KR102035158B1 - Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card - Google Patents
Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card Download PDFInfo
- Publication number
- KR102035158B1 KR102035158B1 KR1020190052052A KR20190052052A KR102035158B1 KR 102035158 B1 KR102035158 B1 KR 102035158B1 KR 1020190052052 A KR1020190052052 A KR 1020190052052A KR 20190052052 A KR20190052052 A KR 20190052052A KR 102035158 B1 KR102035158 B1 KR 102035158B1
- Authority
- KR
- South Korea
- Prior art keywords
- entity
- trust
- information
- euicc
- request
- Prior art date
Links
Images
Classifications
-
- H04W12/0609—
-
- H04W12/003—
-
- H04W12/004—
-
- H04W12/00506—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H04W12/0401—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
eUICC를 이용하기 위한 보안 기반 환경을 구축하기 위한 방법 및 장치에 관한 기술이 개시된다. eUICC 환경의 신뢰관계 구축 방법은 신뢰 요청 개체가 신뢰 요청 개체에 대한 식별정보와 서명정보를 포함하는 신뢰관계 요청메시지를 신뢰 검증 개체로 전송하는 단계와, 신뢰 검증 개체가 신뢰관계 요청메시지를 신뢰관계 중계 개체로 전달하여 신뢰관계 요청메시지에 상응하는 신뢰 요청 개체에 대한 신뢰정보를 신뢰관계 중계 개체로부터 수신하는 단계와, 신뢰 검증 개체가 신뢰 요청 개체에 대한 신뢰정보를 이용하여 신뢰 요청 개체에 대한 서명정보를 검증하는 단계를 포함한다. Disclosed are a method and apparatus for building a security based environment for using an eUICC. In the eUICC environment, a trust relationship establishment method includes a trust request object transmitting a trust relationship request message including identification information and signature information of a trust request object to a trust verification object, and the trust verification object trust relationship request message. Receiving trust information about the trust request entity corresponding to the trust request message from the trust relay entity by passing it to the relay entity, and the trust verification entity using the trust information on the trust request object to sign the trust request object. Verifying the information.
Description
본 발명은 eUICC를 이용하는 환경 구축에 관한 것으로, 더욱 상세하게는 eUICC를 이용하기 위한 보안 기반 환경을 구축하기 위한 방법 및 장치에 관한 것이다.The present invention relates to an environment construction using an eUICC, and more particularly, to a method and apparatus for building a security-based environment for using an eUICC.
UICC(Universal Integrated Circuit Card)는 단말기 내에 삽입되는 사용자 인증을 위한 모듈로서 사용될 수 있는 스마트 카드이다. UICC는 사용자의 개인 정보 및 사용자가 가입한 이동 통신 사업자에 대한 사업자 정보를 저장할 수 있다. 예를 들면, UICC는 사용자를 식별하기 위한 IMSI(International Mobile Subscriber Identity)를 포함할 수 있다. The UICC (Universal Integrated Circuit Card) is a smart card that can be used as a module for user authentication inserted into the terminal. The UICC may store the personal information of the user and the operator information on the mobile communication provider to which the user subscribes. For example, the UICC may include an International Mobile Subscriber Identity (IMSI) for identifying a user.
또한, UICC는 GSM(Global System for Mobile communications) 방식의 경우 SIM(Subscriber Identity Module) 카드, WCDMA(Wideband Code Division Multiple Access) 방식의 경우 USIM(Universal Subscriber Identity Module) 카드로 불리기도 한다.In addition, the UICC may be referred to as a subscriber identity module (SIM) card in the case of a global system for mobile communications (GSM) scheme, and a universal subscriber identity module (USIM) card in the case of a wideband code division multiple access (WCDMA) scheme.
사용자가 UICC를 사용자의 단말에 장착하면, UICC에 저장된 정보들을 이용하여 자동으로 사용자 인증이 이루어져 사용자가 편리하게 단말을 사용할 수 있다. 또한, 사용자가 단말을 교체할 때, 사용자는 기존의 단말에서 탈거한 UICC를 새로운 단말에 장착하여 용이하게 단말을 교체할 수 있다.When the user mounts the UICC on the user's terminal, the user is automatically authenticated using the information stored in the UICC so that the user can conveniently use the terminal. In addition, when the user replaces the terminal, the user can easily replace the terminal by mounting the UICC removed from the existing terminal to a new terminal.
한편, 소형화가 요구되는 단말, 예를 들면 기계 대 기계(Machine to Machine, M2M) 통신을 위한 단말은 UICC를 착탈할 수 있는 구조로 제조할 경우 단말의 소형화가 어려워진다. 그리하여, 착탈할 수 없는 UICC인 내장형 UICC(Embedded UICC, eUICC) 구조가 제안되었다.On the other hand, a terminal requiring miniaturization, for example, a terminal for machine-to-machine (M2M) communication, becomes difficult to miniaturize the terminal when manufactured in a structure capable of detachable UICC. Thus, an embedded UICC (eUICC) structure has been proposed, which is a removable UICC.
기존의 UICC는 단말에 착탈이 가능하여, 단말의 종류나 이동 통신 사업자에 구애받지 않고 사용자는 단말을 개통할 수 있다. 그러나, 단말을 제조할 때부터 내장된 UICC는 특정 이동 통신 사업자에 대해서만 사용된다는 전제가 성립되어야 eUICC 내의 IMSI를 할당할 수 있다. 따라서, 단말에 대한 발주, 개통, 해지 등의 작업을 위하여, eUICC는 해당 UICC를 사용하는 사용자 정보 (예를 들면, IMSI 등)을 다운로딩 등의 방법으로 탑재할 수 있어야 한다. The existing UICC can be attached to or detached from the terminal, and the user can open the terminal regardless of the type of terminal or the mobile communication provider. However, from the time of manufacturing the terminal, the embedded UICC can be allocated only if the premise that the built-in UICC is used only for a specific mobile communication provider is established. Therefore, for the ordering, opening, and termination of the terminal, the eUICC should be able to load user information (for example, IMSI, etc.) using the UICC by downloading or the like.
즉, 단말에 일체형으로 탑재되는 eUICC는, 기존 착탈식 형태의 UICC와 달리 UICC가 단말의 제조 단계에서 단말에 탑재되어 출시되고 착탈되지 않는다는 물리적 구조 차이로 인해, 원격에서 eUICC 내부에 네트워크 사업자 인증키(K), UICC 데이터 파일(네트워크 접속 파일 (IMSI: International Mobile Subscriber Identity), HPLMN(Home Public Land Mobile Network) 등), 사용자 정보 파일(예를 들어, SMS(Short Message Service), 폰북 등) 및 애플릿(applet) 등을 다운로딩 할 필요성이 발생한다.That is, the eUICC integrally mounted on the terminal is different from the conventional removable UICC, due to the physical structure difference that the UICC is mounted on the terminal in the manufacturing stage of the terminal and is not detached. K), UICC data files (network access files (IMSI: International Mobile Subscriber Identity), HPLMN (Home Public Land Mobile Network, etc.), user information files (e.g. Short Message Service (SMS), phonebooks, etc.) and applets There is a need to download applets and the like.
이러한 과정에서 종래기술인 UICC에서 제공하고 있는 기능을 지원하며, 동등 또는 그 이상의 보안 수준이 요구된다.In this process, it supports the functions provided by the prior art UICC, and requires the same or higher security level.
종래의 기술인 UICC(SIM)를 사용하는 환경에서 UICC는 MNO(Mobile Network Operator)의 주문을 통해 UICC Manufacturer에서 제작되었다. 이때 MNO와 UICC는 사전에 정의된 고유정보(IMSI, K, OTA Key 등)를 공유하는 방법을 이용해서 인증을 수행하고 인증정보를 기반으로 데이터를 안전하게 송수신할 수 있으며, 인증정보를 기반으로 한 권한확인을 통해서 동작을 수행하였다.In an environment using UICC (SIM), which is a conventional technology, UICC is manufactured by a UICC manufacturer through an order of a mobile network operator (MNO). At this time, MNO and UICC can perform authentication by sharing predefined unique information (IMSI, K, OTA Key, etc.), and can send and receive data safely based on authentication information. The operation was performed through the authorization check.
하지만 eUICC를 사용하는 환경에서는 일반적으로 MNO와 eUICC간에 미리 어떠한 데이터도 공유하지 않을 수도 있다. 또한 eUICC의 환경에서는 기존의 MNO의 기능을 여러 개로 세분화하고 원격에서 관리되는 환경으로 변경된다. 즉, 세분화된 구성요소의 요청(사용자 정보파일 다운로드, 애플릿 다운로드 등)에 대해서, 구성요소에 대한 인증(신원확인)을 수행하고, 구성요소와 안전하게 데이터를 송수신하고, 구성요소의 권한이 있는지 확인하고 해당하는 동작이 수행되어야 한다.However, in an environment using eUICC, it is generally not possible to share any data in advance between MNO and eUICC. In the environment of eUICC, the functions of the existing MNO are subdivided into several and the environment is managed remotely. That is, for the request of the granular component (download user information file, download applet, etc.), it performs authentication (identification) on the component, securely sends and receives data with the component, and checks whether the component has authority. And the corresponding action shall be performed.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, eUICC를 이용하는 환경에서 복수의 개체들 사이에 신뢰관계를 구축하는 방법을 제공하는데 있다.An object of the present invention for solving the above problems is to provide a method for establishing a trust relationship between a plurality of entities in an environment using eUICC.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은, eUICC를 이용하는 환경에서 복수의 개체들 사이에 보안 링크를 구축하는 방법을 제공하는데 있다.Another object of the present invention for solving the above problems is to provide a method for establishing a secure link between a plurality of entities in an environment using the eUICC.
상기와 같은 문제점을 해결하기 위한 본 발명의 또 다른 목적은, eUICC를 이용하기 위한 보안 기반 환경 구축에 적합한 eUICC를 제공하는데 있다.Another object of the present invention for solving the above problems is to provide an eUICC suitable for building a security-based environment for using the eUICC.
상기 목적을 달성하기 위한 본 발명의 실시예에 따른 eUICC 환경의 신뢰관계 구축 방법은, 신뢰 요청 개체가 신뢰 요청 개체에 대한 식별정보와 서명정보를 포함하는 신뢰관계 요청메시지를 신뢰 검증 개체로 전송하는 단계와, 신뢰 검증 개체가 신뢰관계 요청메시지를 신뢰관계 중계 개체(600)로 전달하여 신뢰관계 요청메시지에 상응하는 신뢰 요청 개체에 대한 신뢰정보를 신뢰관계 중계 개체로부터 수신하는 단계와, 신뢰 검증 개체가 신뢰 요청 개체에 대한 신뢰정보를 이용하여 신뢰 요청 개체에 대한 서명정보를 검증하는 단계를 포함한다. In order to achieve the above object, a trust relationship establishment method of an eUICC environment according to an embodiment of the present invention may include: a trust request entity transmitting a trust relationship request message including identification information and signature information of a trust request entity to a trust verification entity; Receiving trust information about the trust request object corresponding to the trust request message from the trust relay entity by passing the trust relationship request message to the
여기에서, 상기 eUICC 환경의 신뢰관계 구축 방법은, 신뢰 검증 개체가 신뢰 요청 개체에 대한 서명정보에 대한 검증 결과를 신뢰 요청 개체로 전송하는 단계를 더 포함할 수 있다. Here, the trust relationship establishment method of the eUICC environment, the trust verification entity may further include transmitting a verification result of the signature information for the trust request entity to the trust request entity.
여기에서, 상기 신뢰 요청 개체는 eUICC이고, 상기 신뢰 검증 개체는 MNO(Mobile Network Operator)일 수 있다. Here, the trust request entity may be an eUICC, and the trust verification entity may be a mobile network operator (MNO).
여기에서, 상기 신뢰 요청 개체 및 상기 신뢰 검증 개체는, eUICC, MNO, 프로파일 생성 개체, 프로파일 로더 개체 중 어느 하나일 수 있다. Here, the trust request entity and the trust verification entity may be any one of an eUICC, an MNO, a profile generation entity, and a profile loader entity.
여기에서, 상기 신뢰관계 중계 개체는, 인증기관(Certificate Authority)일 수 있다. Here, the trust relationship relay entity may be a certificate authority.
여기에서, 상기 신뢰 요청 개체는, 신뢰 요청 개체에 대한 인증정보 및 신뢰정보를 생성하여 신뢰관계 중계 개체로 전송할 수 있다. Here, the trust request entity may generate authentication information and trust information for the trust request entity and transmit the trust information to the trust relationship relay entity.
여기에서, 상기 신뢰 요청 개체는 신뢰 요청 개체에 대한 식별정보를 신뢰관계 중계 개체로 전송하고, 상기 신뢰관계 중계 개체는 신뢰 요청 개체에 대한 식별정보를 이용하여 신뢰 요청 개체에 대한 인증정보 및 신뢰정보를 생성할 수 있다. Herein, the trust request entity transmits identification information about the trust request entity to a trust relationship entity, and the trust relationship entity uses the identification information about the trust request entity to authenticate and trust information about the trust request entity. Can be generated.
상기 다른 목적을 달성하기 위한 본 발명의 일 측면에 따른 eUICC 환경의 보안 링크 구축 방법은, 송신 개체가 수신 개체의 신뢰정보를 이용하여 암호화하고 송신 개체의 서명정보를 추가하여 생성한 송신 메시지를 수신 개체로 전송하는 단계와, 수신 개체가 송신 개체의 신뢰정보를 이용하여 송신 메시지에 포함된 송신 개체의 서명정보를 검증하는 단계와, 수신 개체가 검증된 송신 메시지를 수신 개체의 인증정보를 이용하여 복호화하는 단계를 포함한다. In accordance with another aspect of the present invention, a method for establishing a secure link of an eUICC environment includes receiving a transmission message generated by a sending entity encrypted using trust information of a receiving entity and adding signature information of the sending entity. Transmitting the message to the entity, verifying the signature information of the sending object included in the transmission message by using the trust information of the sending object, and using the authentication information of the receiving object, the receiving object to verify the signature of the sending object. Decrypting.
상기 다른 목적을 달성하기 위한 본 발명의 다른 측면에 따른 eUICC 환경의 보안 링크 구축 방법은, 요청 개체가 요청 개체의 인증정보에 기반한 서명정보를 포함하는 링크 생성 메시지를 응답 개체로 전송하는 단계와, 응답 개체가 요청 개체의 신뢰정보를 이용하여 요청 개체의 인증정보에 기반한 서명정보를 검증하는 단계와, 응답 개체가 요청 개체의 신뢰정보를 이용하여 암호화된 공유키를 생성하여 응답 개체로 전달하는 단계를 포함한다. According to another aspect of the present invention, there is provided a method of establishing a secure link in an eUICC environment, comprising: transmitting, by a requesting entity, a link generation message including signature information based on authentication information of a requesting entity to a response entity; The responding entity verifies the signature information based on the request entity's authentication information using the request entity's trust information, and the responding entity generates an encrypted shared key using the request entity's trust information and passes it to the responding entity. It includes.
상기 또 다른 목적을 달성하기 위한 본 발명의 실시예에 따른 eUICC는, 적어도 하나의 개체에 대한 신뢰정보를 저장하는 신뢰정보 저장부와, 적어도 하나의 개체의 식별정보에 기반하여 신뢰정보에 대한 조회를 요청하는 신뢰정보 요청부와, 신뢰정보 요청부의 요청에 따라 적어도 하나의 개체의 식별정보에 상응하는 신뢰정보를 신뢰정보 저장부에서 검색하는 신뢰정보 관리부를 포함한다.An eUICC according to an embodiment of the present invention for achieving the another object, the trust information storage unit for storing the trust information for at least one entity, and the query for the trust information based on the identification information of the at least one entity A trust information request unit for requesting a request, and a trust information management unit for retrieving trust information corresponding to identification information of at least one entity in the trust information storage unit according to the request of the trust information request unit.
상술한 본 발명의 실시예들을 통해 종래의 UICC환경에서 제공되는 기능을 안전하게 지원함과 동시에, UICC환경과 동등 또는 그 이상의 보안 수준의 환경을 제공할 수 있다. Through the above-described embodiments of the present invention, it is possible to securely support a function provided in a conventional UICC environment and provide an environment of a security level equivalent to or higher than that of the UICC environment.
또한, 인증정보를 이용하여 신뢰관계를 구축함으로써, 각 구성요소들 간의 유연한 인증구조를 기대할 수 있다.In addition, by establishing a trust relationship using the authentication information, it is possible to expect a flexible authentication structure between each component.
또한, 인증정보 및 신뢰정보를 이용한 보안 링크 구축 방법을 이용하여 구성요소의 종단 간 안전한 링크를 생성할 수 있으며, 그에 따라 eUICC를 사용하는 환경의 구성이 바뀌더라도 높은 수준의 보안을 유지할 수 있다.In addition, by using a secure link establishment method using the authentication information and trust information can create a secure end-to-end link of the component, thereby maintaining a high level of security even if the configuration of the environment using the eUICC changes.
또한, 효율적인 동작을 위해서 eUICC에 추가적인 기능을 제안함으로써, eUICC을 비롯한 각종 구성요소(프로파일 생성 개체, 프로파일 로더 개체, MNO 등)는 연관된 구성요소의 신뢰정보를 효율적으로 활용할 수 있다.In addition, by suggesting additional functions to the eUICC for efficient operation, various components (e.g., profile creation object, profile loader object, MNO, etc.) including the eUICC can efficiently utilize the trust information of the associated component.
도 1은 eUICC를 이용하는 환경에서 요구되는 신뢰그룹 및 보안 링크를 설명하기 위한 개념도이다.
도 2는 본 발명의 실시예에 따른 신뢰관계 중계 개체의 계층적 구조를 설명하기 위한 예시도이다.
도 3은 본 발명의 실시예에 따른 신뢰관계 구축을 설명하기 위한 초기 신뢰관계와 요구되는 신뢰관계를 나타내는 개념도이다.
도 4는 본 발명의 실시예에 따른 신뢰관계 구축 방법을 설명하기 위한 순서도이다.
도 5는 본 발명의 실시예에 따른 신뢰관계 구축 방법을 보다 구체적으로 설명하기 위한 순서도이다.
도 6은 본 발명의 일 실시예에 따른 인증정보와 신뢰정보의 생성 및 처리를 설명하기 위한 순서도이다.
도 7은 본 발명의 다른 실시예에 따른 인증정보와 신뢰정보의 생성 및 처리를 설명하기 위한 순서도이다.
도 8은 본 발명의 또 다른 실시예에 따른 인증정보와 신뢰정보의 생성 및 처리를 설명하기 위한 순서도이다.
도 9는 본 발명의 실시예에 따른 보안 링크 구축 방법을 설명하기 위한 순서도이다.
도 10은 본 발명의 실시예에 따른 보안 링크 구축 방법을 보다 구체적으로 설명하기 위한 순서도이다.
도 11은 본 발명의 다른 실시예에 따른 보안 링크 구축 방법을 설명하기 위한 순서도이다.
도 12는 본 발명의 실시예에 따른 eUICC를 이용하기 위한 보안 기반 환경 구축을 위한 eUICC의 구조를 설명하기 위한 블록도이다. 1 is a conceptual diagram illustrating a trust group and a secure link required in an environment using an eUICC.
2 is an exemplary diagram for explaining a hierarchical structure of a trust relationship relay entity according to an embodiment of the present invention.
3 is a conceptual diagram illustrating an initial trust relationship and a required trust relationship for explaining a trust relationship establishment according to an embodiment of the present invention.
4 is a flowchart illustrating a trust relationship building method according to an embodiment of the present invention.
5 is a flowchart illustrating a method of establishing a trust relationship according to an embodiment of the present invention in more detail.
6 is a flowchart illustrating generation and processing of authentication information and trust information according to an embodiment of the present invention.
7 is a flowchart illustrating generation and processing of authentication information and trust information according to another embodiment of the present invention.
8 is a flowchart illustrating generation and processing of authentication information and trust information according to another embodiment of the present invention.
9 is a flowchart illustrating a method for establishing a secure link according to an embodiment of the present invention.
10 is a flowchart illustrating a method for establishing a secure link according to an embodiment of the present invention in more detail.
11 is a flowchart illustrating a method for establishing a secure link according to another embodiment of the present invention.
12 is a block diagram illustrating a structure of an eUICC for building a security-based environment for using an eUICC according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. In describing the drawings, similar reference numerals are used for similar elements.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다. Terms such as first, second, A, and B may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. The term and / or includes a combination of a plurality of related items or any item of a plurality of related items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.
본 발명의 실시예는 eUICC(100)의 안전한 운용 환경을 구축하기 위한 것으로, 기존의 UICC에서 제공하는 기능을 안전하게 지원할 수 있는 환경을 구축하는 방법을 제공한다. 즉, 본 발명은 기존의 UICC 지원 환경과 동등 또는 그 이상의 수준으로 보안 기능을 지원할 수 있다. An embodiment of the present invention is to build a safe operation environment of the eUICC (100), and provides a method for building an environment that can safely support the functions provided by the existing UICC. That is, the present invention can support the security function at a level equal to or higher than that of the existing UICC support environment.
먼저, 본 출원에서 사용되는 용어를 간략히 설명하면 다음과 같다.First, the terms used in the present application will be briefly described as follows.
개체(entity)는 eUICC(100)를 이용하는 환경을 구성하는 구성요소로, eUICC(100), MNO(Mobile Network Operator)(400), 프로파일 생성 개체(200), 프로파일 로더 개체(300) 등을 의미할 수 있다. An entity is an element constituting an environment using the
신뢰그룹(Trust Group)은 개체들 상호간 신원확인을 수행하여 신원이 확인된 관계의 집합을 의미할 수 있다. 신뢰관계는 서로 신원이 확인된 개체 간의 관계를 나타낼 수 있다. A trust group may mean a set of relationships in which an identity is verified by performing identification between entities. A trust relationship may represent a relationship between entities identified with each other.
보안 링크(Secure Link)는 개체 간에 기밀성(confidentiality), 무결성(integrity)이 확보된 통신(Communication)을 의미할 수 있다. The secure link may mean communication in which confidentiality and integrity are secured between entities.
인증정보(authentication information)는 자신의 신원을 인증하고자 하는 개체가 소유하며, 인증정보를 이용해서 서명을 수행할 수 있다. 여기서, 서명은 작성자로 기재된 개체가 그 작성 메시지(데이터)을 작성하였다는 사실과 작성 메시지가 송·수신과정에서 위조·변조되지 않았다는 사실을 증명하고, 작성 개체가 그 전자문서 작성사실을 나중에 부인할 수 없게 하는 역할을 한다. 예를 들면, 서명은 공개키 암호방식을 이용한 서명검증을 사용할 수 있으며, 서명정보로 표현될 수 있다. The authentication information is owned by the entity that wants to authenticate its identity and can be signed using the authentication information. Here, the signature attests to the fact that the entity described as the author has created the message (data) and that the message has not been forged or altered in the process of sending or receiving, and that the entity will later deny the fact that the electronic document was created. It plays a role to be impossible. For example, the signature may use signature verification using public key cryptography and may be represented by signature information.
또한, 개체는 암호화된 메시지를 수신한 경우, 인증정보를 이용하여 복호화할 수 있다. 예를 들면, 인증정보는 아이디, 개인키 등이 될 수 있다. In addition, when the entity receives the encrypted message, the entity may decrypt it using the authentication information. For example, the authentication information may be an ID, a private key, and the like.
신뢰정보(trust information)는 신뢰관계 중계 개체(600)를 통해서 획득할 수 있으며, 신뢰정보를 이용하여 개체의 서명을 검증할 수 있다. 여기서, 신뢰관계 중계 개체(600)는 인증기관(Certificate Authority)을 의미할 수 있다. Trust information may be obtained through the trust
또한, 개체의 신뢰정보를 이용하여 메시지 또는 데이터를 암호화할 수 있다. 이러한 경우, 암호화된 메시지는 신뢰정보의 주체가 되는 개체의 인증정보를 이용하여 복호화할 수 있다. 예를 들면, 신뢰정보는 공개키가 될 수 있다.In addition, the message or data can be encrypted using the trust information of the entity. In this case, the encrypted message can be decrypted using the authentication information of the entity that is the subject of the trust information. For example, the trust information can be a public key.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 eUICC(100)를 이용하는 환경에서 요구되는 신뢰그룹 및 보안링크를 설명하기 위한 개념도이다. 1 is a conceptual diagram illustrating a trust group and a security link required in an environment using the
도 1을 참조하면, eUICC(100)를 이용하는 환경에는 구성요소 간에 다양한 신뢰그룹(Trust Group)과 보안 링크(Secure link)가 설정될 수 있다. Referring to FIG. 1, various trust groups and secure links may be set between components in an environment using the
도 1에서, 프로파일 로더 개체(300)는 eUICC(100)에 프로파일을 전달하는 개체일 수 있다. 예컨대, 프로파일 로더 개체(300)는 SM-SR(Subscription Manger-Secure Routing) 기능을 수행할 수 있다. .In FIG. 1, the
프로파일 생성 개체(200)는 eUICC(100)에 전달할 프로파일을 생성할 수 있다. 예컨대, 프로파일 생성 개체(200)는 SM-DP(Subscription Manager Data Preparation) 기능을 수행할 수 있다. The
상세하게는, eUICC(100), 프로파일 생성 개체(200) 및 프로파일 로더 개체(300) 간에 신뢰그룹의 형성이 요구될 수 있다. 또한, eUICC(100), MNO(400) 및 프로파일 로더 개체(300) 간에 신뢰그룹의 형성이 요구될 수 있다. 즉, 본 발명의 실시예에 따르면 다양한 개체들이 신뢰그룹을 형성할 수 있으며, 신뢰그룹을 형성하는 개체를 특별히 제한하는 것은 아니다. In detail, a trust group may be required to be formed between the
또한, 개체들 상호 간에 보안 링크가 요구될 수 있다. 예를 들어, eUICC(100)는 MNO(400) 및 프로파일 생성 개체(200)와 보안 링크가 설정될 수 있고, 프로파일 생성 개체(200)는 eUICC(100), 프로파일 로더 개체(300) 및 MNO(400)와 보안 링크가 설정될 수 있다. 또한, 프로파일 로더 개체(300)는 프로파일 생성 개체(200), MNO(400) 및 eUICC 제조사(500)와 보안 링크가 설정될 수 있으며, MNO(400)는 eUICC(100), 프로파일 생성 개체(200) 및 프로파일 로더 개체(300)와 보안 링크가 설정될 수 있다. 다만, 본 발명의 실시예에 따르면 다양한 개체들의 조합으로 보안 링크가 설정될 수 있으며, 보안 링크가 설정되는 조합에 있어 특별히 제한하는 것은 아니다. In addition, a secure link may be required between the entities. For example, the
도 2는 본 발명의 실시예에 따른 신뢰관계 중계 개체(600)의 계층적 구조를 설명하기 위한 예시도이다. 2 is an exemplary diagram for explaining a hierarchical structure of a trust
도 2를 참조하면, 신뢰관계 중계 개체(600)는 다양한 방식으로 운영될 수 있다. Referring to FIG. 2, the trust
상세하게는, 신뢰관계 중계 개체(600)는 eUICC(100)의 환경을 구성하는 구성요소 별로 운영될 수 있다. 예컨대, 신뢰관계 중계 개체(600)는 eUICC(100)를 이용하는 환경을 구성하는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300) 및 MNO(400) 별로 운영될 수 있으며, 각각을 eUICC-신뢰관계 중계 개체(610), 프로파일 생성 개체-신뢰관계 중계 개체(620), 프로파일 로더 개체-신뢰관계 중계 개체(630) 및 MNO-신뢰관계 중계 개체(640)로 명명할 수 있다. In detail, the trust
또한, 신뢰관계 중계 개체(600)는 나라 별로 운영될 수 있다. 예컨대, 한국, 미국, 중국 및 일본과 같이 나라 별로 신뢰관계 중계 개체(600)를 운영할 수 있으며, 각각을 한국-신뢰관계 중계 개체(650), 미국-신뢰관계 중계 개체(660), 중국-신뢰관계 중계 개체(670) 및 일본-신뢰관계 중계 개체(680)로 명명할 수 있다. In addition, the trust
더 나아가, 신뢰관계 중계 개체(600)는 도 2와 같이 계층적인 구조로 운영될 수 있다. Further, the trust
따라서, 신뢰관계 중계 개체(600)는 eUICC(100)의 환경을 구성하는 구성요소 별로 또는 나라 별로 신뢰정보를 등록하고 관리할 수 있다. Therefore, the trust
도 3은 본 발명의 실시예에 따른 신뢰관계 구축을 설명하기 위한 초기 신뢰관계와 요구되는 신뢰관계를 나타내는 개념도이다. 3 is a conceptual diagram illustrating an initial trust relationship and a required trust relationship for explaining a trust relationship establishment according to an embodiment of the present invention.
도 3을 참조하면, eUICC(100)의 환경에서 다양한 신뢰관계가 구축될 수 있다. 먼저, 신뢰관계 중계 개체(600)는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300) 및 MNO(400)와 초기 신뢰관계가 구축되어 있을 수 있다. Referring to FIG. 3, various trust relationships may be established in an environment of the
본 발명에서는 각 구성요소는 신뢰관계 중계 개체(600)에서 발급된 인증정보와 신뢰정보를 이용하여, 유연한 신뢰그룹을 형성할 수 있다.In the present invention, each component may form a flexible trust group by using authentication information and trust information issued from the trust
모든 구성요소는 각각의 구성요소를 인증할 수 있는 자신의 인증정보를 가지고 있으며, 그에 부합(대응)되는 신뢰정보는 신뢰관계 중계 개체(600)가 보유할 수 있다. 즉, 신뢰관계 중계 개체(600)는 여러 개체들 간의 신뢰관계를 중계하는 역할을 수행하는 개체로, 다른 개체들과 초기 신뢰관계가 구축되어 있을 수 있다.Every component has its own authentication information for authenticating each component, and trust information corresponding thereto may be held by the trust
신뢰관계 중계 개체(600)에 기반한 초기 신뢰관계를 시작으로 요구되는 신뢰관계가 설정될 수 있다. 즉, eUICC(100)는 프로파일 로더 개체(300) 및 MNO(400)와 신뢰관계가 구축될 수 있고, 프로파일 생성 개체(200)는 프로파일 로더 개체(300) 및 MNO(400)와 신뢰관계가 구축될 수 있다. 또한, 프로파일 로더 개체(300)는 eUICC(100) 및 MNO(400)와 신뢰관계가 구축될 수 있고, MNO(400)는 eUICC(100) 및 프로파일 생성 개체(200)와 신뢰관계가 구축될 수 있다. 여기서, 신뢰관계는 인증정보와 신뢰정보에 기반하여 구축될 수 있다. The required trust relationship may be established starting with an initial trust relationship based on the trust
상세하게는, 초기에 각 구성요소는 다른 구성요소와 신뢰관계를 가지고 있지 않을 수 있다. 각 구성요소가 요구되는 기능을 수행함에 따라 다른 구성요소와 신뢰관계가 요구되면, 신뢰관계 중계 개체(600)로부터 해당 구성요소의 신뢰정보를 요청하고 그 정보를 수신하여 신뢰관계를 형성 및 갱신할 수 있다. 또한, 이러한 신뢰관계 형성을 통해 신뢰그룹 생성이 가능하다.Specifically, each component initially may not have a trust relationship with other components. As each component performs a required function, when a trust relationship with another component is required, request trust information of the corresponding component from the
신뢰관계 구축 방법에 있어서, 신뢰관계를 요청하는 개체를 신뢰 요청 개체(10)로, 신뢰관계를 요청받은 개체를 신뢰 검증 개체(20)로 구분할 수 있다.In the method of establishing a trust relationship, an entity requesting a trust relationship may be classified into a
본 발명의 실시예에 따른 신뢰 요청 개체(10)와 신뢰 검증 개체(20) 간의 신뢰관계 구축 방법을 다음에서 상세히 설명한다. A method of establishing a trust relationship between the
도 4는 본 발명의 실시예에 따른 신뢰관계 구축 방법을 설명하기 위한 순서도이다.4 is a flowchart illustrating a trust relationship building method according to an embodiment of the present invention.
도 4를 참조하면, 본 발명의 실시예에 따른 신뢰관계는 인증정보와 신뢰정보를 이용하여 형성될 수 있다. Referring to FIG. 4, a trust relationship according to an embodiment of the present invention may be formed using authentication information and trust information.
신뢰 요청 개체(10)가 신뢰 요청 개체(10)에 대한 식별정보와 서명정보를 포함하는 신뢰관계 요청메시지를 신뢰 검증 개체(20)로 전송할 수 있다(S410). 즉, 신뢰 요청 개체(10)는 신뢰관계 요청메시지를 신뢰 요청 개체(10)의 서명을 날인하여, 신뢰 검증 개체(20)로 전송할 수 있다. The
신뢰 검증 개체(20)가 신뢰관계 요청메시지를 신뢰관계 중계 개체(600)로 전달하여 신뢰관계 요청메시지에 상응하는 신뢰 요청 개체(10)에 대한 신뢰정보를 신뢰관계 중계 개체(600)로부터 수신할 수 있다(S430). 예를 들어, 신뢰 검증 개체(20)는 신뢰관계 중계 개체(600)에 신뢰 요청 개체(10)의 식별정보를 전송하고(S420), 신뢰 요청 개체(10)의 식별 정보에 상응하는 신뢰정보를 수신할 수 있다(S430). The
신뢰 검증 개체(20)가 신뢰 요청 개체(10)에 대한 신뢰정보를 이용하여 신뢰 요청 개체(10)에 대한 서명정보를 검증할 수 있다(S440). 즉, 신뢰 검증 개체(20)는 수신한 신뢰관계 요청메시지의 서명을 검증할 수 있으며, 이때 필요한 정보는 신뢰관계 중계 개체(600)(600)로부터 가져올 수 있다. 여기서, 서명을 검증하는 방법은 공개키 암호방식을 사용할 수 있다.The
신뢰 검증 개체(20)가 신뢰 요청 개체(10)에 대한 서명정보에 대한 검증 결과를 신뢰 요청 개체(10)로 전송할 수 있다(S450). 즉, 신뢰 검증 개체(20)는 신뢰관계 구축의 성공 또는 실패의 결과를 포함하는 검증 결과를 신뢰 요청 개체(10)에게 전달할 수 있다. The
신뢰 요청 개체(10)는 eUICC(100) 환경의 구성요소 중에서 신뢰관계를 맺기를 요청하는 개체이며, 신뢰 검증 개체(20)는 eUICC(100) 환경의 구성요소 중에서 신뢰관계를 맺기를 요청받은 개체이다. 예를 들어, 신뢰 요청 개체(10)는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300), MNO(400)가 될 수 있다 마찬가지로, 신뢰 검증 개체(20)는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300), MNO(400)가 될 수 있다.The
도 5는 본 발명의 실시예에 따른 신뢰관계 구축 방법을 보다 구체적으로 설명하기 위한 순서도이다. 5 is a flowchart illustrating a method of establishing a trust relationship according to an embodiment of the present invention in more detail.
도 5를 참조하여, MNO(400)가 신뢰 요청 개체(10)이고, eUICC(100)가 신뢰 검증 개체(20)인 경우를 설명한다. Referring to FIG. 5, a case in which the
MNO(400)가 MNO(400)에 대한 식별정보와 서명정보를 포함하는 신뢰관계 요청메시지를 eUICC(100)로 전송할 수 있다(S510). 즉, MNO(400)는 신뢰관계 요청메시지를 MNO(400)의 서명을 날인하여, eUICC(100)로 전송할 수 있다. The
eUICC(100)는 신뢰관계 요청메시지를 신뢰관계 중계 개체(600)로 전달하여 신뢰관계 요청메시지에 상응하는 MNO(400)에 대한 신뢰정보를 신뢰관계 중계 개체(600)로부터 수신할 수 있다(S530). 예를 들어, eUICC(100)는 신뢰관계 중계 개체(600)에 MNO(400)의 식별정보를 전송하고(S520), MNO(400)의 식별 정보에 상응하는 MNO(400)의 신뢰정보를 수신할 수 있다(S530). The
eUICC(100)는 MNO(400)에 대한 신뢰정보를 이용하여 MNO(400)에 대한 서명정보를 검증할 수 있다(S540). 즉, eUICC(100)는 수신한 신뢰관계 요청메시지의 서명을 검증할 수 있으며, 이때 필요한 정보는 신뢰관계 중계 개체(600)로부터 가져올 수 있다. The
eUICC(100)는 MNO(400)에 대한 서명정보에 대한 검증 결과를 MNO(400)로 전송할 수 있다(S550). 즉, eUICC(100)는 신뢰관계 구축의 성공 또는 실패의 결과를 포함하는 검증 결과를 MNO(400)에게 전달할 수 있다. The
도 6은 본 발명의 일 실시예에 따른 인증정보와 신뢰정보의 생성 및 처리를 설명하기 위한 순서도이고, 도 7은 본 발명의 다른 실시예에 따른 인증정보와 신뢰정보의 생성 및 처리를 설명하기 위한 순서도이며, 도 8은 본 발명의 또 다른 실시예에 따른 인증정보와 신뢰정보의 생성 및 처리를 설명하기 위한 순서도이다. 6 is a flowchart illustrating generation and processing of authentication information and trust information according to an embodiment of the present invention, and FIG. 7 illustrates generation and processing of authentication information and trust information according to another embodiment of the present invention. 8 is a flowchart illustrating the generation and processing of authentication information and trust information according to another embodiment of the present invention.
각 구성요소는 다른 구성요소와 단방향 또는 양방향의 신뢰관계를 가지기 위해서 자신의 인증정보를 가지고 있을 수 있으며, 이러한 인증정보를 이용하여 다른 구성요소들과 신뢰관계(단방향 또는 양방향)를 구축 및 갱신할 수 있다.Each component may have its own authentication information in order to have a one-way or two-way trust relationship with other components, and the authentication information may be used to establish and update a trust relationship (one-way or two-way) with other components. Can be.
상세하게는, 신뢰관계를 구축하고자 하는 개체는 인증정보를 이용하여 서명을 제작하고 서명을 다른 개체에 전달할 수 있다. 또한, 서명을 전달받은 개체는 신뢰정보를 이용하여 서명을 검증함으로써 신뢰관계를 구축할 수 있다.Specifically, an entity wishing to establish a trust relationship can use the authentication information to create a signature and transfer the signature to another entity. In addition, the individual who has received the signature can establish a trust relationship by verifying the signature using the trust information.
이를 위해서는 인증정보와 신뢰정보를 생성하는 것이 필요하다. To this end, it is necessary to generate authentication information and trust information.
본 발명의 일 실시예에 따르면, 도 6과 같이 신뢰 요청 개체(10)가 스스로 인증정보와 신뢰정보를 생성하여 신뢰관계 중계 개체(600)에 등록할 수 있다.According to an embodiment of the present invention, as shown in FIG. 6, the
신뢰 요청 개체(10)(eUICC(100) 등)는 자신을 식별할 수 있는 정보를 포함해서 인증정보와 신뢰정보를 생성할 수 있다(S610).The trust request entity 10 (
신뢰 요청 개체(10)는 신뢰관계 중계 개체(600)로 신뢰정보를 전송할 수 있다(S620). The
또한, 신뢰정보를 수신한 신뢰관계 중계 개체(600)는 신뢰정보를 등록할 수 있다(S630). In addition, the trust
마지막으로, 신뢰관계 중계 개체(600)는 신뢰정보의 등록 결과에 대해 응답을 수행할 수 있으며(S640), 이때 등록된 신뢰정보를 신뢰 요청 개체(10)에 전달할 수 있다. Finally, the trust
본 발명의 다른 실시예에 따르면, 도 7과 같이 신뢰 요청 개체(10)가 신뢰관계 중계 개체(600)를 이용하여 인증정보와 신뢰정보를 발급받을 수 있다. According to another embodiment of the present invention, as shown in FIG. 7, the
신뢰 요청 개체(10)는 신뢰관계 중계 개체(600)에 인증정보와 신뢰정보의 생성을 요청할 수 있다(S710). 예컨대, 신뢰 요청 개체(10)는 신뢰 요청 개체(10)에 대한 식별정보를 신뢰관계 중계 개체(600)로 전달하여 인증정보와 신뢰정보에 대한 생성을 요청할 수 있다. The
신뢰관계 중계 개체(600)는 신뢰 요청 개체(10)의 식별정보에 기반하여 인증정보와 신뢰정보를 생성할 수 있다(S720). 또한, 신뢰관계 중계 개체(600)는 신뢰정보를 등록할 수 있다(S730). The trust
마지막으로, 신뢰관계 중계 개체(600)는 생성된 인증정보와 신뢰정보를 신뢰 요청 개체(10)로 전달할 수 있다(S740).Finally, the trust
본 발명의 다른 실시예에 따르면, 도 8과 같이 신뢰 관리 개체(40)를 통한 중계를 이용하여 인증정보와 신뢰정보를 생성할 수 있다. According to another embodiment of the present invention, as shown in FIG. 8, authentication information and trust information may be generated using relay through the
즉, 신뢰 관리 개체(40)는 신뢰 요청 개체(10)의 인증정보와 신뢰정보의 생성을 대행할 수 있다. That is, the
신뢰 관리 개체(40)는 인증정보와 신뢰정보를 발급하고자 하는 신뢰 요청 개체(10)로부터 인증정보와 신뢰정보에 대한 생성 요청을 수신할 수 있고(S810), 이를 신뢰관계 중계 개체(600)에 전달할 수 있다(S820). 여기서, 인증정보와 신뢰정보에 대한 생성 요청은 신뢰 요청 개체(10)의 식별정보에 기반하여 이루어질 수 있다. The
신뢰 관리 개체(40)로부터 인증정보와 신뢰정보에 대한 생성 요청을 수신한 신뢰관계 중계 개체(600)는 신뢰 요청 개체(10)의 인증정보와 신뢰정보를 생성할 수 있고(S830), 생성된 신뢰정보를 등록할 수 있다(S840).Receiving a request for generating authentication information and trust information from the
또한, 신뢰관계 중계 개체(600)는 생성한 인증정보와 신뢰정보를 신뢰 관리 개체(40)에 전달할 수 있고(S850), 인증정보와 신뢰정보를 전달받은 신뢰 관리 개체(40)는 인증정보와 신뢰정보를 신뢰 요청 개체(10)에 전달할 수 있다. In addition, the trust
즉, 신뢰관계 중계 개체(600)가 인증정보와 신뢰정보를 생성하고, 신뢰 관리 개체(40)는 신뢰관계 중계 개체(600)가 생성한 인증정보와 신뢰정보를 신뢰 요청 개체(10)에 전달할 수 있다. That is, the trust
또한, 도 6 내지 도 8에 따른 인증정보와 신뢰정보의 생성 방법은 인증정보와 신뢰정보의 생성 과정에만 한정하지 않고 인증정보와 신뢰정보의 갱신을 위한 과정에도 사용할 수 있다.In addition, the method for generating authentication information and trust information according to FIGS. 6 to 8 may be used not only for generating the authentication information and the trust information but also for updating the authentication information and the trust information.
예를 들어, 인증정보와 신뢰정보를 생성하기 위하여 eUICC(100)의 고유식별 정보인 eUICCID를 이용할 수 있다. 또한, 인증정보와 신뢰정보를 생성을 위하여 eUICC Manufacturer, CA(Certificate Authority), ExpirationDate 중 적어도 하나 이상을 활용할 수 있다. 여기서, eUICCID는 eUICC(100)의 고유 식별자를 의미하고, eUICC Manufacturer는 eUICC(100)의 제조사 정보를 의미하며, CA은 신뢰관계 중계 개체(600)의 정보를 의미할 수 있다. 또한, ExpirationDate는 유효기간을 의미할 수 있다. For example, in order to generate authentication information and trust information, eUICCID which is unique identification information of the
도 9는 본 발명의 실시예에 따른 보안 링크 구축 방법을 설명하기 위한 순서도이다. 9 is a flowchart illustrating a method for establishing a secure link according to an embodiment of the present invention.
도 9를 참조하여, 인증정보와 신뢰정보를 이용한 보안 링크 구축 방법을 설명한다.A method of establishing a secure link using authentication information and trust information will be described with reference to FIG. 9.
본 발명의 실시예에 따른 보안 링크(Secure link) 구축 방법은, 인증정보와 신뢰정보를 이용한 개체 간의 안전한 통신 방법을 제공한다. 즉, 보안 링크는 데이터 수신자의 신뢰정보를 이용한 암호화와 수신자의 인증정보를 이용한 복호화 및 송신자의 신뢰정보를 이용한 서명 검증을 통하여 구축될 수 있다. The secure link establishment method according to an embodiment of the present invention provides a secure communication method between entities using authentication information and trust information. That is, the secure link may be established through encryption using the trust information of the data receiver, decryption using the receiver's authentication information, and signature verification using the sender's trust information.
송신 개체(50)는 eUICC(100) 환경의 구성요소 중에서 보안 링크의 구축을 요청하는 개체이며, 수신 개체(60)는eUICC(100) 환경의 구성요소 중에서 보안 링크의 구축을 요청받은 개체이다. 예를 들어, 송신 개체(50)는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300), MNO(400)가 될 수 있다. 마찬가지로, 수신 개체(60)는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300), MNO(400)가 될 수 있다.The transmitting
송신 개체(50)가 수신 개체(60)의 신뢰정보를 이용하여 암호화하고 송신 개체(50)의 서명정보를 추가하여 송신 메시지를 생성할 수 있고(S920), 생성된 송신 메시지는 수신 개체(60)로 전송될 수 있다(S930). 여기서, 수신 개체(60)의 신뢰정보는 신뢰관계 중계 개체(600)로부터 송신 개체(50)로 전달될 수 있다(S910).The sending
수신 개체(60)는 신뢰관계 중계 개체(600)로부터 송신 개체(50)의 신뢰정보를 요청하여 수신할 수 있다(S940).The receiving
수신 개체(60)는 송신 개체(50)의 신뢰정보를 이용하여 송신 메시지에 포함된 송신 개체(50)의 서명정보를 검증할 수 있다(S950).The receiving
마지막으로, 수신 개체(60)는 검증된 송신 메시지를 수신 개체(60)의 인증정보를 이용하여 복호화할 수 있다(S960).Finally, the receiving
본 발명의 실시예에 따른 보안 링크 구축 방법은 수신 개체(60)의 신뢰정보를 이용해서 보내고자 하는 데이터를 암호화를 하고 보내는 데이터의 신원확인을 위해서 인증정보를 이용하여 서명을 수행한다. 즉, 이러한 방법을 사용하면 수신 개체(60)만 해당 데이터에 대한 복호화를 수행할 수 있으며, 송신 개체(50)의 신원 파악이 가능하므로 보안 링크 구축이 가능하다.The secure link establishment method according to the embodiment of the present invention encrypts the data to be sent using the trust information of the receiving
송신 개체(50)는 수신 개체(60)의 신뢰정보로 암호화된 송신 메시지를 생성할 수 있다. 또한, 송신 메시지는 송신 개체(50)의 인증정보로 서명이 수행될 수 있다. 따라서, 송신 메시지를 전달하는 송신 개체(50)는 송신 메시지가 암호화되어 있기 때문에 내용을 볼 수 없고, 서명되어 있기 때문에 내용을 수정할 수 없다. The transmitting
상세하게는, 송신 개체(50)가 수행하는 동작은 다음과 같다.In detail, operations performed by the transmitting
송신 개체(50)가 송신 메시지를 생성한다. 송신 개체(50)가 수신 개체(60)의 신뢰정보가 없다면, 송신 개체(50)는 수신 개체(60)의 신뢰정보를 신뢰관계 중계 개체(600)에 요청하여 수신할 수 있다. The sending
송신 개체(50)는 송신 메시지를 수신 개체(60)의 신뢰정보를 이용하여 암호화하고, 송신 개체(50)의 인증정보를 이용하여 송신 메시지를 서명한다. The transmitting
송신 개체(50)는 암호화되고 서명된 송신 메시지를 수신 개체(60)로 전달할 수 있다. The sending
다음으로, 수신 개체(60)가 수행하는 동작은 다음과 같다.Next, the operation performed by the receiving
수신 개체(60)는 암호화되고 서명된 송신 메시지를 송신 개체(50)로부터 수신한다. 수신 개체(60)가 송신 개체(50)의 신뢰정보가 없다면, 수신 개체(60)는 송신 개체(50)의 신뢰정보를 신뢰관계 중계 개체(600)에 요청하여 수신할 수 있다. The receiving
수신 개체(60)는 송신 개체(50)의 신뢰정보를 이용하여 수신한 송신 메시지의 서명을 검증할 수 있다. 따라서, 수신 개체(60)는 송신 개체(50)의 서명이 올바르면, 수신 개체(60)의 인증정보를 이용하여 송신 메시지를 복호화할 수 있다. The receiving
도 9에 따른 보안 링크 구축 방법을 간단한 기호로 표현하면 다음과 같다. The security link establishment method according to FIG. 9 is expressed as a simple symbol as follows.
S[]A는 서명을 수행하는 동작을 의미하는 것으로, A정보를 이용하여 서명을 수행한다. V[]A는 서명을 검증하는 동작을 의미하는 것으로, A정보를 이용하여 서명을 검증한다.S [] A refers to an operation for performing a signature, and performs signature using A information. V [] A refers to an operation of verifying a signature, and verifies a signature using A information.
한편, E[]A는 암호화하는 동작을 의미하는 것으로, A정보를 이용해서 암호화를 수행한다. D[]A는 복호화하는 동작을 의미하는 것으로, A정보를 이용하여 복호화를 수행한다. On the other hand, E [] A means an operation to encrypt, and encrypts using A information. D [] A means an operation of decoding, and decoding is performed using A information.
따라서, 송신 개체(50)는 송신 메시지의 송신을 위하여 S[E[]수신 개체의 신뢰정보]송신 개체의 인증정보를 수행한다. 또한, 수신 개체(60)는 송신 메시지를 수신하여 V[D[]수신 개체의 인증정보]송신 개체의 신뢰정보를 수행한다. Accordingly, the transmitting
도 10은 본 발명의 실시예에 따른 보안 링크 구축 방법을 보다 구체적으로 설명하기 위한 순서도이다. 10 is a flowchart illustrating a method for establishing a secure link according to an embodiment of the present invention in more detail.
도 10을 참조하여, 프로파일 생성 개체(200)가 프로파일을 생성하여 eUICC(100)로 전달하는 과정을 설명한다. 즉, 송신 개체(50)가 프로파일 생성 개체(200)이고, 수신 개체(60)가 eUICC(100)인 경우를 설명한다. Referring to FIG. 10, a process of generating a profile by the
프로파일 생성 개체(200)가 eUICC(100)의 신뢰정보를 이용하여 암호화하고 프로파일 생성 개체(200)의 서명정보를 추가하여 프로파일을 생성할 수 있고(S1020), 생성된 프로파일은 eUICC(100)로 전송될 수 있다(S1030). 여기서, eUICC(100)의 신뢰정보는 신뢰관계 중계 개체(600)로부터 프로파일 생성 개체(200)로 전달될 수 있다(S1010).The
eUICC(100)는 신뢰관계 중계 개체(600)로부터 프로파일 생성 개체(200)의 신뢰정보를 요청하여 수신할 수 있다(S1040).The
eUICC(100)는 프로파일 생성 개체(200)의 신뢰정보를 이용하여 프로파일에 포함된 프로파일 생성 개체(200)의 서명정보를 검증할 수 있다(S1050).The
마지막으로, eUICC(100)는 검증된 프로파일을 eUICC(100)의 인증정보를 이용하여 복호화할 수 있다(S1060).Finally, the
프로파일 생성 개체(200)는 eUICC(100)의 신뢰정보로 암호화된 프로파일을 생성할 수 있다. 또한, 프로파일은 프로파일 생성 개체(200)의 인증정보로 서명이 수행될 수 있다. 따라서, 프로파일을 전달하는 프로파일 생성 개체(200)는 프로파일이 암호화되어 있기 때문에 내용을 볼 수 없고, 서명되어 있기 때문에 내용을 수정할 수 없다. The
상세하게는, 프로파일 생성 개체(200)가 수행하는 동작은 다음과 같다.In detail, the operation performed by the
프로파일 생성 개체(200)가 프로파일을 생성한다. 프로파일 생성 개체(200)가 eUICC(100)의 신뢰정보가 없다면, 프로파일 생성 개체(200)는 eUICC(100)의 신뢰정보를 신뢰관계 중계 개체(600)에 요청하여 수신할 수 있다. The
프로파일 생성 개체(200)는 프로파일을 eUICC(100)의 신뢰정보를 이용하여 암호화하고, 프로파일 생성 개체(200)의 인증정보를 이용하여 프로파일을 서명한다. The
프로파일 생성 개체(200)는 암호화되고 서명된 프로파일을 eUICC(100)로 전달할 수 있다. The
다음으로, eUICC(100)가 수행하는 동작은 다음과 같다.Next, the operation performed by the
eUICC(100)는 암호화되고 서명된 프로파일을 프로파일 생성 개체(200)로부터 수신한다. eUICC(100)가 프로파일 생성 개체(200)의 신뢰정보가 없다면, eUICC(100)는 프로파일 생성 개체(200)의 신뢰정보를 신뢰관계 중계 개체(600)에 요청하여 수신할 수 있다. The
eUICC(100)는 프로파일 생성 개체(200)의 신뢰정보를 이용하여 수신한 프로파일의 서명을 검증할 수 있다. 따라서, eUICC(100)는 프로파일 생성 개체(200)의 서명이 올바르면, eUICC(100)의 인증정보를 이용하여 프로파일을 복호화할 수 있다. The
도 11은 본 발명의 다른 실시예에 따른 보안 링크 구축 방법을 설명하기 위한 순서도이다. 11 is a flowchart illustrating a method for establishing a secure link according to another embodiment of the present invention.
도 11을 참조하여, 본 발명의 실시예에 따른 인접한 구성요소 간의 보안 링크를 구축하는 방법을 설명한다. 즉, eUICC(100)의 환경을 구성하는 구성요소 간에 통신을 하는 경우, 구성요소 간 공유키로 암호화하고 공유키로 복호화하는 방법을 이용할 수 있다. With reference to FIG. 11, a method of establishing a secure link between adjacent components in accordance with an embodiment of the present invention is described. That is, when communicating between components constituting the environment of the
다만, 공유키가 없다면, 공유키를 생성하는 과정을 수행할 수 있다. 공유키를 생성하는 과정은 상술한 도 8 내지 도 10에서 제안한 보안 링크 구축 방법을 이용하여 공유키를 생성하여 전달할 수도 있다.However, if there is no shared key, a process of generating a shared key can be performed. The process of generating the shared key may generate and transfer the shared key using the secure link establishment method proposed in FIGS. 8 to 10.
요청 개체(70)는 eUICC 환경의 인접한 구성요소 중에서 보안 링크의 구축을 요청하는 개체이며, 응답 개체(80)는eUICC 환경의 인접한 구성요소 중에서 보안 링크의 구축을 요청받은 개체이다. 예를 들어, 요청 개체(70)는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300), MNO(400)가 될 수 있다. 마찬가지로, 응답 개체(80)는 eUICC(100), 프로파일 생성 개체(200), 프로파일 로더 개체(300), MNO(400)가 될 수 있다.The
요청 개체(70)가 요청 개체(70)의 인증정보에 기반한 서명정보를 포함하는 링크 생성 메시지를 생성하고(S1110), 생성된 링크 생성 메시지를 응답 개체(80)로 전송할 수 있다(S1120). The
응답 개체(80)는 신뢰관계 중계 개체(600)로부터 요청 개체(70)의 신뢰정보를 수신하고(S1130), 수신한 요청 개체(70)의 신뢰정보를 이용하여 요청 개체(70)가 상기 요청 개체(70)의 인증정보에 기반한 서명정보를 포함하는 링크 생성 메시지를 검증할 수 있다(S1140).The
응답 개체(80)가 요청 개체(70)의 신뢰정보를 이용하여 암호화된 공유키를 생성하고(S1150), 암호화된 공유키를 요청 개체(70)로 전송할 수 있다(S1160). 여기서, 암호화된 공유키는 요청 개체(70)와 상기 응답 개체(80) 간의 통신을 위한 세션키(session key)일 수 있다. The
상세하게는, 요청 개체(70)가 수행하는 동작은 다음과 같다.In detail, the operation performed by the
요청 개체(70)는 링크 생성 메시지를 생성하는데, 링크 생성 메시지는 요청 개체(70)의 인증정보로 서명할 수 있다. 요청 개체(70)는 링크 생성 메시지를 응답 개체(80)로 전송할 수 있다. 요청 개체(70)는 응답 개체(80)로부터 암호화된 공유키를 전달받아, 공유키를 두 개체 간 통신하기 위한 세션키로 적용할 수 있다. The
다음으로, 응답 개체(80)가 수행하는 동작은 다음과 같다.Next, the operation performed by the
응답 개체(80)는 링크 생성 메시지를 요청 개체(70)로부터 수신한다. 응답 개체(80)는 링크 생성 메시지의 서명을 요청 개체(70)의 신뢰정보를 이용하여 검증할 수 있다. 응답 개체(80)는 요청 개체(70)의 신뢰정보를 이용하여 암호화된 공유키를 생성하여 요청 개체(70)로 전달할 수 있다. .The
도 12는 본 발명의 실시예에 따른 eUICC(100)를 이용하기 위한 보안 기반 환경 구축을 위한 eUICC(100)의 구조를 설명하기 위한 블록도이다. 12 is a block diagram illustrating a structure of an
상술한 본 발명의 실시예에 따른 신뢰관계 및 보안 링크를 구축하기 위해서는 eUICC(100)을 비롯한 각종 구성요소(프로파일 생성 개체(200), 프로파일 로더 개체(300), 및 MNO(400) 등)는 연관된 구성요소의 신뢰정보를 확인해야 한다. 이러한 신뢰정보는 신뢰관계 중계 개체(600)에 요청하여 얻을 수 있다. In order to establish a trust relationship and a secure link according to an embodiment of the present invention described above, various components including the eUICC 100 (
다만, 동일한 구성요소에 대한 신뢰정보를 여러 번에 걸쳐서 신뢰관계 중계 개체(600)에 요청하는 경우와 같은 비효율적인 문제가 발생한다. 따라서, eUICC(100)의 내부에 위치한 저장공간에 신뢰정보를 저장할 수 있다. However, an inefficient problem, such as a case where a request is made to the trust
예를 들어, eUICC(100)는 특정 신뢰정보를 신뢰관계 중계 개체(600)에게 요청하기 전에 eUICC(100)의 내부에 위치한 저장공간에 해당 정보가 있는지 확인할 수 있다. 즉, 원하는 신뢰정보가 존재하지 않을 경우 신뢰관계 중계 개체(600)로 요청할 수 있다.For example, the
도 12를 참조하면, 본 발명의 실시예에 따른 eUICC(100)는 신뢰정보 저장부(110), 신뢰정보 요청부(130) 및 신뢰정보 관리부(120)를 포함한다. Referring to FIG. 12, the
신뢰정보 저장부(110)는 적어도 하나의 개체에 대한 신뢰정보를 저장할 수 있다. The trust
신뢰정보 요청부(130)는 적어도 하나의 개체의 식별정보에 기반하여 신뢰정보를 조회를 요청할 수 있다. The trust information requester 130 may request to inquire trust information based on identification information of at least one entity.
신뢰정보 관리부(120)는 신뢰정보 요청부(130)의 요청에 따라 적어도 하나의 개체의 식별정보에 상응하는 신뢰정보를 신뢰정보 저장부(110)에서 검색할 수 있다. 즉, 신뢰정보 관리부(120)는 신뢰정보 저장부(110)에 저장된 적어도 하나의 개체에 대한 신뢰정보를 삭제 또는 갱신할 수 있다. The
예를 들어, 신뢰정보 관리부(120)는 적어도 하나의 개체의 식별정보에 상응하는 신뢰정보를 신뢰정보 저장부(110)에서 검색하지 못한 경우, 적어도 하나의 개체의 식별정보에 상응하는 신뢰정보를 신뢰관계 중계 개체(600)에 요청하여 수신할 수 있다. For example, if the trust
또한, 신뢰정보 관리부(120)는 신뢰관계 중계 개체(600)로부터 수신한 적어도 하나의 개체의 식별정보에 상응하는 신뢰정보를 신뢰정보 저장부(110)에 전달할 수 있다. In addition, the trust
상세하게는, 신뢰정보 관리부(120)는 신뢰관계 중계 개체(600)로 신뢰정보를 조회하는 역할을 수행하며, 조회하여 수신한 신뢰정보를 신뢰정보 저장부(110)에 저장하는 역할을 수행한다. In detail, the trust
신뢰정보 관리부(120)는 효율적인 동작을 위하여 신뢰관계 중계 개체(600)로 신뢰정보를 조회하기 전에 신뢰정보 저장부(110)를 조회하여, 원하는 신뢰정보가 존재하는 경우 신뢰관계 중계 개체(600)로 조회하는 동작을 수행하지 않을 수 있다. 또한, 신뢰정보 관리부(120)는 신뢰정보가 기한 만료되면 삭제하고 용량이 초과되면 사용되지 않는 신뢰정보를 삭제하는 기능을 포함하는 역할을 수행할 수 있다. The trust
신뢰정보 저장부(110)는 신뢰관계 중계 개체(600)로부터 조회하여 수신한 신뢰정보를 저장할 수 있다. The trust
eUICC(100)에서 신뢰정보를 검색하는 절차는 다음과 같다.The procedure for searching for trust information in the
신뢰정보 요청부(130)는 신뢰정보 관리부(120)에 적어도 하나의 개체의 식별정보를 이용하여 신뢰정보 조회를 요청할 수 있다. The trust information requester 130 may request a trust information inquiry from the
신뢰정보 관리부(120)는 적어도 하나의 개체의 식별정보를 이용하여 신뢰정보 저장부(110)에 신뢰정보를 검색할 수 있다. The trust
신뢰정보 저장부(110)는 해당 신뢰정보가 있으면, 신뢰정보를 신뢰정보 관리부(120)에 전달할 수 있다. The trust
또한, 신뢰정보 저장부(110)에 해당 신뢰정보가 없는 경우, 신뢰정보 관리부(120)는 신뢰관계 중계 개체(600)에 적어도 하나의 개체의 식별정보를 이용하여 신뢰정보에 대한 조회를 요청할 수 있다. 신뢰관계 중계 개체(600)는 해당 신뢰정보를 신뢰정보 관리부(120)에 전달할 수 있다. In addition, when there is no corresponding trust information in the trust
신뢰정보 관리부(120)는 해당 신뢰정보를 신뢰정보 요청부(130)에 전달할 수 있으며, 신뢰관계 중계 개체(600)를 통해 신뢰정보를 얻은 경우, 해당 신뢰정보를 적어도 하나의 개체의 식별정보와 함께 신뢰정보 저장부(110)에 저장할 수 있다. The trust
예를 들어, eUICC(100)는 프로파일 생성 개체(200)에서 생성된 프로파일을 프로파일 로더 개체(300)를 통해서 전달받게 되는데, 프로파일의 서명을 확인하기 위해서 프로파일 생성 개체(200)의 인증정보가 필요할 수 있다. For example, the
프로파일 생성 개체(200) 등의 구성요소의 인증정보가 필요할 경우마다 신뢰관계 중계 개체(600)에 인증정보를 요청하는 것이 비효율적이기 때문에 eUICC(100)는 인증정보를 위한 캐시를 구성할 수 있다. eUICC(100)는 서명 등을 확인하기 위해서 인증정보가 필요할 때, 캐시정보를 확인하고 없는 경우에만 신뢰관계 중계 개체(600)로부터 인증정보를 수신할 수 있다. When authentication information of a component such as the
캐시에 인증정보가 존재하는 경우, 신뢰관계 중계 개체(600)에 인증정보를 요청하지 않고 존재하는 인증정보를 이용하여 서명 등을 확인할 수 있다.When the authentication information exists in the cache, the signature may be checked using the existing authentication information without requesting the authentication information from the trust
상술한 본 발명의 실시예들을 통해 종래의 UICC환경에서 제공되는 기능을 안전하게 지원함과 동시에, UICC환경과 동등 또는 그 이상의 보안 수준의 환경을 제공할 수 있다. 또한, 인증정보를 이용하여 신뢰관계를 구축함으로써, 각 구성요소들 간의 유연한 인증구조를 기대할 수 있다.Through the above-described embodiments of the present invention, it is possible to securely support a function provided in a conventional UICC environment and provide an environment of a security level equivalent to or higher than that of the UICC environment. In addition, by establishing a trust relationship using the authentication information, it is possible to expect a flexible authentication structure between each component.
그리고, 인증정보 및 신뢰정보를 이용한 보안 링크 구축 방법을 이용하여 구성요소의 종단간 안전한 링크를 생성할 수 있으며, 그에 따라 eUICC(100)를 사용하는 환경의 구성이 바뀌더라도 높은 수준의 보안을 유지할 수 있다.In addition, a secure end-to-end link of the component may be generated by using a secure link establishment method using authentication information and trust information, and accordingly, a high level of security may be maintained even if the configuration of the environment using the
또한, 효율적인 동작을 위해서 eUICC(100)에 추가적인 기능을 제안함으로써, eUICC(100)을 비롯한 각종 구성요소(프로파일 생성 개체(200), 프로파일 로더 개체(300), MNO(400) 등)는 연관된 구성요소의 신뢰정보를 효율적으로 활용할 수 있다.In addition, by suggesting additional functions to the
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시 예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and changes without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention but to describe the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The protection scope of the present invention should be interpreted by the following claims, and all technical ideas within the equivalent scope should be interpreted as being included in the scope of the present invention.
10: 신뢰 요청 개체 20: 신뢰 검증 개체
40: 신뢰 관리 개체 50: 송신 개체
60: 수신 개체 70: 요청 개체
80: 응답 개체 100: eUICC
110: 신뢰정보 저장부 120: 신뢰정보 관리부
130: 신뢰정보 요청부 200: 프로파일 생성 개체
300: 프로파일 로더 개체 400: MNO
500: eUICC 제조사 600: 신뢰관계 중계 개체10: trust request object 20: trust validation object
40: trust management object 50: sending object
60: Receive Object 70: Request Object
80: Response Object 100: eUICC
110: trust information storage unit 120: trust information management unit
130: trust information request unit 200: profile creation object
300: Profile Loader Object 400: MNO
500: eUICC manufacturer 600: trust relationship relay entity
Claims (14)
요청 개체가 상기 요청 개체의 서명 정보(signature information)를 포함하는 링크 생성 메시지를 생성하는 단계;
상기 요청 개체가 상기 링크 생성 메시지를 상기 응답 개체로 전송하는 단계;
상기 응답 개체가 상기 요청 개체의 신뢰 정보(trust information)를 이용해 상기 요청 개체의 서명 정보를 검증하는 단계;
상기 응답 개체가, 상기 요청 개체와 상기 응답 개체 간의 통신에 사용될 공유 키를 생성하는 단계;
상기 응답 개체가 상기 공유 키를 이용해 상기 요청 개체와의 보안 링크를 설정하는 단계를 포함하는 보안 링크 구축 방법.A method of establishing a secure link between a request object and a response object in an embedded Universal Integrated Circuit Card (eUICC) environment.
Generating, by the requesting entity, a link generation message including signature information of the requesting entity;
Sending, by the request entity, the link creation message to the response entity;
Verifying, by the response entity, signature information of the request entity using trust information of the request entity;
Generating, by the response entity, a shared key to be used for communication between the request entity and the response entity;
The response entity establishing a secure link with the request entity using the shared key.
상기 요청 개체는 SM-DP(subscription manager-data preparation)인, 보안 링크 구축 방법.The method according to claim 1,
And the request entity is a subscription manager-data preparation (SM-DP).
상기 응답 개체는 eUICC인, 보안 링크 구축 방법.The method according to claim 1,
And the response entity is an eUICC.
상기 서명 정보는 상기 요청 개체의 인증 정보(authentication information)에 기반하여 생성되는, 보안 링크 구축 방법.The method according to claim 1,
And the signature information is generated based on authentication information of the requesting entity.
상기 요청 개체의 신뢰 정보는 신뢰관계 중계 개체에 의해 생성되어 상기 응답 개체로 전달되는, 보안 링크 구축 방법.The method according to claim 1,
The trust information of the request entity is generated by a trust relationship relay entity and passed to the response entity.
상기 신뢰관계 중계 개체는 인증기관(Certificate Authority)인, 보안 링크 구축 방법.The method according to claim 5,
And the trust relationship relay entity is a Certificate Authority.
상기 요청 개체는 eUICC, MNO(Mobile Network Operator), 프로파일 생성 개체, 및 프로파일 로딩 개체 중 어느 하나인, 보안 링크 구축 방법.The method according to claim 1,
And the request entity is any one of an eUICC, a mobile network operator (MNO), a profile creation entity, and a profile loading entity.
상기 응답 개체는 MNO, 프로파일 생성 개체, 및 프로파일 로딩 개체 중 어느 하나인, 보안 링크 구축 방법.The method according to claim 1,
And the response entity is any one of an MNO, a profile creation entity, and a profile loading entity.
프로세서; 및
상기 프로세서에 의해 수행되는 적어도 하나의 명령을 저장하는 메모리를 포함하고,
상기 적어도 하나의 명령은,
상기 대상 개체의 서명 정보(signature information)를 포함하는 링크 생성 메시지를 상기 대상 개체로부터 수신하도록 하는 명령;
상기 대상 개체의 신뢰 정보(trust information)를 이용해 상기 대상 개체의 서명 정보를 검증하도록 하는 명령;
상기 대상 개체와 상기 eUICC 간의 통신에 사용될 공유 키를 생성하도록 하는 명령; 및
상기 공유 키를 이용해 상기 대상 개체와의 보안 링크를 설정하도록 하는 명령을 포함하는 eUICC.An embedded Universal Integrated Circuit Card (eUICC) that establishes secure links with target objects.
A processor; And
A memory storing at least one instruction executed by the processor,
The at least one command is
Receiving a link generation message from the target entity, wherein the link generation message includes signature information of the target entity;
Instructions for verifying signature information of the target entity using trust information of the target entity;
Generate a shared key to be used for communication between the target entity and the eUICC; And
EUICC including a command to establish a secure link with the target entity using the shared key.
상기 대상 개체는 SM-DP(subscription manager-data preparation)인, eUICC.The method according to claim 9,
The target entity is a subscription manager-data preparation (SM-DP), eUICC.
상기 서명 정보는 상기 대상 개체의 인증 정보(authentication information)에 기반하여 생성되는, eUICC.The method according to claim 9,
The signature information is generated based on authentication information of the target entity.
상기 대상 개체의 신뢰 정보는 신뢰관계 중계 개체에 의해 생성되어 상기 eUICC로 전달되는, eUICC.The method according to claim 9,
Trust information of the target entity is generated by the trust relationship relay entity and passed to the eUICC, eUICC.
상기 신뢰관계 중계 개체는 인증기관(Certificate Authority)인, eUICC.The method according to claim 12,
The trust relationship relay entity is an eUICC.
상기 대상 개체는 MNO(Mobile Network Operator), 프로파일 생성 개체, 및 프로파일 로딩 개체 중 어느 하나인, eUICC.
The method according to claim 9,
The target entity may be any one of a mobile network operator (MNO), a profile generation entity, and a profile loading entity.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20120055054 | 2012-05-23 | ||
KR1020120055054 | 2012-05-23 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130057578A Division KR102035154B1 (en) | 2012-05-23 | 2013-05-22 | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190050949A KR20190050949A (en) | 2019-05-14 |
KR102035158B1 true KR102035158B1 (en) | 2019-10-22 |
Family
ID=49980561
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130057578A KR102035154B1 (en) | 2012-05-23 | 2013-05-22 | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card |
KR1020190052052A KR102035158B1 (en) | 2012-05-23 | 2019-05-03 | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130057578A KR102035154B1 (en) | 2012-05-23 | 2013-05-22 | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card |
Country Status (1)
Country | Link |
---|---|
KR (2) | KR102035154B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111934888B (en) * | 2020-09-27 | 2021-03-02 | 南京可信区块链与算法经济研究院有限公司 | Safety communication system of improved software defined network |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654256B2 (en) * | 2009-04-21 | 2017-05-16 | Lg Electronics Inc. | Method of utilizing a relay node in wireless communication system |
US8924715B2 (en) * | 2010-10-28 | 2014-12-30 | Stephan V. Schell | Methods and apparatus for storage and execution of access control clients |
-
2013
- 2013-05-22 KR KR1020130057578A patent/KR102035154B1/en active IP Right Grant
-
2019
- 2019-05-03 KR KR1020190052052A patent/KR102035158B1/en active IP Right Grant
Also Published As
Publication number | Publication date |
---|---|
KR20130131238A (en) | 2013-12-03 |
KR102035154B1 (en) | 2019-10-22 |
KR20190050949A (en) | 2019-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11025611B2 (en) | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card | |
KR102026612B1 (en) | Method for Creating Trust Relationship and Embedded UICC | |
JP6533203B2 (en) | Mobile device supporting multiple access control clients and corresponding method | |
EP3281436B1 (en) | Method and apparatus for downloading a profile in a wireless communication system | |
KR102134302B1 (en) | Wireless network access method and apparatus, and storage medium | |
US8578153B2 (en) | Method and arrangement for provisioning and managing a device | |
KR102040231B1 (en) | Security and information supporting method and apparatus for using policy control in change of subscription to mobile network operator in mobile telecommunication system environment | |
CN110870281B (en) | Method and apparatus for discussion of digital certificates by ESIM terminals and servers | |
US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
KR101907814B1 (en) | a remote subscription management method of the eUICC, | |
KR102293683B1 (en) | Apparatus and Methods for Access Control on eSIM | |
KR20160009969A (en) | Method and apparatus for provisioning profile of embedded universal integrated circuit card | |
CN104956638A (en) | Restricted certificate enrollment for unknown devices in hotspot networks | |
KR101765917B1 (en) | Method for authenticating personal network entity | |
CN112737902B (en) | Network configuration method and device, storage medium and electronic equipment | |
KR20190002598A (en) | A method and apparatus for issuing assertions within a distributed database of a mobile communication network and personalizing object Internet devices | |
CN112566119A (en) | Terminal authentication method and device, computer equipment and storage medium | |
CN112913263A (en) | Method and apparatus for handling remote profile management exceptions | |
WO2013149426A1 (en) | Method, device and system for authenticating access for application to smart card | |
WO2021138217A1 (en) | Method, chip, device and system for authenticating a set of at least two users | |
KR101443161B1 (en) | Method for provisioning profile of embedded universal integrated circuit card using capability information and mobile terminal thereof | |
KR20200101257A (en) | Method and apparatus for device change in mobile communication system | |
KR102035158B1 (en) | Method and apparatus of constructing secure infra-structure for using embedded universal integrated circuit card | |
KR101500118B1 (en) | Data sharing method and data sharing system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |