KR101638706B1 - 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법 - Google Patents

전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법 Download PDF

Info

Publication number
KR101638706B1
KR101638706B1 KR1020140194896A KR20140194896A KR101638706B1 KR 101638706 B1 KR101638706 B1 KR 101638706B1 KR 1020140194896 A KR1020140194896 A KR 1020140194896A KR 20140194896 A KR20140194896 A KR 20140194896A KR 101638706 B1 KR101638706 B1 KR 101638706B1
Authority
KR
South Korea
Prior art keywords
security
data
frequency
message
identification card
Prior art date
Application number
KR1020140194896A
Other languages
English (en)
Other versions
KR20160081295A (ko
Inventor
진민식
정대규
오준택
송호근
양희선
김홍조
Original Assignee
한국조폐공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국조폐공사 filed Critical 한국조폐공사
Priority to KR1020140194896A priority Critical patent/KR101638706B1/ko
Publication of KR20160081295A publication Critical patent/KR20160081295A/ko
Application granted granted Critical
Publication of KR101638706B1 publication Critical patent/KR101638706B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 전자신분증내 대용량 데이터의 보안메시지 처리방법에 관한 것으로, 전자신분증과 판독시스템 사이에 전달되는 데이터의 종류에 따라 보안강도를 설정하는 보안강도설정단계와, 전자신분증과 판독시스템 사이의 상호인증을 수행하는 상호인증단계와, 보안강도설정단계에 의하여 설정된 보안강도에 따라 전자신분증과 판독시스템 사이에 전달되는 데이터를 보안메시지 처리하는 보안메시지처리단계를 포함하고, 보안강도설정단계는 보안강도를 설정할 데이터그룹을 선택하는 데이터그룹선택단계와, 상기 데이터그룹선택단계에 의하여 선택된 데이터그룹의 보안메시지 처리빈도를 설정하는 보안빈도설정단계를 포함하여, 데이터의 종류에 따라 보안메시지 처리하는 보안빈도의 설정이 가능하도록 함으로써 전송데이터의 비밀성 및 무결성을 보장하면서도 데이터의 판독속도를 향상시킬 수 있는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법에 관한 것이다.

Description

전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법{A Processing Method of Secured Message Capable of High Speed Transmitting Large Data in e-ID Card}
본 발명은 전자신분증내 대용량 데이터의 보안메시지 처리방법에 관한 것으로, 더욱 상세하게는 전자신분증과 판독시스템 사이에 전달되는 데이터의 종류에 따라 보안강도를 설정하는 보안강도설정단계와, 전자신분증과 판독시스템 사이의 상호인증을 수행하는 상호인증단계와, 보안강도설정단계에 의하여 설정된 보안강도에 따라 전자신분증과 판독시스템 사이에 전달되는 데이터를 보안메시지 처리하는 보안메시지처리단계를 포함하고, 보안강도설정단계는 보안강도를 설정할 데이터그룹을 선택하는 데이터그룹선택단계와, 상기 데이터그룹선택단계에 의하여 선택된 데이터그룹의 보안메시지 처리빈도를 설정하는 보안빈도설정단계를 포함하여, 데이터의 종류에 따라 보안메시지 처리하는 보안빈도의 설정이 가능하도록 함으로써 전송데이터의 비밀성 및 무결성을 보장하면서도 데이터의 판독속도를 향상시킬 수 있는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법에 관한 것이다.
일반적으로 스마트카드는 마이크로프로세서, 운영체계, 보안모듈, 메모리 등이 탑재되어 저장기능, 연산기능 및 보안기능을 가지는 카드로서, 기존의 마그네틱 카드에 비하여 위조 및 변조가 어려울 뿐만 아니라 저장 용량이 크고 다양한 어플리케이션을 탑재할 수 있어, 금융, 통신, 교육, 행정, 교통 등 수많은 분야에서 정보기록, 신원확인, 전자화폐, 신용카드, 전자통장 등의 수단으로 사용되고 있다.
특히 전자여권, 전자운전면허증, 전자주민증과 같은 스마트카드를 기반으로한 전자신분증에 있어서, 전자신분증의 IC칩 내에 다양한 개인정보 뿐만 아니라, 사진, 지문 등의 신체정보까지 포함되도록 하고 있는바, RF 통신이 가능한 단말기를 이용하여 전송메시지를 도청하거나 전자신분증 소지자가 인식하지 못한 상태에서 비인가된 RF 통신단말기로 전자신분증 IC칩과 통신하여 IC칩에 저장된 정보를 읽어들이는 스키밍 공격에 대한 대비가 필요하다.
또한, 전자신분증은 지문, 사진 등과 같은 대용량 데이터를 포함하는바, 대용량 데이터의 처리에 어려움이 있었으며, 아래 특허문헌과 같이 대용량의 데이터를 분할하여 처리하는 방법이 개시되고 있으나, 데이터에 대한 보안문제와 데이터의 처리 속도에 관한 문제를 전혀 고려하지 않고 있다.
따라서, 전자신분증과 전자신분증을 판독하는 판독시스템 사이에 안전한 통신채널을 확보하여 도청, 스키밍 등의 공격으로 부터 개인정보를 보호하도록 하였으며, 기본 접근 제어(Basic Access Control, BAC), 확장 접근 제어(Extended Access Control, EAC)를 통해 판독시스템이 전자신분증에 대한 물리적인 접근 권한이 있는지를 확인하였다. 이러한 기존 방식은 판독시스템과 전자신분증 간에 상호인증을 수행한 후 BAC/EAC 키분배를 통해 공유한 BAC/EAC 세션키로 암호화하고 MAC 값을 생성하여 BAC/EAC의 안전한 통신채널을 생성하도록 하였으나, 상호간에 전달되는 모든 명령 및 응답데이터가 BAC/EAC 세션용 암호키 및 MAC키를 이용하여 블록암호화 및 메시지인증코드를 사용한 MAC 값 검증을 수행하도록 함으로써, 지문, 사진 등의 대용량 데이터를 포함하는 전자신분증을 판독하는데에 많은 시간이 소요될 수 밖에 없었으며, 이로 인한 각종 오류와 지연이 발생하는 문제가 있었다.
(특허문헌)
대한민국 등록특허공보 제10-1012150호(2011. 01. 25. 등록) "명령어 확장을 통한 스마트카드 읽기 방법 및 시스템"
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로,
본 발명은 전자신분증과 판독시스템 사이에 전달되는 데이터의 종류에 따라 보안강도를 설정하는 보안강도설정단계와, 전자신분증과 판독시스템 사이의 상호인증을 수행하는 상호인증단계와, 보안강도설정단계에 의하여 설정된 보안강도에 따라 전자신분증과 판독시스템 사이에 전달되는 데이터를 보안메시지 처리하는 보안메시지처리단계를 포함하여, 데이터의 중요도에 따라 보안강도를 다르게 설정할 수 있도록 함으로써 데이터의 보안을 유지하면서도 데이터의 처리속도를 향상시킬 수 있도록 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법을 제공하는데 목적이 있다.
본 발명은 보안강도를 설정할 데이터그룹을 선택하는 데이터그룹선택단계와, 상기 데이터그룹선택단계에 의하여 선택된 데이터그룹의 보안메시지 처리빈도를 설정하는 보안빈도설정단계를 포함하는 보안강도설정단계를 포함하여, 데이터의 종류에 따라 보안메시지 처리하는 보안빈도의 설정이 가능하도록 함으로써 중요도가 낮은 종류의 데이터는 보안메세지 처리를 적게 하여 데이터의 처리속도를 향상시킬 수 있도록 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법을 제공하는데 목적이 있다.
본 발명은 보안강도에 따라 0, 1, 2, 3,···, n 값 중의 하나를 선택하도록 하는 보안강도설정단계를 포함하여, 보안강도의 설정이 용이하게 이루어질 수 있도록 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법을 제공하는데 목적이 있다.
본 발명은 1/2n 의 빈도로 보안메시지 처리가 되도록 하는 보안강도설정단계를 포함하여, n 값이 높아질수록 보안메시지 처리 횟수가 감소하여 데이터 처리 속도가 증가하도록 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법을 제공하는데 목적이 있다.
본 발명은 보안빈도설정단계에 의하여 설정된 보안빈도에 따라 평문과 보안메시지를 선택하는 보안빈도적용단계와, 보안빈도 적용단계에 의하여 보안메시지를 적용하도록 선택된 경우 보안메시지를 생성하는 보안메시지 생성단계를 포함하는 보안메시지처리단계를 포함하여, 보안빈도 설정에 따라 평문과 보안메시지가 혼합하여 데이터를 전달하도록 함으로써 대용량 데이터의 전송속도를 향상시킬 수 있도록 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법을 제공하는데 목적이 있다.
본 발명은 보안빈도설정단계에 의하여 1/2n 의 보안빈도가 설정된 경우, 2n 번째의 데이터만이 보안메시지 생성단계를 거쳐 보안메시치 처리되고, 나머지 데이터는 평문으로 전송되도록 하는 보안빈도적용단계를 포함하여, n 값의 증가에 따라 보안메시지 처리 빈도가 감소하도록 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법을 제공하는데 목적이 있다.
본 발명은 앞서 본 목적을 달성하기 위해서 다음과 같은 구성을 가진 실시예에 의해서 구현된다.
본 발명의 일 실시예에 따르면, 본 발명에 따른 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법은 전자신분증과 판독시스템 사이에 전달되는 데이터의 종류에 따라 보안강도를 설정하는 보안강도설정단계와, 전자신분증과 판독시스템 사이의 상호인증을 수행하는 상호인증단계와, 상기 보안강도설정단계에 의하여 설정된 보안강도에 따라 전자신분증과 판독시스템 사이에 전달되는 데이터를 보안메시지 처리하는 보안메시지처리단계를 포함하는 것을 특징으로 한다.
본 발명의 다른 실시예에 따르면, 본 발명에 따른 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법에 있어서, 상기 보안강도설정단계는 보안강도를 설정할 데이터그룹을 선택하는 데이터그룹선택단계와, 상기 데이터그룹선택단계에 의하여 선택된 데이터그룹의 보안메시지 처리빈도를 설정하는 보안빈도설정단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법에 있어서, 상기 보안빈도설정단계는 보안강도에 따라 0, 1, 2, 3,···, n 값 중의 하나를 선택하도록 하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법에 있어서, 상기 보안빈도설정단계는 1/2n 의 빈도로 보안메시지 처리가 되도록 하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법에 있어서, 상기 보안메시지처리단계는 상기 보안빈도설정단계에 의하여 설정된 보안빈도에 따라 평문과 보안메시지를 선택하는 보안빈도적용단계와, 상기 보안빈도적용단계에 의하여 보안메시지를 적용하도록 선택된 경우 보안메시지를 생성하는 보안메시지생성단계를 포함하는 것을 특징으로 한다.
본 발명의 또 다른 실시예에 따르면, 본 발명에 따른 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법에 있어서, 상기 보안빈도적용단계는 상기 보안빈도설정단계에 의하여 1/2n 의 보안빈도가 설정된 경우, 2n 번째의 데이터만이 보안메시치 처리되고, 나머지 데이터는 평문으로 전송되도록 하는 것을 특징으로 한다.
본 발명은 앞서 본 실시예와 하기에 설명할 구성과 결합, 사용관계에 의해 다음과 같은 효과를 얻을 수 있다.
본 발명은 전자신분증과 판독시스템 사이에 전달되는 데이터의 종류에 따라 보안강도를 설정하는 보안강도설정단계와, 전자신분증과 판독시스템 사이의 상호인증을 수행하는 상호인증단계와, 보안강도설정단계에 의하여 설정된 보안강도에 따라 전자신분증과 판독시스템 사이에 전달되는 데이터를 보안메시지 처리하는 보안메시지처리단계를 포함하여, 데이터의 중요도에 따라 보안강도를 다르게 설정할 수 있도록 함으로써 데이터의 보안을 유지하면서도 데이터의 처리속도를 향상시킬 수 있도록 하는 효과가 있다.
본 발명은 보안강도를 설정할 데이터그룹을 선택하는 데이터그룹선택단계와, 상기 데이터그룹선택단계에 의하여 선택된 데이터그룹의 보안메시지 처리빈도를 설정하는 보안빈도설정단계를 포함하는 보안강도설정단계를 포함하여, 데이터의 종류에 따라 보안메시지 처리하는 보안빈도의 설정이 가능하도록 함으로써 중요도가 낮은 종류의 데이터는 보안메세지 처리를 적게 하여 데이터의 처리속도를 향상시킬 수 있도록 하는 효과가 있다.
본 발명은 보안강도에 따라 0, 1, 2, 3,···, n 값 중의 하나를 선택하도록 하는 보안강도설정단계를 포함하여, 보안강도의 설정이 용이하게 이루어질 수 있도록 하는 효과가 있다.
본 발명은 1/2n 의 빈도로 보안메시지 처리가 되도록 하는 보안강도설정단계를 포함하여, n 값이 높아질수록 보안메시지 처리 횟수가 감소하여 데이터 처리 속도가 증가하도록 하는 효과가 있다.
본 발명은 보안빈도설정단계에 의하여 설정된 보안빈도에 따라 평문과 보안메시지를 선택하는 보안빈도적용단계와, 보안빈도 적용단계에 의하여 보안메시지를 적용하도록 선택된 경우 보안메시지를 생성하는 보안메시지 생성단계를 포함하는 보안메시지처리단계를 포함하여, 보안빈도 설정에 따라 평문과 보안메시지가 혼합하여 데이터를 전달하도록 함으로써 대용량 데이터의 전송속도를 향상시킬 수 있도록 하는 효과가 있다.
본 발명은 보안빈도설정단계에 의하여 1/2n 의 보안빈도가 설정된 경우, 2n 번째의 데이터만이 보안메시지 생성단계를 거쳐 보안메시치 처리되고, 나머지 데이터는 평문으로 전송되도록 하는 보안빈도적용단계를 포함하여, n 값의 증가에 따라 보안메시지 처리 빈도가 감소하도록 하는 효과가 있다.
도 1은 본 발명의 일실시예에 따른 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법의 흐름도
도 2는 도 1의 보안강도설정단계를 설명하기 위한 참고도
도 3은 도 1의 보안빈도적용단계를 설명하기 위한 참고도
도 4는 도 1의 상호인증단계를 설명하기 위한 참고도
도 5는 도 1의 보안메시지생성단계의 구성을 나타내는 블럭도
도 6은 도 5의 암호화단계를 설명하기 위한 참고도
도 7은 도 5의 메시지인증코드생성단계를 설명하기 위한 참고도
이하에서는 본 발명에 따른 전자신분증내 대용량 데이터의 고속 전달이 가능한 보안메시지 처리방법의 바람직한 실시예들을 첨부된 도면을 참조하여 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하도록 한다. 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본 발명의 일 실시예에 따른 전자신분증내 대용량 데이터의 고속 전달이 가능한 보안메시지 처리방법를 도 1 내지 도 7을 참조하여 설명하면, 상기 보안메시지 처리방법은 전자신분증과 판독시스템 사이에 전달되는 데이터의 종류에 따라 보안강도를 설정하는 보안강도설정단계(S1)와, 전자신분증과 판독시스템 사이의 상호인증을 수행하는 상호인증단계(S3)와, 상기 보안강도설정단계(S1)에 의하여 설정된 보안강도에 따라 전자신분증과 판독시스템 사이에 전달되는 데이터를 보안메시지 처리하는 보안메시지처리단계(S5)를 포함한다.
앞서 배경이 되는 기술에서 설명한 바와 같이 전자주민증, 전자여권 등과 같은 스마트카드를 기반으로 한 전자신분증에 있어서, 전자신분증에 저장된 개인정보의 보호는 전자신분증 관련 기술에 있어 가장 핵심적인 부분이라고 할 수 있으며, 전자신분증 시스템을 정착시키기는데에 있어서 반드시 해결해야 할 숙제라고 할 수 있다. 따라서, 전자신분증에 포함된 개인정보를 보호하기 위한 다양한 보안기술이 개발되어 있으며, 본 발명에서도 상호인증단계(S3)와 보안메시지처리단계(S5)를 이용하여 개인정보에 대한 비밀성과 무결성을 보장하도록 하고 있다. 다만 전자신분증은 지문, 사진 등과 같은 대용량의 데이터를 포함하기 때문에 전자신분증과 전자신분증을 판독하는 판독시스템 사이에 데이터를 처리하는 속도 또한 중요한 문제라고 할 수 있으며, 사진, 지문 등과 같은 대용량 데이터의 전부에 대하여 암호화, 즉 보안메시지 처리를 함으로써 암호화 및 복호화에 많은 시간이 소요되었다. 따라서, 전자신분증이 판독에 많은 시간이 소요되고, 시스템의 과부하에 따른 2차적인 오류들이 발생되는 문제가 있었다. 따라서, 본 발명에서는 종래와 같이 상호인증단계(S3)와 보안메시지처리단계(S5)를 그대로 포함하여 데이터의 비밀성과 무결성을 보장하면서도, 데이터의 중요도에 따라 보안강도를 다르게 설정하도록 함으로써 데이터의 처리속도를 향상시킬 수 있도록 하였다. 즉 사진과 같은 중요도가 다소 떨어지는 데이터에 대해서는 보안강도를 낮게 설정하여 데이터의 처리속도를 빠르게 할 수 있도록 하고, 지문과 같이 중요도가 높은 데이터에 대해서는 보안강도를 높게 설정하도록 하며, 본 발명에서는 이를 실현하기 위하여 평문과 암호문(이하, '보안메시지'라고 함)를 사용하는 빈도, 평문과 암호문의 비율을 조절하여 혼합, 전달할 수 있도록 하였다. 이에 관한 상세한 설명은 후술한다.
상기 보안강도설정단계(S1)는 데이터의 중요도에 따른 보안강도를 설정하는 단계로, 도 3에 도시된 바와 같이 Select Application 명령을 통해 데이터그룹에 따른 보안빈도를 설정할 수 있도록 한다. 전자신분증과 판독시스템 간에는 APDU(Application Protocol Data Unit)라고 하는 데이터 단위로 명령과 응답을 주고 받게 되는데, 도 2에 도시된 바와 같이 판독시스템으로부터 전자신분증에 전달되는 명령(C-APDU)의 데이터부에 어플리케이션 식별자(a, AID), 보안빈도(b, 2n), 해당 보안빈도를 적용할 데이터그룹(c)의 파일 아이디(FIDs)를 포함하도록 한다. 상기 보안강도설정단계(S1)는 보안빈도를 설정할 데이터그룹을 선택하는 데이터그룹선택단계(S11)와 선택된 데이터그룹의 보안빈도를 설정하는 보안빈도설정단계(S13)를 포함한다.
상기 데이터그룹선택단계(S11)는 보안빈도를 설정할 데이터그룹을 선택하는 단계로, 앞서 설명한 바와 같이 Select Application 명령을 통해 C-APDU에 포함되는 데이터그룹의 파일 아이디(FIDs)를 통해 선택된다. 전자신분증에 포함되는 개인정보는 개인정보의 종류에 따라 그 그룹이 정해지는데 일반적인 개인정보와, 지문, 사진, 홍채정보 등과 같은 바이오정보가 포함될 수 있다. 따라서, 정보들에 대한 그룹에 따라 보안빈도를 설정하도록 함으로써, 예를 들어 사진과 같이 중요도가 다소 떨어지는 정보와 지문과 같이 중요도가 높은 정보의 보안빈도를 다르게 설정할 수 있도록 한다.
상기 보안빈도설정단계(S13)는 상기 데이터그룹선택단계(S11)에 의하여 선택된 데이터그룹의 보안빈도를 설정하는 단계로, n 값을 선택하여 해당그룹의 보안빈도를 설정할 수 있다. n 값의 선택에 따라 2n 값의 보안빈도가 APDU를 통해 전자신분증에 전달되며 보안빈도가 설정되는데, 정확하게 보안빈도는 1/2n 값의 보안빈도를 갖게 된다. 다시 말해, 아래 표 1에서 보는 바와 같이 n의 값이 2일 경우에는 보안빈도가 1/22 의 값을 갖게 되는데, 이는 4(22)번 중에 한번 보안메시지 처리되고 나머지 3번은 평문으로 데이터가 전송되는 것을 뜻하며, n의 값이 3일 경우에는 보안빈도가 1/23 의 값을 갖게 되고, 이는 8(23)번 중에 한번 보안메시지 처리되고 나머지 7번은 평문으로 데이터가 전송되는 것을 뜻한다. 따라서, n 의 값이 증가할 수록 보안빈도는 낮아지게 되며, 이에 따라 보안메시지 처리 횟수가 줄어 데이터의 처리 속도가 빨라지게 된다. 다시 말해 데이터의 중요도가 낮은 데이터 그룹일수록 높은 n의 값을 갖도록 하여 보안빈도를 낮추도록 한다.
n 보안메시지 사용 빈도
0 항상 보안메시지 사용
1 평문(1번) + 보안메시지(1번) 사용
2 평문(3번) + 보안메시지(1번) 사용
3 평문(7번) + 보안메시지(1번) 사용
4 평문(15번) + 보안메시지(1번) 사용
n 평문(2n-1번) + 보안메시지(1번) 사용
상기 상호인증단계(S3)는 도 4에 도시된 바와 같이 전자신분증에 저장된 BAC 인증키를 이용하여 전자신분증과 판독시스템 사이의 상호인증을 수행하는 구성으로, 기공지된 기술과 동일하므로 간략하게 설명하도록 한다. 상기 상호인증단계(S3)는 BAC 인증키를 생성하는 인증키생성단계(S31)와, 세션키를 생성하는 세션키생성단계(S33)를 포함한다.
상기 인증키생성단계(31)는 상호인증을 수행하기 위한 BAC 인증키를 생성하는 단계로, 상기 BAC 인증키는 전자신분증에 저장된 기본정보를 이용하여 생성, 저장되며, 판독시스템 역시 동일한 과정을 통해 BAC 인증키 쌍을 공유하게 된다. 상기 BAC 인증키를 이용하여 상호인증이 수행되며, 판독시스템은 난수요청명령(Get Chanllenge)을 통해 전자신분증으로부터 난수를 전달받아 BAC 인증키(KENC)를 이용하여 암호화블록(EIFD)을 생성하고, 암호화블록(EIFD)을 BAC 인증용 MAC키를 이용하여 메시지인증코드값(MIFD)을 생성하여(311) 전자신분증에 전송하며, 전자신분증은 이에 대한 검증을 수행한다(312).
상기 세션키생성단계(33)는 데이터의 암호화 및 메시지인증코드를 검증하여 데이터의 무결성을 보장하기 위해 사용되는 BAC 인증용 세션키를 생성하는 단계로, 전자신분증과 판독시스템은 동일한 세션키를 보유하게 된다(313,314). 상기 세션키생성단계(33)에 의해 세션키가 생성되며 상기 보안메시지처리단계(S5)에 의해 암호화 및 메시지인증코드 생성이 진행되는데, 종래기술과 다른 점은 상기 보안강도설정단계(S1)에 의하여 설정된 보안강도에 따라 보안메시지 처리되는 빈도가 데이터그룹마다 다르게 적용된다는 것이다. 또한, BAC 세션키 뿐만 아니라 EAC 세션키도 생성되어 민감한 정보를 보호하게 되는데, 사진과 같은 정보는 덜 민감한 정보로 BAC용 세션키를 통해 보호되고, 지문과 같은 민감한 정보는 비대칭키 암호알고르짐을 통해 생성된 EAC용 세션키를 통해 보호될 수 있으며, 이는 공지된 기술이므로 상세한 설명은 생략한다.
상기 보안메시지처리단계(S5)는 상기 상호인증단계(S3)에 의하여 전자신분증과 판독시스템 간에 안전한 통신채널이 확보된 후, 데이터를 암호화하여 전송하도록 하는 단계로, 상기 보안강도설정단계(S1)에 의하여 설정된 보안강도를 보안메시지처리에 적용하는 보안빈도적용단계(S51)와, 상기 보안빈도적용단계(S51)에 따라 적용된 보안빈도에 따라 보안메시지를 생성하는 보안메시지생성단계(S53)를 포함한다.
상기 보안빈도적용단계(S51)는 상기 보안강도설정단계(S1)에 의하여 설정된 보안강도, 더욱 정확하게는 해당 데이터그룹에 설정된 보안빈도가 보안메시지 처리에 적용되도록 하며, Read Binary 명령을 통해 전자신분증의 데이터를 읽어올 경우 상기 보안강도설정단계(S1)에 의하여 설정된 보안강도에 따라 평문 및 보안메시지를 혼합하여 전달하도록 한다. 다시 말해, 앞서 보안빈도설정단계(S13), 도 3에서 설명한 바와 같이 1/2n 의 보안빈도를 갖는 데이터그룹에 해당하는 경우에, 데이터를 전송하는 동안 2n 번째가 아닌 경우에는 평문의 데이터를 전송하고, 2n 번째인 경우에는 상기 보안메시지생성단계(S53)에 의해 보안메시지를 생성하여 보안메시지를 전송하도록 한다. 예를 들어 n 값이 3으로 설정되어 1/23 의 빈도를 갖는 데이터그룹에 해당하는 데이터의 경우에는 7번 평문 데이터, 1번 보안메시지 처리되어 전송되도록 한다. 또한, 해당 데이터 파일의 전송이 끝날때까지 해당보안빈도는 지속되므로(S515), 7번 평문, 1번 보안메시지, 7번 평문, 1번 보안메시지 전송이 반복된다. 따라서, 본 발명은 앞서 설명한 바와 같이 사진, 지문 등의 대용량 데이터 전송의 경우에 데이터의 중요도에 따라 보안메시지 처리 횟수를 조절하도록 함으로써 보안과 데이터 처리속도를 모두 만족시킬 수 있도록 함으로써 전자신분증내 대용량 데이터의 고속 전달이 가능해진다. 다시 말해, 보안메시지 처리 횟수를 줄여 데이터 처리 속도를 향상시키면서도, 도청을 통해 판독시스템으로 전달되는 사진과 지문 같은 데이터를 획득하였다하더라도 보안메시지 형태로 전달된 일부 데이터로 인해 안전하게 개인정보를 보호할 수 있도록 한다.
보안메시지생성단계(S53)는 상기 보안빈도적용단계(S51)에 의하여 보안메시지 처리를 해야할 경우 보안메시지를 생성하도록 하는 과정으로, 기 공지된 기술과 같으므로, 간략하게 설명하도록 한다. 보안메시지생성단계(S53)는 도 5에 도시된 바와 같이 암호화단계(S531)와 메시지인증코드생성단계(S533)를 포함하며, 상기 암호화단계(S531)는 도 6에 도시된 바와 같이 BAC 또는 EAC 세션용 암호키(531a)를 이용하여 블록암호화(531b)를 수행하는 단계를 말하며, 상기 메시지인증코드생성단계(S533)는 BAC 또는 EAC 세션용 MAC키(533a)를 이용하여 암호화된 블록에 대한 메시지인증코드(533b)를 생성하여 데이터의 무결성을 보장하도록 한다.
이상에서, 출원인은 본 발명의 다양한 실시예들을 설명하였지만, 이와 같은 실시예들은 본 발명의 기술적 사상을 구현하는 일 실시예일 뿐이며, 본 발명의 기술적 사상을 구현하는 한 어떠한 변경예 또는 수정예도 본 발명의 범위에 속하는 것으로 해석되어야 한다.
S1: 보안강도설정단계
S11: 데이터그룹선택단계 S13: 보안빈도설정단계
S3: 상호인증단계
S31: 인증키생성단계 S33: 세션키생성단계
S5: 보안메시지처리단계
S51: 보안빈도적용단계
S53: 보안메시지생성단계
S531: 암호화단계 S533: 메시지인증코드생성단계

Claims (6)

  1. 전자신분증과 판독시스템 사이의 상호인증을 수행하는 상호인증단계와; 상기 상호인증단계 후 보안강도에 따라 전자신분증 내 특정 파일의 데이터를 암호화하여 판독시스템에 전송하는 보안메시지처리단계;를 포함하며,
    상기 보안메시지처리단계에서 전송되는 특정 파일의 데이터는 평문과 보안메시지로 구성되고, 상기 파일의 보안강도에 따라 평문과 보안메시지의 비율이 결정되며, 상기 보안강도는 0, 1, 2, 3,···, n 값 중 어느 하나의 값을 가지고,
    상기 보안메시지처리단계에서는 1/n2의 보안빈도를 가져 1, 2,···, 2n-1 번째의 데이터는 평문으로 전송되고 2n 번째 데이터는 보안메시지로 전송되며, 상기 파일의 데이터 전송이 끝날 때까지 보안빈도는 유지되므로 평문과 보안메시지의 전송이 순차적으로 반복되는 것을 특징으로 하는 전자신분증 내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법.
  2. 제 1 항에 있어서,
    상기 전자신분증 내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법은 전자신분증과 판독시스템 사이에 전달되는 데이터의 종류에 따라 보안강도를 설정하는 보안강도설정단계를 추가로 포함하며,
    상기 보안강도설정단계는 보안강도를 설정할 데이터그룹을 선택하는 데이터그룹선택단계와, 상기 데이터그룹선택단계에 의하여 선택된 데이터그룹의 보안메시지 처리빈도를 설정하는 보안빈도설정단계를 포함하는 것을 특징으로 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법.
  3. 제 2 항에 있어서, 상기 보안빈도설정단계는
    보안강도에 따라 0, 1, 2, 3,···, n 값 중의 하나를 선택하도록 하는 것을 특징으로 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법.
  4. 제 3 항에 있어서, 상기 보안빈도설정단계는
    1/2n 의 빈도로 보안메시지 처리가 되도록 하는 것을 특징으로 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법.
  5. 제 4 항에 있어서, 상기 보안메시지처리단계는
    상기 보안빈도설정단계에 의하여 설정된 보안빈도에 따라 평문과 보안메시지를 선택하는 보안빈도적용단계와, 상기 보안빈도적용단계에 의하여 보안메시지를 적용하도록 선택된 경우 보안메시지를 생성하는 보안메시지생성단계를 포함하는 것을 특징으로 하는 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법.
  6. 삭제
KR1020140194896A 2014-12-31 2014-12-31 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법 KR101638706B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140194896A KR101638706B1 (ko) 2014-12-31 2014-12-31 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140194896A KR101638706B1 (ko) 2014-12-31 2014-12-31 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법

Publications (2)

Publication Number Publication Date
KR20160081295A KR20160081295A (ko) 2016-07-08
KR101638706B1 true KR101638706B1 (ko) 2016-07-13

Family

ID=56503556

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140194896A KR101638706B1 (ko) 2014-12-31 2014-12-31 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법

Country Status (1)

Country Link
KR (1) KR101638706B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102055380B1 (ko) * 2019-07-02 2019-12-12 (주)팍스넷 보안이 강화된 메시지 송수신 기법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101093066B1 (ko) * 2005-02-21 2011-12-13 삼성전자주식회사 패킷 보안방법 및 그 장치
KR101166568B1 (ko) * 2012-03-05 2012-07-18 워치아이시스템주식회사 보안 위험도 산정방법 및 산정시스템, 그 기록매체

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102178179B1 (ko) * 2013-04-24 2020-11-12 에스케이플래닛 주식회사 모바일 신분증 관리 장치 및 사용자 단말기

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101093066B1 (ko) * 2005-02-21 2011-12-13 삼성전자주식회사 패킷 보안방법 및 그 장치
KR101166568B1 (ko) * 2012-03-05 2012-07-18 워치아이시스템주식회사 보안 위험도 산정방법 및 산정시스템, 그 기록매체

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102055380B1 (ko) * 2019-07-02 2019-12-12 (주)팍스넷 보안이 강화된 메시지 송수신 기법

Also Published As

Publication number Publication date
KR20160081295A (ko) 2016-07-08

Similar Documents

Publication Publication Date Title
US9413535B2 (en) Critical security parameter generation and exchange system and method for smart-card memory modules
Hoepman et al. Crossing borders: Security and privacy issues of the european e-passport
CN103413159B (zh) 一种基于cpk的rfid电子凭证离线鉴真防伪实现方法及系统
CN107004083B (zh) 设备密钥保护
US20050246546A1 (en) Access method
CN104463016B (zh) 一种适用于ic卡及二维码的数据安全存储方法
CN106953732B (zh) 芯片卡的密钥管理系统及方法
EP3391278B1 (de) Id-token mit geschütztem mikrocontroller
EP4128695B1 (de) Personalisierter, serverindividueller authentifizierungsmechanismus
WO2017207680A1 (de) Nutzerauthentifizierung mittels eines id-tokens
EP3319003B1 (de) Verfahren und system zur authentifizierung eines mobilen telekommunikationsendgeräts an einem dienst-computersystem und mobiles telekommunikationsendgerät
KR101638706B1 (ko) 전자신분증내 대용량 데이터의 고속전달이 가능한 보안메시지 처리방법
CN105516182B (zh) 一种用于智能卡和读写器之间的双向认证方法及其系统
KR101350984B1 (ko) 보안 토큰에 대한 발급자 인증 방법 및 그 장치
Zhang et al. Integrity improvements to an RFID privacy protection protocol for anti-counterfeiting
CN113285950B (zh) 一种基于加密卡的密钥传输和存储方法
Karger Privacy and security threat analysis of the federal employee personal identity verification (PIV) program
DE102021103997A1 (de) Nutzerauthentifizierung unter Verwendung zweier unabhängiger Sicherheitselemente
CN106487796A (zh) 身份证阅读机具中的安全加密单元及其应用方法
CN103544444A (zh) 实现离线打印限制的方法和系统
GB2556625A (en) Secure enrolment of biometric data
Mostowski et al. Electronic passports in a nutshell
EP2880810B1 (de) Authentifizierung eines dokuments gegenüber einem lesegerät
JP2004288080A (ja) Icカードシステムおよびicカード発行方法
TWI531203B (zh) 使用者資訊之驗證方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190701

Year of fee payment: 4