 및 공개 처리 유닛이 논리적으로 그리고 물리적으로 서로 분리되어 있고, 상기 디지털 인증서가 상기 보안 처리 유닛에 안전하게 저장되어 있는 것이 제공된다.
본 발명의 부가적인 특징들에서는 상기 인증서 저장 모듈이 하드웨어 보안 모듈이고, 커플링 요소가 접착제 층이며, 상기 통신 구성요소가 가입자 아이덴티티 모듈(subscriber identity module; SIM) 카드이고, 상기 디지털 인증서가 공개 키 암호화를 위한 '보안/다목적 인터넷 메일 확장(secure/multipurpose internet mail extensions; S/MIME)' 표준 디지털 인증서인 것이 제공된다.
본 발명의 제5 실시태양에 의하면, 디지털 인증서를 제공하는 컴퓨터 프로그램 제품으로서, 상기 컴퓨터 프로그램 제품이 컴퓨터-판독가능 매체를 포함하며, 상기 컴퓨터-판독가능 매체에는, 디지털 인증서 요구를 수신하는 단계로서, 상기 요구가 식별자를 포함하는, 단계; 상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 단계로서, 상기 모바일 기기가 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지니는, 단계; 상기 모바일 기기를 통해 상기 인증서 저장 모듈에 디지털 인증서 요구를 전송하는 단계로서, 상기 인증서 저장 모듈은 인증서의 해제 전에 상기 모바일 기기를 통해 상기 인증서 저장 모듈의 사용자에게 비밀번호를 프롬프트하도록 구성된, 단계; 상기 인증서 저장 모듈에 저장되어 있는 오프셋에 상응하는 비밀번호를 상기 인증서 저장 모듈에 입력함에 응답하여 상기 인증서 저장 모듈로부터 상기 모바일 기기를 통해 상기 디지털 인증서를 수신하는 단계; 및 디지털 메시지를 디지털 방식으로 서명하거나 암호화하기 위해 상기 디지털 인증서를 통신 기기에 전송하는 단계;를 수행하는 컴퓨터-판독가능 프로그램 코드가 저장되어 있다.
본 발명의 부가적인 특징들에서는 상기 컴퓨터-판독가능 매체가 비-일시적인 컴퓨터-판독가능 매체이고 상기 컴퓨터-판독가능 프로그램 코드가 처리 회로에 의해 실행가능한 것이 제공된다.
도 1은 본 발명의 실시 예들에 따른 인증서 저장 모듈의 하드웨어 구성요소들을 예시하는 블록도이다.
도 2a는 본 발명의 한 실시 예에 따른 인증서 저장 라벨의 사시도이다.
도 2b는 본 발명의 한 실시 예에 따른 인증서 저장 라벨의 단면도이다.
도 3은 본 발명의 실시 예들에 따른 시스템을 예시하는 블록도이다.
도 4a는 본 발명의 실시 예들에 따른 등록 스테이지에서 현재 사용되고 있는 시스템을 스윔 레인(swim-lane) 형태로 예시하는 흐름도이다.
도 4b는 본 발명의 실시 예들에 따른 현재 사용되고 있는 시스템을 스윔 레인 형태로 예시하는 흐름도이다.
도 4c는 모바일 기기가 상기 모바일 기기의 동작들 외에도 통신 기기의 동작들을 수행하도록 구성되어 있는 본 발명의 한 대표적인 실시 예를 스윔 레인 형태로 예시하는 흐름도이다.
도 5는 본 발명의 실시 예들에 따른 방법을 예시하는 흐름도이다.
도 6은 본 발명의 실시 예들에 따른 시스템의 기기들의 구성요소들을 예시하는 블록도이다.
도 7은 본 발명의 실시 예들에 따른 디지털 인증서를 제공하기 위한 인증서 저장 라벨을 예시하는 블록도이다.
도 8은 본 발명의 실시 예들에 따른 원격 액세스가능 서버, 모바일 기기 및 통신 기기에서 수행되는 방법을 스윔 레인 형태로 예시하는 흐름도이다.
도 9는 본 개시내용의 여러 실시태양이 구현될 수 있게 하는 컴퓨팅 기기의 일 예를 예시하는 도면이다.
도 10은 본 개시내용의 실시 예들에서 사용되는 통신 기기의 블록도이다.
공개 키 인증서 또는 아이덴티티 인증서로서 또한 알려져 있을 수 있는 디지털 인증서는 공개 키를 아이덴티티(예를 들면 사용자 또는 조직의 이름)와 바인딩(binding)하는 전자 문서이다. 다시 말하면, 상기 디지털 인증서는 공개 키가 개인 또는 조직에 속하는 것임을 검증하는데 사용될 수 있다. 디지털 인증서는 상기 인증서를 고유하게 식별하는데 사용되는 일련 번호, 대상(식별되는 사람, 또는 개체), 서명 알고리즘, 발행자로부터 비롯된 것임을 검증하는데 사용된 서명, 정보를 검증하여 인증서를 발행한 개체의 발행자 식별자, 카드 발행 일자(valid-from date), 카드 유효 일자(valid-to date), 상기 공개 키의 목적(예컨대, 암호화, 서명, 인증서 서명 등등)을 나타내는 키-사용, 공개 키, 상기 디지털 인증서를 해싱하는데 사용되는 지문 알고리즘(thumbprint algorithm) 및 상기 해시 자체이며 상기 디지털 인증서의 생략된 형태로서 사용되는 지문을 포함할 수 있다.
본 발명의 실시 예들에서는 하나 이상의 디지털 인증서들이 저장되게 할 수 있는 인증서 저장 모듈이 제공된다. 상기 인증서 저장 모듈은 모바일 기기에 연결되어 있을 수 있다. 더군다나, 상기 인증서 저장 모듈은 단지 원격 액세스가능 서버로부터의 디지털 인증서 요구를 수락하도록만 구성될 수 있다. 그러한 요구의 수신에 응답하여, 상기 인증서 저장 모듈은 상기 디지털 인증서를 상기 원격 액세스가능 서버에 전송할 수 있다.
상기 인증서 저장 모듈은 상기 모바일 기기의 하드웨어 내에 구축되어 있을 수도 있으며, 상기 모바일 기기에 연결되어 있고 상기 모바일 기기와의 통신을 이루는 통신 구성요소에 배치되어 있을 수도 있으며, 상기 모바일 기기 및 상기 모바일 기기의 통신 구성요소 양자 모두에 연결되어 있고 상기 모바일 기기 및 상기 모바일 기기의 통신 구성요소 양자 모두와의 통신을 이루는 라벨(label)에 제공되어 있을 수도 있으며, 이와는 달리 상기 모바일 기기에 연결되어 있고 상기 모바일 기기와의 전기 통신을 이룰 수도 있다.
도 1에는 본 발명의 여러 실시 예에 따른 인증서 저장 모듈(100)의 하드웨어 구성요소들이 블록도로 도시되어 있다. 상기 인증서 저장 모듈(100)은 공개 처리 유닛(public processing unit; PPU) (102) 및 상기 PPU(102)에 연결되어 있는 보안 처리 유닛(secure processing unit; SPU) (104)을 포함한다. 여기서 유념해야 할 점은 비록 상기 SPU(104)가 상기 PPU(102)에 연결되어 있지만, 상기 인증서 저장 모듈(100)이 상기 SPU(104) 및 상기 PPU(102) 간의 논리적 및/또는 물리적 분리(106)를 제공한다는 점이다. "물리적 분리"는 상기 SPU(104) 및 상기 PPU(102) 간의 소정의 물리적 경계를 언급한다. 예를 들면, 상기 SPU(104) 및 상기 PPU(102)는 개별 반도체 다이들 또는 개별적으로 패키징된 반도체 칩들로 구현될 수 있으며 개별 반도체 다이들 또는 개별적으로 패키징된 반도체 칩들로서 제조될 수 있고, 상기 다이들 또는 칩들의 물리적 경계는 상기 물리적 분리로서의 역할을 한다. "논리적 분리"는 상기 SPU(104) 및 상기 PPU(102) 간의 저장 메모리 및 통신 인터페이스의 분리를 언급한다. 도 1에 도시된 바와 같이, 상기 PPU(102)가 모바일 기기 인터페이스(108) 및 상기 PPU에 대한 통신 인터페이스(112)와 분리되어 있는 상기 SPU에 대한 통신 인터페이스(110)를 지닌다. 상기 PPU(102)는 또한 보안 메모리일 수 있으며 상기 SPU(104)의 보안 메모리(122)와 분리되어 있는 자체적인 메모리(114)를 지닌다. 이하에서 설명되겠지만, 상기 SPU(104) 및 상기 PPU(102) 간에 제공되는 논리적 및/또는 물리적 분리(106)는 허가되지 않은 액세스들로부터 상기 SPU(104) 및 그의 보안 메모리(122)에 저장되어 있는 콘텐츠들을 보호하도록 하드웨어 역할 분할이 이루어지게 한다.
몇몇 실시 예들에 의하면, 상기 PPU(102)는 프로세서(118), 메모리(114), 모바일 기기에 대한 인터페이스(108), 통신 기기 인터페이스(109), 및 PPU-SPU 인터페이스(110)를 포함한다. 상기 프로세서(118)는 하나 이상의 프로세서들 또는 제어기들로서 구현될 수도 있고 하나 이상의 암호화 프로세서들을 사용하여 구현될 수도 있다.
상기 메모리(114)는 상기 프로세서(1418)에 연결되어 있으며, 상기 프로세서(118)에 의해 실행될 경우에 상기 프로세서(118)로 하여금 운영 쳬계(operating system; OS) 및/또는 애플리케이션을 실행하여 상기 인증서 저장 모듈(100)의 기능 및 동작들을 관리하게 하며, 상기 PPU(102)의 여러 인터페이스 간의 정보 교환을 처리하게 하는 데이터 및 실행가능 코드를 저장하도록 하는 저장소를 제공한다. 상기 메모리(114)는 또한 데이터 저장소(238)를 포함할 수 있다.
상기 PPU-SPU 인터페이스(110)는 상기 SPU(104)에 연결되어 있으며, 디지털 인증서 요구들 또는 암호화 및 복호화 요구들과 같은 커맨드들 및 정보를 상기 SPU(104)에 발신하고, 상기 SPU(104)로부터의 디지털 인증서들 또는 암호화 및 복호화 결과들과 같은 커맨드들 및 정보를 수신하도록 클록 신호 및 하나 이상의 데이터 입력/출력(input/output; I/O) 신호들을 포함할 수 있는 한 세트의 신호들을 제공한다. 상기 SPU(104) 및 상기 PPU(102) 간의 논리적 및 물리적 분리(106) 때문에, 상기 SPU(104)는 단지 상기 PPU(102)에만 노출되고, 상기 PPU(102)를 통하는 것 외에는 상기 모바일 기기에나 또는 상기 통신 구성요소에 액세스가능하지 않다. 그러므로, 상기 PPU(102)는 해킹 시도들과 같은 허가되지 않거나 원하지 않는 통신들이 상기 SPU(104)에 발신되지 않게 하도록 하는 방화벽 또는 게이트키퍼(gatekeeper)로서의 역할을 할 수 있다.
몇몇 실시 예들에 의하면, 상기 SPU(104)는 암호 프로세서(120), 보안 메모리(122), 및 SPU-PPU 인터페이스(112)를 포함한다. 상기 SPU(104)는 또한 위변조(tamper) 검출 센서들(124)을 포함할 수 있다. 위에서 언급한 바와 같이, 상기 SPU(104)는 단지 상기 PPU(102)로부터만 액세스가능하고, 상기 SPU-PPU 인터페이스(112)를 통해 상기 PPU(102)로부터 커맨드들 및 정보를 수신한다. 상기 SPU-PPU 인터페이스(112)는 상기 PPU-SPU 인터페이스(110)에 연결되어 있으며 상기 SPU(104)가 상기 PPU(102)와 통신하는데 사용할 수 있는 하나 이상의 데이터 입력/출력(I/O) 신호들 및 클록 신호를 포함할 수 있는 한 세트의 신호들을 제공한다. 몇몇 실시 예들에서는, 상기 SPU(104)가 단지 상기 SPU-PPU 인터페이스(112)를 통해 수신된 상기 PPU(102)로부터의 결제 크리덴셜 또는 암호화 및 복호화 요구들에만 응답하게 된다.
상기 암호 프로세서(120)는 하나 이상의 프로세서들, 제어기들 또는 암호 프로세서들로서 구현될 수 있다. 암호 프로세서가 계산 집약적인 암호화 함수들을 수행시키는데 최적화되는 하나 이상의 암호용 '산술 논리 유닛(arithmetic logic unit; ALU)'들(128)과 같은 전용 회로 및 하드웨어를 포함한다는 점에서 암호 프로세서는 범용 프로세서와 다르다. 이러한 암호용 ALU(128)는 상기 암호 프로세서로 하여금 범용 프로세서들보다 신속하고 효율적인 암호화 동작들을 수행할 수 있게 하도록 최적화된 파이프라인들 및 넓은 데이터 버스들을 포함할 수 있다.
상기 보안 메모리(122)는 상기 암호 프로세서(120)에 연결되어 있으며, 암호 키 저장소(130) 및 데이터 저장소(132)로 분할될 수 있다. 상기 데이터 저장소(132)는 상기 암호 프로세서(120)에 의해 판독 및 기록될 수 있으며 디지털 인증서들과 같은 사용자 데이터, 상기 PPU(102)로부터 상기 SPU-PPU 인터페이스(112) 상에 수신되는 데이터, 및 상기 SPU-PPU 인터페이스(112)를 통해 상기 PPU(102)로 발신되는 암호화 및 복호화 결과들을 저장하도록 하는 저장소 메모리를 제공한다. 상기 암호 키 저장소(130)는 상기 암호 프로세서(120)에 대하여 판독 전용될 수 있으며, 사설 키들 및 공개 키들와 같은 암호 키들, 하나 이상의 디지털 인증서들에 상응하는 하나 이상의 비밀번호(또는 PIN) 오프셋들 및/또는 암호화 알고리즘들을 저장하는데 사용될 수 있다. 상기 암호 키 저장소(130) 내에 저장되는 비밀번호(또는 PIN) 오프셋들 및 암호화 키들 및 알고리즘들은 상기 인증서 저장 모듈(100)의 제조시 제조업자에 의해 제공될 수 있으며, 모바일 네트워크 운영자 또는 무선 서비스 제공자와 같은, 상기 인증서 저장 모듈(100)을 제공하는데 허가를 받은 제조업자 및/또는 허가를 받은 당사자들에게만 알려져 있는 마스터 키 없이 외부 소스에 의해 변경될 수 없다. 몇몇 실시 예들에서는, 상기 암호 키 저장소(130)의 컨텐츠가 결코 상기 SPU(104) 외부로 전송되지 않고, 상기 PPU(102)에 의해 액세스 가능하지도 않다. 암호 키 저장소(130)에 저장된 암호 키들 및 알고리즘들은 고급 암호화 표준(Advanced Encryption Standard; AES), 데이터 암호화 표준(Data Encryption Standard; DES), 트리플 데이터 암호화 표준/알고리즘(Triple Data Encryption Standard/Algorithm; TDES/TDEA), 보안 소켓 계층(Secure Socket Layer; SSL), 블로우피시(Blowfish), 서펜트(Serpent), 투피시(Twofish), 국제 데이터 암호화 알고리즘(International Data Encryption Algorithm; IDEA), 리베스트, 샤미르, 및 애들먼(Rivest, Shamir, & Adleman; RSA), 디지털 서명 알고리즘(Digital Signature Algorithm; DSA), 조그만 암호화 알고리즘(Tiny Encryption Algorithm; TEA), 확장형 TEA(extended TEA; XTEA) 및/또는 다른 암호화 알고리즘들 또는 프로토콜들을 포함하지만 이들에 국한되지 않는 여러 암호화 표준 및 프로토콜을 수행시키도록 제공될 수 있다.
몇몇 실시 예들에서는, 상기 SPU(104)가 상기 인증서 저장 모듈(100)을 위변조하려는 외부 시도들을 검출하도록 하는 위변조 검출 센서들(124)을 또한 포함할 수 있다. 예를 들면, 상기 위변조 검출 센서들(124)은 누군가가 상기 인증서 저장 모듈(100)의 구성요소들의 땜납을 제거하려고 시도함을 나타낼 수 있는 온도들을 검출하도록 하는 온도 센서들, 및/또는 누군가가 상기 인증서 저장 모듈(100)을 절개하거나 개봉하려고 시도함을 나타낼 수 있는 상기 인증서 저장 모듈(100)에 대한 구조적 변화를 감지하도록 하는 기계적 센서들을 포함할 수 있다. 상기 위변조 검출 센서들(124)은 누군가가 상기 인증서 저장 모듈(100)의 구성요소들을 프로빙(probing)하려고 시도함을 나타낼 수 있는 인증서 저장 모듈(100)의 회로에 대한 소정의 전압, 전류, 또는 임피던스 변화들을 감지하도록 하는 전기 센서들, 및/또는 누군가가 상기 인증서 저장 모듈(100)을 검사하려는 시도함을 나타낼 수 있는 X-선과 같은 소정의 방사선을 감지하도록 하는 전자기 센서들을 또한 포함할 수 있다. 몇몇 실시 예들에서는, 상기 위변조 검출 센서들(124)이 상기 인증서 저장 모듈(100)을 위변조하려는 시도를 검출함에 응답하여 상기 SPU(104) 및/또는 상기 인증서 저장 모듈(100)이 사용 불가능해지도록 상기 보안 메모리(122)의 콘텐츠를 지워 없앨 수 있는 회로를 포함할 수 있다. 상기 인증서 저장 모듈(100)은 또한 상기 인증서 저장 모듈(100)을 위변조하려는 시도를 검출함에 응답하여 상기 위변조 검출 센서들(124)에 의해 방출되는 용매에 의해 용해될 수 있는 유기성 또는 가용성 배선들로 또한 구성될 수 있다.
본 발명의 실시 예들에서는 상기 SPU(104) 및/또는 상기 PPU(102)가 "칩 앤 핀(chip and pin)" 신용 카드 또는 스마트 카드를 통해서 찾아 볼 수 있게 되는 것들과 같은 보안 집적 회로인 것이 제공된다. 전형적인 SPU들은 유로페이 마스터카드 비자(Europay-Mastercard-Visa; EMV) 신용 카드들에서 사용하기 위해 승인된 제품들로서 EMVCo에 의해 목록화되는, "NXP Semiconductors GmbH, Samsung, STMicroelectronics, Atmel, INSIDE electronics, Infineon Technologies AG 따위"에 의해 만들어진 것들을 포함할 수 있다. 변형적으로는, 상기 SPU(104)가 EMVCo 또는 다른 표준화 기구에 의해 제시된 것과 유사한 보안 요건들을 충족시킨다는 점에서 상기 SPU(104)가 EMV 신용 카드들에서 사용하기 위해 승인된 제품들과 동등할 수 있고 또한 상기 SPU(104)가 7-계층 애플리케이션 방화벽을 구현할 수 있다. 몇몇 실시 예들에서는, 상기 인증서 저장 모듈(100)이 하드웨어 보안 모듈일 수 있다.
지금까지 언급한 바와 같이, 본 발명의 실시 예들에서는 상기 인증서 저장 모듈(100)이 다양한 방식으로 모바일 기기에 연결되는 것이 제공된다. 예를 들면, 본 발명의 몇몇 실시 예들에서는, 상기 인증서 저장 모듈(100)이 모바일 기기의 하드웨어 내에 구축될 수 있다. 상기 인증서 저장 모듈(100)은 상기 모바일 기기의 인쇄 회로 보드 상에 배치된 하나 이상의 집적 회로들로서 제공될 수 있으며 상기 모바일 기기의 통신 버스와의 통신을 이룰 수 있다.
다른 한 실시 예에서는, 상기 인증서 저장 모듈(100)이 상기 모바일 기기에 연결되어 있고 상기 모바일 기기와의 통신을 이루는 통신 구성요소 내에 배치될 수도 있으며 상기 모바일 기기에 연결되어 있고 상기 모바일 기기와의 통신을 이루는 통신 구성요소 내에 일체화될 수도 있다. 상기 통신 구성요소는 예를 들면 가입자 아이덴티티 모듈(SIM) 카드 따위와 같은 범용 집적회로 카드(Universal Integrated Circuit Card; UICC)일 수 있다. 상기 인증서 저장 모듈(100)은 상기 통신 구성요소가 상기 모바일 기기에 연결되어 있으며 상기 모바일 기기와의 전기 통신을 이루는 경우에, 상기 인증서 저장 모듈(100)이 역시 상기 모바일 기기와의 통신을 이룰 수 있도록 상기 통신 구성요소의 전기 접점들과의 전기 통신을 이룰 수 있다.
상기 인증서 저장 모듈(100)을 모바일 기기에 결합시킴으로써, 본 발명의 여러 실시 예에 따른 인증서 저장 모듈(100)은 상기 모바일 기기의 사용자 인터페이스를 통해 사용자 입력을 수신하여 상기 모바일 기기를 거쳐 모바일 네트워크를 통해 원격 액세스가능 서버와의 통신을 이룰 수 있다.
본 발명의 다른 한 실시 예에서는, 상기 인증서 저장 모듈이 라벨에 배치될 수 있다. 그러한 본 발명의 실시 예에서는, 상기 인증서 저장 모듈(100)의 모바일 기기 인터페이스(108)가 모바일 기기(예컨대, 모바일 폰)와의 인터페이스를 이루는 한 세트의 전기 접점들(142)에 연결될 수 있으며, 상기 PPU(102) 및 상기 모바일 기기 간에 커맨드들 및 정보를 발신 및 수신하도록 클록 신호 및 하나 이상의 데이터 입력/출력(I/O) 신호들을 포함할 수 있는 한 세트의 신호들을 제공할 수 있다. 상기 인증서 저장 모듈(100)은 통신 카드(예컨대, SIM 카드)와 같은 통신 구성요소와의 인터페이스를 이루는 한 세트의 전기 접점들(144)에 연결된 통신 기기 인터페이스(109)를 포함할 수 있으며, 상기 PPU(102) 및 상기 통신 구성요소 간에 커맨드들 및 정보를 발신 및 수신하도록 클록 신호 및 하나 이상의 데이터 입력/출력(I/O) 신호들을 포함할 수 있는 한 세트의 신호들을 제공할 수 있다.
도 2a에는 본 발명의 실시 예들에 따른 인증서 저장 모듈(100)이 배치될 수 있게 하는 인증서 저장 라벨(150)이 사시도로 예시되어 있다. 상기 인증서 저장 라벨(150)은 모바일 기기의 통신 구성요소에 부착될 수 있다. 전형적인 통신 구성요소들에는 가입자 아이덴티티 모듈(subscriber identity module; SIM) 카드, 스마트 카드 또는 메모리 카드가 포함된다. 전형적인 모바일 기기들에는 모바일 폰, 태블릿 컴퓨터, 랩톱 컴퓨터, 개인 휴대 정보 단말기 따위가 포함된다. 예시된 실시 예에서는, 상기 통신 구성요소가 미니-SIM 카드(152)이다.
도 2b에는 도 2a의 인증서 저장 라벨(150)이 단면도로 도시되어 있다. 상기 라벨(150)은 모바일 기기와의 인터페이스를 이루기 위한, 상기 라벨(150)의 상부 측 상에 배치된 제1 세트의 전기 접점들(154) 및 SIM 카드(152)의 전기 접점들(156)과의 인터페이스를 이루기 위한, 상기 라벨(150)의 하부 측 상에 배치된 제2 세트의 전기 접점들(158)을 포함한다. 본 발명의 실시 예들에서는 상기 라벨(150)이 하나의 SIM 카드(152) 상에서 사용하는 것에 제한되는 것이 부가적으로 제공될 수 있다. 예를 들면, 상기 라벨(150)은 특정 ICCID 또는 IMSI 번호를 지니는 SIM 카드(152)와 양립할 수 있다. 이는 상기 라벨(150)이 상기 라벨(150)의 SIM 카드(152)로부터 제거될 수 없고 다른 SIM 카드상에 배치될 수 없음을 의미하게 된다. 변형적으로는, 상기 라벨(150)이 특정한 모바일 네트워크 운영자의 SIM 카드에 한정될 수도 있고, 특정 MSISDN에 상응하는 SIM 카드에 국한될 수 있다. 여기서 이해하여야 할 점은 "에 배치된"이라는 용어가 상기 인증서 저장 모듈(100)이 상기 인증서 저장 라벨(150) 따위의 외부 표면상에 배치되게 하는 본 발명의 실시 예들을 포함한다는 점이다.
위에 기재한 여러 실시 예에 따른 인증서 저장 모듈(100)은 결과적으로는 모바일 통신 네트워크를 통해 원격 액세스가능 서버로부터 상기 모바일 기기로 발신되는 디지털 인증서 요구를 지니는 메시지를 감청하도록 구성될 수 있다. 상기 인증서 저장 모듈(100)은 상기 모바일 기기를 통해 사용자에 의해 입력된 비밀번호를 상기 인증서 저장 모듈(100)에 저장된 비밀번호 오프셋과 비교함으로써 사용자 인증을 획득하도록 구성될 수 있다. 상기 비밀번호 및 상기 오프셋이 일치하는 경우에, 상기 인증서 저장 모듈(100)은 상기 요구된 디지털 인증서를 상기 SPU(104)로부터 상기 PPU(102)로 방출하여 이로부터 상기 원격 액세스가능 서버와의 통신을 이루도록 구성된다.
도 3에는 본 발명의 여러 실시 예에 따른 시스템(300)이 개략적으로 예시되어 있다. 상기 시스템(300)은 복수 개의 모바일 기기들(312, 314, 316) 및 복수 개의 통신 기기들(322, 324, 326)을 포함하며, 이들 각각은 상기 시스템(302, 304, 306)의 복수의 사용자들 중 하나의 사용자에 의해 운영된다. 상기 시스템은 또한 적어도 하나의 사용자 프로파일 데이터베이스(342)가 상부에 저장되어 있는 원격 액세스가능 서버(340)를 포함한다. 상기 복수 개의 통신 기기들(322, 324, 326) 및 상기 복수 개의 모바일 기기들(312, 314, 316)은 각각 원격 액세스가능 서버(340)와 통신한다. 이러한 통신은 암호화된 터널(encrypted tunnel)을 통해 이루어질 수 있는데, 상기 암호화된 터널은 예를 들면 인터넷 프로토콜 보안(internet protocol security; IPSec), 보안 소켓 계층(secure socket layer; SSL), 전송 계층 보안(transport layer security; TLS) 또는 보안 쉘(secure shell; SSH) 암호화된 터널일 수 있다.
상기 복수 개의 모바일 기기(312, 314, 316) 각각은 임의의 적합한 모바일 기기일 수 있으며, 상기 임의의 적합한 모바일 기기의 예들에는 모바일 폰들, 태블릿 컴퓨터들, 개인 휴대 정보 단말기들, 스마트폰들, 랩톱 컴퓨터들 따위가 있다. 상기 복수 개의 모바일 기기들 중 각각의 모바일 기기에는 인증서 저장 모듈(332, 334, 336)이 연결되어 있다.
도 3에 예시된 시스템(300)의 실시 예에서는, 상기 복수 개의 인증서 저장 모듈들 각각이 인증서 저장 라벨에 배치되어 있으며 상기 인증서 저장 라벨은 대응하는 모바일 기기의 통신 구성요소에 부착 또는 연결되어 있다. 그러나, 다른 구현들에서는 상기 인증서 저장 모듈이 상기 모바일 기기, 상기 모바일 기기의 SIM 카드 따위에 직접 배치되는 것으로 생각될 수 있다. 상기 모바일 기기들(312, 314, 316) 중 각각의 모바일 기기는 그러한 모바일 기기에 고유한 통신 어드레스를 통해 어드레스가능하다.
본 발명의 실시 예들에서는 모바일 소프트웨어 애플리케이션이 상기 모바일 기기들(312, 314, 316) 각각 상에 상주하고 상기 모바일 소프트웨어 애플리케이션이 사용자들로 하여금 상기 모바일 기기들(312, 314, 316) 각각에 연결되어 있는 인증서 저장 모듈들(322, 334, 336)과의 인터페이스를 이루게 할 수 있는 것이 제공된다. 상기 소프트웨어 애플리케이션은 상기 인증서 저장 모듈(332, 334, 336)에 저장된 오프셋과 비교될 비밀번호를 상기 모바일 기기(312, 314, 316) 내에 입력하는 것을 용이하게 하는 사용자 인터페이스; 사용자들이 디지털 인증서들을 선택할 수 있게 하는 리스트; 디지털 인증서 요구들의 통지들 따위를 제공할 수 있다. 상기 사용자 인터페이스는 메뉴를 포함할 수 있으며 상기 메뉴로부터 이러한 통신들 중 적어도 일부가 개시될 수 있다. 본 발명의 실시 예들에서는 그러한 인터페이스가 SIM 애플리케이션 툴키트 프로토콜(SIM Application Toolkit protocol)(일반적으로는 STK 프로토콜로서 언급됨) 구현 따위에 의해 제공되는 것이 부가적으로 제공된다.
전형적인 통신 기기들(322, 324, 326)에는 데스크톱 컴퓨터들, 랩톱 컴퓨터들, 모바일 폰들, 태블릿 컴퓨터들 또는 기타 적합한 통신 기기가 포함된다. 상기 통신 기기들(322, 324, 326) 각각은 적어도 데이터 메시지들을 발신 및 수신하고 상기 원격 액세스가능 서버(340)로부터 디지털 인증서를 요구하도록 구성된다. 상기 통신 기기들(322, 324, 326) 각각은 데이터 메시지를 디지털 방식으로 서명 또는 암호화하도록 부가적으로 구성될 수 있다.
"데이터 메시지"라는 용어는 임의의 디지털 문서, 예컨대 이메일 또는 다른 디지털 메시지; 디지털 이미지; 컴퓨터 파일; 컴퓨터 폴더 또는 디렉터리; 컴퓨터 프로그램 따위의 그룹으로부터의 임의의 디지털 문서를 포함할 수 있다.
본 발명의 실시 예들에서는 모바일 기기(예컨대, 312) 및 통신 기기(예컨대, 322)가 동일한 기기인 것이 제공된다. 예를 들면, 사용자(예컨대, 302)는 단일 기기, 다시 말하면 상기 단일 기기에 연결되어 있는 인증서 저장 모듈(332)을 지니는 단일 기기를 사용하여 상기 원격 액세스가능 서버(340)로부터 디지털 인증서를 요구하고, 상기 인증서 저장 모듈(332)로부터의 상기 디지털 인증서의 방출을 허가하며 그리고 상기 디지털 인증서를 수신할 수 있다.
상기 원격 액세스가능 서버(340)는 서버 컴퓨터이며, 상기 서버 컴퓨터는 적어도 통신 기기(예컨대, 322)로부터 디지털 인증서 요구를 수신하고 데이터베이스에 질의하여 상기 통신 기기(322)에 연관된 인증서 저장 모듈(332) 또는 모바일 기기(312)의 통신 어드레스를 식별하도록 구성된다. 상기 원격 액세스가능 서버(340)는 상기 모바일 기기(312)를 통해 그리고 상기 통신 어드레스를 사용하여 상기 인증서 저장 모듈(332)로부터 디지털 인증서를 요구하고 그 후에 상기 인증서 저장 모듈(332)로부터 디지털 인증서를 수신하도록 부가적으로 구성된다. 상기 원격 액세스가능 서버(340)는 그 후에 상기 디지털 인증서를 상기 통신 기기(322)에 전송하도록 구성된다. 상기 원격 액세스가능 서버(340)의 상기 인증서 저장 모듈들(332, 334, 336)과의 통신들은 그러한 인증서 저장 모듈(332, 334, 336)에 상응하는 모바일 기기(312, 314, 316)를 통해 이루어질 수 있다. 디지털 인증서 요구는 상기 모바일 기기(예컨대, 312)로 발신되며 상기 모바일 기기(예컨대, 312)의 인증서 저장 모듈(332)에 의해 감청된다. 상기 원격 액세스가능 서버는 통신 기기로부터 수신된 디지털 인증서 요구가 해당 인증서 저장 모듈로 라우팅(routing)되게 하는 라우팅 기능을 추가로 제공할 수 있다. 변형적으로는, 그러한 라우팅 기능이 별도의 라우팅 서버 또는 라우팅 디렉터리에 의해 제공될 수 있다.
상기 인증서 저장 모듈들(332, 334, 336) 각각은 SPU 및 PPU를 포함하고, 하나 이상의 디지털 인증서들을 보안성 있게 저장하도록 구성되어 있다. 상기 인증서 저장 모듈들(332, 334, 336)은 상기 원격 액세스가능 서버(340)로부터 디지털 인증서 요구를 수신하도록 부가적으로 구성되어 있다. 상기 인증서 저장 모듈들(332, 334, 336)은 상기 인증서 저장 모듈이 연결되어 있는 모바일 기기(312, 314, 316)를 통해 사용자 허가를 요구하고 수신하도록 구성된다. 성공적인 허가 다음에는, 상기 인증서 저장 모듈(예컨대, 332)이 관련 디지털 인증서를 상기 원격 액세스가능 서버(340)에 전달하도록 구성된다. 상기 인증서 저장 모듈들(332, 334, 336) 각각은 모바일 기기(312, 314, 316)에 상응하며 상기 모바일 기기(312, 314, 316)에 연관된 통신 어드레스를 통해 어드레스가능하다.
도 3에는 또한 인증 기관(350)이 도시되어 있으며 상기 인증 기관(350)은 상기 원격 액세스가능 서버(340)와의 통신을 이루고 디지털 인증서들을 생성 및 확인하도록 구성되어 있다.
본 발명의 몇몇 실시 예들에서는, 상기 인증서 저장 모듈들(332, 334, 336)이 해당 통신 기기들(322, 324, 326)이 연결되어 있는 모바일 기기들(312, 314, 316)을 통해 직접 상기 해당 통신 기기들(322, 324, 326)과 통신할 수 있다. 그러한 구성은 상기 디지털 인증서들이 상기 원격 액세스가능 서버에 의해 전송되지 않고, 상기 인증서 저장 모듈들(332, 334, 336)로부터 상기 인증서 저장 모듈들(332, 334, 336)이 연결되어 있는 모바일 기기들(312, 314, 316)을 통해 해당 통신 기기들(322, 324, 326)로 직접 발신되는 것을 허용한다.
도 4a에는 사용자(402)가 도 3에 예시된 시스템(300)에 등록하게 하는 도 3에 도시된 시스템(300)의 현행 시나리오가 예시되어 있다. 인증서 저장 모듈(432)을 획득하고 자신의 인증서 저장 모듈(432)을 이용하여 자신의 이메일 또는 다른 데이터 메시지를 디지털 방식으로 서명 및/또는 암호화하고자 하는 사용자(402)는 자신의 인증서 저장 모듈(432)의 인증서 저장 식별자와 아울러 상기 사용자의 인증서 저장 모듈(432)에 연관된 모바일 기기의 통신 어드레스를 원격 액세스가능 서버(440)에 등록한다(470).
상기 원격 액세스가능 서버(440)는 그 후에 이러한 식별자를 사용자 프로파일 데이터베이스에 저장한다(471). 이 외에도, 상기 사용자는 자신이 사용자 프로파일 데이터베이스에 또한 저장되는 디지털 방식으로 암호화 및/또는 서명된 이메일들을 발신 및 수신하고자 하는 이메일 어드레스를 상기 원격 액세스가능 서버에서 확인한다. 상기 원격 액세스가능 서버(440)는 그 후에 상기 사용자가 참가 인증 기관(450)으로부터 디지털 인증서를 요구하는 것을 허용하거나, 상기 사용자가 사전에 존재하는 디지털 인증서를 이용하는 것을 허용한다.
상기 사용자가 디지털 인증서를 요구(472)하는 경우에, 상기 원격 액세스가능 서버(440)가 그 후에 사용자의 등록된 이메일 어드레스에 대한 디지털 인증서를 참가 인증 기관(450)으로부터 요구(473)하게 된다. 상기 인증 기관(450)은 디지털 인증서를 생성(474)하고 생성된 디지털 인증서를 상기 원격 액세스가능 서버(450)에 전송하게 되며, 상기 원격 액세스가능 서버(410)는 상기 인증 기관(450)으로부터 상기 디지털 인증서를 수신할 경우에 상기 인증서를 저장(476)을 위해 상기 사용자의 인증서 저장 모듈(432)로 전달(475)하게 된다.
상기 사용자가 사전에 존재하는 인증서를 이용(472)하고자 하는 경우에, 상기 원격 액세스가능 서버(440)는 상기 원격 액세스가능 서버(440)의 특정된 이메일 어드레스로 디지털 방식으로 서명된 이메일을 발신하도록 상기 사용자에게 프롬프트한다. 상기 사용자는 상기 원격 액세스가능 서버(440)의 특정된 이메일 어드레스로 디지털 방식으로 서명된 이메일을 발신(477)하고 상기 원격 액세스가능 서버(440)는 그 후에 관련 인증 기관에서 상기 사용자로부터 수신된 디지털 방식으로 서명된 이메일에서 수신된 디지털 인증서를 확인(478)하고 그 후에 상기 디지털 인증서의 재-발행을 위해 관련 인증 기관에 프롬프트한다. 상기 디지털 인증서는 재발행(479)되고 상기 원격 액세스가능 서버로 재전송된다. 상기 원격 액세스가능 서버(440)는 상기 재-발행된 디지털 인증서를 수신(480)하고, 사용자의 인증 저장 모듈(432)로 상기 재-발행된 디지털 인증서를 전송하도록 사용자 허가를 받은 경우에, 상기 사용자의 인증 저장 모듈(432)에의 저장(476)을 위해 상기 사용자의 인증 저장 모듈(432)로 상기 재-발행된 디지털 인증서를 전송한다.
도 4b에는 스스로 사전에 상기 원격 액세스가능 서버에 등록한 사용자에 의해 현재 사용되고 있는 도 3에 예시된 시스템(300)의 시나리오가 예시되어 있다. 예를 들면 디지털 인증서를 이용하여 자신의 통신 기기(422)로부터 발신될 데이터 메시지를 디지털 방식으로 서명하거나 자신의 통신 기기(422)를 통해 수신된 데이터 메시지를 복호화하고자 하는 사용자는 자신의 통신 기기(422)를 사용하여 디지털 인증서 요구를 원격 액세스가능 서버(440)에 전송(481)한다. 상기 원격 액세스가능 서버(440)는 이러한 요구를 수신(482)하고 인증서 저장 식별자와 같은, 내부에 포함된 정보를 사용해, 데이터베이스에 질의하여 사용자의 요구 및/또는 통신 기기(422)에 연관된 모바일 기기(412)의 통신 어드레스를 식별한다. 메시지들이 어드레싱될 수 있게 하는 통신 어드레스(예컨대, 모바일 가입자 통합 서비스 디지털 네트워크-번호(mobile subscriber integrated services digital network-number; MSISDN) 따위)를 획득한 후에, 상기 원격 액세스가능 서버(440)는 상기 모바일 기기(412)를 통해 디지털 인증서 요구를 상기 인증서 저장 모듈(432)로 전송한다. 상기 인증서 저장 모듈(432)은 상기 요구를 수신한 다음에 상기 모바일 기기(412)를 통해 상기 사용자에게 자신의 비밀번호를 프롬프트(483)함으로써 상기 요구를 허가한다. 상기 사용자는 상기 모바일 기기(412) 내에 자신의 비밀번호를 입력(484)하고 상기 인증서 저장 모듈(432)은 상기 입력된 비밀번호를 상기 인증서 저장 모듈(432)에 저장된 오프셋과 비교한다. 상기 입력된 비밀번호 및 상기 오프셋 간의 매치가 이루어지는 경우에, 상기 인증서 저장 모듈(432)은 관련 디지털 인증서를 방출하고 상기 모바일 기기(412)를 통해 상기 디지털 인증서를 상기 원격 액세스가능 서버(440)에 전송(485)한다. 상기 디지털 인증서는 상기 원격 액세스가능 서버(440)에서 수신(486)되고 상기 사용자에 의한 사용을 위해, 상기 디지털 인증서가 수신(487)되는 통신 기기(422)로 전달된다.
본 발명의 몇몇 실시 예들에서는, 상기 모바일 기기(412)에 의해 수행되는 기능들 및 상기 통신 기기(422)에 의해 수행되는 기능들이 단일 기기에 의해 수행될 수 있다. 예를 들면, 상기 모바일 기기(412)는 상기 원격 액세스가능 서버(410)로부터 상기 디지털 인증서를 요구하고 그에 응답하여 상기 모바일 기기(412)에서의 사용을 위해 상기 요구된 디지털 인증서를 수신할 수 있다. 변형적으로는, 상기 통신 기기(422)는 상기 통신 기기(422)에 연결되어 있으며 상기 통신 기기(422)와의 전기 통신을 이루는 상기 통신 기기(422) 자체의 인증서 저장 모듈(432)을 지닐 수 있고 상기 원격 액세스가능 서버(410)로부터 상기 디지털 인증서를 요구하고, 그에 응답하여 상기 통신 기기(422)에서의 사용을 위해 상기 요구된 디지털 인증서를 수신할 수 있다.
상기 인증서 저장 모듈은 상기 원격 액세스가능 서버와는 다른 기기들로부터의 디지털 인증서 요구를 수락하지 않도록 구성되어 있을 수 있다. 상기 원격 액세스가능 서버(410)가 상기 인증서 저장 모듈(432)로부터 디지털 인증서들을 요구하도록 동작가능한 유일한 기기이므로, 상기 인증서 저장 모듈(432)이 연결되어 있는 기기는 상기 인증서 저장 모듈(432)로부터 직접 디지털 인증서들을 요구하도록 동작가능하지 않다. 상기 인증서 저장 모듈(432)이 연결되어 있는 기기는 단지 상기 원격 액세스가능 서버(410)로부터 상기 인증서 저장 모듈(432)로 수신된 디지털 인증서 요구를 전달하도록만 허용된다.
도 4c는 모바일 기기(412)가 상기 모바일 기기(412)의 동작들 외에도 통신 기기(422)의 동작들을 수행하도록 구성되어 있는 본 발명의 한 대표적인 실시 예를 스윔 레인 형태로 예시하는 흐름도이다.
예를 들면 디지털 인증서를 이용하여 자신의 모바일 기기(412)로부터 발신될 데이터 메시지를 디지털 방식으로 서명하거나 자신의 모바일 기기(412)를 통해 수신된 데이터 메시지를 복호화하고자 하는 사용자는 자신의 모바일 기기(412)를 이용하여 디지털 인증서 요구를 원격 액세스가능 서버(440)에 전송한다(491). 상기 원격 액세스가능 서버(440)는 이러한 요구를 수신한다(492). 상기 원격 액세스가능 서버는 인증서 저장 식별자와 같은 상기 원격 액세스가능 서버에 포함된 정보를 사용해 데이터베이스에 질의하여 상기 요구가 수신되는 모바일 기기(412)의 통신 어드레스가 유효한 것인지를 식별한다. 그리고나서, 상기 원격 액세스가능 서버(440)는 상기 모바일 기기(412)를 통해 디지털 인증서 요구를 상기 인증서 저장 모듈(432)에 전송한다. 그리고나서, 상기 인증서 저장 모듈(432)은 상기 모바일 기기(412)를 통해 사용자에게 자신의 비밀번호를 프롬프트(493)함으로써 상기 요구를 허가한다. 상기 사용자는 자신의 비밀번호를 상기 모바일 기기(412)에 입력(494)하고 상기 인증서 저장 모듈(432)은 상기 입력된 비밀번호를 상기 인증서 저장 모듈(432)에 저장된 오프셋과 비교한다. 상기 입력된 비밀번호 및 상기 오프셋 간의 매치가 이루어지는 경우에, 상기 인증서 저장 모듈(432)은 관련 디지털 인증서를 방출하고 상기 모바일 기기(412)를 통해 상기 원격 액세스가능 서버(440)에 상기 디지털 인증서를 전송한다(495). 상기 디지털 인증서는 상기 원격 액세스가능 서버(440)에서 수신(496)되고 사용자에 의한 사용을 위해, 상기 디지털 인증서가 수신(497)되는 모바일 기기(412)에 전달된다.
도 5에는 원격 액세스가능 서버에서 수행되는 방법(500)이 예시되어 있다. 상기 방법은 통신 기기로부터 데이터 메시지를 서명 또는 암호화하도록 하는 디지털 인증서의 요구를 수신하는 제1 단계(502)를 포함한다. 상기 디지털 인증서 요구는 하이퍼텍스트 전송 프로토콜(hypertext transfer protocol; HTTP) 요구 메시지의 형태를 이루고 있을 수 있으며 적어도 사용자 또는 사용자의 인증서 저장 모듈의 식별자를 포함할 수 있다.
상기 방법은 상기 요구로부터 식별자를 추출하는 다음 단계(504)를 포함한다. 상기 식별자는 예를 들면 HTTP 요구 메시지의 일부로서 상기 통신 기기에 의해 상기 원격 액세스가능 서버에 제출되는 자원 위치 지정자(uniform resource locator; URL)의 경로 부분으로부터 추출될 수 있다. 변형적으로는, 상기 식별자는 디지털 인증서가 요구되는 사용자에 상응하는 이메일 어드레스의 형태로 제공될 수 있다.
상기 방법은 데이터베이스에 질의하여 상기 식별자가 상기 원격 액세스가능 서버에 등록되었는지를 결정하고, 상기 식별자가 등록되어 있는 경우에, 상기 데이터베이스로부터 상기 식별자에 연관된 모바일 기기의 통신 어드레스(예컨대, MSISDN 따위)를 획득하는 단계(506)를 부가적으로 포함한다. 상기 식별된 모바일 기기는 상기 식별된 모바일 기기와 통신하는 인증서 저장 모듈을 지닌다.
이 다음에는, 상기 원격 액세스가능 서버가 상기 모바일 기기의 인증서 저장 모듈로부터 디지털 인증서를 요구하는 단계(508)를 수행할 수 있으며, 이 다음에는 상기 인증서 저장 모듈로부터 디지털 인증서를 수신하는 단계(510)를 수행할 수 있다.
최종 단계(512)는 상기 통신 기기에 상기 디지털 인증서를 전송하는 단계를 포함한다. 이는 상기 디지털 인증서를 포함하는 HTTP 응답 메시지를 생성 및 전송함으로써 이행될 수 있다. 상기 통신 기기에 전달되는 디지털 인증서에는 상기 인증서의 사용 허락(예컨대, 상기 인증서의 사용이 1시간 동안 개방할 수 있음) 또는 상기 인증서가 사용될 수 있는 횟수(예컨대, 특정 개수의 이메일만이 서명될 수 있음)에 관련된 정보가 부가적으로 포함될 수 있다. 상기 디지털 인증서에는 요구된 인증의 특성을 명시하도록 구성될 수 있는 한 세트의 규칙들이 또한 포함될 수 있다.
도 6에는 본 발명의 실시 예들에 따른 시스템(600)의 기기들의 구성요소들이 블록도로 예시되어 있다. 상기 시스템(600)은 원격 액세스가능 서버(640), 모바일 기기(612) 및 통신 기기(622)를 포함한다.
상기 원격 액세스가능 서버(640)는 디지털 인증서 요구를 수신하는 요구 수신 구성요소(642)를 포함할 수 있다. 상기 요구는 식별자를 포함한다. 상기 원격 액세스가능 서버(640)는 또한 상기 식별자에 연관된 모바일 기기의 통신 어드레스를 획득하는 획득 구성요소(644)를 포함할 수 있다. 상기 모바일 기기는 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지닐 수 있다. 상기 원격 액세스가능 서버는 상기 모바일 기기를 통해 디지털 인증서 요구를 상기 인증서 저장 모듈에 전송하는 요구 전송 구성요소(646) 및 상기 인증서 저장 모듈에 저장된 오프셋에 상응하는 비밀번호를 상기 인증서 저장 모듈 내에 입력함에 응답하여 상기 모바일 기기를 통해 상기 인증서 저장 모듈로부터 상기 디지털 인증서를 수신하는 디지털 인증서 수신 구성요소(648)를 부가적으로 포함할 수 있다. 상기 원격 액세스가능 서버는 데이터 메시지를 디지털 방식으로 서명 또는 암호화하는데 사용하기 위해 상기 디지털 인증서를 통신 기기에 전송하는 디지털 인증서 전송 구성요소(650)를 부가적으로 포함할 수 있다.
상기 모바일 기기(612)는 상기 모바일 기기(612)에 연결되어 있으며 상기 모바일 기기(612)와 통신하는 인증서 저장 모듈(613)을 지닌다. 상기 인증서 저장 모듈(613) 내에는 하나 이상의 디지털 인증서들이 저장되어 있을 수 있다. 상기 모바일 기기(612)는 상기 원격 액세스가능 서버(640)로부터 디지털 인증서 요구를 수신하는 요구 수신 구성요소(614)를 부가적으로 포함할 수 있다. 상기 요구는 상기 원격 액세스가능 서버(640)가 디지털 인증 요구를 수신함에 응답하여 상기 원격 액세스가능 서버(640)에 의해 전송될 수 있다. 상기 모바일 기기(612)는 상기 디지털 인증서의 방출을 허가하도록 사용자에 의해 입력된 비밀번호를 수신하는 비밀번호 수신 구성요소(615) 및 상기 입력된 비밀번호를 비밀번호 오프셋과 비교하는 비교 구성요소(616)를 부가적으로 포함할 수 있다. 상기 모바일 기기는 입력된 비밀번호가 상기 오프셋과 일치하는 경우에 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 상기 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 디지털 인증서를 상기 인증서 저장 모듈로부터 상기 원격 액세스가능 서버(640)로 전송하는 디지털 인증서 전송 구성요소(617)를 포함할 수 있다.
상기 통신 기기(622)는 상기 원격 액세스가능 서버(640)에 디지털 인증서 요구를 전송하는 요구 전송 구성요소(623) 및 상기 원격 액세스가능 서버(640)로부터 상기 디지털 인증서를 수신하는 디지털 인증서 수신 구성요소(624) 및 상기 수신된 디지털 인증서를 사용하여 상기 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는 디지털 서명 또는 암호화 구성요소(625)를 포함할 수 있다.
상기 인증서 저장 모듈(617)은 단지 상기 원격 액세스가능 서버(640)로부터 디지털 인증서 요구를 수신함에 응답하여서만 상기 디지털 인증서를 상기 원격 액세스가능 서버(640)에 전송하도록 구성되어 있을 수 있다. 본 발명의 몇몇 실시 예들에서는, 상기 모바일 기기(612)에 의해 수행되는 기능들 및 상기 통신 기기(622)에 의해 수행되는 기능들은 단일 기기에 의해 수행될 수 있다. 상기 단일 기기는 예를 들면 상기 모바일 기기(612) 및 상기 통신 기기(622) 양자 모두의 구성요소들을 지니는 모바일 기기일 수 있다.
도 7에는 본 발명의 실시 예들에 따른 디지털 인증서들을 제공하는 인증서 저장 라벨(700)이 블록도로 예시되어 있다. 상기 인증서 저장 라벨(700)은 모바일 기기와의 인터페이스를 이루기 위한 상기 인증서 저장 라벨의 상부 측 상에 배치된 제1 세트의 전기 접점들(702) 및 통신 구성요소와의 인터페이스를 이루기 위한 상기 인증서 저장 라벨의 하부 측 상에 배치된 제2 세트의 전기 접점들(704)을 포함할 수 있다. 상기 인증서 저장 라벨(700)은 상기 인증서 저장 라벨(700)을 상기 통신 구성요소에 부착하도록 구성된 커플링 요소(706)를 부가적으로 포함할 수 있다. 상기 인증서 저장 라벨(700)은 상기 인증서 저장 라벨에 배치되어 있으며 상기 제1 및 제2 세트의 전기 접점들에 연결되어 있는 인증서 저장 모듈(708)을 부가적으로 포함할 수 있다.
상기 인증서 저장 모듈(708)에는 디지털 인증서가 저장되어 있을 수 있으며 상기 인증서 저장 모듈(708)은 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신하는 요구 수신 구성요소(710)를 포함할 수 있다. 상기 요구는 상기 원격 액세스가능 서버가 디지털 인증서 요구를 수신함에 응답하여 상기 원격 액세스가능 서버에 의해 전송될 수 있다. 상기 인증서 저장 모듈(708)은 상기 디지털 인증서의 방출을 허가하도록 사용자에 의해 입력된 비밀번호를 수신하는 비밀번호 수신 구성요소(712) 및 상기 입력된 비밀번호를 비밀번호 오프셋과 비교하는 비교 구성요소(714)를 부가적으로 포함할 수 있다. 상기 인증서 저장 모듈(708)은 상기 입력된 비밀번호가 상기 오프셋과 일치하는 경우에, 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 데이터 메시지를 디지털 방식으로 서명 또는 암호화하는데 사용하기 위해 상기 디지털 인증서를 상기 인증서 저장 모듈(708)로부터 상기 원격 액세스가능 서버로 전송하는 디지털 인증서 전송 구성요소(716)를 부가적으로 포함할 수 있다.
도 8은 본 발명의 실시 예들에 따른 원격 액세스가능 서버(840), 모바일 기기(812) 및 통신 기기(822)에서 수행되는 방법을 스윔 레인 형태로 예시하는 흐름도이다. 도 8은 본 발명의 다른 한 실시 예에 따른 방법을 예시하는 도 4b와 유사하다.
제1 단계(842)에서는, 디지털 인증서 요구가 상기 통신 기기(822)로부터 상기 원격 액세스가능 서버(840)로 전송된다.
식별자를 포함할 수 있는 디지털 인증서 요구는 다음 단계(844)에서 상기 원격 액세스가능 서버(840)에서 수신되고 상기 원격 액세스가능 서버(840)는 그 후에 다음 단계(846)에서 상기 식별자에 연관된 모바일 기기의 통신 어드레스를 획득한다. 이는 상기 요구로부터 상기 식별자를 추출하는 단계; 데이터베이스에 질의하여 상기 식별자가 상기 원격 액세스가능 서버에 등록되어 있는지를 결정하고 상기 식별자가 등록되어 있는 경우에 상기 데이터베이스로부터 상기 식별자에 연관된 이동 기기의 통신 어드레스를 획득하는 단계를 포함할 수 있다. 상기 식별된 모바일 기기는 상기 식별된 모바일 기기에 연결되어 있으며 상기 식별된 모바일 기기와의 통신을 이루는 인증서 저장 모듈을 지닐 수 있다.
다음 단계(848)에서는, 상기 원격 액세스가능 서버(840)가 상기 모바일 기기를 통해 디지털 인증서 요구를 상기 인증서 저장 모듈에 전송할 수 있다.
상기 모바일 기기(812)는 다음 단계(850)에서 상기 원격 액세스가능 서버(840)로부터 디지털 인증서 요구를 수신한다.
상기 모바일 기기(812)는 그 후에 상기 인증서 저장 모듈로부터 상기 디지털 인증서의 방출을 허가하도록 사용자에게 비밀번호를 프롬프트할 수 있으며 다음 단계(852)에서는 상기 사용자에 의해 입력된 비밀번호를 수신한다.
다음 단계(854)에서는, 상기 모바일 기기가 상기 수신된 비밀번호를 비밀번호 오프셋과 비교하고 상기 입력된 비밀번호가 상기 오프셋과 일치(855)하는 경우에, 다음 단계(856)에서 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 데이터 메시지를 디지털 방식으로 서명 또는 암호화하는데 사용하기 위해 상기 디지털 인증서를 상기 인증서 저장 모듈로부터 상기 원격 액세스가능 서버(840)로 전송한다. 본 발명의 몇몇 실시 예들에서는, 비밀번호를 사용자에게 프로프트하는 단계, 입력된 비밀번호를 수신(852)하는 단계, 상기 입력된 비밀번호를 비밀번호 오프셋과 비교(854)하는 단계 및 상기 비밀번호를 상기 원격 액세스가능 서버(856)에 전송하는 단계 중 일부가 상기 인증서 저장 모듈에 의해 수행될 수 있다.
다음 단계(858)에서는, 상기 원격 액세스가능 서버가 상기 모바일 기기를 통해 상기 인증서 저장 모듈로부터 상기 디지털 인증서를 수신하고 다음 단계(860)에서는 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 디지털 인증서를 상기 통신 기기(822)에 전송한다.
상기 통신 기기(822)는 그 후에 최종 단계(862)에서 상기 디지털 인증서를 수신하고 그 후에 상기 디지털 인증서를 사용하여 데이터 메시지를 디지털 방식으로 서명 또는 암호화할 수 있다.
첨부도면들을 참조하여 위에 기재한 시스템, 방법, 기기 및 인증서 저장 모듈은 결과적으로 사용자가 데이터 또는 데이터 메시지를 서명, 암호화, 및 복호화하는데 사용될 수 있는 디지털 인증서를 보안성 있게 저장하는 것을 허용한다. 상기 인증서는 사용자가 원격 액세스가능 서버를 통해 데이터를 서명, 암호화 또는 복호화하고자 하는 통신 기기에 의해 '대역외' 채널을 통해 액세스될 수 있다. 이는 범법자들에게 디지털 인증서의 부정 사용을 제공하려고 하는 성공적 중간자 또는 키-스트로크 로깅 시도들의 위험성을 줄인다.
도 9에는 본 개시내용의 다양한 실시태양이 구현될 수 있게 하는 컴퓨팅 기기(900)의 일 예가 예시되어 있다. 상기 컴퓨팅 기기(900)는 컴퓨터 프로그램 코드를 저장 및 실행하는데 적합할 수 있다. 앞서 설명한 시스템 도면들에서의 여러 참가자 및 요소는 임의의 적절한 개수의 컴퓨팅 기기(900)의 서브시스템들 또는 구성요소들을 사용하여 본원 명세서에 기재된 기능들을 가능하게 할 수 있다.
상기 컴퓨팅 기기(900)는 통신 기반구조(905)(예를 들면, 통신 버스, 크로스-오버 바 기기(cross-over bar device), 또는 네트워크)를 통해 상호 접속되는 서브시스템들 또는 구성요소들을 포함할 수 있다. 상기 컴퓨팅 기기(900)는 적어도 하나의 중앙 처리 기기(910) 및 컴퓨터-판독가능 매체의 형태를 이루고 있는 적어도 하나의 메모리 구성요소를 포함할 수 있다.
상기 메모리 구성요소들은 시스템 메모리(915)를 포함할 수 있으며, 상기 시스템 메모리(915)는 판독 전용 메모리(Read Only Memory; ROM) 및 랜덤 액세스 메모리(Random Access Memory; RAM)를 포함할 수 있다. 기본 입력/출력 시스템(basic input/output system; BIOS)은 ROM에 저장될 수 있다. 운영 체계 소프트웨어를 포함하는 시스템 소프트웨어는 상기 시스템 메모리(915)에 저장될 수 있다.
또한, 상기 메모리 구성요소들은 보조 메모리(920)를 포함할 수 있다. 상기 보조 메모리(920)는 하드 디스크 드라이브와 같은 고정 디스크(921), 및 선택적으로는 착탈식 저장 구성요소들(923) 용의 하나 이상의 착탈식 저장 인터페이스들(922)을 포함할 수 있다.
상기 착탈식 저장 인터페이스들(922)은 착탈식 저장 드라이브에 의해 기록될 수도 있고 판독될 수도 있는 상응하는 착탈식 저장 구성요소들(예를 들면, 자기 테이프, 광 디스크, 플로피 디스크 등등) 용의 착탈식 저장 드라이브들(예를 들면, 자기 테이프 드라이브들, 광 디스크 드라이브들, 플로피 디스크 드라이브들 등등)의 형태를 이루고 있을 수 있다.
또한, 상기 착탈식 저장 인터페이스들(922)은 플래시 메모리 드라이브, 외장 하드 드라이브, 또는 착탈식 메모리 칩 등등과 같은 다른 형태의 착탈식 저장 구성요소들(923)과의 인터페이스를 이루기 위한 포트들 또는 소켓들의 형태를 이루고 있을 수 있다.
상기 컴퓨팅 기기(900)는 다수의 컴퓨팅 기기(900) 간의 데이터 전송을 허용하는 네트워크 환경에서 상기 컴퓨팅 기기(900)의 동작을 위한 외부 통신 인터페이스(930)를 포함할 수 있다. 상기 외부 통신 인터페이스(930)를 통해 전송되는 데이터는 전자 신호, 전자기 신호, 광 신호, 무선 신호 또는 다른 신호 타입들일 수 있는 신호들의 형태를 이루고 있을 수 있다.
상기 외부 통신 인터페이스(930)는 상기 컴퓨팅 기기(900), 및 서버들 및 외부 기억 장치들을 포함하는 다른 컴퓨팅 기기들 간의 데이터 통신을 허용할 수 있다. 웹 서비스들은 상기 통신 인터페이스(930)를 통해 상기 컴퓨팅 기기(900)에 의해 액세스 가능할 수 있다.
또한, 상기 외부 통신 인터페이스(930)는 음성 통신, 근접장 통신, 블루투스 등등을 포함하는, 상기 컴퓨팅 기기(900)로 그리고 상기 컴퓨팅 기기(900)로부터의 다른 통신 형태들을 허용할 수 있다.
여러 메모리 구성요소의 형태를 이루는 컴퓨터-판독가능 매체는 컴퓨터-실행가능 명령어들, 데이터 구조들, 프로그램 모듈들, 및 다른 데이터의 저장소를 제공할 수 있다. 컴퓨터 프로그램 제품은 상기 중앙 처리 기기(910)에 의해 실행가능한 컴퓨터-판독가능 프로그램 코드가 저장된 컴퓨터-판독가능 매체에 의해 제공될 수 있다.
컴퓨터 프로그램 제품은 비-일시적인 컴퓨터-판독가능 매체에 의해 제공될 수도 있고, 신호를 통해 또는 상기 통신 인터페이스(930)를 통한 다른 일시적인 수단(transient means)을 통해 제공될 수도 있다.
상기 통신 기반구조(905)를 통한 상호 접속은 중앙 처리 기기(910)가, 서브시스템들 또는 구성요소들 간의 정보 교환뿐만 아니라 각각의 서브시스템 또는 구성요소와 통신하고 그리고 상기 메모리 구성요소들로부터의 명령어들의 실행을 제어하는 것을 허용한다.
(프린터들, 스캐너들, 카메라들 따위와 같은) 주변 기기들 및 (마우스, 터치패드, 키보드, 마이크로폰, 조이스틱 따위와 같은) 입력/출력(I/O) 기기들은 직접적으로나, 또는 I/O 제어기(935)를 통해 상기 컴퓨팅 기기(900)에 연결될 수 있다. 이러한 구성요소들은 직렬 포트와 같은 당 업계에 공지된 여러 수단에 의해 상기 컴퓨팅 기기(900)에 접속될 수 있다.
하나 이상의 모니터들(945)은 디스플레이 또는 비디오 어댑터(940)를 통해 상기 컴퓨팅 기기(900)에 연결될 수 있다.
도 10에는 본 개시내용의 실시 예들에서 사용될 수 있는 통신 기기(1000)가 블록도로 도시되어 있다. 상기 통신 기기(1000)는 셀룰러폰, 피처폰, 스마트폰, 위성 폰, 폰 기능을 갖는 컴퓨팅 기기일 수 있다.
상기 통신 기기(1000)는 상기 통신 기기(1000)의 기능들을 처리하기 위한 프로세서(1005)(예컨대, 마이크로프로세서), 그리고 사용자가 폰 번호들 및 다른 정보 및 메시지들을 볼 수 있게 해주는 디스플레이(1020)를 포함할 수 있다. 상기 통신 기기(1000)는 사용자가 상기 기기에 정보를 입력할 수 있게 해주는 입력 요소(1025)(예컨대, 입력 버튼들, 터치 스크린 등등), 상기 사용자가 음성 통신, 음악 등등을 들을 수 있게 해주는 스피커(1030), 그리고 상기 사용자가 상기 통신 기기(1000)를 통해 자신의 음성을 전송할 수 있게 해주는 마이크로폰(1035)을 부가적으로 포함할 수 있다.
상기 통신 기기(1000)의 프로세서(1010)는 메모리(1015)에 접속될 수 있다. 상기 메모리(1015)는 데이터, 그리고 선택적으로는 컴퓨터-실행가능 명령어들이 수록되는 컴퓨터-판독가능 매체의 형태를 이루고 있을 수 있다.
또한, 상기 통신 기기(1000)는 통신 채널들(예컨대, 셀룰러폰 네트워크, 데이터 전송 네트워크, Wi-Fi 네트워크, 위성-폰 네트워크, 인터넷 네트워크, 위성 인터넷 네트워크 등등)에의 접속을 위한 통신 요소(1040)를 포함할 수 있다. 상기 통신 요소(1040)는 안테나와 같은 관련 무선 전송 요소를 포함할 수 있다.
상기 통신 요소(1040)는, 상기 통신 기기(1000)를 사용하여 가입자를 식별하고 인증하는데 사용되는 국제 모바일 가입자 아이덴티티 및 관련 키를 저장하는, 집적 회로의 형태를 이루고 있는 가입자 아이덴티티 모듈(subscriber identity module; SIM)을 포함할 수 있다. 하나 이상의 가입자 아이덴티티 모듈들은 상기 통신 기기(1000)로부터 탈부착될 수도 있고 상기 통신 기기(1000)에 내장되어 있을 수도 있다.
상기 통신 기기(1000)는, 안테나와 같은 관련 무선 전송 요소와 함께 반도체 칩(또는 다른 데이터 저장 요소)의 형태로 구현되는 것이 전형적인 비접촉식 요소(1050)를 부가적으로 포함할 수 있다. 상기 비접촉식 요소(1050)는 상기 통신 기기(1000)와 결부될 수 있으며(예컨대, 상기 통신 기기(1000)에 내장될 수 있으며), 그리고 셀룰러 네트워크를 통해 전송되는 데이터 또는 제어 명령어들은 비접촉식 요소 인터페이스(도시되지 않음)를 사용하여 상기 비접촉식 요소(1050)에 인가(印加)될 수 있다. 상기 비접촉식 요소 인터페이스는 모바일 기기 회로(결과적으로는 상기 셀룰러 네트워크) 및 상기 비접촉식 요소(1050) 간의 데이터 및/또는 제어 명령어들의 교환을 허용하도록 하는 기능을 할 수 있다.
상기 비접촉식 요소(1050)는, 표준화된 프로토콜 또는 데이터 전송 메커니즘(예컨대, ISO 14443/NFC)에 따르는 것이 전형적인 근접장 통신(near field communications; NFC) 기능(또는 근접장 통신 매체)을 사용하여 데이터를 전송하고 수신하는 것이 가능할 수 있다. 근접장 통신 기능은, 상기 통신 기기(1000) 및 질의 기기(interrogation device) 간의 데이터 교환에 사용될 수 있는 무선 주파수 식별(radio-frequency identification; RFID), 블루투스, 적외선 또는 다른 데이터 전송 기능과 같은, 단-거리 통신 기능이다. 따라서 상기 통신 기기(1000)는 셀룰러 네트워크 및 근접장 통신 기능 모두를 통해 데이터 및/또는 제어 명령어들을 통신 및 전송하는 것이 가능할 수 있다.
상기 메모리(1015)에 저장된 데이터에는, 상기 통신 기기(1000)의 동작에 관한 운영 데이터, 개인 정보(예컨대, 이름, 출생일, 식별 번호 등등), 금융 정보(예컨대, 은행 계좌 정보, 은행 식별 번호(bank identification number; BIN), 신용 또는 직불 카드 번호 정보, 계좌 잔액 정보, 유효 기간, 로열티 제공자 계좌 번호들 등등), (예컨대, 지하철 또는 기차 승차권에서와 같은) 승차권 정보, (예컨대, 액세스 배지(access badge)들에서와 같이) 액세스 정보 등등이 포함될 수 있다. 사용자는 이러한 데이터를 상기 통신 기기(1000)로부터 선택된 수신기들에 전송할 수 있다.
상기 통신 기기(1000)는 특히, 결제를 하는데 사용될 수 있는 휴대용 소비자 기기뿐만 아니라, 경고 메시지들 및 액세스 보고들을 수신할 수 있는 통지 기기, 적용해야 할 할인을 식별하는 제어 데이터를 전송하는데 사용될 수 있는 휴대용 상인 기기일 수 있다.
앞서 언급한 본 발명의 실시 예들의 설명은 예시의 목적으로 제시된 것이며, 총망라하거나 개시된 정확한 형태로 본 발명을 한정하려고 의도된 것이 아니다. 관련 분야에 숙련된 자라면 알 수 있겠지만, 상기 개시내용을 고려하여 여러 수정 예 및 변형 예가 구현가능하다.
본 설명 중 일부분에는 정보에 대한 운영들의 알고리즘들 및 기호 표현(symbolic representation)들 면에서 본 발명의 여러 실시 예가 기재되어 있다. 이러한 알고리즘 설명들 및 표현들은 데이터 처리 분야에서 숙련된 자가 자신의 작업의 본질을 당 업계의 다른 숙련자에게 효율적으로 전달하는데 일반적으로 사용되는 것들이다. 이러한 운영들은 기능적으로, 계산적으로, 또는 논리적으로 설명되었지만, 컴퓨터 프로그램들 또는 등가의 전기 회로들, 마이크로코드 따위에 의해 구현되는 것으로 이해될 것이다. 설명된 운영들은 소프트웨어, 펌웨어, 하드웨어 또는 이들의 임의의 조합들로 구체화될 수 있다.
본원에 기재된 소프트웨어 구성요소들 또는 기능들은, 예를 들면 종래 기술들 또는 객체-지향 기술들을 사용하는, 예를 들면 Java, C++, 또는 Perl과 같은 임의의 적절한 컴퓨터 언어를 사용하여 하나 이상의 프로세서들에 의해 실행될 소프트웨어 코드로서 구현될 수 있다. 상기 소프트웨어 코드는, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), 하드-드라이브 또는 플로피 디스크와 같은 자기 매체, 또는 CD-ROM과 같은 광학 매체와 같은, 비-일시적인 컴퓨터-판독가능 매체에 대한 일련의 명령어들 또는 커맨드들로서 저장될 수 있다. 또한, 그러한 임의의 컴퓨터-판독가능 매체는 단일 연산 장치상에 또는 단일 연산 장치 내에 상주해 있을 수 있으며, 그리고 시스템 또는 네트워크 내의 다른 연산 장치들 상에 또는 다른 연산 장치들 내에 존재할 수 있다.
본원 명세서에 기재된 단계들, 동작들, 또는 프로세스들 중 어느 하나가, 단독으로나 또는 다른 기기들과 함께, 하나 이상의 하드웨어 또는 소프트웨어 모듈로 수행되거나 구현될 수 있다. 한 실시 예에서는, 소프트웨어 모듈이 기재된 단계들, 동작들, 또는 프로세스들 중 어느 하나 또는 모두를 수행하기 위한, 컴퓨터 프로세서에 의해 실행될 수 있는 컴퓨터 프로그램 코드가 수록되어 있는 비-일시적인 컴퓨터-판독가능 매체를 포함하는 컴퓨터 프로그램 제품으로 구현된다.
마지막으로, 본원 명세서에 사용된 용어는 주로 가독성 및 교육을 목적으로 하여 선택되었으며, 본 발명의 주제를 서술하거나 한정하도록 선택된 것이 아니다. 그러므로, 본 발명의 범위는 본원 명세서의 구체적인 내용에 의해 한정되어서는 아니 되며, 그 대신 이를 토대로 이루어진 한 애플리케이션을 나타내는 임의의 청구항들에 의해 한정되고자 의도한 것이다. 따라서, 본 발명의 실시 예들의 개시내용은 이하 첨부된 특허청구범위에 기재되어 있는 본 발명의 범위를 예시하고자 의도된 것이며, 이하 첨부된 특허청구범위에 기재되어 있는 본 발명의 범위를 한정하고자 의도된 것이 아니다.

Claims (22)

  1. 원격 액세스가능 서버에서 수행되는, 디지털 인증서를 제공하는 방법으로서,
    상기 디지털 인증서의 제공 방법은,
    디지털 인증서 요구를 수신하는 단계로서, 상기 요구는 식별자를 포함하는, 단계;
    상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 단계로서, 상기 모바일 기기는 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지니는, 단계;
    상기 모바일 기기를 통해 상기 인증서 저장 모듈에 디지털 인증서 요구를 전송하는 단계로서, 상기 인증서 저장 모듈은 인증서의 해제 전에 상기 모바일 기기를 통해 상기 인증서 저장 모듈의 사용자에게 비밀번호를 프롬프트하도록 구성된, 단계;
    상기 인증서 저장 모듈에 저장되어 있는 오프셋에 상응하는 비밀번호를 상기 인증서 저장 모듈에 입력함에 응답하여 상기 인증서 저장 모듈로부터 상기 모바일 기기를 통해 디지털 인증서를 수신하는 단계; 및
    데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 통신 기기로 상기 디지털 인증서를 전송하는 단계;
    를 포함하는, 디지털 인증서의 제공 방법.
  2. 제1항에 있어서,
    상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 단계는,
    상기 요구로부터 상기 식별자를 추출하는 단계;
    데이터베이스에 질의(query)하여 상기 식별자가 상기 원격 액세스가능 서버에 등록되어 있는지를 결정하는 단계; 및
    상기 식별자가 등록되어 있는 경우에, 상기 데이터베이스로부터, 상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 단계;
    를 포함하며,
    상기 모바일 기기는 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지니는, 디지털 인증서의 제공 방법.
  3. 제1항에 있어서, 상기 디지털 인증서 요구를 수신하는 단계는 하이퍼텍스트 전송 프로토콜 요구 메시지(hypertext transfer protocol request message)를 수신하는 단계를 포함하는, 디지털 인증서의 제공 방법.
  4. 제2항에 있어서, 상기 요구로부터 식별자를 추출하는 단계는 상기 통신 기기에 의해 상기 원격 액세스가능 서버에 제출되는 자원 위치 지정자(Uniform Resource Locator; URL)의 경로 부분으로부터 상기 식별자를 추출하는 단계를 포함하며, 상기 식별자는 상기 인증서 저장 모듈에 고유하게 연관된 영숫자 시퀀스인, 디지털 인증서의 제공 방법.
  5. 제2항에 있어서, 상기 요구로부터 상기 식별자를 추출하는 단계는 상기 요구에 포함된 이메일 어드레스를 추출하는 단계를 포함하는, 디지털 인증서의 제공 방법.
  6. 제1항에 있어서, 상기 인증서 저장 모듈에 디지털 인증서 요구를 전송하는 단계, 상기 인증서 저장 모듈로부터 상기 디지털 인증서를 수신하는 단계, 및 상기 통신 기기로 상기 디지털 인증서를 전송하는 단계는 암호화 터널(encrypted tunnel)을 통해 수행되고, 상기 암호화 터널은 인터넷 프로토콜 보안(internet protocol security; IPSec), 보안 소켓 계층(secure socket layer; SSL), 전송 계층 보안(transport layer security; TLS) 또는 보안 쉘(secure shell; SSH) 암호화 터널인, 디지털 인증서의 제공 방법.
  7. 제2항에 있어서,
    상기 식별자에 연관된 모바일 기기의 통신 어드레스를 획득하는 단계는,
    상기 요구가 전송된 모바일 기기의 통신 어드레스와 상기 획득된 통신 어드레스를 비교하는 단계;
    를 포함하는, 디지털 인증서의 제공 방법.
  8. 디지털 인증서가 저장된 인증서 저장 모듈이 연결되어 있는 모바일 기기에서 수행되는, 디지털 인증서의 제공 방법에 있어서,
    상기 디지털 인증서의 제공 방법은,
    원격 액세스가능 서버로부터 디지털 인증서 요구를 수신하는 단계로서, 상기 요구는 상기 원격 액세스가능 서버가 디지털 인증서 요구를 수신함에 응답하여 상기 원격 액세스가능 서버에 의해 전송되는, 단계;
    상기 디지털 인증서의 해제를 허가하도록 사용자에 의해 입력된 비밀번호를 수신하는 단계;
    상기 입력된 비밀번호를 비밀번호 오프셋에 비교하는 단계; 및
    상기 입력된 비밀번호가 상기 오프셋과 일치하는 경우에, 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 디지털 인증서를 상기 인증서 저장 모듈로부터 상기 원격 액세스가능 서버로 전송하는 단계;
    를 포함하는, 디지털 인증서의 제공 방법.
  9. 제8항에 있어서, 상기 디지털 인증서 요구를 수신하는 단계는 상기 모바일 기기를 통해 상기 인증서 저장 모듈에서 디지털 인증서 요구를 수신하는, 디지털 인증서의 제공 방법.
  10. 제8항에 있어서, 상기 사용자에 의해 입력된 비밀번호를 수신하는 단계는 상기 모바일 기기를 통해 상기 인증서 저장 모듈에서 상기 비밀번호를 수신하며, 상기 입력된 비밀번호를 비밀번호 오프셋에 비교하는 단계는 상기 인증서 저장 모듈에서 수행되는, 디지털 인증서의 제공 방법.
  11. 제9항에 있어서, 상기 인증서 저장 모듈은 단지 상기 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신함에 응답하여서만 상기 디지털 인증서를 상기 원격 액세스가능 서버에 전송하도록 구성되는, 디지털 인증서의 제공 방법.
  12. 원격 액세스가능 서버를 포함하는, 디지털 인증서의 제공 시스템에 있어서,
    상기 원격 액세스가능 서버는,
    디지털 인증서 요구를 수신하는 요구 수신 구성요소로서, 상기 요구는 식별자를 포함하는, 요구 수신 구성요소;
    상기 식별자에 연관된, 모바일 기기의 통신 어드레스를 획득하는 획득 구성요소로서, 상기 모바일 기기는 상기 모바일 기기와 통신하는 인증서 저장 모듈을 지니는, 획득 구성요소;
    상기 모바일 기기를 통해 상기 인증서 저장 모듈에 디지털 인증서 요구를 전송하는 요구 전송 구성요소로서, 상기 인증서 저장 모듈은 인증서의 해제 전에 상기 모바일 기기를 통해 상기 인증서 저장 모듈의 사용자에게 비밀번호를 프롬프트하도록 구성된, 요구 전송 구성요소;
    상기 인증서 저장 모듈에 저장된 오프셋에 상응하는 비밀번호를 상기 인증서 저장 모듈에 입력함에 응답하여 상기 인증서 저장 모듈로부터 상기 모바일 기기를 통해 상기 디지털 인증서를 수신하는 디지털 인증서 수신 구성요소; 및
    데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 디지털 인증서를 통신 기기에 전송하는 디지털 인증서 전송 구성요소;
    를 포함하는, 디지털 인증서의 제공 시스템.
  13. 제12항에 있어서, 상기 디지털 인증서의 제공 시스템은 모바일 기기를 부가적으로 포함하며, 상기 모바일 기기에는 디지털 인증서가 저장된 인증서 저장 모듈이 연결되어 있고,
    상기 모바일 기기는,
    상기 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신하는 요구 수신 구성요소로서, 상기 요구는 상기 원격 액세스가능 서버가 디지털 인증서 요구를 수신함에 응답하여 상기 원격 액세스가능 서버에 의해 전송되는, 요구 수신 구성요소;
    상기 디지털 인증서의 해제를 허가하도록 사용자에 의해 입력된 비밀번호를 수신하는, 비밀번호 수신 구성요소;
    상기 입력된 비밀번호를 비밀번호 오프셋에 비교하는, 비교 구성요소; 및
    상기 입력된 비밀번호가 상기 오프셋과 일치하는 경우에, 통신 기기로의 전송을 위해 그리고 상기 통신 기기에서 상기 데이터 메시지를 디지털 방식으로 서명하거나 암호화하는데 사용하기 위해 상기 인증서 저장 모듈로부터 상기 원격 액세스가능 서버로 상기 디지털 인증서를 전송하는, 디지털 인증서 전송 구성요소;
    를 포함하는, 디지털 인증서의 제공 시스템.
  14. 제12항에 있어서, 상기 디지털 인증서의 제공 시스템은 통신 기기를 부가적으로 포함하며,
    상기 통신 기기는,
    상기 원격 액세스가능 서버에 디지털 인증서 요구를 전송하도록 구성되고,
    상기 원격 액세스가능 서버로부터 상기 디지털 인증서를 수신하도록 구성되며, 그리고
    상기 수신된 디지털 인증서를 사용하여 상기 데이터 메시지를 디지털 방식으로 서명하거나 암호화하도록 구성되는, 디지털 인증서의 제공 시스템.
  15. 제12항에 있어서, 상기 디지털 인증서는 공개 키 암호화를 위한 '보안/다목적 인터넷 메일 확장(secure/multipurpose internet mail extensions; S/MIME)' 표준 디지털 인증서인, 디지털 인증서의 제공 시스템.
  16. 제13항에 있어서, 상기 인증서 저장 모듈은 상기 모바일 기기에 배치되어 있는, 디지털 인증서의 제공 시스템.
  17. 제13항에 있어서, 상기 인증서 저장 모듈은 인증서 저장 라벨에 배치되어 있으며, 상기 인증서 저장 라벨은 상기 모바일 기기의 통신 구성요소에 연결되어 있는, 디지털 인증서의 제공 시스템.
  18. 제13항에 있어서, 상기 인증서 저장 모듈은 모바일 기기의 통신 구성요소에 배치되어 있으며, 상기 통신 구성요소는 가입자 아이덴티티 모듈(subscriber identity module; SIM) 카드인, 디지털 인증서의 제공 시스템.
  19. 제13항에 있어서, 상기 인증서 저장 모듈은 단지 상기 원격 액세스가능 서버로부터 디지털 인증서 요구를 수신함에 응답하여서만 상기 원격 액세스가능 서버에 상기 디지털 인증서를 전송하도록 구성되며, 상기 모바일 기기에 의해 수행되는 기능들 및 상기 통신 기기에 의해 수행되는 기능들은 단일 기기에 의해 수행되고, 상기 단일 기기는 상기 모바일 기기인, 디지털 인증서의 제공 시스템.
  20. 제13항에 있어서, 상기 인증서 저장 모듈은 보안 처리 유닛 및 공개 처리 유닛을 포함하며, 상기 보안 처리 유닛 및 공개 처리 유닛은 논리적으로 그리고 물리적으로 서로 분리되어 있고, 상기 디지털 인증서는 상기 보안 처리 유닛에 안전하게 저장되어 있는, 디지털 인증서의 제공 시스템.
  21. 삭제
  22. 삭제
KR1020157033359A 2013-04-26 2014-04-25 디지털 인증서의 제공 KR101612751B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
ZA2013/03076 2013-04-26
ZA201303076 2013-04-26
PCT/IB2014/061008 WO2014174491A1 (en) 2013-04-26 2014-04-25 Providing digital certificates

Publications (2)

Publication Number Publication Date
KR20150139616A KR20150139616A (ko) 2015-12-11
KR101612751B1 true KR101612751B1 (ko) 2016-04-15

Family

ID=51791143

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157033359A KR101612751B1 (ko) 2013-04-26 2014-04-25 디지털 인증서의 제공

Country Status (9)

Country Link
US (1) US9660814B2 (ko)
EP (1) EP2989746A4 (ko)
KR (1) KR101612751B1 (ko)
CN (1) CN105393489A (ko)
AP (1) AP2015008827A0 (ko)
AU (1) AU2014258980B2 (ko)
HK (2) HK1218474A1 (ko)
WO (1) WO2014174491A1 (ko)
ZA (1) ZA201507785B (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9356927B2 (en) * 2014-08-28 2016-05-31 Adobe Systems Incorporated Enabling digital signatures in mobile apps
CN108234126B (zh) * 2016-12-21 2021-04-09 金联汇通信息技术有限公司 用于远程开户的系统和方法
CN108234128A (zh) * 2016-12-22 2018-06-29 音弗维因有限公司 用于存储证书的方法以及认证方法
CN108242998A (zh) * 2016-12-27 2018-07-03 航天信息股份有限公司 一种移动设备通过二维码提取数字证书的方法及系统
US10587421B2 (en) * 2017-01-12 2020-03-10 Honeywell International Inc. Techniques for genuine device assurance by establishing identity and trust using certificates
US10749692B2 (en) * 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
CN107229877A (zh) * 2017-06-05 2017-10-03 北京凤凰理理它信息技术有限公司 证书管理、获取方法、装置、计算机程序及电子设备
US11233644B2 (en) * 2017-08-09 2022-01-25 Gridplus Inc. System for secure storage of cryptographic keys
US10812275B2 (en) * 2017-11-28 2020-10-20 American Express Travel Related Services Company, Inc. Decoupling and updating pinned certificates on a mobile device
US11228580B2 (en) * 2018-06-25 2022-01-18 Apple Inc. Two-factor device authentication
US11120140B2 (en) * 2018-06-27 2021-09-14 International Business Machines Corporation Secure operations on encrypted data
US11377072B2 (en) * 2018-11-02 2022-07-05 Uatc, Llc Systems and methods for tamper evident electronic detection
US11924194B2 (en) * 2019-05-24 2024-03-05 Antpool Technologies Limited Method and apparatus for monitoring digital certificate processing device, and device, medium, and product
US11379835B2 (en) * 2019-07-31 2022-07-05 Visa International Service Association System, method, and computer program product to ensure data integrity for conducting a payment transaction
KR20210052620A (ko) * 2019-10-29 2021-05-11 삼성전자주식회사 근거리 무선 통신을 사용하는 사용자 장치, 인증 시스템 및 그것의 동작 방법
CN112910826B (zh) * 2019-12-03 2022-08-23 中国移动通信有限公司研究院 一种初始配置方法及终端设备
US11737012B2 (en) * 2020-06-16 2023-08-22 Apple Inc. Maintaining access to services via SIM card
CN111865919B (zh) * 2020-06-16 2022-02-11 郑州信大捷安信息技术股份有限公司 一种基于v2x的数字证书申请方法及系统
WO2022187959A1 (en) * 2021-03-10 2022-09-15 Quantropi Inc. Quantum-safe cryptographic methods and systems
US20230144774A1 (en) * 2021-11-11 2023-05-11 Gridplus, Inc. System for secure multi-protocol processing of cryptographic data
US11991294B2 (en) 2021-11-12 2024-05-21 Gridplus, Inc. Peer-to-peer secure conditional transfer of cryptographic data

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110149533A1 (en) 2009-12-22 2011-06-23 Mxtran Inc. Integrated circuit film for smart card
US20120110333A1 (en) 2010-10-29 2012-05-03 Nokia Corporation Software security
WO2013013192A2 (en) 2011-07-20 2013-01-24 Visa International Service Association Cryptographic expansion device and related protocols

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FI108389B (fi) * 1999-04-15 2002-01-15 Sonera Smarttrust Oy Tilaajaidentiteettimoduulin hallinta
JP2002007287A (ja) * 2000-06-21 2002-01-11 Hitachi Ltd 電子メール情報のアクセス権管理方法、装置、及び記録媒体
AU2001278159A1 (en) * 2000-08-11 2002-02-25 Incanta, Inc. Resource distribution in network environment
KR100848314B1 (ko) * 2006-11-06 2008-07-24 한국전자통신연구원 무선 단말기를 이용한 전자투표 장치 및 방법
ATE519316T1 (de) * 2008-02-29 2011-08-15 Research In Motion Ltd Verfahren und vorrichtung zur verwendung beim aktivieren einer mobilen kommunikationsvorrichtung mit einem digitalen zertifikat
US8245044B2 (en) * 2008-11-14 2012-08-14 Visa International Service Association Payment transaction processing using out of band authentication
KR101111381B1 (ko) 2009-11-17 2012-02-24 최운호 유비쿼터스 인증 관리를 위한 사용자 인증 시스템, 사용자 인증장치, 스마트 카드 및 사용자 인증방법
EP2518670A4 (en) * 2010-09-07 2015-02-25 Zte Corp SYSTEM AND METHOD FOR REMOTE PAYMENT BASED ON MOBILE TERMINALS
US20120079275A1 (en) * 2010-09-23 2012-03-29 Canon Kabushiki Kaisha Content filtering of secure e-mail
CN102456193A (zh) * 2010-10-28 2012-05-16 中国银联股份有限公司 移动存储设备、基于该设备的数据处理系统和方法
KR20130021774A (ko) 2011-08-23 2013-03-06 주식회사 스마트솔루션 전자인증서 기반 보안서비스 제공방법 및 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110149533A1 (en) 2009-12-22 2011-06-23 Mxtran Inc. Integrated circuit film for smart card
US20120110333A1 (en) 2010-10-29 2012-05-03 Nokia Corporation Software security
WO2013013192A2 (en) 2011-07-20 2013-01-24 Visa International Service Association Cryptographic expansion device and related protocols

Also Published As

Publication number Publication date
HK1219824A1 (zh) 2017-04-13
AP2015008827A0 (en) 2015-10-31
WO2014174491A1 (en) 2014-10-30
CN105393489A (zh) 2016-03-09
EP2989746A4 (en) 2016-05-18
ZA201507785B (en) 2018-05-30
KR20150139616A (ko) 2015-12-11
HK1218474A1 (zh) 2017-02-17
US9660814B2 (en) 2017-05-23
AU2014258980A1 (en) 2015-11-12
EP2989746A1 (en) 2016-03-02
US20160149710A1 (en) 2016-05-26
AU2014258980B2 (en) 2016-02-04

Similar Documents

Publication Publication Date Title
KR101612751B1 (ko) 디지털 인증서의 제공
AU2013298189B2 (en) Issuing and storing of payment credentials
US9860749B2 (en) Systems and methods for verification conducted at a secure element
US9686235B2 (en) Mobile banking system with cryptographic expansion device
US20190251561A1 (en) Verifying an association between a communication device and a user
AU2014246709B2 (en) Systems, methods and devices for transacting
EP2961094A1 (en) System and method for generating a random number
US9648013B2 (en) Systems, methods and devices for performing passcode authentication
US10404475B2 (en) Method and system for establishing a secure communication tunnel
EP2824603A2 (en) System and method for authenticating public keys

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant