KR101759428B1 - Smart card data protection system and method using a secret sharing scheme - Google Patents

Smart card data protection system and method using a secret sharing scheme Download PDF

Info

Publication number
KR101759428B1
KR101759428B1 KR1020160033842A KR20160033842A KR101759428B1 KR 101759428 B1 KR101759428 B1 KR 101759428B1 KR 1020160033842 A KR1020160033842 A KR 1020160033842A KR 20160033842 A KR20160033842 A KR 20160033842A KR 101759428 B1 KR101759428 B1 KR 101759428B1
Authority
KR
South Korea
Prior art keywords
smart card
secret
information
client
piece
Prior art date
Application number
KR1020160033842A
Other languages
Korean (ko)
Inventor
박남제
이동혁
Original Assignee
제주대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 제주대학교 산학협력단 filed Critical 제주대학교 산학협력단
Priority to KR1020160033842A priority Critical patent/KR101759428B1/en
Application granted granted Critical
Publication of KR101759428B1 publication Critical patent/KR101759428B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Abstract

본 발명은 비밀분산 기법을 활용하여 스마트카드(eID) 내에 어떠한 개인정보도 남기지 않으며, 스마트카드 자체만으로는 어떠한 비밀정보도 복원할 수 없도록 하는 비밀분산기법을 이용한 스마트카드 데이터 보호방법에 관한 것으로, 비밀정보의 복수개의 비밀조각들 중 하나인 제 1 비밀조각을 저장하고 있는 스마트카드(100); 등록절차를 통해 비밀정보의 복수개의 비밀조각들 중 하나인 제 2 비밀조각을 저장하고 있으며, 비밀정보 복원 요청시 제 1 비밀조각, 제 2 비밀조각을 기반으로 하여 비밀정보를 복원하여 제공하는 스마트카드 클라이언트(200); 비밀정보를 복수개로 분할시킨 후 스마트카드(100) 및 스마트카드 클라이언트(200)에 각각 저장되도록 제공하고, 온라인 인증정보 요청시 스마트카드 클라이언트(200)에서 비밀정보가 복원되도록 요청하고, 복원된 비밀정보를 인증정보로 제공하는 스마트카드 관리 서버(300); 및 스마트카드(100)를 통해 서비스를 요청이 이루어지면 스마트카드 관리 서버(300)로 인증정보를 요구하고, 스마트카드 관리 서버(300)로부터 인증정보를 제공받아 요청 서비스를 제공하는 서비스 공급 서버(400)를 포함한다. 이에 따라 카드를 분실한 경우에도 안전을 보장받을 수 있도록 하는 효과가 있다.The present invention relates to a smart card data protection method using a secret distribution technique that does not leave any personal information in a smart card (eID) utilizing a secret distribution technique and can not restore any secret information by itself A smart card (100) storing a first secret piece which is one of a plurality of secret pieces of information; A second secret piece, which is one of a plurality of secret pieces of secret information, is stored through a registration process, and a secret information is restored based on a first secret piece and a second secret piece when a secret information restoration is requested, A card client 200; The secret information is divided into a plurality of pieces and then stored to be stored in the smart card 100 and the smart card client 200 respectively. The smart card client 200 requests the secret information to be restored when requesting the online authentication information, A smart card management server 300 for providing information as authentication information; And a service provision server for requesting authentication information from the smart card management server 300 and receiving authentication information from the smart card management server 300 when the service is requested through the smart card 100 400). Accordingly, even if the card is lost, the security can be guaranteed.

Description

비밀분산기법을 이용한 스마트카드 데이터 보호 시스템 및 방법{Smart card data protection system and method using a secret sharing scheme}Technical Field [0001] The present invention relates to a smart card data protection system and method using a secret distribution scheme,

본 발명은 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템 및 방법에 관한 것으로, 특히 비밀분산 기법을 활용하여 스마트카드(eID) 내에 어떠한 개인정보도 남기지 않으며, 스마트카드 자체만으로는 어떠한 비밀정보도 복원할 수 없도록 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템 및 방법에 관한 것이다.The present invention relates to a smart card data protection system and method using a secret distribution technique, and in particular, it does not leave any personal information in a smart card (eID) utilizing a secret distribution technique, The present invention relates to a smart card data protection system and a smart card data protection method using a secret distribution scheme.

현재 사용되고 있는 주민등록증은 주민등록번호, 주소 등 민감한 번호가 전면에 인쇄되어 육안으로 쉽게 개인정보를 확인할 수 있다. 이러한 점은 전문 지식이 없는 일반인도 쉽게 개인에 대한 정보를 파악할 수 있게 하며, 이러한 점은 결국 개인정보의 침해로 연결될 수 있다. 특히, 주민등록증은 분실의 우려가 항시 존재하며, 분실된 주민등록증을 습득하게 되는 사람에게는 고스란히 자신의 개인정보를 노출해야 하는 상황이 발생한다.The currently used resident registration card is printed on the front with sensitive numbers such as resident registration number and address, so you can easily check your personal information with the naked eye. This makes it easier for ordinary people who do not have expertise to understand information about individuals, which can lead to infringement of personal information. Particularly, the resident registration card is always concerned about the loss, and the person who acquires the lost resident registration card is obliged to expose his / her personal information.

IC칩을 내장한 전자주민증은 이러한 민감정보를 칩 속에 저장할 수 있으므로 이러한 물리적인 노출에 대해서는 비교적 안전한 편이나, 악의를 가진 공격자에 의한 해킹에도 안전이 보장되어야 전자주민증을 안심하고 사용할 수 있을 것이다.The electronic resident card with IC chip can save such sensitive information in the chip, so it is relatively safe against such physical exposure, but it is safe to use hacking by malicious attacker so that e-resident card can be used safely.

과거 국내에서 전자주민증을 추진하여 큰 논란이 있어왔다. 이는 국민들의 거부감과 프라이버시 침해의 가능성을 우려하는 시민단체들의 반발로 시행되지 못한 바 있다. 이러한 점은 이용자가 개인정보보호에 대한 신뢰를 완벽하게 하지 못한다는 부분에서 기인한다. 어떠한 경우에 있어서도 자신의 개인정보가 침해되지 않는다는 확신이 있어야 안심하고 전자주민증을 사용할 수 있을 것이다.In the past, there has been great controversy in promoting electronic resident registration in Korea. This has not been done by the opposition of civic groups who are concerned about the people 's rejection and possibility of privacy violation. This is due to the fact that the user does not have complete confidence in the protection of personal information. In any case, you should be confident that your personal information will not be violated.

전자주민증은 위험성에 대한 우려만큼이나 실제로 가져다주는 편리함도 크다. 예를 들어, 온라인 사이트 가입 등 개인정보를 일일이 입력해야 하는 번거로운 절차가 있는 경우, eID 카드를 이용하면 별도의 입력 절차 없이 간편하고 신속하게 등록이 가능하다. Electronic residents are as much of a convenience as they are about the danger. For example, if you have a troublesome procedure to enter personal information such as online site registration, eID card can be registered easily and quickly without a separate input procedure.

그러나 이러한 편리성에도 불구하고, 개인정보 노출의 불안은 전자주민증의 활성화에 큰 걸림돌이 되고 있다.Despite this convenience, however, the anxiety of exposure to personal information has become a major obstacle to the activation of e - resident cards.

대한민국 등록특허 제 10-1542106 호Korean Patent No. 10-1542106

이와 같은 종래기술의 문제점을 해소시키기 위한 것으로, 본 발명은 비밀분산 기법을 활용하여 스마트카드(eID) 내에 어떠한 개인정보도 남기지 않으며, 스마트카드 자체만으로는 어떠한 비밀정보도 복원할 수 없도록 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템 및 방법을 제공하는데, 그 목적이 있다.In order to solve the problem of the related art as described above, the present invention provides a secret distribution technique that does not leave any personal information in the smart card (eID) utilizing the secret distribution technique and can not restore any secret information by itself The present invention provides a smart card data protection system and method using the smart card.

또한, 본 발명은 비밀정보를 여러 조각으로 분할하고 각각의 비밀조각을 별도로 보관한 뒤 필요시에 임계치 개수만큼의 비밀조각을 기반으로 원본을 복원할 수 있도록 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템 및 방법을 제공하는데, 그 목적이 있다.The present invention also relates to a smart card data protection method using a secret distribution technique for dividing secret information into several pieces, storing each secret piece separately, and then restoring the original based on the number of pieces of secret pieces, System, and method.

또한, 본 발명은 스마트카드 데이터를 기반으로 하는 비밀조각들을 암호화시킨 후 각 장치에 저장되도록 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템 및 방법을 제공하는데, 그 목적이 있다.It is another object of the present invention to provide a smart card data protection system and method using a secret distribution scheme in which secret pieces based on smart card data are encrypted and stored in each device.

또한, 본 발명은 인증을 위해 복원된 개인정보를 어느 곳에도 저장시키지 않고 인증 프로토콜 상에서만 일회성으로 사용되도록 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템 및 방법을 제공하는데, 그 목적이 있다.It is another object of the present invention to provide a smart card data protection system and method using a secret distribution scheme that allows a user to use the restored personal information only once on an authentication protocol without storing the restored personal information for authentication.

본 발명의 실시예에 따른 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템은 비밀정보의 복수개의 비밀조각들 중 하나인 제 1 비밀조각을 저장하고 있는 스마트카드(100); 등록절차를 통해 비밀정보의 복수개의 비밀조각들 중 하나인 제 2 비밀조각을 저장하고 있으며, 비밀정보 복원 요청시 제 1 비밀조각, 제 2 비밀조각을 기반으로 하여 비밀정보를 복원하여 제공하는 스마트카드 클라이언트(200); 비밀정보를 복수개로 분할시킨 후 스마트카드(100) 및 스마트카드 클라이언트(200)에 각각 저장되도록 제공하고, 온라인 인증정보 요청시 스마트카드 클라이언트(200)에서 비밀정보가 복원되도록 요청하고, 복원된 비밀정보를 인증정보로 제공하는 스마트카드 관리 서버(300); 및 스마트카드(100)를 통해 서비스를 요청이 이루어지면 스마트카드 관리 서버(300)로 인증정보를 요구하고, 스마트카드 관리 서버(300)로부터 인증정보를 제공받아 요청 서비스를 제공하는 서비스 공급 서버(400)를 포함할 수 있다.A smart card data protection system using a secret sharing technique according to an embodiment of the present invention includes a smart card (100) storing a first secret piece, which is one of a plurality of secret pieces of secret information; A second secret piece, which is one of a plurality of secret pieces of secret information, is stored through a registration process, and a secret information is restored based on a first secret piece and a second secret piece when a secret information restoration is requested, A card client 200; The secret information is divided into a plurality of pieces and then stored to be stored in the smart card 100 and the smart card client 200 respectively. The smart card client 200 requests the secret information to be restored when requesting the online authentication information, A smart card management server 300 for providing information as authentication information; And a service provision server for requesting authentication information from the smart card management server 300 and receiving authentication information from the smart card management server 300 when the service is requested through the smart card 100 400).

본 발명과 관련된 실시예로서, 스마트카드 클라이언트는, 외부로부터 입력되는 비밀조각 등록절차요청에 응하여 클라이언트 장치 아이디(IDD)를 생성하고, 스마트카드(200)로부터 제 1 비밀조각(SE)를 획득한 후 외부로부터 입력되는 핀(PIN)정보와 제 1 비밀조각(SE) 정보를 기반으로 암호화 키(K)를 산출하고, 저장할 제 2 비밀조각(SC)을 생성시킨 후 제 2 비밀조각(SC)을 암호화 키(K)로 암호화하여 저장하는 것을 특징으로 할 수 있다.As an embodiment related to the present invention, a smart card client generates a client device ID (IDD) in response to an externally inputted secret piece registration procedure request, acquires a first secret piece SE from the smart card 200 The second secret piece SC is generated based on the PIN information input from the outside and the first secret piece SE to generate the encryption secret key SC, Is encrypted with an encryption key (K) and stored.

본 발명과 관련된 실시예로서, 스마트카드 관리 서버(300)는, 서비스 공급 서버(400)의 사용자 스마트카드 데이터 요청에 응하여 스마트카드 클라이언트(200)로 서비스 공급 서버(400)의 정보 및 권한 인증서 정보를 전달하고, 스마트카드 클라이언트(200)에 의해 스마트카드(100)와의 사이에 채널이 확립되면, 스마트카드(100) 내의 제 1 비밀조각(SE)을 스마트카드 클라이언트(200)로 전달하며, 스마트카드 클라이언트(200)로부터 수신된 스마트카드 데이터를 서비스 공급 서버(400)로 전송하는 것을 특징으로 할 수 있다.The smart card management server 300 transmits information and authorization certificate information of the service provision server 400 to the smart card client 200 in response to the user smart card data request of the service provision server 400, And transmits a first secret piece SE in the smart card 100 to the smart card client 200 when a channel is established with the smart card 100 by the smart card client 200, And transmits the smart card data received from the card client 200 to the service provision server 400.

본 발명과 관련된 실시예로서, 스마트카드 클라이언트(200)는 권한 인증서 및 수집대상 개인정보 항목을 화면에 표시하고, 화면을 통해 핀(PIN) 정보가 입력되면 PACE 프로토콜을 실행시켜 스마트카드(100)와 스마트카드 관리 서버(300) 사이에 상호 인증을 수행하고 안전한 채널을 확립시키고, 채널을 통해 스마트카드(100)에 저장된 제 1 비밀조각(SE)을 전달받고, 제 1 비밀조각(SE)과 핀정보를 기반으로 키(K)를 연산한 후 키(K)를 이용하여 제 2 비밀조각(SC)을 복호화 하고, 상기 제 1 비밀조각(SE)과, 제 2 비밀조각(SC)을 기반으로 스마트카드 원본 데이터를 복원하며, 스마트카드 내의 개인정보를 포함한 스마트카드 데이터를 스마트카드 관리 서버(300)로 전송하는 것을 특징으로 할 수 있다.As an embodiment related to the present invention, the smart card client 200 displays the rights certificate and the personal information item to be collected on the screen, and when the PIN information is inputted through the screen, the smart card client 200 executes the PACE protocol, And the smart card management server 300 to establish a secure channel and to receive the first secret piece SE stored in the smart card 100 through the channel, And decrypts the second secret piece SC by using the key K after calculating the key K based on the pin information and transmits the first secret piece SE and the second secret piece SC as a base And transmits the smart card data including the personal information in the smart card to the smart card management server 300. [0050] FIG.

본 발명의 실시예에 따른 비밀분산기법을 이용한 스마트카드 데이터 보호 방법은, 스마트카드 클라이언트(200)가, 임의의 장치아이디(IDD)를 생성하고 저장하고, 스마트카드(eID)로부터 제 1 비밀조각(SE)를 획득하는 단계; 스마트카드 클라이언트(200)가, 핀(PIN) 정보 입력 요청을 수행하고, 핀 정보 입력 요청에 따라 핀정보를 입력받는 단계; 스마트카드 클라이언트(200)가, 핀(PIN)정보와 제 1 비밀조각(SE) 정보를 기반으로 암호화 키(K)를 계산하는 단계; 스마트카드 클라이언트(200)가, 스마트카드 클라이언트에 저장할 제 2 비밀조각(SC)을 생성하는 단계; 및 스마트카드 클라이언트는 제 2 비밀조각(SC)을 암호화 키(K)로 암호화하여 저장하는 단계를 포함할 수 있다.The smart card data protection method using the secret sharing technique according to the embodiment of the present invention is a method for protecting smart card data using a secret sharing technique in which a smart card client 200 generates and stores an arbitrary device ID, (SE); The smart card client 200 requests PIN information input and receives pin information in response to a pin information input request; The smart card client 200 calculating an encryption key K based on pin (PIN) information and first secret piece (SE) information; The smart card client 200 generating a second secret piece SC to be stored in the smart card client; And the smart card client may include encrypting and storing the second secret piece SC with the encryption key K. [

본 발명의 실시예에 따른 비밀분산기법을 이용한 스마트카드 데이터 보호 방법은, 스마트카드 관리 서버(300)가, 서비스 공급 서버(400)의 사용자 스마트카드 데이터 요청에 응하여 스마트카드 클라이언트(200)로 서비스 공급 서버(400)의 정보 및 권한 인증서 정보를 전달하는 단계; 스마트카드 관리 서버(300)가, 스마트카드 클라이언트(200)에 의해 스마트카드(100)와의 사이에 채널이 확립되면, 스마트카드(100) 내의 제 1 비밀조각(SE)을 스마트카드 클라이언트(200)로 전달하는 단계; 및 스마트카드 관리 서버(300)가, 수신된 스마트카드 데이터를 서비스 공급 서버(400)로 전송하는 단계를 포함할 수 있다.The smart card data protection method using the secret sharing technique according to the embodiment of the present invention is a method in which the smart card management server 300 responds to the user smart card data request of the service provision server 400, Transferring information and authorization certificate information of the provisioning server (400); The smart card management server 300 transmits the first secret piece SE in the smart card 100 to the smart card client 200 when the channel is established with the smart card 100 by the smart card client 200. [ ; And the smart card management server 300 may transmit the received smart card data to the service provision server 400. [

본 발명과 관련된 실시예로서, 스마트카드 클라이언트(200)가 권한 인증서 및 수집대상 개인정보 항목을 화면에 표시하는 단계; 스마트카드 클라이언트(200)가, 외부로부터 핀(PIN) 정보가 입력되는지를 판단하는 단계; 스마트카드 클라이언트(200)가, 외부로부터 핀정보가 입력되면, PACE 프로토콜을 실행시켜 스마트카드(100)와 스마트카드 관리 서버(300) 사이에 상호 인증을 수행하고 안전한 채널을 확립시키는 단계; 스마트카드 클라이언트(200)가, 채널을 통해 스마트카드(100)에 저장된 제 1 비밀조각(SE)을 전달받고, 제 1 비밀조각(SE)과 핀정보를 기반으로 키(K)를 연산하는 단계; 스마트카드 클라이언트(200)가, 키(K)를 이용하여 제 2 비밀조각(SC)을 복호화 하는 단계; 스마트카드 클라이언트(200)가, 제 1 비밀조각(SE)과 제 2 비밀조각(SC)을 기반으로 스마트카드 원본 데이터를 복원하는 단계; 및 스마트카드 클라이언트(200)가, 스마트카드 내의 개인정보를 포함한 스마트카드 데이터를 스마트카드 관리 서버(300)로 전송하는 단계를 포함하여 이루어질 수 있다.As an embodiment related to the present invention, the smart card client 200 displays an authority certificate and a collection subject personal information item on a screen; Determining whether the smart card client 200 inputs pin information from the outside; When PIN information is input from the outside, the smart card client 200 executes the PACE protocol to perform mutual authentication between the smart card 100 and the smart card management server 300 and establish a secure channel; The smart card client 200 receives the first secret piece SE stored in the smart card 100 through the channel and calculates the key K based on the first secret piece SE and the pin information ; The smart card client (200) decrypts the second secret piece (SC) using the key (K); The smart card client 200 restores the smart card original data based on the first secret piece SE and the second secret piece SC; And transmitting the smart card data including the personal information in the smart card to the smart card management server 300.

본 발명은 비밀분산 기법을 활용하여 스마트카드(eID) 내에 어떠한 개인정보도 남기지 않으며, 스마트카드 자체만으로는 어떠한 비밀정보도 복원할 수 없도록 함으로써, 카드를 분실한 경우에도 안전을 보장받을 수 있도록 하는 효과가 있다.The present invention does not leave any personal information in the smart card (eID) by utilizing the secret distribution technique, and can not restore any secret information by itself only by the smart card, so that even if the card is lost, .

또한, 본 발명은 비밀정보를 여러 조각으로 분할하고 각각의 비밀조각을 별도보관한 뒤 필요시에 임계치 개수 만큼의 비밀조각을 기반으로 원본을 복원할 수 있도록 함으로써, 스마트카드에 저장된 비밀정보만을 수집하는 경우에도 복원이 불가능하도록 하는 효과가 있다.Further, according to the present invention, the secret information is divided into several pieces, each secret piece is separately stored, and the original can be restored based on the number of pieces of the secret number, if necessary, so that only the secret information stored in the smart card is collected It is possible to make the restoration impossible.

또한, 본 발명은 스마트카드 데이터를 기반으로 하는 비밀조각들을 암호화한 후 각 장치에 저장되도록 함으로써, 악의를 가진 공격자가 해킹 등으로 비밀조각을 2대 이상의 장치에서 획득하는 경우에도 개인정보를 복원할 수 없도록 하는 효과가 있다.In addition, according to the present invention, secret pieces based on smart card data are encrypted and stored in each device, so that even when a malicious attacker acquires a secret piece from two or more devices by hacking or the like, There is an effect of preventing it from being possible.

또한, 본 발명은 인증을 위해 복원된 개인정보를 어느 곳에도 저장시키지 않고 인증 프로토콜 상에서만 일회성으로 사용되도록 함으로써, 스마트카드에 저장된 정보만을 수집해서는 원본 개인정보에 대한 임의의 정보도 확인할 수 없도록 하는 효과가 있다.In addition, according to the present invention, restored personal information for authentication is used only once on an authentication protocol without storing it anywhere, so that only information stored on a smart card can be collected so that arbitrary information on original personal information can not be checked It is effective.

도 1은 본 발명에 따른 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템의 구성을 설명하기 위한 도면이다.
도 2는 본 발명에 따른 장치 등록 절차를 설명하기 위한 도면이다.
도 3은 본 발명에 따른 인증 절차를 설명하기 위한 도면이다.
도 4는 본 발명에 따른 장치 등록 절차를 설명하기 위한 동작흐름도이다.
도 5는 본 발명에 따른 스마트카드 관리 서버 내에서의 인증 절차를 설명하기 위한 동작흐름도이다.
도 6은 본 발명에 따른 스마트카드 클라이언트 내에서의 인증 절차를 설명하기 위한 동작흐름도이다.1 is a diagram for explaining a configuration of a smart card data protection system using a secret distribution technique according to the present invention.
2 is a diagram for explaining a device registration procedure according to the present invention.
3 is a diagram for explaining an authentication procedure according to the present invention.
4 is a flowchart illustrating a device registration procedure according to the present invention.
5 is a flowchart illustrating an authentication procedure in a smart card management server according to the present invention.
6 is a flowchart illustrating an authentication procedure in a smart card client according to the present invention.

본 발명에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 발명에서 사용되는 기술적 용어는 본 발명에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 발명에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.It is noted that the technical terms used in the present invention are used only to describe specific embodiments and are not intended to limit the present invention. In addition, the technical terms used in the present invention should be construed in a sense generally understood by a person having ordinary skill in the art to which the present invention belongs, unless otherwise defined in the present invention, Should not be construed to mean, or be interpreted in an excessively reduced sense. In addition, when a technical term used in the present invention is an erroneous technical term that does not accurately express the concept of the present invention, it should be understood that technical terms can be understood by those skilled in the art. In addition, the general terms used in the present invention should be interpreted according to a predefined or prior context, and should not be construed as being excessively reduced.

또한, 본 발명에서 사용되는 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 본 발명에서, "구성된다" 또는 "포함한다" 등의 용어는 발명에 기재된 여러 구성 요소들, 또는 여러 단계를 반드시 모두 포함하는 것으로 해석되지 않아야 하며, 그 중 일부 구성 요소들 또는 일부 단계들은 포함되지 않을 수도 있고, 또는 추가적인 구성 요소 또는 단계들을 더 포함할 수 있는 것으로 해석되어야 한다.Furthermore, the singular expressions used in the present invention include plural expressions unless the context clearly dictates otherwise. In the present invention, terms such as "comprising" or "comprising" and the like should not be construed as encompassing various elements or various steps of the invention, Or may further include additional components or steps.

이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings, wherein like reference numerals refer to like or similar elements throughout the several views, and redundant description thereof will be omitted.

도 1은 본 발명에 따른 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템의 구성을 설명하기 위한 도면이다. 도 2는 본 발명에 따른 장치 등록 절차를 설명하기 위한 도면이다. 도 3은 본 발명에 따른 인증 절차를 설명하기 위한 도면이다.1 is a diagram for explaining a configuration of a smart card data protection system using a secret distribution technique according to the present invention. 2 is a diagram for explaining a device registration procedure according to the present invention. 3 is a diagram for explaining an authentication procedure according to the present invention.

도 1에 도시된 바와 같이, 본 발명이 적용된 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템은 스마트카드(100), 스마트카드 클라이언트(200), 스마트관리 서버(300), 서비스 공급 서버(400), 스마트카드 리더(500), 통신망(600)으로 이루어진다.1, a smart card data protection system using a secret sharing scheme to which the present invention is applied includes a smart card 100, a smart card client 200, a smart management server 300, a service provision server 400, A smart card reader 500, and a communication network 600.

스마트카드(100)는 비밀정보의 복수개의 비밀조각들 중 하나인 제 1 비밀조각을 저장하고 있다.The smart card 100 stores a first secret piece, which is one of a plurality of secret pieces of secret information.

스마트카드 클라이언트(200)가 등록절차를 통해 비밀정보의 복수개의 비밀조각들 중 하나인 제 2 비밀조각을 저장하고 있으며, 비밀정보 복원 요청시 제 1 비밀조각, 제 2 비밀조각을 기반으로 하여 비밀정보를 복원하여 제공한다.The smart card client 200 stores a second secret piece, which is one of a plurality of secret pieces of secret information, through a registration procedure. When the secret information is requested to be restored, the first secret piece and the second secret piece Information is restored and provided.

즉, 스마트카드(100) 자체만을 수집해서는 원본 개인정보에 대한 어떠한 정보도 알 수 없다. 스마트카드(100)의 개인정보를 복원하기 위해서는 반드시 스마트카드(100) 내의 비밀조각과 스마트카드 클라이언트(200)가 소유한 비밀조각을 동시에 수집하여야 한다. 이러한 복원은 스마트카드 온라인 인증 시 스마트카드 클라이언트(200) 상에서 일시적으로 이루어지며, 복원된 개인정보는 인증 프로토콜(PACE 프로토콜) 상에서만 일회성으로 사용되며 어느 곳에도 저장되지 않는다.That is, if only the smart card 100 itself is collected, any information about the original personal information can not be known. In order to restore personal information of the smart card 100, a secret piece in the smart card 100 and a secret piece owned by the smart card client 200 must be collected at the same time. Such restoration is temporarily performed on the smart card client 200 in the smart card online authentication, and the restored personal information is used only once on the authentication protocol (PACE protocol) and is not stored anywhere.

스마트카드 관리 서버(300)가 비밀정보를 복수개로 분할시킨 후 스마트카드(100) 및 스마트카드 클라이언트(200)에 각각 저장되도록 제공하고, 온라인 인증정보 요청시 스마트카드 클라이언트(200)에서 비밀정보가 복원되도록 요청하고, 복원된 비밀정보를 인증정보로 제공한다.The smart card management server 300 divides the secret information into a plurality of pieces and provides the pieces of secret information to be stored in the smart card 100 and the smart card client 200. When the smart card client 200 requests the online authentication information, And provides the restored secret information as authentication information.

서비스 공급 서버(400)가 스마트카드(100)를 통해 서비스를 요청이 이루어지면 스마트카드 관리 서버(300)로 인증정보를 요구하고, 스마트카드 관리 서버(300)로부터 인증정보를 제공받아 요청 서비스를 제공한다.When the service provision server 400 requests a service through the smart card 100, the service provision server 400 requests authentication information from the smart card management server 300 and receives the authentication information from the smart card management server 300 to provide.

스마트카드 클라이언트(200)가 도 2에 도시된 바와 같이, 외부로부터 입력되는 비밀조각 등록절차요청에 응하여 클라이언트 장치 아이디(IDD)를 생성하고, 스마트카드(200)로부터 제 1 비밀조각(SE)를 획득한 후 외부로부터 입력되는 핀(PIN)정보와 제 1 비밀조각(SE) 정보를 기반으로 암호화 키(K)를 산출하고, 저장할 제 2 비밀조각(SC)을 생성시킨 후 제 2 비밀조각(SC)을 암호화 키(K)로 암호화하여 저장한다.As shown in FIG. 2, the smart card client 200 generates a client device ID (IDD) in response to an externally inputted secret piece registration procedure request, and receives a first secret piece SE from the smart card 200 (K) is calculated on the basis of pin (PIN) information input from the outside and the first secret piece (SE) information after the acquisition, a second secret piece SC to be stored is generated, SC) with the encryption key (K).

즉, 스마트카드(100)를 기반으로 이루어지는 온라인 인증 서비스를 위해서는 각 장치별로 사전에 등록절차를 거쳐야 한다. 사용자는 데스크톱, 노트북, 모바일 등 여러 장치를 사용할 수 있으며, 각 장치별로 하나의 비밀조각을 가질 수 있다.That is, the online authentication service based on the smart card 100 must be registered in advance for each device. Users can use many devices such as desktop, notebook, and mobile, and each device can have one secret piece.

스마트카드(100)를 비롯하여 데스크톱, 노트북, 모바일별로 저장된 비밀조각은 비밀분산 방식의 특성에 따라 회수에 영향을 받지 않고 반복적으로 생성이 가능하다. 즉, 이용자의 필요에 따라 개수의 제한 없이 장치 등록이 가능하며, 모든 등록된 장치는 이러한 비밀조각을 가지고 있어야 한다.The secret pieces stored on the desktop, notebook, and mobile, including the smart card 100, can be repeatedly generated without being affected by the number of secrets depending on the characteristics of the secret distribution method. That is, it is possible to register the device without limitation of the number of users according to the needs of the user, and all the registered devices should have such secret pieces.

등록 절차는 도 2에 도시된 바와 같이 장치별로 1회만 수행하면 되며, 장치 등록이 완료되면 해당 장치는 단일한 비밀조각을 발급받고 저장한다. 장치 등록 절차는 먼저 등록하고자 하는 장치에 대한 장치아이디(IDD)를 생성하고, 스마트카드(100)로부터 제 1 비밀조각(SE)를 획득하고 사용자로부터 핀(PIN)정보를 입력받는다. 이러한 정보는 암호화 키(K)를 연산하고자 하는 데 목적이 있으며, 그 이후 스마트카드 데이터에 대한 비밀조각을 생성하여 그 생성된 비밀조각을 등록하고자 하는 장치에 저장하는 절차로 진행된다. The registration procedure may be performed only once for each device as shown in FIG. 2. When the device registration is completed, the device issues and stores a single secret piece. The device registration procedure first generates a device ID (IDD) for the device to be registered, obtains a first secret piece SE from the smart card 100, and receives PIN information from the user. This information is intended to operate the encryption key K. Thereafter, a secret piece for the smart card data is generated, and the created secret piece is stored in a device to be registered.

여기에서 장치에 등록되는 비밀조각은 암호화되어 보관되며, 키 K는 아래와 같은 식으로 연산한다.Here, the secret pieces registered in the device are encrypted and stored, and the key K is calculated in the following manner.

Figure 112016027383059-pat00001
Figure 112016027383059-pat00001

여기서, K는 암호화/복호화 키이고, h(·)는 특정 값에 대한 해쉬 처리이고, SE는 스마트카드가 가진 비밀조각이고, IDD는 클라이언트의 장치 아이디이며, PIN은 사용자에 의해 입력되는 핀정보이다.Here, K is an encryption / decryption key, h (·) is a hash process for a specific value, SE is a secret piece possessed by a smart card, IDD is a device ID of a client, to be.

비밀조각을 암호화하는 이유는 악의를 가진 공격자가 해킹 등으로 비밀조각을 2대 이상의 장치에서 획득하는 경우를 고려한 것이다. 즉, 임계치 이상의 장치에서 비밀조각이 모두 수집될 경우는 원본에 대한 복원이 가능할 수 있다. 비밀 조각에 대한 암호화가 되어있지 않은 경우는 이러한 공격에 노출될 가능성을 배제할 수 없으므로 각각의 비밀조각은 암호화된 상태로 장치에 보관한다. 이러한 방식은 공격자가 모든 장치에 대한 데이터를 수집하더라도 원본을 복원할 수 없게 한다. The reason for encrypting a secret piece is that the malicious attacker may take a secret piece from two or more devices, such as by hacking. That is, restoration of the original may be possible if all the secret pieces are collected from the device above the threshold. If the secret piece is not encrypted, the possibility of exposure to such an attack can not be excluded, so each secret piece is kept encrypted in the device. This approach prevents an attacker from restoring the original even if it collects data for all devices.

스마트카드 관리 서버(300)가 도 3에 도시된 바와 같이, 서비스 공급 서버(400)의 사용자 스마트카드 데이터 요청에 응하여 스마트카드 클라이언트(200)로 서비스 공급 서버(400)의 정보 및 권한 인증서 정보를 전달하고, 스마트카드 클라이언트(200)에 의해 스마트카드(100)와의 사이에 채널이 확립되면, 스마트카드(100) 내의 제 1 비밀조각(SE)을 스마트카드 클라이언트(200)로 전달하며, 스마트카드 클라이언트(200)로부터 수신된 스마트카드 데이터를 서비스 공급 서버(400)로 전송한다.3, in response to a user smart card data request of the service provision server 400, the smart card management server 300 transmits information and authorization certificate information of the service provision server 400 to the smart card client 200 And when a channel is established with the smart card 100 by the smart card client 200, the first secret piece SE in the smart card 100 is transmitted to the smart card client 200, And transmits the smart card data received from the client 200 to the service provision server 400.

스마트카드 클라이언트(200)가 권한 인증서 및 수집대상 개인정보 항목을 화면에 표시하고, 화면을 통해 핀(PIN) 정보가 입력되면 PACE 프로토콜을 실행시켜 스마트카드(100)와 스마트카드 관리 서버(300) 사이에 상호 인증을 수행하고 안전한 채널을 확립시키고, 채널을 통해 스마트카드(100)에 저장된 제 1 비밀조각(SE)을 전달받고, 제 1 비밀조각(SE)과 핀정보를 기반으로 키(K)를 연산한 후 키(K)를 이용하여 제 2 비밀조각(SC)을 복호화 하고, 상기 제 1 비밀조각(SE)과, 제 2 비밀조각(SC)을 기반으로 스마트카드 원본 데이터를 복원하며, 스마트카드 내의 개인정보를 포함한 스마트카드 데이터를 스마트카드 관리 서버(300)로 전송한다.The smart card client 200 displays the rights certificate and the personal information item to be collected on the screen and executes the PACE protocol when the PIN information is input through the screen to allow the smart card 100 and the smart card management server 300, And receives a first secret piece SE stored in the smart card 100 through the channel and transmits the first secret piece SE and the key K based on the first secret piece SE and the pin information, Decrypts the second secret piece SC using the key K and restores the smart card original data based on the first secret piece SE and the second secret piece SC , And transmits the smart card data including the personal information in the smart card to the smart card management server 300.

상기와 같이 구성된 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템의 운영방법을 설명하면 다음과 같다.A method of operating a smart card data protection system using the secret distribution scheme configured as described above will be described below.

(비밀조각 (Secret pieces 등록절차Registration procedure ))

도 4는 본 발명에 따른 장치 등록 절차를 설명하기 위한 동작흐름도이다.4 is a flowchart illustrating a device registration procedure according to the present invention.

도 4에 도시된 바와 같이, 스마트카드 클라이언트(200)가 임의의 장치아이디(IDD)를 생성하고 저장하고, 스마트카드(eID)로부터 제 1 비밀조각(SE)를 획득(S110)한다.As shown in FIG. 4, the smart card client 200 generates and stores an arbitrary device ID (IDD) and acquires a first secret piece SE from the smart card (eID) (S110).

스마트카드 클라이언트(200)가 핀(PIN) 정보 입력 요청을 수행하고, 핀 정보 입력 요청에 따라 핀정보를 입력(S120)하고, 핀(PIN)정보와 제 1 비밀조각(SE) 정보를 기반으로 암호화 키(K)를 계산(S130)한다.The smart card client 200 requests the PIN information input and inputs the PIN information in response to the PIN information input S120 and transmits PIN information based on the PIN information and the first secret piece SE information The encryption key K is calculated (S130).

그리고 스마트카드 클라이언트(200)가 스마트카드 클라이언트(200)에 저장할 제 2 비밀조각(SC)을 생성(S140)하고, 제 2 비밀조각(SC)을 암호화 키(K)로 암호화하여 저장한다.The smart card client 200 generates a second secret piece SC to be stored in the smart card client 200 in step S140 and encrypts and stores the second secret piece SC in the encryption key K.

(비밀조각 (Secret pieces 인증절착Authentication _스마트카드 관리 서버)_ Smart card management server)

도 5는 본 발명에 따른 스마트카드 관리 서버 내에서의 인증 절차를 설명하기 위한 동작흐름도이다.5 is a flowchart illustrating an authentication procedure in a smart card management server according to the present invention.

도 5에 도시된 바와 같이 스마트카드 관리 서버(300)가 서비스 공급 서버(400)의 사용자 스마트카드 데이터 요청에 응하여 스마트카드 클라이언트(200)로 서비스 공급 서버(400)의 정보 및 권한 인증서 정보를 전달(S210)하고, 스마트카드 관리 서버(300)가, 스마트카드 클라이언트(200)에 의해 스마트카드(100)와의 사이에 채널이 확립되면, 스마트카드(100) 내의 제 1 비밀조각(SE)을 스마트카드 클라이언트(200)로 전달(S230)하고, 스마트카드 관리 서버(300)가 수신된 스마트카드 데이터를 서비스 공급 서버(400)로 전송(S240)한다.The smart card management server 300 transmits the information and the authority certificate information of the service provision server 400 to the smart card client 200 in response to the user smart card data request of the service provision server 400 as shown in FIG. (S210). When the smart card management server 300 establishes a channel with the smart card 100 by the smart card client 200, the first secret piece SE in the smart card 100 is transmitted to the smart (S230) to the card client 200, and the smart card management server 300 transmits the received smart card data to the service provision server 400 (S240).

(비밀조각 (Secret pieces 인증절착Authentication _스마트카드 클라이언트)_ Smart card client)

도 6은 본 발명에 따른 스마트카드 클라이언트 내에서의 인증 절차를 설명하기 위한 동작흐름도이다.6 is a flowchart illustrating an authentication procedure in a smart card client according to the present invention.

도 6에 도시된 바와 같이, 스마트카드 클라이언트(200)가 권한 인증서 및 수집대상 개인정보 항목을 화면에 표시(S310)하고, 외부로부터 핀(PIN) 정보가 입력되는지를 판단(S320)한다.As shown in FIG. 6, the smart card client 200 displays the authority certificate and the personal information item to be collected on the screen (S310), and determines whether pin information is input from the outside (S320).

S320 판단 결과, 외부로부터 핀정보가 입력되면, 스마트카드 클라이언트(200)가 PACE 프로토콜을 실행시켜 스마트카드(100)와 스마트카드 관리 서버(300) 사이에 상호 인증을 수행하고 안전한 채널을 확립(S330)시킨다.As a result of the determination in step S320, if PIN information is input from the outside, the smart card client 200 executes the PACE protocol to perform mutual authentication between the smart card 100 and the smart card management server 300 and establishes a secure channel ).

스마트카드 클라이언트(200)가 채널을 통해 스마트카드(100)에 저장된 제 1 비밀조각(SE)을 전달(S340)받고, 제 1 비밀조각(SE)과 핀정보를 기반으로 키(K)를 연산(S350)한다.The smart card client 200 receives the first secret piece SE stored in the smart card 100 through the channel at step S340 and calculates the key K based on the first secret piece SE and the pin information (S350).

스마트카드 클라이언트(200)가 키(K)를 이용하여 제 2 비밀조각(SC)을 복호화(S360)하고, 스마트카드 클라이언트(200)가 제 1 비밀조각(SE)과 제 2 비밀조각(SC)을 기반으로 스마트카드 원본 데이터를 복원(S370)한다.The smart card client 200 decrypts the second secret piece SC using the key K and the smart card client 200 decrypts the first secret piece SE and the second secret piece SC, The smart card original data is restored (S370).

스마트카드 클라이언트(200)가, 스마트카드 내의 개인정보를 포함한 스마트카드 데이터를 스마트카드 관리 서버(300)로 전송(S380)한다.The smart card client 200 transmits the smart card data including the personal information in the smart card to the smart card management server 300 (S380).

즉, 최초 등록 후, 이용자는 스마트카드(100)를 통하여 온라인 인증 시스템을 사용할 수 있다. 서비스 공급 서버(400)의 스마트카드 데이터 요청이 있을 경우, 스마트카드 관리 서버(300)는 스마트카드 클라이언트(200)로 서비스 공급 서버(400)에서 필요로 하는 데이터 목록과 권한 인증서를 전달한다. That is, after the initial registration, the user can use the online authentication system via the smart card 100. When there is a smart card data request from the service provision server 400, the smart card management server 300 delivers the data list and the authorization certificate required by the service provision server 400 to the smart card client 200.

그러면 스마트카드 클라이언트(200)는 이러한 정보를 바탕으로 화면상에 서비스 공급 서버(400)에서 필요로 하는 개인정보와 권한 인증서를 표시할 수 있으며, 이용자는 화면에 나타난 개인정보 항목 및 권한 인증서를 확인하고, 원할 경우 개인정보 공개 항목을 일부 제한한 뒤 핀(PIN)정보를 입력한다. 이후 PACE 프로토콜을 기반으로 스마트카드(100)와, 스마트카드 리더기(도면으로 미도시)상의 상호인증이 이루어지며 이러한 과정이 완료된 후, 스마트카드 클라이언트(200)는 스마트카드 내의 정보인 제 1 비밀조각(SE)을 획득한다. PACE 프로토콜에 의해 상호인증이 완료된 이후이므로 이 과정에서 제 1 비밀조각(SE)은 안전하게 전달할 수 있다.Based on this information, the smart card client 200 can display the personal information and the authorization certificate required by the service provision server 400 on the screen, and the user can confirm the personal information item and the authorization certificate displayed on the screen If you wish, enter some PIN information after limiting some of your personal information disclosure items. Thereafter, mutual authentication is performed on the smart card 100 and the smart card reader (not shown in the drawings) based on the PACE protocol, and after the process is completed, the smart card client 200 transmits the first secret piece (SE). Since the mutual authentication is completed by the PACE protocol, the first secret piece (SE) can be securely transmitted in this process.

스마트카드 클라이언트(200)는 가진 비밀조각인 SC를 복호화하기 위하여 키 (K)를 계산한다. 키(K)는 스마트카드(100)에서 수집한 제 1 비밀조각(SE)와 사용자가 입력한 핀(PIN)정보, 그리고 클라이언트의 장치 아이디(IDD)를 기반으로 수학식1을 통해 계산된다.The smart card client 200 calculates the key K to decrypt the SC, which is a secret piece having it. The key K is calculated through Equation 1 based on the first secret piece SE collected from the smart card 100, the PIN information input by the user, and the device ID (IDD) of the client.

이후 복호화를 통하여 제 2 비밀조각(SC)을 구할 수 있으며, 두 비밀조각 SE와 SC를 기반으로 비밀복원 알고리즘을 통하여 최종적으로 스마트카드(100) 내의 데이터 (P)를 구할 수 있다. 이 복원된 데이터는 스마트카드 관리 서버(300)로 전송되며, 개인정보보호를 위하여 스마트카드 클라이언트(200) 상에는 별도로 저장되지 않는다. 다음 인증때도 동일한 절차를 통하여 해당 스마트카드 데이터가 연산된다.Subsequently, the second secret piece SC can be obtained through decryption, and the data P in the smart card 100 can be finally obtained through the secret recovery algorithm based on the two secret pieces SE and SC. The restored data is transmitted to the smart card management server 300 and is not stored separately on the smart card client 200 in order to protect personal information. In the next authentication, the same smart card data is calculated through the same procedure.

인증 과정에서 스마트카드(100)와 스마트카드 클라이언트(200) 구간은 개인정보가 전달되지 않는다. 즉, 스마트카드(100)와 카드 리더기 간의 통신 과정에서는 어떠한 복호화 가능한 비밀 정보도 전달되지 않으며, 이러한 점은 비접촉식 IC카드의 경우 안전성을 제공해 주며, 스니핑 공격을 원천적으로 방지한다. During the authentication process, the personal information is not transmitted in the section between the smart card 100 and the smart card client 200. In other words, no decryptable secret information is transmitted during the communication process between the smart card 100 and the card reader. This provides safety in the case of the contactless IC card and prevents the sniffing attack from origin.

전술한 내용은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or essential characteristics thereof. Therefore, the embodiments disclosed in the present invention are intended to illustrate rather than limit the scope of the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents should be construed as falling within the scope of the present invention.

100 : 스마트카드
200 : 스마트카드 클라이언트
300 : 스마트카드 관리 서버
400 : 서비스 공급 서버
500 : 스마트카드 리더100: Smart card
200: Smart Card Client
300: Smart card management server
400: service provision server
500: Smart Card Reader

Claims (7)

비밀정보의 복수개의 비밀조각들 중 하나인 제 1 비밀조각을 저장하고 있는 스마트카드(100);
등록절차를 통해 비밀정보의 복수개의 비밀조각들 중 하나인 제 2 비밀조각을 저장하고 있으며, 비밀정보 복원 요청시 상기 제 1 비밀조각, 상기 제 2 비밀조각을 기반으로 하여 비밀정보를 복원하여 제공하는 스마트카드 클라이언트(200);
상기 비밀정보를 복수개로 분할시킨 후 상기 스마트카드(100) 및 상기 스마트카드 클라이언트(200)에 각각 저장되도록 제공하고, 온라인 인증정보 요청시 상기 스마트카드 클라이언트(200)에서 비밀정보가 복원되도록 요청하고, 복원된 비밀정보를 인증정보로 제공하는 스마트카드 관리 서버(300); 및
상기 스마트카드(100)를 통해 서비스를 요청이 이루어지면 상기 스마트카드 관리 서버(300)로 인증정보를 요구하고, 상기 스마트카드 관리 서버(300)로부터 인증정보를 제공받아 요청 서비스를 제공하는 서비스 공급 서버(400);
를 포함하며,
상기 스마트카드 클라이언트(200)가, 외부로부터 입력되는 비밀조각 등록절차요청에 응하여 클라이언트 장치 아이디(IDD)를 생성하고, 상기 스마트카드(100)로부터 제 1 비밀조각(SE)를 획득한 후 외부로부터 입력되는 핀(PIN)정보와 상기 제 1 비밀조각(SE) 정보를 기반으로 암호화 키(K)를 산출하고, 저장할 제 2 비밀조각(SC)을 생성시킨 후 제 2 비밀조각(SC)을 암호화 키(K)로 암호화하여 저장하며,
상기 암호화 키(K)는 아래 [수학식 1]에 의해 연산되는 것을 특징으로 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템.
[수학식 1]
Figure 112017023755318-pat00008

여기서, K는 암호화/복호화 키이고, h(·)는 특정 값에 대한 해쉬 처리이고, SE는 스마트카드가 가진 비밀조각이고, IDD는 클라이언트의 장치 아이디이며, PIN은 사용자에 의해 입력되는 핀정보이다.
A smart card (100) storing a first secret piece, which is one of a plurality of secret pieces of secret information;
A second secret piece is stored as one of a plurality of secret pieces of secret information through the registration procedure, and when the secret information restoration is requested, the secret information is restored based on the first secret piece and the second secret piece, A smart card client 200;
Divides the secret information into a plurality of pieces and stores the secret information in the smart card 100 and the smart card client 200. Upon requesting the online authentication information, the smart card client 200 requests the secret information to be restored A smart card management server 300 for providing restored secret information as authentication information; And
When a service is requested through the smart card 100, the smart card management server 300 requests authentication information from the smart card management server 300, receives the authentication information from the smart card management server 300, Server 400;
/ RTI >
The smart card client 200 generates a client device ID (IDD) in response to a secret piece registration procedure request input from the outside, obtains a first secret piece SE from the smart card 100, (K) is calculated based on input PIN information and the first secret piece SE, a second secret piece SC to be stored is generated, and then a second secret piece SC is encrypted Encrypted with the key K,
Wherein the encryption key (K) is calculated by the following equation (1).
[Equation 1]
Figure 112017023755318-pat00008

Here, K is an encryption / decryption key, h (·) is a hash process for a specific value, SE is a secret piece possessed by a smart card, IDD is a device ID of a client, to be.
삭제delete 제 1 항에 있어서,
상기 스마트카드 관리 서버(300)가, 서비스 공급 서버(400)의 사용자 스마트카드 데이터 요청에 응하여 스마트카드 클라이언트(200)로 서비스 공급 서버(400)의 정보 및 권한 인증서 정보를 전달하고, 상기 스마트카드 클라이언트(200)에 의해 스마트카드(100)와의 사이에 채널이 확립되면, 상기 스마트카드(100) 내의 제 1 비밀조각(SE)을 상기 스마트카드 클라이언트(200)로 전달하며, 상기 스마트카드 관리 서버(300)는 수신된 스마트카드 데이터를 서비스 공급 서버(400)로 전송하는 것을 특징으로 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템.
The method according to claim 1,
The smart card management server 300 transmits information and authorization certificate information of the service provision server 400 to the smart card client 200 in response to the user smart card data request of the service provision server 400, When a channel is established with the smart card 100 by the client 200, the first secret piece SE in the smart card 100 is transmitted to the smart card client 200, (300) transmits the received smart card data to the service provision server (400).
제 3 항에 있어서,
상기 스마트카드 클라이언트(200)가, 상기 권한 인증서 및 수집대상 개인정보 항목을 화면에 표시하고, 상기 화면을 통해 핀(PIN) 정보가 입력되면 PACE 프로토콜을 실행시켜 상기 스마트카드(100)와 스마트카드 관리 서버(300) 사이에 상호 인증을 수행하여 안전한 채널을 확립시키고, 상기 채널을 통해 상기 스마트카드(100)에 저장된 제 1 비밀조각(SE)을 전달받고, 상기 제 1 비밀조각(SE)과 상기 핀정보를 기반으로 키(K)를 연산한 후 상기 키(K)를 이용하여 제 2 비밀조각(SC)을 복호화 하고, 상기 제 1 비밀조각(SE)과, 상기 제 2 비밀조각(SC)을 기반으로 스마트카드 원본 데이터를 복원하며, 상기 스마트카드 내의 개인정보를 포함한 스마트 카드 데이터를 스마트카드 관리 서버(300)로 전송하는 것을 특징으로 하는 비밀분산기법을 이용한 스마트카드 데이터 보호 시스템.
The method of claim 3,
When the PIN information is inputted through the screen, the smart card client 200 executes the PACE protocol to display the smart card 100, the smart card 200, The first secret piece SE and the second secret piece SE stored in the smart card 100 through the channel by establishing a secure channel by performing mutual authentication between the first secret piece SE and the management server 300, And decrypts the second secret piece SC by using the key K after calculating the key K based on the pin information and outputs the first secret piece SE and the second secret piece SC And transmits the smart card data including the personal information in the smart card to the smart card management server 300. In the smart card data protection method using the secret distribution method, Stem.
스마트카드 클라이언트(200)가, 임의의 장치아이디(IDD)를 생성하고 저장하고, 스마트카드(eID)로부터 제 1 비밀조각(SE)를 획득하는 단계;
상기 스마트카드 클라이언트(200)가, 핀(PIN) 정보 입력 요청을 수행하고, 핀 정보 입력 요청에 따라 핀정보를 입력받는 단계;
상기 스마트카드 클라이언트(200)가, 핀(PIN)정보와 제 1 비밀조각(SE) 정보를 기반으로 암호화 키(K)를 계산하는 단계;
상기 스마트카드 클라이언트(200)가, 스마트카드 클라이언트(200)에 저장할 제 2 비밀조각(SC)을 생성하는 단계; 및
상기 스마트카드 클라이언트(200)가, 제 2 비밀조각(SC)을 암호화 키(K)로 암호화하여 저장하는 단계;
를 포함하고,
상기 암호화 키(K)는 아래 [수학식 1]에 의해 연산되는 비밀분산기법을 이용한 스마트카드 데이터 보호방법.
[수학식 1]
Figure 112017023755318-pat00009

여기서, K는 암호화/복호화 키이고, h(·)는 특정 값에 대한 해쉬 처리이고, SE는 스마트카드가 가진 비밀조각이고, IDD는 클라이언트의 장치 아이디이며, PIN은 사용자에 의해 입력되는 핀정보이다.
The smart card client (200) generates and stores an arbitrary device ID (IDD) and obtains a first secret piece (SE) from a smart card (eID);
The smart card client 200 requests the PIN information input and receives pin information according to the pin information input request;
Wherein the smart card client (200) comprises: calculating an encryption key (K) based on pin (PIN) information and first secret piece (SE) information;
The smart card client 200 generating a second secret piece SC to be stored in the smart card client 200; And
The smart card client 200 encrypting and storing the second secret piece SC with the encryption key K;
Lt; / RTI >
Wherein the encryption key (K) is calculated by the following formula (1).
[Equation 1]
Figure 112017023755318-pat00009

Here, K is an encryption / decryption key, h (·) is a hash process for a specific value, SE is a secret piece possessed by a smart card, IDD is a device ID of a client, to be.
제 5 항에 있어서,
스마트카드 관리 서버(300)가, 서비스 공급 서버(400)의 사용자 스마트카드 데이터 요청에 응하여 스마트카드 클라이언트(200)로 서비스 공급 서버(400)의 정보 및 권한 인증서 정보를 전달하는 단계;
상기 스마트카드 관리 서버(300)가, 상기 스마트카드 클라이언트(200)에 의해 스마트카드(100)와의 사이에 채널이 확립되면, 상기 스마트카드(100) 내의 제 1 비밀조각(SE)을 상기 스마트카드 클라이언트(200)로 전달하는 단계; 및
상기 스마트카드 관리 서버(300)는 수신된 스마트카드 데이터를 서비스 공급 서버(400)로 전송하는 단계;
를 더 포함하는 비밀분산기법을 이용한 스마트카드 데이터 보호방법.
6. The method of claim 5,
The smart card management server 300 transmits information and authorization certificate information of the service provision server 400 to the smart card client 200 in response to the user smart card data request of the service provision server 400;
When the smart card management server 300 establishes a channel with the smart card 100 by the smart card client 200, the first secret piece SE in the smart card 100 is transmitted to the smart card 100, To the client (200); And
The smart card management server 300 may transmit the received smart card data to the service provision server 400;
A smart card data protection method using a secret distribution scheme including the smart card data protection method.
제 6 항에 있어서,
상기 스마트카드 클라이언트(200)가, 상기 권한 인증서 및 수집대상 개인정보 항목을 화면에 표시하는 단계;
상기 스마트카드 클라이언트(200)가, 외부로부터 핀(PIN) 정보가 입력되는지를 판단하는 단계;
상기 스마트카드 클라이언트(200)가, 외부로부터 핀정보가 입력되면, PACE 프로토콜을 실행시켜 상기 스마트카드(100)와 스마트카드 관리 서버(300) 사이에 상호 인증을 수행하고 안전한 채널을 확립시키는 단계;
상기 스마트카드 클라이언트(200)가, 상기 채널을 통해 상기 스마트카드(100)에 저장된 제 1 비밀조각(SE)을 전달받고, 상기 제 1 비밀조각(SE)과 상기 핀정보를 기반으로 키(K)를 연산하는 단계;
상기 스마트카드 클라이언트(200)가, 상기 키(K)를 이용하여 제 2 비밀조각(SC)을 복호화 하는 단계;
상기 스마트카드 클라이언트(200)가, 상기 제 1 비밀조각(SE)과, 상기 제 2 비밀조각(SC)을 기반으로 스마트카드 원본 데이터를 복원하는 단계; 및
상기 스마트카드 클라이언트(200)가, 상기 스마트카드 내의 개인정보를 포함한 스마트 카드 데이터를 스마트카드 관리 서버(300)로 전송하는 단계;
를 포함하여 이루어지는 비밀분산기법을 이용한 스마트카드 데이터 보호방법.The method according to claim 6,
The smart card client 200 displaying the right certificate and the collection target personal information item on the screen;
Determining whether the smart card client 200 receives PIN information from the outside;
Performing a mutual authentication between the smart card (100) and the smart card management server (300) and establishing a secure channel by executing the PACE protocol when the smart card client (200) receives pin information from the outside;
The smart card client 200 receives a first secret piece SE stored in the smart card 100 via the channel and generates a key K based on the first secret piece SE and the pin information, );
The smart card client 200 decrypting the second secret piece SC using the key K;
The smart card client 200 restoring the smart card original data based on the first secret piece SE and the second secret piece SC; And
Transmitting the smart card data including the personal information in the smart card to the smart card management server 300;
A method for protecting smart card data using a secret distribution technique comprising:
KR1020160033842A 2016-03-22 2016-03-22 Smart card data protection system and method using a secret sharing scheme KR101759428B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160033842A KR101759428B1 (en) 2016-03-22 2016-03-22 Smart card data protection system and method using a secret sharing scheme

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160033842A KR101759428B1 (en) 2016-03-22 2016-03-22 Smart card data protection system and method using a secret sharing scheme

Publications (1)

Publication Number Publication Date
KR101759428B1 true KR101759428B1 (en) 2017-07-19

Family

ID=59427370

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160033842A KR101759428B1 (en) 2016-03-22 2016-03-22 Smart card data protection system and method using a secret sharing scheme

Country Status (1)

Country Link
KR (1) KR101759428B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102342584B1 (en) 2020-06-19 2021-12-23 주식회사 오픈시스넷 Secret sharing parallel processing system using multi virtual environment

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007041957A (en) * 2005-08-04 2007-02-15 Global Friendship Inc Credit card settlement method
JP2010231404A (en) * 2009-03-26 2010-10-14 Ntt Communications Kk System, method, and program for managing secret information

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007041957A (en) * 2005-08-04 2007-02-15 Global Friendship Inc Credit card settlement method
JP2010231404A (en) * 2009-03-26 2010-10-14 Ntt Communications Kk System, method, and program for managing secret information

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102342584B1 (en) 2020-06-19 2021-12-23 주식회사 오픈시스넷 Secret sharing parallel processing system using multi virtual environment

Similar Documents

Publication Publication Date Title
US10681025B2 (en) Systems and methods for securely managing biometric data
US10389531B2 (en) Authentication system and authentication method
CN105528695B (en) Mobile payment method and mobile payment system based on marks
US20150149784A1 (en) Communication method utilizing fingerprint information authentication
CN108880791A (en) Cryptographic key protection method, terminal and computer readable storage medium
JP6740545B2 (en) Information processing device, verification device, information processing system, information processing method, and program
US8316437B2 (en) Method for protecting the access to an electronic object connected to a computer
KR20160113248A (en) Device certificate provision apparatus, device certificate provision system, and device certificate provision program
CN108667784B (en) System and method for protecting internet identity card verification information
CN104410602A (en) Method for realizing random password keyboard based on secure element
CN105592056A (en) Password safety system for mobile device and password safety input method thereof
CN106230600A (en) A kind of generation method and system of dynamic password
KR102625879B1 (en) Method for generating key in crypto system using biometric information
JP7124988B2 (en) AUTHENTICATION SERVER, AUTHENTICATION SYSTEM, AUTHENTICATION SERVER CONTROL METHOD AND PROGRAM
KR101759428B1 (en) Smart card data protection system and method using a secret sharing scheme
JP7151928B2 (en) AUTHENTICATION SERVER, AUTHENTICATION SERVER CONTROL METHOD AND PROGRAM
JP2017108237A (en) System, terminal device, control method and program
JP6701011B2 (en) Terminal registration method and terminal registration system
KR20110114990A (en) Apparatus and method for securing a keyboard
GB2556625A (en) Secure enrolment of biometric data
EP3320664A1 (en) Method of authenticating communication of an authentication device and at least one authentication server using local factor
KR101829423B1 (en) Apparatus for encrypting or decrypting and method for encrypting or decrypting using the same
KR101498974B1 (en) Security management server, system, and method usdion biometric informatio
TWI633231B (en) Smart lock and smart lock control method
JP2023060352A (en) Server, system, method, and program

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant