KR102078319B1 - Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator - Google Patents

Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator Download PDF

Info

Publication number
KR102078319B1
KR102078319B1 KR1020130100290A KR20130100290A KR102078319B1 KR 102078319 B1 KR102078319 B1 KR 102078319B1 KR 1020130100290 A KR1020130100290 A KR 1020130100290A KR 20130100290 A KR20130100290 A KR 20130100290A KR 102078319 B1 KR102078319 B1 KR 102078319B1
Authority
KR
South Korea
Prior art keywords
signature
usim
key
encrypted
data
Prior art date
Application number
KR1020130100290A
Other languages
Korean (ko)
Other versions
KR20150023150A (en
Inventor
김재형
권봉기
Original Assignee
주식회사 비즈모델라인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 비즈모델라인 filed Critical 주식회사 비즈모델라인
Priority to KR1020130100290A priority Critical patent/KR102078319B1/en
Publication of KR20150023150A publication Critical patent/KR20150023150A/en
Application granted granted Critical
Publication of KR102078319B1 publication Critical patent/KR102078319B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 통신사의 유심기반 전자서명 처리 방법에 관한 것으로, 지정된 관리서버로부터 금융사서버에 구비된 금융사 키를 통해 상기 금융사서버 내에서 암호화된 후 상기 관리서버에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말을 식별하는 식별 정보를 수신하고, 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 암호화된 서명 대상 데이터를 전송하고, 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로부터 상기 무선단말의 USIM(Universal Subscriber Identity Module)에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 통신사 키를 통해 상기 USIM에 내에서 암호화된 서명 데이터를 수신하며, 상기 암호화된 서명 데이터를 상기 관리서버로 전송한다.The present invention relates to a method for processing a digital signature of a carrier's SIM card, and is encrypted in the financial institution server through a financial company key provided in the financial institution server from a designated management server and then decrypted by the management server and encrypted again through the communication company key. Receiving the signature target data and identification information identifying the customer-owned wireless terminal, transmitting the encrypted signature target data to the wireless terminal's certificate program corresponding to the identification information, and the wireless terminal certificate program corresponding to the identification information The signature data generated from the signature target data according to the specified signature operation of the certificate applet provided in the universal subscriber identity module (USIM) of the wireless terminal and encrypted within the USIM through the carrier key provided in the USIM Receiving the encrypted signature data And transmits it to the management server.

Description

통신사의 유심기반 전자서명 처리 방법{Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator}Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator}

본 발명은 통신사서버를 통해 실행되는 방법에 있어서, 지정된 관리서버로부터 금융사서버에 구비된 금융사 키를 통해 상기 금융사서버 내에서 암호화된 후 상기 관리서버에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말을 식별하는 식별 정보를 수신하고, 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 암호화된 서명 대상 데이터를 전송하고, 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로부터 상기 무선단말의 USIM(Universal Subscriber Identity Module)에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 통신사 키를 통해 상기 USIM에 내에서 암호화된 서명 데이터를 수신하며, 상기 암호화된 서명 데이터를 상기 관리서버로 전송하는 유심기반 전자서명 처리 방법에 관한 것이다.The present invention, in a method executed through a telecommunications company server, is encrypted in the financial institution server through a financial institution key provided in the financial institution server from a designated management server and then decrypted by the management server and encrypted again through the carrier key Receiving data and identification information identifying a customer-owned wireless terminal, transmitting the encrypted signature target data to the certificate program of the wireless terminal corresponding to the identification information, and receiving the identification information from the certificate program of the wireless terminal corresponding to the identification information The signature applet generated in the USIM (Universal Subscriber Identity Module) of the wireless terminal is generated using the signature target data according to the designated signature operation and receives the signature data encrypted in the USIM through the carrier key provided in the USIM. The encrypted signature data It relates to the idealistic-based electronic signature processing method to transfer to the server.

무선단말의 USIM에 고객 인증서를 저장하여 전자서명을 제공하는 USIM 기반 전자서명 서비스가 개시된다. 종래에 개시된 USIM 기반 전자서명 서비스는 USIM을 인증서의 저장토큰으로 이용하는 방식과, USIM을 인증서의 보안토큰으로 이용하는 방식으로 구분된다.
Disclosed is a USIM-based digital signature service that provides digital signatures by storing customer certificates in a USIM of a wireless terminal. The USIM-based digital signature service disclosed in the prior art is divided into a method using USIM as a storage token for a certificate and a method using USIM as a security token for a certificate.

종래에 USIM을 인증서의 저장토큰으로 이용하는 USIM 기반 전자서명 서비스는, USIM 내에 고객 인증서를 저장하고, 무선단말의 인증서 프로그램이 USIM에 저장된 고객 인증서를 이용하여 전자서명 절차를 수행하여 서명 값을 생성하고 이를 포함하는 서명 데이터를 생성하는 것이다.
In the USIM-based digital signature service, which uses the USIM as a storage token for the certificate, the customer certificate is stored in the USIM, and the wireless terminal's certificate program performs an electronic signature procedure using the customer certificate stored in the USIM to generate a signature value. It is to generate signature data including this.

종래에 USIM을 인증서의 보안토큰으로 이용하는 USIM 기반 전자서명 서비스는, USIM 내에 고객 인증서를 저장한 후 USIM 내에서 고객 인증서를 통해 전자서명을 수행하게 하고, 무선단말의 인증서 프로그램이 USIM에서 수행된 서명 값을 수신하여 서명 데이터를 생성하는 것이다.
The USIM-based digital signature service, which uses the USIM as a security token for the certificate, stores the customer certificate in the USIM and then performs the digital signature through the customer certificate in the USIM, and the wireless terminal's certificate program is signed by the USIM. The value is received to generate signature data.

이와 같은 종래의 USIM 기반 전자서명 서비스는, USIM을 저장토큰으로 이용하든, 또는 USIM을 보안토큰으로 이용하든, 일단 무선단말이 해킹되거나 또는 악성코드가 설치된 상태에서 전자서명 절차를 수행하여 생성된 서명 값이 그대로 노출되는 문제점을 지니고 있다.
Such a conventional USIM-based digital signature service, whether a USIM is used as a storage token or a USIM as a security token, is a signature generated by performing an electronic signature procedure once the wireless terminal is hacked or malicious code is installed. It has the problem that the value is exposed as it is.

상기와 같은 문제점을 해소하기 위한 본 발명의 목적은, 통신사서버를 통해 실행되는 방법에 있어서, 지정된 관리서버로부터 금융사서버에 구비된 금융사 키를 통해 상기 금융사서버 내에서 암호화된 후 상기 관리서버에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말을 식별하는 식별 정보를 수신하는 제1 단계와 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 암호화된 서명 대상 데이터를 전송하는 제2 단계와 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로부터 상기 무선단말의 USIM(Universal Subscriber Identity Module)에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 통신사 키를 통해 상기 USIM에 내에서 암호화된 서명 데이터를 수신하는 제3 단계 및 상기 암호화된 서명 데이터를 상기 관리서버로 전송하는 제4 단계를 포함하는 유심기반 전자서명 처리 방법을 제공함에 있다.An object of the present invention for solving the above problems is in a method executed through a communication company server, encrypted within the financial company server through a financial company key provided in the financial company server from a designated management server and then by the management server The first step of receiving the decrypted and encrypted signature target data and the identification information identifying the customer-owned wireless terminal again through the carrier key and transmitting the encrypted signature target data to the certificate program of the wireless terminal corresponding to the identification information It is generated using the signature target data according to the designated signature operation of the certificate applet provided in the universal subscriber identity module (USIM) of the wireless terminal's certificate program corresponding to the second step and the identification information, and is generated in the USIM. Encryption within the USIM through the provided carrier key It is the third stage and idealistic based digital signature processing method of a fourth step of transmitting the encrypted signature data to the management server that receives the signature data to provide.

본 발명에 따른 유심기반 전자서명 처리 방법은, 통신사서버를 통해 실행되는 방법에 있어서, 지정된 관리서버로부터 금융사서버에 구비된 금융사 키를 통해 상기 금융사서버 내에서 암호화된 후 상기 관리서버에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말을 식별하는 식별 정보를 수신하는 제1 단계와 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 암호화된 서명 대상 데이터를 전송하는 제2 단계와 상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로부터 상기 무선단말의 USIM(Universal Subscriber Identity Module)에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 통신사 키를 통해 상기 USIM에 내에서 암호화된 서명 데이터를 수신하는 제3 단계 및 상기 암호화된 서명 데이터를 상기 관리서버로 전송하는 제4 단계를 포함하는 것을 특징으로 한다.The method for processing a digital signature based on a SIM according to the present invention, in a method executed through a communication company server, is encrypted in the financial company server through a financial company key provided in the financial company server from a designated management server and then decrypted by the management server The first step of receiving the signature target data encrypted with the carrier key and identification information identifying the customer-owned wireless terminal again, and the second step of transmitting the encrypted signature target data to the certificate program of the wireless terminal corresponding to the identification information Generated using the signature target data according to the specified signature operation of the certificate applet provided in the universal subscriber identity module (USIM) of the wireless terminal certificate program corresponding to the identification information and the step, and provided in the USIM Encrypted signature within the USIM via carrier key And a third step of receiving data and a fourth step of transmitting the encrypted signature data to the management server.

삭제delete

삭제delete

삭제delete

본 발명에 따르면, 상기 서명 데이터는 상기 USIM의 인증서 애플릿을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다.
According to the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the USIM's certificate applet.

본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 통신사서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 관리서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되는 것 중, 적어도 하나를 포함할 수 있다.
According to the present invention, the signature data encrypted through the carrier key is encrypted inside the USIM using the carrier key as an encryption key, or encrypted within the USIM through an encryption key generated using the carrier key, or the Based on the carrier key, the key value exchanged between the USIM and the carrier server is encrypted inside the USIM, or the key value exchanged between the USIM and the management server on the basis of the carrier key is used inside the USIM. It may include at least one of the encrypted ones.

본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 이용하여 USIM 내에서 수행된 암호화의 무결성 검증 값을 포함할 수 있다.
According to the present invention, the signature data encrypted through the carrier key may include an integrity verification value of encryption performed in USIM using the carrier key.

본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 관리서버에 의해 복호화되고 다시 금융사 키를 통해 암호화될 수 있다.
According to the present invention, the signature data encrypted through the communication company key can be decrypted by the management server and encrypted again through the financial company key.

본 발명에 따르면, 무선단말의 USIM 내부에서 서명 대상 데이터를 서명하여 지정된 전자서명문 형태의 서명 데이터를 생성함과 동시에 USIM 내부 구비된 통신사 키를 통해 USIM 내부에서 서명 데이터를 암호화함으로써, USIM을 구비한 무선단말이 해킹되거나 악성코드가 설치된 상태에서도 안전한 USIM 기반 전자서명 서비스를 제공하는 이점이 있다.
According to the present invention, by signing the data to be signed inside the USIM of the wireless terminal, the signature data in the form of a designated electronic signature is generated, and at the same time, the signature data is encrypted inside the USIM through the carrier key provided in the USIM, thereby providing the USIM There is an advantage of providing a secure USIM-based digital signature service even when a wireless terminal is hacked or malware is installed.

본 발명에 따르면, 무선단말의 USIM 내부에서 생성된 서명 대상 데이터를 통신사 키를 통해 USIM 내부에서 암호화하고, 이를 지정된 관리서버를 통해 복호화한 후 다시 금융사 키를 통해 재암호화하도록 함으로써, USIM 내부 구성을 변경하거나 또는 각 금융사 키를 USIM에 기록하지 않고도 편리하고 안전하게 USIM 기반 전자서명 서비스를 제공하는 이점이 있다.
According to the present invention, by encrypting the signature target data generated inside the USIM of the wireless terminal inside the USIM through the carrier key, decrypting it through the designated management server, and re-encrypting it again through the financial company key, thereby configuring the USIM internal configuration. The advantage of providing a convenient and secure USIM-based digital signature service without changing or recording each financial company key in the USIM.

도 1은 본 발명의 USIM 기반 전자서명 시스템의 구성을 도시한 도면이다.
도 2는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 금융사서버의 구성을 도시한 도면이다.
도 3은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 관리서버의 구성을 도시한 도면이다.
도 4는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 통신사서버의 구성을 도시한 도면이다.
도 5는 본 발명의 실시 방법에 따른 무선단말과 인증서 프로그램의 기능 구성을 도시한 도면이다.
도 6은 본 발명의 실시 방법에 따른 USIM의 기능 구성을 도시한 도면이다.
도 7은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 선택 및 요청 과정을 도시한 도면이다.
도 8은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 요청을 중계하는 과정을 도시한 도면이다.
도 9는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 및 암호화 과정을 도시한 도면이다.
도 10은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 인증 과정을 도시한 도면이다.1 is a view showing the configuration of the USIM-based digital signature system of the present invention.
2 is a view showing the configuration of a financial company server of the USIM-based digital signature system according to an embodiment of the present invention.
3 is a view showing the configuration of the management server of the USIM-based digital signature system according to an embodiment of the present invention.
4 is a view showing the configuration of a carrier server of the USIM-based digital signature system according to an embodiment of the present invention.
5 is a diagram showing a functional configuration of a wireless terminal and a certificate program according to an embodiment of the present invention.
6 is a view showing the functional configuration of the USIM according to an embodiment of the present invention.
7 is a diagram illustrating a USIM-based digital signature selection and request process according to an embodiment of the present invention.
8 is a diagram illustrating a process of relaying a USIM-based digital signature request according to an embodiment of the present invention.
9 is a diagram illustrating a USIM-based digital signature and encryption process according to an embodiment of the present invention.
10 is a diagram illustrating a USIM-based digital signature authentication process according to an embodiment of the present invention.

이하 첨부된 도면과 설명을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 다만, 하기에 도시되는 도면과 후술되는 설명은 본 발명의 특징을 효과적으로 설명하기 위한 여러 가지 방법 중에서 바람직한 실시 방법에 대한 것이며, 본 발명이 하기의 도면과 설명만으로 한정되는 것은 아니다. 예를들어, 각 서버 측에 구비된 구성부가 단말 측에 구현되거나, 반대로 단말 측에 구비된 구성부가 적어도 하나의 서버 측에 구현되는 형태로 실시되는 것이 가능하다.
Hereinafter, an operation principle of a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings and description. However, the drawings shown below and the following description are for preferred implementation methods among various methods for effectively describing the features of the present invention, and the present invention is not limited only to the following drawings and description. For example, it is possible that the components provided on each server side are implemented on the terminal side or, conversely, the components provided on the terminal side are implemented in at least one server side.

또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 발명에서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
In addition, in the following description of the present invention, when it is determined that detailed descriptions of related known functions or configurations may unnecessarily obscure the subject matter of the present invention, detailed descriptions thereof will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to a user's or operator's intention or practice. Therefore, the definition should be made based on the overall contents of the present invention.

결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
As a result, the technical spirit of the present invention is determined by the claims, and the following examples are one means for efficiently explaining the technical spirit of the present invention to those skilled in the art to which the present invention pertains. That's it.

도면1은 본 발명의 USIM 기반 전자서명 시스템의 구성을 도시한 도면이다.
1 is a view showing the configuration of the USIM-based digital signature system of the present invention.

보다 상세하게 본 도면1은 무선단말(500)의 USIM(600)(Universal Subscriber Identity Module)에 고객 인증서와 통신사 키를 구비한 후, USIM(600) 내부에서 통신사 키를 통해 암호화되어 USIM(600)으로 수신된 서명 대상 데이터를 복호화하고, USIM(600) 내부에서 고객 인증서를 통해 복호화된 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 USIM(600) 내부에서 통신사 키를 통해 서명 데이터를 암호화함으로써 USIM(600)에 의한 전자서명을 안전하게 보호하는 시스템 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 시스템에 대한 다양한 실시 방법(예컨대, 일부 구성이 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면1에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 1 is provided with a customer certificate and a carrier key in a USIM 600 (Universal Subscriber Identity Module) of the wireless terminal 500, and is encrypted through a carrier key in the USIM 600, and then USIM 600 USIM by decrypting the signature target data received by the server and generating the signature data by signing the decrypted signature target data through the customer certificate inside the USIM 600 and encrypting the signature data through the carrier key inside the USIM 600 Shows the system configuration to securely protect the electronic signature according to (600), and those of ordinary skill in the art to which the present invention belongs, refer to and / or modify this drawing to the USIM-based electronic signature system. Various implementation methods (for example, some configurations are omitted, subdivided, or combined implementation methods) may be inferred, but the present invention can be inferred. Comprised, including the exemplary method, to which the technical feature that is not limited to the exemplary method shown in the figure 1.

본 발명의 USIM 기반 전자서명 시스템은, 금융사서버(200), 관리서버(300), 통신사서버(400), 무선단말(500) 및 무선단말(500)에 이탈착되는 USIM(600)을 포함하여 이루어지며, 상기 금융사서버(200)는 금융사 키를 통해 서명 대상 데이터를 암호화하거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 관리서버(300)에서 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 복호화하며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 통신사 키를 통해 암호화거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 다시 금융사 키를 통해 암호화하며, 상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)로 제공하거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 제공하며, 상기 무선단말(500)은 인증서 프로그램(515)을 통해 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 USIM(600)으로 주입하거나 및/또는 인증서 프로그램(515)을 통해 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 수신하여 통신사서버(400)로 전송하며, 상기 USIM(600)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 복호화하거나 및/또는 고객 인증서를 통해 복호화된 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 동시에 통신사 키를 통해 서명 데이터를 암호화하는 구성을 지니고 있습니다.
The USIM-based electronic signature system of the present invention includes a financial company server 200, a management server 300, a communication company server 400, a wireless terminal 500 and a USIM 600 detached from the wireless terminal 500. The financial company server 200 encrypts the data to be signed through the financial company key and / or is signed inside the USIM 600 and encrypted through the carrier key inside the USIM 600, and then the management server 300 The decrypted and decrypted signature data is encrypted through the financial company key again, and the management server 300 decrypts the signature target data encrypted through the financial company key and then encrypts it through the carrier key and / or inside the USIM 600 Decrypts the signature data that is signed in the USIM 600 and encrypted through the carrier key, and then encrypts again through the financial company key, and the carrier server 400 receives the signature target data encrypted through the carrier key. Provided to the wireless terminal 500 and / or the USIM (600) is signed inside the USIM (600) encrypted data through the carrier key to provide the management server 300, the wireless terminal 500 is Inject the data to be signed encrypted through the carrier key through the certificate program 515 into the USIM 600, and / or be signed inside the USIM 600 through the certificate program 515 and communicated within the USIM 600. The signature data encrypted through the key is received and transmitted to the carrier server 400, and the USIM 600 decrypts the signature target data encrypted through the carrier key and / or the signature target data decrypted through the customer certificate. It has the configuration to encrypt the signature data through the carrier key while simultaneously signing to generate the signature data.

본 발명의 바람직한 실시 방법에 따르면, 상기 서명 대상 데이터는 금융사서버(200)에서 금융사 키를 통해 암호화되어 관리서버(300)를 통해 복호화된 후 다시 통신사 키를 통해 암호화되어 통신사서버(400)를 경유하여 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달되는 것이 바람직하다. 본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, 상기 서명 대상 데이터는 고객 무선단말(500) 이외에 고객이 금융거래를 위해 이용하는 고객단말(100)에서 관리서버(300)와 통신사서버(400)를 거쳐 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달될 수 있으며, 이 경우에 서명 대상 데이터는 고객단말(100)을 통해 암호화되어 관리서버(300)로 전달되거나, 또는 고객단말(100)에서 금융사서버(200)를 거처 관리서버(300)로 전달될 수 있다. 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, 상기 서명 대상 데이터는 고객 무선단말(500)에 구비된 애플리케이션(예컨대, 뱅킹 애플리케이션, 결제 애플리케이션 등을 포함하는 인증서를 이용하는 각종 애플리케이션)으로부터 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달될 수 있다. 한편 상기 USIM(600)으로 서명 대상 데이터가 전달되는 경로가 상술된 방식으로만 한정되는 것은 아니며, 상술된 방식을 조합하여 다양하게 변형 가능 가능하며, 본 발명은 변형 가능한 모든 방식을 포함함을 명백하게 밝혀두는 바이다.
According to a preferred method of implementation of the present invention, the data to be signed is encrypted by the financial company server 200 through the financial company key, decrypted through the management server 300, and then encrypted again through the communication company key via the communication company server 400. Therefore, it is preferable to be delivered to the USIM 600 detached from the wireless terminal 500 through the certificate program 515 provided in the wireless terminal 500. According to another implementation method that can be extended from the present invention, the signature target data is wirelessly transmitted through the management server 300 and the carrier server 400 in the customer terminal 100 used by the customer for financial transactions in addition to the customer wireless terminal 500. Through the certificate program 515 provided in the terminal 500 may be delivered to the USIM (600) detached from the wireless terminal 500, in this case, the signature target data is encrypted and managed through the customer terminal (100) It may be delivered to the server 300, or may be delivered from the customer terminal 100 to the management server 300 through the financial institution server 200. According to another implementation method expandable from the present invention, the signature target data is a wireless terminal 500 from an application (eg, various applications using a certificate including a banking application, a payment application, etc.) provided in the customer wireless terminal 500. ) Can be delivered to the USIM 600 detached from the wireless terminal 500 through the certificate program 515 provided. On the other hand, the path through which the signature target data is transmitted to the USIM 600 is not limited to the above-described method, and can be variously modified by combining the above-described methods, and the present invention clearly includes all of the above-deformable methods. That's it.

본 발명에 따르면, 상기 USIM(600)은 고객 인증서를 통해 서명 대상 데이터를 USIM(600) 내부에서 서명하여 서명 데이터를 생성함과 동시에 상기 생성된 서명 데이터를 USIM(600) 내부에서 암호화하는 기능(이하, “인증서 애플릿(620)”이라고 함)을 구비하며, 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 암호화된 서명 데이터는 지정된 경로를 거쳐 금융사서버(200)로 전달된다.
According to the present invention, the USIM 600 generates a signature data by signing the signature target data inside the USIM 600 through a customer certificate, and simultaneously encrypts the generated signature data within the USIM 600 ( Hereinafter, the signature data that is signed inside the USIM 600 and encrypted inside the USIM 600 is transmitted to the financial institution server 200 through a designated path.

본 발명의 바람직한 실시 방법에 따르면, 상기 USIM(600) 내부에서 고객 인증서를 통해 서명 대상 데이터를 서명하여 생성된 서명 데이터는 USIM(600)에 구비된 통신사 키를 통해 USIM(600) 내부에서 암호화된다. 이것은 USIM(600)의 ISD(Issuer Security Domain)를 통신사가 관리하기 때문이며, 만약 통신사가 정책적으로 USIM(600)의 SD(Security Domain)를 개방한다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 통신사 키 대신에 다른 키를 통해 암호화될 수 있다(물론 이 경우에도 통신사 키를 이용하는 것은 유효하다). 예를들어 상기 USIM(600)의 SD가 관리서버(300)를 운영하는 관리사에게 개방된다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 관리사 키를 통해 USIM(600) 내부에서 암호화될 수 있다. 또는 상기 USIM(600)의 SD가 금융사에게 개방된다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 금융사 키를 통해 USIM(600) 내부에서 암호화될 수 있다. 따라서 본 발명은 USIM(600)의 SD가 개방되는 경우 통신사 키 대신에 다른 각종 키를 이용하여 서명 데이터를 USIM(600) 내부에서 암호화하는 것도 권리범위로 포함할 수 있다. 다만 본 발명의 바람직한 실시예는 USIM(600) 내부에서 통신사 키를 통해 서명 데이터를 암호화하는 실시예를 도시하여 설명하기로 한다. 특히 통신사 키를 이용하여 통신사서버(400)를 경유하는 경우에 전송채널의 보안 중 일부는 통신사에 의해 보장될 수 있다.
According to a preferred embodiment of the present invention, the signature data generated by signing the subject data through the customer certificate in the USIM 600 is encrypted inside the USIM 600 through the carrier key provided in the USIM 600. . This is because the carrier manages the Issuer Security Domain (ISD) of the USIM 600, and if the carrier policyically opens the Security Domain (SD) of the USIM 600, the signature data signed within the USIM 600 is the carrier. Instead of the key, it can be encrypted via another key (of course, it is still valid to use the carrier key). For example, if the SD of the USIM 600 is opened to the manager operating the management server 300, the signature data signed inside the USIM 600 can be encrypted inside the USIM 600 through the manager key. Alternatively, if the SD of the USIM 600 is opened to the financial company, the signature data signed inside the USIM 600 may be encrypted inside the USIM 600 through the financial company key. Therefore, the present invention may include, as the scope of rights, encrypting the signature data inside the USIM 600 using various other keys instead of the carrier key when the SD of the USIM 600 is opened. However, a preferred embodiment of the present invention will be described by showing an embodiment of encrypting the signature data through the carrier key in the USIM (600). Particularly, in the case of passing through the carrier server 400 using the carrier key, some of the security of the transport channel may be guaranteed by the carrier.

본 발명의 바람직한 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515), 통신사서버(400) 및 관리서버(300)를 거쳐 금융사서버(200)로 전송된다. 본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 관리서버(300)를 거쳐 금융사서버(200)로 전송될 수 있다. 이 경우 상기 서명 데이터는 반드시 통신사서버(400)를 경유하지 않거나, 또는 통신사서버(400) 기능의 일부가 관리서버(300)에 통합될 수 있다. 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 금융사서버(200)로 전송될 수 있다. 이 경우 상기 통신사서버(400)와 관리서버(300)는 생략되거나 또는 그 기능의 일부가 금융사서버(200)에 통합될 수 있다. 또는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 통신사서버(400)를 거쳐 금융사서버(200)로 전송될 수 있다. 이 경우 상기 관리서버(300) 기능의 일부는 금융사서버(200)에 통합될 수 있다. 금융사서버(200)로 전송된 서명 데이터는 지정된 인증서버(105)를 통해 인증될 수 있다. 실시 방법에 따라 상기 인증서버(105)의 인증 기능은 금융사서버(200)에 통합될 수 있다.
According to a preferred embodiment of the present invention, the signature data encrypted and encrypted inside the USIM 600 is passed through the certificate program 515 of the wireless terminal 500, the communication company server 400, and the management server 300 through the financial company server ( 200). According to another implementation method extendable from the present invention, the signature data encrypted and encrypted inside the USIM 600 is transmitted from the certificate program 515 of the wireless terminal 500 to the financial institution server 200 through the management server 300. Can be. In this case, the signature data may not necessarily pass through the carrier server 400, or a part of the carrier server 400 function may be integrated into the management server 300. According to another implementation method extendable from the present invention, the signature data encrypted and encrypted inside the USIM 600 may be transmitted from the certificate program 515 of the wireless terminal 500 to the financial institution server 200. In this case, the communication company server 400 and the management server 300 may be omitted or some of its functions may be integrated into the financial company server 200. Alternatively, the signature data encrypted and encrypted in the USIM 600 may be transmitted from the certificate program 515 of the wireless terminal 500 to the financial institution server 200 through the communication company server 400. In this case, a part of the management server 300 function may be integrated into the financial company server 200. The signature data transmitted to the financial institution server 200 may be authenticated through the designated authentication server 105. Depending on the implementation method, the authentication function of the authentication server 105 may be integrated into the financial institution server 200.

상기 USIM(600)은 무선단말(500)의 가입자 정보를 저장하는 SIM 저장영역과 IC칩(605)이 구비되어 무선단말(500)에 탑재 또는 이탈착되는 모듈의 총칭으로서, 그 크기와 형식에 의해 제한되지 않는다. 바람직하게, 상기 USIM(600)은 ISO/IEC 7810:2003, ID-1 규격의 SIM카드, ISO/IEC 7810:2003, ID-000 규격의 미니 SIM카드, ETSI TS 102 221 V9.0.0, Mini-UICC 규격의 마이크로 SIM 카드, ETSI TS 102 221 V11.0.0 규격의 나노 SIM 카드, JEDEC Design Guide 4.8, SON-8 규격의 단말기 내장형 SIM 카드 등을 포함할 수 있으며, 향 후 출시 또는 변형되는 모든 USIM(600)을 포함한다.
The USIM 600 is a generic term for a module that is equipped with a SIM storage area for storing subscriber information of the wireless terminal 500 and an IC chip 605 to be mounted or detached from the wireless terminal 500, and has a size and format. Is not limited by. Preferably, the USIM 600 is ISO / IEC 7810: 2003, ID-1 standard SIM card, ISO / IEC 7810: 2003, ID-000 standard mini SIM card, ETSI TS 102 221 V9.0.0, Mini- It can include UICC standard micro SIM card, ETSI TS 102 221 V11.0.0 standard nano SIM card, JEDEC Design Guide 4.8, SON-8 standard terminal embedded SIM card, etc. 600).

본 발명의 실시 방법에 따르면, 상기 USIM(600)은 고객 인증서가 기록되고, 암복호화를 위한 통신사 키가 기록되며, 서명 대상 데이터와 명령어를 수신하고 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 수행하는 인증서 애플릿(620)이 구비된다. 상기 인증서 애플릿(620)은 서명 대상 데이터가 암호화된 경우에 통신사 키를 이용하여 암호화된 서명 대상 데이터를 복호화할 수 있다.
According to an embodiment of the present invention, the USIM 600 records a customer certificate, a carrier key for encryption / decryption is recorded, and receives the signature target data and commands and signs the customer certificate according to the received command. A certificate applet 620 for generating a signature value of target data and encrypting signature data including the generated signature value using a carrier key is provided. The certificate applet 620 may decrypt the encrypted signature target data using a carrier key when the signature target data is encrypted.

상기 무선단말(500)은 상기 USIM(600)이 탑재 또는 이탈착되는 무선 통신 기능을 구비한 휴대 가능한 단말기의 총칭으로서, 바람직하게 휴대폰, 스마트폰, 태블릿PC 등을 포함할 수 있다.
The wireless terminal 500 is a generic term for a portable terminal having a wireless communication function in which the USIM 600 is mounted or detached, and may preferably include a mobile phone, a smartphone, a tablet PC, and the like.

본 발명의 실시 방법에 따르면, 상기 무선단말(500)은 상기 USIM(600)으로 서명 대상 데이터와 명령어를 주입하고, 상기 USIM(600)으로부터 서명 및 암호화된 서명 데이터를 수신하는 인증서 프로그램(515)이 구비된다. 상기 인증서 프로그램(515)은 무선단말(500)에 구비된 USIM(600) 관리 프로그램에 통합된 형태로 구현되거나, 또는 별도의 프로그램 형태로 구현되는 것이 가능하며, 이에 의해 본 발명이 한정되지 아니한다. 상기 인증서 프로그램(515)은 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 지정된 경로를 통해 전송한다.
According to an embodiment of the present invention, the wireless terminal 500 injects the signature target data and commands into the USIM 600, and a certificate program 515 that receives signed and encrypted signature data from the USIM 600. It is equipped. The certificate program 515 may be implemented in an integrated form in the USIM 600 management program provided in the wireless terminal 500, or may be implemented in a separate program form, and the present invention is not limited thereto. The certificate program 515 transmits the signature data encrypted and encrypted within the USIM 600 through a designated path.

상기 통신사서버(400)는 상기 무선단말(500)이 가입된 통신사에서 운영하는 서버 중에서 본 발명에 따른 USIM 기반 인증서 이용에 관여하는 서버의 총칭으로서, USIM(600) 인증 기능, 통신사 키의 분배와 관리 기능, 무선단말(500)의 인증서 프로그램(515)과 관리서버(300) 간 통신채널의 보안 기능 중 하나 이상의 기능을 수행한다.
The carrier server 400 is a generic term for a server involved in the use of a USIM-based certificate according to the present invention among servers operated by a communication company to which the wireless terminal 500 is subscribed, and the USIM 600 authentication function and distribution of the carrier key. It performs one or more functions of a management function, a security function of a communication channel between the certificate program 515 of the wireless terminal 500 and the management server 300.

상기 관리서버(300)는 M(M≥1)개의 통신사서버(400)와 N(N≥1)개의 금융사서버(200)를 중계하여 USIM 기반 인증서 이용을 관리하는 서버의 총칭으로서, USIM(600) 내부에서 서명되어 제m(1≤m≤M)통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 제n(1≤n≤N) 금융사 키를 통해 다시 암호화하여 제n 금융사서버(200)로 전송하는 기능을 수행한다. 만약 상기 USIM(600)으로 제공되는 서명 대상 데이터가 제n 금융사 키를 통해 암호화된 경우, 상기 관리서버(300)는 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 제m 통신사 키를 통해 다시 암호화하여 제m 통신사서버(400)로 전송하는 기능을 수행할 수 있다.
The management server 300 is a generic term for a server that manages the use of USIM-based certificates by relaying M (M≥1) telecommunications server 400 and N (N≥1) financial service server 200, USIM (600) ) Decrypt the signature data that is internally signed and encrypted through the m (1≤m≤M) carrier key, and then re-encrypt through the n (1≤n≤N) financial company key to the n-th financial company server 200 It performs the function of transmitting. If the target data to be provided to the USIM 600 is encrypted through the nth financial company key, the management server 300 decrypts the signed target data encrypted through the nth financial company key, and then the mth carrier key It can be encrypted again to perform the function of transmitting to the m-th carrier server 400.

상기 금융사서버(200)는 고개 소유 무선단말(500)에 탑재 또는 이탈착되는 USIM(600) 내부에서 고객 인증서를 통해 서명된 서명 데이터를 이용하여 고객이 요청한 거래를 성립시키는 서버의 총칭으로서, 상기 USIM(600) 내부에서 고객 인증서를 통해 서명된 서명 데이터(또는 서명 데이터의 일부)는 지정된 인증서버(105)를 통해 인증될 수 있다. 실시 방법에 따라 상기 금융사서버(200)는 서명 대상 데이터를 금융사 키를 통해 암호화하여 관리서버(300)로 전송할 수 있다.
The financial institution server 200 is a generic term for a server that establishes a transaction requested by a customer by using signature data signed through a customer certificate inside the USIM 600 mounted or detached on the head-owned wireless terminal 500. The signature data (or part of the signature data) signed through the customer certificate within the USIM 600 may be authenticated through the designated authentication server 105. Depending on the method of implementation, the financial institution server 200 may encrypt the data to be signed through the financial company key and transmit it to the management server 300.

상기 고객단말(100)은 USIM(600)에 구비된 고객 인증서를 이용하는 거래를 위해 고객이 이용하는 단말의 총칭으로서, 컴퓨터, 노트북 등의 유선단말, 휴대폰, 스마트폰, 태블릿PC 등의 무선단말을 포함할 수 있으며, 특히 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)도 상기 고객단말(100)에 속할 수 있다.
The customer terminal 100 is a generic term for a terminal used by a customer for a transaction using a customer certificate provided in the USIM 600, and includes a wireless terminal such as a computer, a laptop, a wired terminal, a mobile phone, a smart phone, or a tablet PC. In particular, the customer-owned wireless terminal 500 to which the USIM 600 is detached may also belong to the customer terminal 100.

도면2는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 금융사서버(200)의 구성을 도시한 도면이다.
2 is a diagram showing the configuration of the financial institution server 200 of the USIM-based electronic signature system according to an embodiment of the present invention.

보다 상세하게 본 도면2는 금융사 키를 통해 서명 대상 데이터를 암호화하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 관리서버(300)에서 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 복호화하는 금융사서버(200)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면2를 참조 및/또는 변형하여 상기 금융사서버(200)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면2에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 2 encrypts the data to be signed through the financial company key, is signed inside the USIM 600, is encrypted through the carrier key inside the USIM 600, is decrypted by the management server 300, and is again the financial company key. As shown in the preferred configuration of the financial company server 200 for decrypting the encrypted signature data through, those of ordinary skill in the art to which the present invention belongs, refer to FIG. 2 and / or modify the financial company server. Various implementation methods for the configuration of the 200 may be inferred (for example, some configuration parts are omitted, subdivided, or combined implementation methods), but the present invention includes all the inferred implementation methods, The technical features are not limited only to the implementation method illustrated in FIG. 2.

도면2를 참조하면, 상기 금융사서버(200)는, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객을 식별하는 고객 정보를 저장하는 정보 저장부(205)를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to FIG. 2, the financial institution server 200 stores a wireless terminal 500 from which the USIM 600 equipped with a certificate applet 620 that stores a customer certificate and a carrier key and performs a designated signature operation is detached. It has an information storage unit 205 for storing customer information for identifying the customer to use. Preferably, the designated signature operation receives a signature target data and a command, generates a signature value of the signature target data using a customer certificate according to the received command, and uses the carrier key to retrieve the generated signature value. And encrypting the included signature data.

고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-owned wireless terminal 500 is a designated area of the USIM 600 that detaches the customer certificate from the wireless terminal 500 according to a specified certificate issuing procedure or a roaming procedure of a previously issued certificate (for example, , Write in WEF) under DF [F300] of IC chip 605 provided in USIM 600.

상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 using a key value registered at the time of issuance of the USIM 600 or through a designated OTA. It is preferable that the carrier key recorded in the USIM 600 is managed through the carrier server 400.

상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued in a state provided in the USIM 600, or may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 정보 저장부(205)는 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial institution server 200 stores customer information for a customer using a financial transaction in a designated DB, and the information storage unit 205 is an OTA of a customer certificate issuance procedure, roaming procedure, carrier key, or certificate applet 620. In conjunction with the procedure, check the customer information using the wireless terminal 500 to which the USIM (600) equipped with a certificate applet (620) that stores a customer certificate and a carrier key and performs a designated signing operation is detached, the DB In the customer information stored in the USIM (600) and includes identification information for identifying the wireless terminal 500 is detached. The identification information includes a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, and an identification value identifying the certificate program 515, Management server 300, communication server, at least one of the financial company server 200 may be made in the form of at least one or a combination of two or more of the uniquely assigned identification value.

도면2를 참조하면, 상기 금융사서버(200)는, 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인하는 서명 대상 확인부(225)와, 금융사 키를 이용하여 상기 확인된 서명 대상 데이터를 암호화하는 서명 대상 암호부와, 상기 고객 정보를 이용하여 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 확인하고, 상기 암호화된 서명 대상 데이터와 상기 식별 정보를 지정된 관리서버(300)로 전송하는 서명 대상 전송부(235)를 구비하며, 상기 서명 대상 데이터에 대응하는 거래 절차를 수행하는 거래 절차부(220)를 구비하며, 무선단말(500)에 이탈착되는 USIM(600)을 이용한 서명을 위한 인증 절차를 수행하는 서명 인증 절차부(250)를 구비한다.
Referring to Figure 2, the financial institution server 200, the signature target confirmation unit for verifying the signature target data to be signed using the customer certificate provided in the USIM (600) detached from the customer-owned wireless terminal 500 225, a signature subject encryption unit for encrypting the verified signature target data using a financial company key, and identification of a customer-owned wireless terminal 500 from which the USIM 600 is detached using the customer information A transaction procedure for checking information, and having a signature target transmission unit 235 for transmitting the encrypted signature target data and the identification information to a designated management server 300, and performing a transaction procedure corresponding to the signature target data It includes a unit 220, and a signature authentication procedure unit 250 for performing an authentication procedure for signature using the USIM 600 detached from the wireless terminal 500.

상기 거래 절차부(220)는 고객이 이용하는 고객단말(100) 또는 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 구비된 애플리케이션과 연동하여 고객이 요청하는 거래 절차를 수행하는 구성부의 총칭으로서, 바람직하게 상기 거래 절차는 고객 인증서를 이용한 서명이 필요한 금융거래 또는 지급 결제를 제공한다. 실시 방법에 따라 상기 거래 절차부(220)는 본 도면2에 도시된 금융사서버(200)와 연동하는 별도의 거래서버의 형태로 구현될 수 있다.
The transaction procedure unit 220 is configured to perform a transaction procedure requested by a customer by interworking with an application provided in a customer terminal 100 used by a customer or a wireless terminal 500 owned by the customer to which the USIM 600 is detached. As a generic term for wealth, preferably, the transaction procedure provides a financial transaction or payment settlement that requires signature using a customer certificate. Depending on the implementation method, the transaction procedure unit 220 may be implemented in the form of a separate transaction server interworking with the financial institution server 200 shown in FIG. 2.

상기 서명 대상 확인부(225)는 상기 거래 절차부(220)에 의해 수행되는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The signature target confirmation unit 225 is provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with the transaction procedure performed by the transaction procedure unit 220. The signed target data to be signed is verified using the customer certificate. For example, the signature target data may include an account transfer history that requires the electronic signature of the customer while performing an account transfer transaction.

본 발명의 실시 방법에 따르면, 상기 서명 인증 절차부(250)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 금융사서버(200)를 인증하도록 하기 위한 금융사 인증정보를 생성하고, 상기 서명 대상 데이터에 상기 금융사 인증정보를 포함시킬 수 있다. 또는 상기 서명 인증 절차부(250)는 별도의 통신채널을 통해 상기 관리서버(300)와 통신사서버(400) 및 무선단말(500)의 인증서 프로그램(515)을 거쳐 상기 USIM(600)으로 금융사 인증정보를 제공함으로써, 상기 USIM(600)으로 하여금 상기 금융사서버(200)를 인증하도록 처리할 수 있다.
According to an embodiment of the present invention, the signature authentication procedure unit 250 generates financial company authentication information for causing the certificate applet 620 of the USIM 600 to authenticate the financial company server 200, and the signature The financial company authentication information may be included in target data. Alternatively, the signature authentication procedure unit 250 authenticates the financial company to the USIM 600 through the certificate program 515 of the management server 300, the carrier server 400, and the wireless terminal 500 through separate communication channels. By providing information, the USIM 600 can be processed to authenticate the financial institution server 200.

상기 서명 대상 암호부(230)는 상기 서명 대상 확인부(225)에 의해 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리한다.
The signature target encryption unit 230 processes the signature target data verified by the signature target verification unit 225 to be encrypted through a financial company key managed by the corresponding financial company.

본 발명의 실시 방법에 따르면, 상기 서명 인증 절차부(250)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 금융사서버(200)를 인증하도록 하기 위한 금융사 인증정보를 생성하고, 상기 암호화된 서명 대상 데이터에 상기 금융사 인증정보를 포함시킬 수 있다.
According to an embodiment of the present invention, the signature authentication procedure unit 250 generates financial company authentication information for causing the certificate applet 620 of the USIM 600 to authenticate the financial company server 200, and encrypts the encryption. The financial company authentication information may be included in the data to be signed.

본 발명의 실시 방법에 따르면, 상기 금융사서버(200)는 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM(Secure Application Module), HSM(Hardware Security Module), TSM(Trusted Service Manager) 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비할 수 있다. 상기 서명 대상 암호부(230)는 상기 서명 대상 확인부(225)에 의해 확인된 서명 대상 데이터를 상기 암복호 모듈(210)로 전달하여 사익 금융사 키를 통해 지정된 알고리즘에 따라 암호화되도록 처리할 수 있다. 한편 상기 보안저장매체(215)와 암복호 모듈(210)은 상기 서명 대상 암호부(230)에 통합될 수 있다.
According to an embodiment of the present invention, the financial institution server 200 is a secure storage medium 215 for storing and managing financial company keys (eg, a secure application module (SAM), a hardware security module (HSM), and a trusted service manager (TSM). ) Is provided (or interlocked), and an encryption / decryption module 210 for encrypting or decrypting designated data according to a specified algorithm using a financial company key provided in the secure storage medium 215 is provided. can do. The signature target encryption unit 230 may pass the signature target data verified by the signature target verification unit 225 to the encryption / decryption module 210 and process it to be encrypted according to an algorithm specified through a private financial company key. . Meanwhile, the secure storage medium 215 and the encryption / decryption module 210 may be integrated into the signature target encryption unit 230.

상기 서명 대상 전송부(235)는 상기 정보 저장부(205)에 의해 저장된 고객 정보로부터 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The signature target transmission unit 235 is separated from the USIM 600 provided with a certificate applet 620 that stores a customer certificate and a carrier key from the customer information stored by the information storage unit 205 and performs a designated signature operation. The identification information identifying the customer-owned wireless terminal 500 to be checked is checked.

상기 서명 대상 전송부(235)는 상기 서명 대상 암호부(230)를 통해 금융사 키로 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The signature target transmission unit 235 is the signature target data encrypted with the financial company key through the signature target encryption unit 230 and the identification information for the customer-owned wireless terminal 500 to which the USIM 600 is detached is designated management Send to the server 300.

본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)는 고객단말(100)에 구비되거나, 또는 고객 소유 무선단말(500)의 애플리케이션에 구비될 수 있다. 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)가 고객단말(100)에 구비된 경우에 금융사 키를 통해 암호화된 서명 대상 데이터는 금융사서버(200)를 경유하여 관리서버(300)로 전송되거나, 또는 고객단말(100)에서 관리서버(300)로 직접 제공될 수 있다. 한편 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)가 상기 USIM(600)이 구비된 무선단말(500)의 애플리케이션에 구비된 경우에 금융사 키를 통해 암호화된 서명 대상 데이터는 금융사서버(200)를 경유하여 관리서버(300)로 전송되거나, 또는 무선단말(500)에서 관리서버(300)로 직접 제공되거나 또는 통신사서버(400)를 경유하여 관리서버(300)로 제공될 수 있다. 한편 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, 상기 서명 대상 확인부(225)는 고객 소유 무선단말(500)의 애플리케이션에 구비될 수 있으며, 이 경우에 상기 서명 대상 데이터는 애플리케이션과 인증서 프로그램(515) 사이의 프로세스 간 통신을 통해 애플리케이션에서 인증서 프로그램(515)으로 전달될 수 있으며, 이 때 상기 서명 대상 데이터는 암호화되지 않아도 무방하며, 실시 방법에 따라 통신사 키로 암호화될 수 있다.
According to another implementation method expandable from the present invention, the signature target confirmation unit 225, the signature target encryption unit 230, and the signature target transmission unit 235 are provided in the customer terminal 100, or a customer-owned wireless terminal. It can be provided in the application of 500. When the signature target confirmation unit 225, the signature target encryption unit 230, and the signature target transmission unit 235 are provided in the customer terminal 100, the signature target data encrypted through the financial company key is the financial institution server 200. It may be transmitted to the management server 300 via, or may be provided directly from the customer terminal 100 to the management server 300. On the other hand, when the signature target confirmation unit 225, the signature target encryption unit 230, and the signature target transmission unit 235 are provided in the application of the wireless terminal 500 equipped with the USIM 600, through a financial company key. The encrypted signature target data is transmitted to the management server 300 via the financial institution server 200, or directly provided from the wireless terminal 500 to the management server 300, or through the communication company server 400, to the management server 300. On the other hand, according to another implementation method expandable from the present invention, the signature target confirmation unit 225 may be provided in the application of the customer-owned wireless terminal 500, in which case the signature target data is the application and the certificate program ( 515) may be transferred from the application to the certificate program 515 through inter-process communication, and the signature target data may be encrypted without being encrypted, and may be encrypted with a carrier key according to an implementation method.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 상기 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 복호화한다. 상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키로 다시 암호화한다. 상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 통신사 키로 암호화된 서명 대상 데이터를 통신사서버(400)로 제공한다.
The management server 300 is provided with a secure storage medium 215 (eg, at least one medium of SAM, HSM, TSM) for storing and managing the financial company key provided from the financial company server 200 according to a designated key exchange procedure. (Or interlocking), and encrypting or decrypting the designated data according to a specified algorithm using a financial company key provided in the secure storage medium 215, and having a decryption module 210, the encryption and decryption module 210 ) To decrypt the signature target data encrypted and transmitted by the financial company server 200 through the financial company key. The management server 300 is a secure storage medium 315 that stores and manages the carrier key provided from the carrier server 400 (or USIM 600) according to a designated key exchange procedure (eg, at least one of SAM, HSM, TSM) One medium) is provided (or interlocked), and the encryption / decryption module 310 is provided for encrypting or decrypting designated data according to a specified algorithm using a carrier key provided in the secure storage medium 315, The decrypted signature target data through the encryption / decryption module 210 is encrypted again with the carrier key using the encryption / decryption module 310. The management server 300 provides the target data encrypted with the carrier key through the encryption / decryption module 310 to the carrier server 400.

상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)의 인증서 프로그램(515)으로 제공하며, 상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 USIM(600)으로 주입한다.
The carrier server 400 provides the subject data encrypted through the carrier key to the certificate program 515 of the wireless terminal 500, and the certificate program 515 of the wireless terminal 500 provides the carrier key. The data to be signed encrypted is injected into the USIM 600.

상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 that encrypts or decrypts data specified through the carrier key according to a specified algorithm, and when the injected signature target data is encrypted through the carrier key, the The certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the carrier key through the encryption / decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 USIM(600)에 구비된 고객 인증서를 통해 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터를 서명하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 signs the data to be signed using an algorithm (for example, an RSA digital signature algorithm or an ECDSA digital signature algorithm) specified through a customer certificate provided in the USIM 600 and the signature data Produces Preferably, the signature data is preferably generated in the form of an electronic signature such as [PKCS7], [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the carrier key through the encryption / decryption module 615 at the same time that the signature data is generated, and the certificate program 515 of the wireless terminal 500 ). Signature data encrypted through the carrier key is encrypted inside the USIM 600 using the carrier key as an encryption key, or encrypted within the USIM 600 through an encryption key generated using the carrier key, Based on the carrier key, the key value exchanged between the USIM 600 and the carrier server 400 is encrypted inside the USIM 600 using the encryption key, or based on the carrier key, the USIM 600 and the management server ( 300) using the key value exchanged between the encryption keys inside the USIM 600, it may be encrypted through at least one.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송하고, 상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signature data that is signed inside the USIM 600 and encrypted through the carrier key to the carrier server 400, and the carrier server 400 is the carrier key The encrypted signature data is transmitted to the management server 300 through.

상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 상기 통신사 키로 암호화된 서명 데이터를 복호화한다. 상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 상기 복호화된 서명 데이터를 금융사 키로 다시 암호화하고, 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다.
The management server 300 decrypts the signature data encrypted with the carrier key through the encryption / decryption module 310. The management server 300 re-encrypts the decrypted signature data with the financial company key through the encryption / decryption module 310, and transmits the encrypted signature data through the financial company key to the financial company server 200.

도면2를 참조하면, 상기 금융사서버(200)는, 상기 관리서버(300)부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(240)와, 금융사 키를 통해 상기 암호화된 서명 데이터를 복호화하는 서명 데이터 복호부(245)와, 상기 복호화된 서명 데이터의 인증 절차를 수행하는 서명 인증 절차부(250)를 구비한다.
Referring to FIG. 2, the financial institution server 200 is generated using the signature target data according to a designated signature operation of the certificate applet 620 provided in the USIM 600 from the management server 300 and the A signature data receiving unit 240 that is encrypted within the USIM 600 through the carrier key provided in the USIM 600 and then decrypted by the management server 300 and encrypted again through the financial company key. And a signature data decoding unit 245 that decrypts the encrypted signature data through a financial company key, and a signature authentication procedure unit 250 that performs an authentication procedure of the decrypted signature data.

상기 서명 데이터 수신부(240)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The signature data receiving unit 240 is signed inside the USIM 600 from the management server 300, encrypted through a carrier key inside the USIM 600, and then decrypted by the management server 300 and back to the financial company key. The encrypted signature data is received through.

상기 서명 데이터 복호부(245)는 상기 암복호 모듈(210)을 통해 상기 금융사 키로 암호화된 서명 데이터를 금융사 키를 통해 복호화한다.
The signature data decoding unit 245 decrypts the signature data encrypted with the financial company key through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial company key in the management server 300 may include an integrity verification value included in the signature data encrypted through the financial company key, and the signature authentication procedure The unit 250 may perform a procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the financial company key.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 서명 인증 절차부(250)는 상기 서명 데이터 복호부(245)를 통해 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 서명 인증 절차부(250)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial company key is decrypted, the signature authentication procedure unit 250 performs a procedure for authenticating the validity of the decrypted signature data through the signature data decoding unit 245. Preferably, the signature authentication procedure unit 250 transmits the signature data (or a part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives an authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The signature authentication procedure unit 250 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an exemplary embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate has been performed, and the signature authentication procedure unit 250 A procedure for authenticating the medium authentication value included in the signature data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the signature authentication The procedure unit 250 checks and compares the key values exchanged according to the key exchange procedure, or compares the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values for validity. I can authenticate. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 서명 인증 절차부(250)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to an embodiment of the present invention, the signature data has a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. The signature authentication procedure unit 250 may perform a procedure of authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified by the management server 300, and the signature authentication The procedure unit 250 checks and compares the key values exchanged according to the key exchange procedure, or compares the generated values according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key values to validate Can authenticate. Meanwhile, the financial company server 200 and the management server 300 are provided by exchanging server certificates, and the signature authentication procedure unit 250 uses the exchanged server certificates to verify the reliability of the management server 300. Can authenticate. Meanwhile, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a designated time point before or after the signature data is received. It can be authenticated, and in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.

도면3은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 관리서버(300)의 구성을 도시한 도면이다.
3 is a view showing the configuration of the management server 300 of the USIM-based digital signature system according to an embodiment of the present invention.

보다 상세하게 본 도면3은 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 다시 통신사 키를 통해 암호화하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 다시 금융사 키를 통해 암호화하는 관리서버(300)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면3을 참조 및/또는 변형하여 상기 관리서버(300)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면3에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, Figure 3 decrypts the signature target data encrypted through the financial company key, and then encrypts it again through the carrier key, and is signed inside the USIM 600, and the signature data encrypted through the carrier key inside the USIM 600. Decrypting and then again showing a preferred configuration of the management server 300 that is encrypted through the financial company key. If a person having ordinary knowledge in the technical field to which the present invention belongs, refer to and / or modify this figure 3 to Various implementation methods for the configuration of the management server 300 (for example, some configuration parts are omitted, subdivided, or combined implementation methods) may be inferred, but the present invention includes all the inferred implementation methods In addition, the technical features are not limited to only the implementation method illustrated in FIG. 3.

고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-owned wireless terminal 500 is a designated area of the USIM 600 that detaches the customer certificate from the wireless terminal 500 according to a specified certificate issuing procedure or a roaming procedure of a previously issued certificate (for example, , Write in WEF) under DF [F300] of IC chip 605 provided in USIM 600.

상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 using a key value registered at the time of issuance of the USIM 600 or through a designated OTA. It is preferable that the carrier key recorded in the USIM 600 is managed through the carrier server 400.

상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued in a state provided in the USIM 600, or may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial institution server 200 stores customer information for a customer using a financial transaction in a designated DB, and interoperates with the customer certificate by interworking with the issuing process of the customer certificate, roaming process, carrier key, or OTA process of the certificate applet 620. Check the customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 storing the carrier key and performing the designated signing operation is detached, and the customer information stored in the DB The same USIM 600 is stored, including identification information for identifying the wireless terminal 500 is detached. The identification information includes a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, and an identification value identifying the certificate program 515, Management server 300, communication server, at least one of the financial company server 200 may be made in the form of at least one or a combination of two or more of the uniquely assigned identification value.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with a transaction procedure. do. For example, the signature target data may include an account transfer history that requires the electronic signature of the customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is processed so that the verified signature target data is encrypted through the financial company key managed by the financial company, and stores a customer certificate and a carrier key, and a certificate applet 620 for performing a designated signature operation is provided. The identification information identifying the customer-owned wireless terminal 500 to which the USIM 600 is detached is checked.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature target data encrypted through the financial company key and identification information about the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

도면3을 참조하면, 상기 관리서버(300)는, N(N≥1)개의 금융사서버(200) 중 제n(1≤n≤N) 금융사서버(200)로부터 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보와 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하는 서명 대상 수신부(305)와, 지정된 보안저장매체(215)에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하는 서명 대상 복호부(320)를 구비하며, 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함할 수 있다.
Referring to FIG. 3, the management server 300 stores a customer certificate and a carrier key from the n (1 ≦ n ≦ N) financial company server 200 of the N (N≥1) financial company servers 200, A signature target that receives identification information for the customer-owned wireless terminal 500 from which the USIM 600 equipped with the certificate applet 620 performing the designated signature operation is detached and encrypted signature target data through the n th financial company key A receiving unit 305 and a signature target decoding unit 320 for processing the encrypted signature target data to be decrypted through an n-th financial company key stored in the designated secure storage medium 215, preferably, the designated signature operation Receives the signature target data and the command, generates a signature value of the signature target data using a customer certificate according to the received command, and encrypts the signature data including the generated signature value using a carrier key It may include a gesture of luxury.

상기 관리서버(300)는 N개의 금융사서버(200)와 통신 가능하며, 상기 서명 대상 수신부(305)는 N개의 금융사서버(200) 중 서명 데이터를 전송한 제n 금융사서버(200)로부터 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with the N financial company servers 200, and the signature target receiving unit 305 is controlled from the nth financial company server 200 that has transmitted the signature data among the N financial company servers 200. A customer-owned wireless terminal 500 from which the USIM 600 equipped with a certificate applet 620 that receives encrypted signature target data through a financial company key, stores a customer certificate and a carrier key, and performs a designated signing operation is detached. Receiving identification information for.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 서명 대상 복호부(320)는 상기 제n 금융사서버(200)에서 제n 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 stores a secure storage medium 215 (eg, at least one medium of SAM, HSM, TSM) that stores and manages financial company keys provided from N financial company servers 200 according to a designated key exchange procedure. Equipped (or interlocked), and is provided with an encryption / decryption module 210 that encrypts or decrypts designated data according to a specified algorithm using N financial company keys provided in the secure storage medium 215, and the signature target The decryption unit 320 checks the signature target data encrypted and transmitted by the nth financial company server 200 through the nth financial company key, and is provided in the secure storage medium 215 using the encryption / decryption module 210. It is processed to decrypt the encrypted signature target data through the n-th financial company key.

도면3을 참조하면, 상기 관리서버(300)는, M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체(315)에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하는 서명 대상 재암호부(325)와, 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 제m 통신사서버(400)로 전송하는 서명 대상 중계부(335)를 구비하며, 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하는 명령어 확인부(330)를 더 구비하고, 이 경우에 상기 서명 대상 중계부(335)는 상기 확인된 명령어를 제m 통신사서버(400)로 전송한다. 한편 상기 관리서버(300)는, 상기 서명 대상 데이터의 중계를 위한 적어도 하나의 인증 절차를 수행하는 인증 처리부(355)를 구비할 수 있다.
Referring to FIG. 3, the management server 300 identifies an m (1≤m≤M) carrier corresponding to the identification information among M (M≥1) carriers, and the designated secure storage medium 315. A signature target re-encryption unit 325 that processes the decrypted signature target data to be re-encrypted through the m-th carrier key stored in the m-th carrier server 400, and the signature-target data encrypted through the m-th carrier key. The signature applet 620 provided in the USIM 600 detached from the customer-owned wireless terminal 500 corresponding to the identification information is provided to the signature target relay unit 335 for transmission to the specified signature operation. A command checking unit 330 for checking a command to be performed is further provided, and in this case, the signature target relay unit 335 transmits the checked command to the m-th communication company server 400. Meanwhile, the management server 300 may include an authentication processing unit 355 that performs at least one authentication procedure for relaying the data to be signed.

본 발명의 실시 방법에 따르면, 상기 인증 처리부(355)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 관리서버(300)를 인증하도록 하기 위한 관리사 인증정보를 생성하고, 상기 서명 대상 데이터에 상기 관리사 인증정보를 포함시킬 수 있다. 또는 상기 인증 처리부(355)는 별도의 통신채널을 통해 상기 통신사서버(400)와 무선단말(500)의 인증서 프로그램(515)을 거쳐 상기 무선단말(500)에 이탈착되는 USIM(600)으로 관리사 인증정보를 제공함으로써, USIM(600)으로 하여금 상기 관리서버(300)를 인증하도록 처리할 수 있다.
According to an embodiment of the present invention, the authentication processing unit 355 generates administrator authentication information for causing the certificate applet 620 of the USIM 600 to authenticate the management server 300, and the target data to be signed. The manager authentication information may be included in the. Alternatively, the authentication processing unit 355 is managed by a USIM 600 that is detached from the wireless terminal 500 through a certificate program 515 of the wireless communication service server 400 and the wireless terminal 500 through separate communication channels. By providing authentication information, the USIM 600 can be processed to authenticate the management server 300.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 서명 대상 재암호부(325)는 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 제m 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 that stores and manages the carrier key provided from the carrier server 400 (or USIM 600) according to a designated key exchange procedure (eg, at least one of SAM, HSM, TSM) One medium) is provided (or interlocked), and the encryption / decryption module 310 is provided for encrypting or decrypting designated data according to a specified algorithm using a carrier key provided in the secure storage medium 315, The signature target re-encryption unit 325 processes the decrypted signature target data through the encryption / decryption module 210 to re-encrypt through the m-th carrier key using the encryption / decryption module 310.

본 발명의 실시 방법에 따르면, 상기 인증 처리부(355)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 관리서버(300)를 인증하도록 하기 위한 관리사 인증정보를 생성하고, 상기 암호화된 서명 대상 데이터에 상기 관리사 인증정보를 포함시킬 수 있다.
According to an embodiment of the present invention, the authentication processing unit 355 generates administrator authentication information for the certificate applet 620 of the USIM 600 to authenticate the management server 300, and the encrypted signature The manager authentication information may be included in target data.

상기 서명 대상 중계부(335)는 상기 서명 대상 재암호부(325)를 통해 제m 통신사 키로 다시 암호화된 서명 대상 데이터를 제m 통신사서버(400)로 전송한다.
The signature target relay unit 335 transmits the signature target data encrypted again with the mth carrier key to the mth carrier server 400 through the signature target re-encryption unit 325.

본 발명의 실시 방법에 따르면, 상기 명령어 확인부(330)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 서명 대상 중계부(335)는 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 제m 통신사서버(400)로 전송할 수 있다.
According to an embodiment of the present invention, the command confirmation unit 330 causes the certificate applet 620 provided in the USIM 600 detached from the customer-owned wireless terminal 500 corresponding to the identification information to the specified signature Check the command to perform the operation, and the signature target relay unit 335 may transmit the command together with the encrypted signature target data to the m th service provider server 400.

상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The communication company server 400 receives the signature target data encrypted through the mth communication company key from the management server 300 and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the communication company server 400 receives the command together with the signature target data encrypted through the mth communication company key from the management server 300 and provides it to the certificate program 515 of the wireless terminal 500. You can.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 무선단말(500)에 이탈착되는 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 본 발명의 실시 방법에 따르면, 상기 명령어는 관리서버(300)로부터 통신사서버(400)를 경유하여 수신되거나, 또는 통신사서버(400)로부터 수신되거나, 또는 인증서 프로그램(515)이 내부적으로 확인할 수 있다.
The certificate program 515 of the wireless terminal 500 receives the signature target data encrypted through the m-th carrier key from the carrier server 400 and injects it into the USIM 600 detached from the wireless terminal 500. In this case, a command that causes the certificate applet 620 provided in the USIM 600 to perform the designated signature operation is injected into the USIM 600. According to an embodiment of the present invention, the command may be received from the management server 300 via the carrier server 400, or received from the carrier server 400, or the certificate program 515 may be internally verified. .

상기 USIM(600)은 상기 제m 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 제m 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 제m 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 that encrypts or decrypts data specified through the mth carrier key according to a specified algorithm, and the injected signature target data is encrypted through the mth carrier key. In the case of the above, the certificate applet 620 of the USIM 600 based on the command decrypts the signature target data encrypted with the mth carrier key through the encryption / decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 checks a customer certificate provided in the USIM 600 based on the command, and an algorithm (eg, RSA digital signature algorithm or ECDSA digital signature) designated based on the customer certificate. Algorithm) to generate signature data by performing an electronic signature procedure on the data to be signed. Preferably, the signature data is preferably generated in the form of an electronic signature such as [PKCS7], [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 제m 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 제m 통신사 키를 통해 암호화된 서명 데이터는 상기 제m 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the mth carrier key through the encryption / decryption module 615 at the same time that the signature data is generated, and the certificate program of the wireless terminal 500 515. The signature data encrypted through the m-th carrier key is encrypted inside the USIM 600 using the m-th carrier key as an encryption key, or the USIM (600) through an encryption key generated using the m-th carrier key. ) Is encrypted internally, or encrypted within the USIM 600 using the key value exchanged between the USIM 600 and the carrier server 400 as an encryption key based on the mth carrier key, or the mth carrier key As a basis, the key value exchanged between the USIM 600 and the management server 300 may be encrypted through at least one of those encrypted inside the USIM 600 using the encryption key.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 제m 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송하고, 상기 통신사서버(400)는 상기 제m 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signature data that is signed inside the USIM 600 and encrypted through the mth carrier key to the carrier server 400, and the carrier server 400 is the The signature data encrypted through the m-th carrier key is transmitted to the management server 300.

도면3을 참조하면, 상기 관리서버(300)는, 상기 제m 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 제m 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(340)와, 지정된 보안저장매체(315)에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하는 서명 데이터 복호부(345)와, 지정된 보안저장매체(215)에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하는 서명 데이터 재암호부(350)와, 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송하는 서명 데이터 중계부(360)를 구비하며, 상기 서명 데이터의 중계를 위한 적어도 하나의 인증 절차를 수행하는 인증 처리부(355)를 구비할 수 있다.
Referring to FIG. 3, the management server 300 is generated using the signature target data according to a designated signature operation of the certificate applet 620 provided in the USIM 600 from the mth communication company server 400. The signature data receiver 340 receiving the encrypted signature data in the USIM 600 through the m-th carrier key provided in the USIM 600 and the m-th carrier key stored in the designated secure storage medium 315 The signature data decryption unit 345 that decrypts the encrypted signature data through and the signature data re-encryption unit 350 that re-encrypts the decrypted signature data through the nth financial company key stored in the designated secure storage medium 215. And a signature data relay unit 360 that transmits the signature data encrypted through the nth financial company key to the nth financial company server 200, and performs at least one authentication procedure for relaying the signature data. Which may be provided with the authentication processing unit (355).

상기 서명 데이터 수신부(340)는 상기 제m 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 제m 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 제m 통신사서버(400)를 경유하여 수신한다.
The signature data receiving unit 340 is generated using the signature target data according to the designated signature operation of the certificate applet 620 provided in the USIM 600 from the mth communication company server 400 and the USIM 600 The signature data encrypted in the USIM 600 is received through the certificate program 515 of the wireless terminal 500 and the m service provider server 400 through the m service provider key provided in the USIM 600.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 제m 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 인증 처리부(355)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the mth carrier key in the USIM 600 may include an integrity verification value for the encrypted signature data, and the authentication processing unit 355 A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the financial company key may be performed.

상기 서명 데이터 복호부(345)는 상기 제m 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 제m 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The signature data decoding unit 345 checks the encrypted signature data inside the USIM 600 through the m-th carrier key, and uses the encryption / decryption module 310 to transmit the USIM ( 600) It is processed to decrypt the encrypted signature data internally.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 인증 처리부(355)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The authentication processing unit 355 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 인증 처리부(355)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 처리부(355)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an exemplary embodiment of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate has been performed, and the authentication processing unit 355 includes the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the authentication processing unit 355 checks and compares the key value exchanged according to the key exchange procedure, or compares the generated value according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to authenticate validity. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the carrier server 400 at a designated time point before or after the signature data is received without being associated with the signature data. In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 서명 데이터 재암호부(350)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 제n 금융사 키를 통해 다시 암호화하도록 처리한다.
The signature data re-encryption unit 350 decrypts the encrypted signature data inside the USIM 600 and simultaneously encrypts the decrypted signature data through the encryption / decryption module 210 again through an n-th financial company key. Process.

본 발명의 실시 방법에 따르면, 상기 서명 데이터 재암호부(350)에 의해 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 인증 처리부(355)는 상기 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 제n 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an embodiment of the present invention, while the process of encrypting the signature data decrypted by the signature data re-encryption unit 350 through the mth carrier key through the nth financial company key is being processed, the authentication processing unit 355 Generates the integrity authentication value of the signature data for the process of encrypting the signature data decrypted through the m-th carrier key through the n-th finance company key, and the integrity authentication value is the signature data encrypted through the n-th finance company key Can be included in

상기 서명 데이터 중계부(360)는 상기 서명 데이터 재암호부(350)에 의해 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송한다.
The signature data relay unit 360 transmits the signature data encrypted by the signature data re-encryption unit 350 through the nth financial company key to the nth financial company server 200.

상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 제m 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 제n 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The financial institution server 200 is signed inside the USIM 600 from the management server 300 and encrypted through the mth carrier key inside the USIM 600, and then decrypted by the management server 300 and then removed again. n Encrypted signature data is received through the financial company key.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 제n 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted through the nth financial company key from the management server 300 through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 제n 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the nth financial company key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial company server 200 A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the financial company key may be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial company key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives an authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate is performed, and the financial institution server 200 signs the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the financial institution server The 200 checks and compares the key values exchanged according to the key exchange procedure, or compares the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values to authenticate validity. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 제n 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to an embodiment of the present invention, the signature data is a server authentication for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data in the USIM 600 and encrypts it again through the nth financial company key. Values may be included, and the financial institution server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified by the management server 300, and the financial company server 200 checks and compares the key values exchanged according to the key exchange procedure, or authenticates the validity by comparing the generated values according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key values can do. Meanwhile, the financial company server 200 and the management server 300 are provided by exchanging server certificates, and the financial company server 200 authenticates the reliability of the management server 300 by using each exchanged server certificate. can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a designated time point before or after the signature data is received. It can be authenticated, and in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.

도면4는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 통신사서버(400)의 구성을 도시한 도면이다.
4 is a diagram showing the configuration of the carrier server 400 of the USIM-based digital signature system according to an embodiment of the present invention.

보다 상세하게 본 도면4는 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)의 인증서 프로그램(515)으로 전달하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전달하는 통신사서버(400)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면4를 참조 및/또는 변형하여 상기 통신사서버(400)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면4에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 4 transmits the data to be signed encrypted through the carrier key to the certificate program 515 of the wireless terminal 500, is signed inside the USIM 600, and is transmitted through the carrier key inside the USIM 600. As shown in the preferred configuration of the carrier server 400 for transmitting the encrypted signature data to the management server 300, those of ordinary skill in the art to which the present invention belongs, refer to FIG. 4 and / or variations By doing so, it will be possible to infer various implementation methods (for example, some components are omitted, subdivided, or combined implementation methods) for the configuration of the communication company server 400, but the present invention includes all implementation methods that are inferred. It is made, and the technical features are not limited only by the implementation method shown in FIG. 4.

고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-owned wireless terminal 500 is a designated area of the USIM 600 that detaches the customer certificate from the wireless terminal 500 according to a specified certificate issuing procedure or a roaming procedure of a previously issued certificate (for example, , Write in WEF) under DF [F300] of IC chip 605 provided in USIM 600.

상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 using a key value registered at the time of issuance of the USIM 600 or through a designated OTA. It is preferable that the carrier key recorded in the USIM 600 is managed through the carrier server 400.

상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued in a state provided in the USIM 600, or may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial institution server 200 stores customer information for a customer using a financial transaction in a designated DB, and interoperates with the customer certificate by interworking with the issuing process of the customer certificate, roaming process, carrier key, or OTA process of the certificate applet 620. Check the customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 storing the carrier key and performing the designated signing operation is detached, and the customer information stored in the DB The same USIM 600 is stored, including identification information for identifying the wireless terminal 500 is detached. The identification information includes a telephone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, and an identification value identifying the certificate program 515, Management server 300, communication server, at least one of the financial company server 200 may be made in the form of at least one or a combination of two or more of the uniquely assigned identification value.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with a transaction procedure. do. For example, the signature target data may include an account transfer history that requires the electronic signature of the customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is processed so that the verified signature target data is encrypted through the financial company key managed by the financial company, and stores a customer certificate and a carrier key, and a certificate applet 620 for performing a designated signature operation is provided. The identification information identifying the customer-owned wireless terminal 500 to which the USIM 600 is detached is checked.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature target data encrypted through the financial company key and identification information about the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with N (N≥1) number of financial company servers 200, and an encrypted signature through the financial company key from the financial company server 200 that has transmitted signature data among the N financial company servers 200 Receives target data, stores customer certificate and carrier key, and receives identification information for a customer-owned wireless terminal 500 from which the USIM 600 equipped with a certificate applet 620 that performs a designated signing operation is detached. .

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 stores a secure storage medium 215 (eg, at least one medium of SAM, HSM, TSM) that stores and manages financial company keys provided from N financial company servers 200 according to a designated key exchange procedure. It is provided (or interlocked), and is provided with an encryption / decryption module 210 that encrypts or decrypts designated data according to a specified algorithm using N financial company keys provided in the secure storage medium 215, and the financial company server. In 200, the signature target data encrypted and transmitted through the financial company key is checked, and the encrypted signature target data is decrypted through the financial company key provided in the secure storage medium 215 using the encryption / decryption module 210. Process it.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 that stores and manages the carrier key provided from the carrier server 400 (or USIM 600) according to a designated key exchange procedure (eg, at least one of SAM, HSM, TSM) One medium) is provided (or interlocked), and the encryption / decryption module 310 is provided for encrypting or decrypting designated data according to a specified algorithm using a carrier key provided in the secure storage medium 315, The decrypted signature target data through the encryption / decryption module 210 is processed to re-encrypt through the carrier key using the encryption / decryption module 310.

상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the carrier key to the carrier server 400. According to an embodiment of the present invention, the management server 300 causes the certificate applet 620 provided in the USIM 600 detached from the customer-owned wireless terminal 500 corresponding to the identification information to perform the designated signature operation. Check the command to perform, and may transmit the command with the encrypted signature target data to the carrier server 400.

도면4를 참조하면, 상기 통신사서버(400)는, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되고, 상기 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 식별하는 T(T≥1)개의 식별 정보를 저장하는 정보 관리부(410)를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to Figure 4, the carrier server 400, the USIM (600) equipped with a certificate applet (620) that stores the customer certificate and the carrier key and performs a specified signature operation is detached, the certificate applet (620) It is provided with an information management unit 410 for storing T (T≥1) identification information for identifying the wireless terminal 500 equipped with a certificate program 515 to cause the specified signature operation. Preferably, the designated signature operation receives a signature target data and a command, generates a signature value of the signature target data using a customer certificate according to the received command, and uses the carrier key to retrieve the generated signature value. And encrypting the included signature data.

상기 정보 관리부(410)는 지정된 USIM(600) 인증 절차를 결과로서, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 확인한다. 상기 USIM(600) 인증 절차는 UICC(Universal Integrated Circuit Card) 규격에 정의된 인증 절차를 포함할 수 있다.
The information management unit 410, as a result of the specified USIM (600) authentication process, stores the customer certificate and the carrier key, and performs a specified signature operation, a wireless terminal from which the USIM (600) equipped with a certificate applet (620) is detached Check 500. The USIM 600 authentication procedure may include an authentication procedure defined in the Universal Integrated Circuit Card (UICC) standard.

상기 정보 관리부(410)는 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 확인한다. 상기 인증서 프로그램(515)의 구비된 상태는 상기 무선단말(500)로 인증서 프로그램(515)을 제공한 서버 또는 상기 인증서 프로그램(515)을 관리하는 서버와 연동하여 확인될 수 있다.
The information management unit 410 checks the wireless terminal 500 equipped with a certificate program 515 that allows the certificate applet 620 provided in the USIM 600 to perform the designated signature operation. The provided status of the certificate program 515 may be confirmed by interworking with a server providing a certificate program 515 to the wireless terminal 500 or a server managing the certificate program 515.

상기 정보 관리부(410)는 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되고, 상기 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 식별하는 T개의 식별 정보를 확인하여 저장한다.
The information management unit 410, the USIM 600 equipped with a certificate applet 620 that stores a customer certificate and a carrier key and performs a designated signature operation is detached, and the certificate applet 620 allows the specified signature operation The T identification information identifying the wireless terminal 500 equipped with the certificate program 515 to perform the operation is checked and stored.

도면4를 참조하면, 상기 통신사서버(400)는, 관리서버(300)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말(500)을 식별하는 식별 정보를 수신하는 서명 대상 수신부(405)와, 상기 관리서버(300)로부터 수신된 식별 정보가 상기 T개의 식별 정보에 속한 제t(1≤t≤T) 식별 정보인지 확인하는 정보 인증부(415)와, 상기 관리서버(300)로부터 제t 식별 정보가 수신된 경우에 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 대상 데이터를 전송하는 서명 대상 중계부(420)를 구비하며, 상기 서명 대상 수신부(405)는 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하고, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 명령어를 전송할 수 있다.
Referring to FIG. 4, the communication company server 400 is encrypted in the financial company server 200 through the financial company key provided in the financial company server 200 from the management server 300 and then transmitted to the management server 300. The signature target data receiving unit 405 that receives the identification target data and the identification target data that is decrypted by the carrier key and encrypted by the carrier key again, and the identification information received from the management server 300 are An information authentication unit 415 that checks whether the t (1 ≤ t ≤ T) identification information belonging to the T identification information, and the t identification information when the t identification information is received from the management server 300 A signature target relay unit 420 for transmitting the encrypted signature target data to the certificate program 515 of the corresponding wireless terminal 500 is provided, and the signature target receiver 405 is the customer-owned wireless terminal 500 Equipped with USIM 600 detached from Receiving a command to cause the certificate applet 620 to perform a specified signature operation, the signature target relay unit 420 is the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information Command.

상기 서명 대상 수신부(405)는 관리서버(300)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 상기 고객 인증서를 통해 상기 서명 대상 데이터를 서명하여 서명 데이터를 생성하고 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하는 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 수신한다.
The signature target receiving unit 405 is encrypted in the financial institution server 200 through the financial company key provided in the financial institution server 200 from the management server 300 and then decrypted by the management server 300 and back to the carrier key Owned by the customer, the USIM 600, which receives the signature target data encrypted through, and generates the signature data by signing the signature target data through the customer certificate and encrypts the generated signature data through the carrier key The identification information identifying the wireless terminal 500 is received.

상기 정보 인증부(415)는 상기 관리서버(300)로부터 수신된 식별 정보가 상기 정보 관리부(410)에 의해 저장된 T개의 식별 정보에 속한 제t 식별 정보인지 확인한다. 만약 상기 관리서버(300)로부터 제t 식별 정보가 수신되었다면, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 대상 데이터를 전송한다.
The information authentication unit 415 checks whether the identification information received from the management server 300 is t-th identification information belonging to T identification information stored by the information management unit 410. If t-th identification information is received from the management server 300, the signature target relay unit 420 is the encrypted signature target by the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. Send data.

본 발명의 실시 방법에 따르면, 상기 서명 대상 수신부(405)는 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하고, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 명령어를 전송할 수 있다. 본 발명의 다른 실시 방법에 따르면, 상기 명령어는 상기 통신사서버(400)에서 확인되어 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 전송될 수 있다. 본 발명의 다른 실시 방법에 따르면, 상기 명령어는 상기 무선단말(500)의 인증서 프로그램(515)을 통해 결정될 수 있다.
According to an embodiment of the present invention, the signature target receiving unit 405 is a command that causes the certificate applet 620 provided in the USIM 600 detached from the customer-owned wireless terminal 500 to perform a designated signature operation. Receiving, and the signature target relay unit 420 may transmit the command to the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. According to another embodiment of the present invention, the command may be confirmed by the communication company server 400 and transmitted to the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. According to another embodiment of the present invention, the command may be determined through the certificate program 515 of the wireless terminal 500.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 무선단말(500)에 이탈착되는 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 본 발명의 실시 방법에 따르면, 상기 명령어는 관리서버(300)로부터 통신사서버(400)를 경유하여 수신되거나, 또는 통신사서버(400)로부터 수신되거나, 또는 인증서 프로그램(515)이 내부적으로 확인할 수 있다.
The certificate program 515 of the wireless terminal 500 receives the signature object data encrypted through the carrier key from the carrier server 400 and injects it into the USIM 600 detached from the wireless terminal 500, At this time, a command that causes the certificate applet 620 provided in the USIM 600 to perform the designated signature operation is injected into the USIM 600. According to an embodiment of the present invention, the command may be received from the management server 300 via the carrier server 400, or received from the carrier server 400, or the certificate program 515 may be internally verified. .

상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 that encrypts or decrypts data specified through the carrier key according to a specified algorithm, and when the injected signature target data is encrypted through the carrier key, the Based on the command, the certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the carrier key through the encryption / decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 checks a customer certificate provided in the USIM 600 based on the command, and an algorithm (eg, RSA digital signature algorithm or ECDSA digital signature) designated based on the customer certificate. Algorithm) to generate signature data by performing an electronic signature procedure on the data to be signed. Preferably, the signature data is preferably generated in the form of an electronic signature such as [PKCS7], [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the carrier key through the encryption / decryption module 615 at the same time that the signature data is generated, and the certificate program 515 of the wireless terminal 500 ). Signature data encrypted through the carrier key is encrypted inside the USIM 600 using the carrier key as an encryption key, or encrypted within the USIM 600 through an encryption key generated using the carrier key, Based on the carrier key, the key value exchanged between the USIM 600 and the carrier server 400 is encrypted inside the USIM 600 using the encryption key, or based on the carrier key, the USIM 600 and the management server ( 300) using the key value exchanged between the encryption keys inside the USIM 600, it may be encrypted through at least one.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signature data encrypted inside the USIM 600 and encrypted through the carrier key to the carrier server 400.

도면4를 참조하면, 상기 통신사서버(400)는, 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로부터 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(425)와, 상기 암호화된 서명 데이터를 상기 관리서버(300)로 전송하는 서명 데이터 중계부(430)를 구비한다.
Referring to Figure 4, the carrier server 400, the certificate applet provided in the USIM 600 of the wireless terminal 500 from the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information Signature data receiving unit 425 that receives signature data encrypted within the USIM 600 through a carrier key provided in the USIM 600 and generated using the signature target data according to the designated signature operation of 620 ) And a signature data relay unit 430 that transmits the encrypted signature data to the management server 300.

상기 서명 데이터 수신부(425)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로부터 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신한다.
The signature data receiving unit 425 designates a signature of the certificate applet 620 provided in the USIM 600 of the wireless terminal 500 from the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. Depending on the operation, the signature data generated using the signature target data and encrypted within the USIM 600 is received through the carrier key provided in the USIM 600.

상기 서명 데이터 중계부(430)는 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 상기 관리서버(300)로 전송한다.
The signature data relay unit 430 is generated using the signature target data according to the designated signature operation of the certificate applet 620 provided in the USIM 600 of the wireless terminal 500 and is provided in the USIM 600 The signature data encrypted within the USIM 600 is transmitted to the management server 300 through an encrypted carrier key.

상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 is generated using the signature target data according to the designated signature operation of the certificate applet 620 provided in the USIM 600 from the carrier server 400 and is provided in the USIM 600 The encrypted signature data in the USIM 600 is received through the certificate program 515 of the wireless terminal 500 and the service provider server 400 through the service provider key.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the carrier key in the USIM 600 may include an integrity verification value for the encrypted signature data, and the management server 300 may include the financial company. A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the key may be performed.

상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 checks the signature data encrypted inside the USIM 600 through the carrier key, and is encrypted inside the USIM 600 through the carrier key using the encryption / decryption module 310. It is processed to decrypt the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The management server 300 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate has been performed, and the management server 300 includes the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the management server The 300 checks and compares the key values exchanged according to the key exchange procedure, or authenticates the validity by comparing the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the carrier server 400 at a designated time point before or after the signature data is received without being associated with the signature data. In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 processes the encrypted signature data encrypted inside the USIM 600 and encrypts the decrypted signature data again through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an embodiment of the present invention, while the process of encrypting the decrypted signature data through the financial company key is being processed, the management server 300 encrypts the decrypted signature data through the communication company key through the financial company key. The integrity authentication value of the signature data for is generated, and the integrity authentication value can be included in the signature data encrypted through the financial company key.

상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial company key to the financial company server 200. The financial institution server 200 is signed in the USIM 600 from the management server 300, encrypted through a carrier key in the USIM 600, and then decrypted by the management server 300 and re-entered the financial company key. The encrypted signature data is received.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted by the financial company key in the management server 300 through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial company key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial institution server 200 may include the financial company. A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the key may be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial company key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives an authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate is performed, and the financial institution server 200 signs the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the financial institution server The 200 checks and compares the key values exchanged according to the key exchange procedure, or compares the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values to authenticate validity. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to an embodiment of the present invention, the signature data has a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. The financial company server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified by the management server 300, and the financial company server 200 checks and compares the key values exchanged according to the key exchange procedure, or authenticates the validity by comparing the generated values according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key values can do. Meanwhile, the financial company server 200 and the management server 300 are provided by exchanging server certificates, and the financial company server 200 authenticates the reliability of the management server 300 by using each exchanged server certificate. can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a designated time point before or after the signature data is received. It can be authenticated, and in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.

도면5는 본 발명의 실시 방법에 따른 무선단말(500)과 인증서 프로그램(515)의 기능 구성을 도시한 도면이다.
5 is a diagram showing the functional configuration of the wireless terminal 500 and the certificate program 515 according to an embodiment of the present invention.

보다 상세하게 본 도면5는 USIM(600)에 구비된 고객 인증서를 통해 서명 대상 데이터가 서명되도록 함과 동시에 USIM(600)에 구비된 통신사 키를 통해 서명된 서명 데이터가 암호화되도록 한 후, 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 지정된 전송채널로 전송하는 프로그램 구성에 대응되는 인증서 프로그램(515)과 무선단말(500) 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면5를 참조 및/또는 변형하여 상기 무선단말(500) 기능에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면5에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 바람직하게, 본 도면5의 무선단말(500)은 무선 통신이 가능한 각종 스마트폰, 각종 태블릿PC, 각종 PDA 및 각종 휴대폰 중 적어도 하나를 포함할 수 있다.
In more detail, FIG. 5 allows the signature data to be signed through the customer certificate provided in the USIM 600 and at the same time encrypts the signature data signed through the carrier key provided in the USIM 600, and then the USIM. (600) Shows the configuration of the certificate program 515 and the wireless terminal 500 corresponding to the program configuration for transmitting the signature and encrypted signature data in a specified transmission channel, the general knowledge in the technical field to which the present invention pertains Anyone who has, can infer various implementation methods for the function of the wireless terminal 500 by referring to and / or modifying this drawing, but the present invention is made up of all the inferred implementation methods. The technical features are not limited to only the implementation method illustrated in FIG. 5. Preferably, the wireless terminal 500 of FIG. 5 may include at least one of various smartphones, various tablet PCs, various PDAs, and various mobile phones capable of wireless communication.

도면5를 참조하면, 상기 무선단말(500)은, 제어부(501)와 메모리부(511)와 화면 출력부(502)와 키 입력부(503)와 사운드 출력부(504)와 사운드 입력부(505)와 무선망 통신부(508)와 근거리 무선 통신부(507)와 근접 무선 통신부(509)와 USIM(600)이 이탈착되는 USIM 리더부(510)를 구비하며, 전원 공급을 위한 배터리(506)를 구비한다.
Referring to FIG. 5, the wireless terminal 500 includes a control unit 501, a memory unit 511, a screen output unit 502, a key input unit 503, a sound output unit 504, and a sound input unit 505. And a wireless network communication unit 508, a short-range wireless communication unit 507, a proximity wireless communication unit 509 and a USIM reader unit 510 from which the USIM 600 is detached, and a battery 506 for supplying power. do.

상기 제어부(501)는 상기 무선단말(500)의 동작을 제어하는 구성의 총칭으로서, 적어도 하나의 프로세서와 실행 메모리를 포함하여 구성되며, 상기 무선단말(500)에 구비된 각 구성부와 버스(BUS)를 통해 연결된다. 본 발명에 따르면, 상기 제어부(501)는 상기 프로세서를 통해 상기 무선단말(500)에 구비되는 적어도 하나의 프로그램코드를 상기 실행 메모리에 로딩하여 연산하고, 그 결과를 상기 버스를 통해 적어도 하나의 구성부로 전달하여 상기 무선단말(500)의 동작을 제어한다. 이하, 편의상 프로그램코드 형태로 구현되는 본 발명의 인증서 프로그램(515) 구성을 본 제어부(501) 내에 도시하여 설명하기로 한다.
The control unit 501 is a generic term for a configuration that controls the operation of the wireless terminal 500, and includes at least one processor and an execution memory, and each component and bus provided in the wireless terminal 500 ( BUS). According to the present invention, the control unit 501 loads and calculates at least one program code provided in the wireless terminal 500 through the processor into the execution memory, and configures at least one result through the bus. It is transmitted to the negative to control the operation of the wireless terminal 500. Hereinafter, for convenience, the configuration of the certificate program 515 of the present invention implemented in the form of a program code will be described and illustrated in the control unit 501.

상기 메모리부(511)는 상기 무선단말(500)의 저장 자원에 대응되는 비휘발성 메모리의 총칭으로서, 상기 제어부(501)를 통해 실행되는 적어도 하나의 프로그램코드와, 상기 프로그램코드가 이용하는 적어도 하나의 데이터셋트를 저장하여 유지한다. 상기 메모리부(511)는 기본적으로 상기 무선단말(500)의 운영체제에 대응하는 시스템프로그램코드와 시스템데이터셋트, 상기 무선단말(500)의 무선 통신 연결을 처리하는 통신프로그램코드와 통신데이터셋트 및 적어도 하나의 응용프로그램코드와 응용데이터셋트를 저장하며, 본 발명의 인증서 프로그램(515)에 대응하는 프로그램코드와 데이터셋트도 상기 메모리부(511)에 저장된다.
The memory unit 511 is a generic term for a non-volatile memory corresponding to the storage resource of the wireless terminal 500, at least one program code executed through the control unit 501, and at least one used by the program code Save and maintain the data set. The memory unit 511 basically includes a system program code and a system data set corresponding to an operating system of the wireless terminal 500, a communication program code and a communication data set for processing a wireless communication connection of the wireless terminal 500, and at least One application program code and application data set are stored, and the program code and data set corresponding to the certificate program 515 of the present invention are also stored in the memory unit 511.

상기 화면 출력부(502)는 상기 무선단말(500)의 출력 자원에 대응되는 화면출력기(예컨대, LCD(Liquid Crystal Display) 등)와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산 결과 중 화면 출력에 대응하는 연산 결과를 상기 화면출력 장치로 출력한다.
The screen output unit 502 is composed of a screen output device (for example, a liquid crystal display (LCD), etc.) corresponding to the output resource of the wireless terminal 500 and a driving module driving the same, interlocked with the control unit 501 Thereafter, among the various calculation results of the control unit 501, calculation results corresponding to screen output are output to the screen output device.

상기 키 입력부(503)는 상기 무선단말(500)의 입력 자원에 대응되는 하나 이상의 사용자입력기(예컨대, 버튼, 키패드, 터치패드, 화면 출력부(502)와 연동하는 터치스크린 등)와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산을 명령하는 명령을 입력하거나, 또는 상기 제어부(501)의 연산에 필요한 데이터를 입력한다.
The key input unit 503 and one or more user input devices (for example, buttons, keypads, touch pads, touch screens interworking with the screen output unit 502) corresponding to input resources of the wireless terminal 500, and driving them It is composed of a drive module, and is interlocked with the control unit 501 to input commands for commanding various operations of the control unit 501, or inputs data necessary for the operation of the control unit 501.

상기 사운드 출력부(504)는 상기 무선단말(500)의 출력 자원에 대응되는 스피커와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산 결과 중 사운드 출력에 대응하는 연산 결과를 상기 스피커를 통해 출력한다. 상기 구동 모듈은 상기 스피커를 통해 출력할 사운드 데이터를 디코딩(Decoding)하여 사운드 신호로 변환한다.
The sound output unit 504 is composed of a speaker corresponding to the output resource of the wireless terminal 500 and a driving module that drives the sound, and is interlocked with the control unit 501 to sound among various calculation results of the control unit 501 The calculation result corresponding to the output is output through the speaker. The driving module decodes sound data to be output through the speaker and converts it into a sound signal.

상기 사운드 입력부(505)는 상기 무선단말(500)의 입력 자원에 대응되는 마이크로폰과 이를 구동하는 구동 모듈로 구성되며, 상기 마이크로폰을 통해 입력되는 사운드 데이터를 상기 제어부(501)로 전달한다. 상기 구동 모듈은 상기 마이크로폰을 통해 입력되는 사운드 신호를 엔코딩(Encoding)하여 부호화한다.
The sound input unit 505 is composed of a microphone corresponding to the input resource of the wireless terminal 500 and a driving module for driving the same, and transmits sound data input through the microphone to the control unit 501. The driving module encodes and encodes a sound signal input through the microphone.

상기 무선망 통신부(508)와 근거리 무선 통신부(507)는 상기 무선단말(500)을 지정된 통신망에 접속시키는 통신 자원의 총칭이다. 바람직하게, 상기 무선단말(500)은 무선망 통신부(508)를 기본 통신 자원으로 구비할 수 있으며, 하나 이상의 근거리 무선 통신부(507)를 구비할 수 있다.
The wireless network communication unit 508 and the short-range wireless communication unit 507 are generic terms for communication resources that connect the wireless terminal 500 to a designated communication network. Preferably, the wireless terminal 500 may include a wireless network communication unit 508 as a basic communication resource, and may include one or more short-range wireless communication units 507.

상기 무선망 통신부(508)는 상기 무선단말(500)을 기지국을 경유하는 무선 통신망에 접속시키는 통신 자원의 총칭으로서, 특정 주파수 대역의 무선 주파수 신호를 송수신하는 안테나, RF모듈, 기저대역모듈, 신호처리모듈을 적어도 하나 포함하여 구성되며, 상기 제어부(501)와 연결되어 상기 제어부(501)의 각종 연산 결과 중 무선 통신에 대응하는 연산 결과를 무선 통신망을 통해 전송하거나 또는 무선 통신망을 통해 데이터를 수신하여 상기 제어부(501)로 전달함과 동시에, 상기 무선 통신의 접속, 등록, 통신, 핸드오프의 절차를 수행한다. 본 발명에 따르면, 상기 무선망 통신부(508)는 상기 무선단말(500)을 교환기를 경유하는 통화채널과 데이터채널을 포함하는 전화통화망에 연결할 수 있으며, 경우에 따라 상기 교환기를 경유하지 않고 패킷 통신 기반의 무선망 데이터 통신(예컨대, 인터넷)을 제공하는 데이터망에 연결할 수 있다.
The wireless network communication unit 508 is a generic term for communication resources that connect the wireless terminal 500 to a wireless communication network via a base station, and includes an antenna, RF module, baseband module, and signal for transmitting and receiving radio frequency signals in a specific frequency band. It is configured to include at least one processing module, and is connected to the control unit 501 and transmits calculation results corresponding to wireless communication among various calculation results of the control unit 501 through a wireless communication network or receives data through a wireless communication network. By performing the procedure of connection, registration, communication, and handoff of the wireless communication at the same time as being transmitted to the control unit 501. According to the present invention, the wireless network communication unit 508 can connect the wireless terminal 500 to a telephone call network including a call channel and a data channel via an exchange, and in some cases, packets without passing through the exchange It is possible to connect to a data network that provides communication-based wireless network data communication (eg, the Internet).

본 발명의 실시 방법에 따르면, 상기 무선망 통신부(508)는 CDMA/WCDMA/LTE 규격에 따라 이동 통신망에 접속, 위치등록, 호처리, 통화연결, 데이터통신, 핸드오프를 적어도 하나 수행하는 이동 통신 구성을 포함한다. 한편 당업자의 의도에 따라 상기 무선망 통신부(508)는 IEEE 802.16 관련 규격에 따라 휴대인터넷에 접속, 위치등록, 데이터통신, 핸드오프를 적어도 하나 수행하는 휴대 인터넷 통신 구성을 더 포함할 수 있으며, 상기 무선망 통신부(508)가 제공하는 무선 통신 구성에 의해 본 발명이 한정되지 아니함을 명백히 밝혀두는 바이다. 즉, 상기 무선망 통신부(508)는 무선 구간의 주파수 대역이나 통신망의 종류 또는 프로토콜에 무관하게 셀 기반의 기지국을 통해 무선 통신망에 접속하는 구성부의 총칭이다.
According to an embodiment of the present invention, the wireless network communication unit 508 is a mobile communication that performs at least one of access, location registration, call processing, call connection, data communication, and handoff to a mobile communication network according to CDMA / WCDMA / LTE standards. Includes configuration. Meanwhile, according to the intention of a person skilled in the art, the wireless network communication unit 508 may further include a portable Internet communication configuration that performs at least one of access, location registration, data communication, and handoff to the portable Internet according to IEEE 802.16 related standards. It is clear that the present invention is not limited by the wireless communication configuration provided by the wireless network communication unit 508. That is, the wireless network communication unit 508 is a generic term for a component that accesses the wireless communication network through a cell-based base station regardless of the frequency band of the wireless section or the type or protocol of the communication network.

상기 근거리 무선 통신부(507)는 일정 거리 이내(예컨대, 10m)에서 무선 주파수 신호를 통신매체로 이용하여 통신세션을 연결하고 이를 기반으로 상기 무선단말(500)을 통신망에 접속시키는 통신 자원의 총칭으로서, 바람직하게는 와이파이 통신, 블루투스 통신, 공중무선 통신, UWB 중 적어도 하나를 통해 상기 무선단말(500)을 통신망에 접속시킬 수 있다. 본 발명의 실시 방법에 따르면, 상기 근거리 무선 통신부(507)는 상기 무선망 통신부(508)와 통합 또는 분리된 형태로 구현될 수 있다. 본 발명에 따르면, 상기 근거리 무선 통신부(507)는 무선AP를 통해 상기 무선단말(500)을 패킷 통신 기반의 근거리 무선 데이터 통신을 제공하는 데이터망에 연결한다.
The short-range wireless communication unit 507 connects a communication session using a radio frequency signal as a communication medium within a certain distance (for example, 10 m) and based on this, as a general term for communication resources connecting the wireless terminal 500 to a communication network. , Preferably, the wireless terminal 500 may be connected to the communication network through at least one of Wi-Fi communication, Bluetooth communication, public wireless communication, and UWB. According to an embodiment of the present invention, the short-range wireless communication unit 507 may be implemented in an integrated or separate form with the wireless network communication unit 508. According to the present invention, the short-range wireless communication unit 507 connects the wireless terminal 500 through a wireless AP to a data network providing short-range wireless data communication based on packet communication.

상기 근접 무선 통신부(509)는 근접 거리(예컨대, 10cm 내외)에서 무선 주파수 신호를 통신매체로 이용하여 양방향 근접 무선 통신, 전이중 근접 무선 통신, 반이중 근접 무선 통신 중 하나 이상의 근접 무선 통신을 처리하는 통신 자원의 총칭으로서, 바람직하게 13.56Mz 주파수 대역의 NFC(Near Field Communication) 규격에 따라 근접 무선 통신을 처리할 수 있다. 또는 상기 근접 무선 통신부(509)는 ISO 18000 시리즈 규격의 근접 무선 통신을 처리할 수 있으며, 이 경우 13.56Mz 주파수 대역 이외의 다른 주파수 대역에 대한 근접 무선 통신을 처리할 수도 있다. 예를들어, 상기 근접 무선 통신부(509)는 리더 모드로 동작하거나, 태그 모드로 동작하거나, 양방향 통신 모드로 동작하는 것이 모두 가능하다. 한편 상기 근접 무선 통신부(509)는 근접하여 통신하는 대상에 따라 상기 무선단말(500)을 통신망에 접속시키는 통신 자원에 포함될 수 있다.
The proximity wireless communication unit 509 uses one or more of two-way proximity wireless communication, full-duplex proximity wireless communication, and half-duplex proximity wireless communication by using a radio frequency signal as a communication medium at a close distance (eg, about 10 cm). As a generic term for resources, it is possible to process proximity wireless communication in accordance with the Near Field Communication (NFC) standard in the 13.56Mz frequency band. Alternatively, the proximity wireless communication unit 509 may process proximity wireless communication of the ISO 18000 series standard, and in this case, may process proximity wireless communication for other frequency bands other than the 13.56Mz frequency band. For example, the proximity wireless communication unit 509 may operate in a reader mode, a tag mode, or a bidirectional communication mode. Meanwhile, the proximity wireless communication unit 509 may be included in a communication resource that connects the wireless terminal 500 to a communication network according to an object to communicate in close proximity.

상기 USIM 리더부(510)는 ISO/IEC 7816 규격을 기반으로 상기 무선단말(500)에 탑재 또는 이탈착되는 범용가입자식별모듈(Universal Subscriber Identity Module)과 적어도 하나의 데이터셋트를 교환하는 구성의 총칭으로서, 상기 데이터셋트는 APDU(Application Protocol Data Unit)를 통해 반이중 통신 방식으로 교환된다.
The USIM reader unit 510 is a general term for a configuration that exchanges at least one data set with a universal subscriber identity module mounted or detached from the wireless terminal 500 based on ISO / IEC 7816 standards. As, the data set is exchanged in a half-duplex communication method through an Application Protocol Data Unit (APDU).

상기 통신 자원이 접속 가능한 데이터망을 통해 프로그램제공서버(예컨대, 애플사의 앱스토어 등)로부터 본 발명의 인증서 프로그램(515)이 다운로드되어 상기 메모리부(511)에 저장된다. 상기 다운로드된 인증서 프로그램(515)은 지정된 서버와 연동하여 동작하며, 사용자에 의해 수동으로 구동되거나, 메시지 수신에 의해 사용자 확인 후 또는 자동으로 구동(또는 활성화)될 수 있다. 한편 상기 인증서 프로그램(515)을 사용자 확인 후 또는 자동으로 구동하기 위해 별도의 인증서 프로그램(515)이 미리 구동 중일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
The certificate program 515 of the present invention is downloaded from a program providing server (eg, an Apple App Store, etc.) through a data network to which the communication resource is accessible, and stored in the memory unit 511. The downloaded certificate program 515 operates in conjunction with a designated server, and can be manually driven by a user, or automatically (or activated) after user confirmation by receiving a message. Meanwhile, a separate certificate program 515 may be previously operated to automatically drive the certificate program 515 after user confirmation, and the present invention is not limited thereto.

도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서를 기록하는 인증서 기록부(520)와, 상기 무선단말(500)에 이탈착되는 USIM(600)에 통신사 키를 기록하는 통신사 키 기록부(525)와, 상기 무선단말(500)에 이탈착되는 USIM(600)에 지정된 서명 동작을 수행하는 인증서 애플릿(620)을 기록하는 애플릿 기록부(530) 중, 적어도 하나의 기록부를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to FIG. 5, the certificate program 515 of the wireless terminal 500 includes a certificate recorder 520 for recording a customer certificate in the USIM 600 detached from the wireless terminal 500, and the wireless terminal. A carrier key recorder 525 that records a carrier key in the USIM 600 detached from the 500, and a certificate applet 620 that performs a signature operation designated in the USIM 600 detached from the wireless terminal 500 Of applet recording unit 530 for recording), at least one recording unit is provided. Preferably, the designated signature operation receives a signature target data and a command, generates a signature value of the signature target data using a customer certificate according to the received command, and uses the carrier key to retrieve the generated signature value. And encrypting the included signature data.

상기 인증서 기록부(520)는 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate recorder 520 includes a customer certificate in a designated area of the USIM 600 detached from the wireless terminal 500 according to a specified certificate issuing procedure or a roaming procedure of a previously issued certificate (for example, in the USIM 600). It is recorded in the WEF) under DF [F300] of the IC chip 605.

상기 통신사 키 기록부(525)는 USIM(600) 발급 시점에 등록된 키 값이 상기 USIM(600) 내부의 암호화 또는 복호화에 이용되도록 설정하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 통신사 키를 기록할 수 있다.
The carrier key recorder 525 sets the key value registered at the time of issuance of USIM 600 to be used for encryption or decryption inside the USIM 600, or passes the carrier key to the USIM 600 through a designated OTA. Can be recorded.

상기 애플릿 기록부(530)는 USIM(600) 제조 또는 시점에 USIM(600)에 기록된 애플릿이 상기 USIM(600) 내부의 전자서명 절차 및 암호화 또는 복호화를 위한 인증서 애플릿(620)으로 이용되도록 설정하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 인증서 애플릿(620)을 기록할 수 있다.
The applet recorder 530 sets the applet recorded in the USIM 600 at the time of manufacture or time of the USIM 600 to be used as the digital applet procedure inside the USIM 600 and the certificate applet 620 for encryption or decryption. Alternatively, a certificate applet 620 may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부(511) 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial institution server 200 stores customer information for a customer using a financial transaction in a designated DB, and interoperates with the customer certificate by interworking with the issuing process of the customer certificate, roaming process, carrier key, or OTA process of the certificate applet 620. Check the customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 storing the carrier key and performing the designated signing operation is detached, and the customer information stored in the DB The same USIM 600 is stored, including identification information for identifying the wireless terminal 500 is detached. The identification information identifies the telephone number, communication number, serial number, key value, and certificate program 515 stored in the memory unit 511 or SE of the wireless terminal 500 assigned to the wireless terminal 500. The identification value, management server 300, communication server, at least one of the financial company server 200 may be made in the form of at least one or two or more combinations of identification values uniquely assigned by the server.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with a transaction procedure. do. For example, the signature target data may include an account transfer history that requires the electronic signature of the customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is processed so that the verified signature target data is encrypted through the financial company key managed by the financial company, and stores a customer certificate and a carrier key, and a certificate applet 620 for performing a designated signature operation is provided. The identification information identifying the customer-owned wireless terminal 500 to which the USIM 600 is detached is checked.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature target data encrypted through the financial company key and identification information about the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with N (N≥1) number of financial company servers 200, and an encrypted signature through the financial company key from the financial company server 200 that has transmitted signature data among the N financial company servers 200 Receives target data, stores customer certificate and carrier key, and receives identification information for a customer-owned wireless terminal 500 from which the USIM 600 equipped with a certificate applet 620 that performs a designated signing operation is detached. .

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 stores a secure storage medium 215 (eg, at least one medium of SAM, HSM, TSM) that stores and manages financial company keys provided from N financial company servers 200 according to a designated key exchange procedure. It is provided (or interlocked), and is provided with an encryption / decryption module 210 that encrypts or decrypts designated data according to a specified algorithm using N financial company keys provided in the secure storage medium 215, and the financial company server. In 200, the signature target data encrypted and transmitted through the financial company key is checked, and the encrypted signature target data is decrypted through the financial company key provided in the secure storage medium 215 using the encryption / decryption module 210. Process it.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 that stores and manages the carrier key provided from the carrier server 400 (or USIM 600) according to a designated key exchange procedure (eg, at least one of SAM, HSM, TSM) One medium) is provided (or interlocked), and the encryption / decryption module 310 is provided for encrypting or decrypting designated data according to a specified algorithm using a carrier key provided in the secure storage medium 315, The decrypted signature target data through the encryption / decryption module 210 is processed to re-encrypt through the carrier key using the encryption / decryption module 310.

상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the carrier key to the carrier server 400. According to an embodiment of the present invention, the management server 300 causes the certificate applet 620 provided in the USIM 600 detached from the customer-owned wireless terminal 500 corresponding to the identification information to perform the designated signature operation. Check the command to perform, and may transmit the command with the encrypted signature target data to the carrier server 400.

상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The carrier server 400 receives the signature target data encrypted through the carrier key from the management server 300 and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the carrier server 400 may receive the command together with the signature target data encrypted through the carrier key from the management server 300 and provide it to the certificate program 515 of the wireless terminal 500. .

도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 통신사서버(400)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하는 서명 대상 수신부(535)를 구비하고, 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인하는 USIM 확인부(540)를 구비할 수 있다.
Referring to FIG. 5, the certificate program 515 of the wireless terminal 500 is encrypted and managed within the financial institution server 200 through the financial institution key provided in the financial institution server 200 from the communication company server 400. It has a signature target receiving unit 535 for receiving the signature target data decrypted by the server 300 and encrypted again through the carrier key, and the customer certificate and the carrier in the USIM 600 detached from the wireless terminal 500 A USIM verification unit 540 may be provided to confirm whether a key is stored and a certificate applet 620 for performing a designated signature operation is provided.

상기 서명 대상 수신부(535)는 무선망 통신부(508)와 근거리 무선 통신부(507) 중 적어도 하나의 통신부를 통해 통신사서버(400)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신한다. 바람직하게, 상기 서명 대상 수신부(535)는 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신할 수 있다.
The signature target receiving unit 535 is the financial company server via the financial company key provided in the financial company server 200 from the communication company server 400 through at least one communication unit of the wireless network communication unit 508 and the short-range wireless communication unit 507. After being encrypted in 200), it is decrypted by the management server 300 and again receives the signature target data encrypted through the carrier key. Preferably, the signature target receiving unit 535 may receive a command that causes the certificate applet 620 provided in the USIM 600 to perform a designated signature operation.

본 발명의 일 측면에 따르면, 상기 서명 대상 수신부(535)는 무선망 통신부(508)를 통해 통신사서버(400)로부터 상기 암호화된 서명 대상 데이터를 수신하도록 설정될 수 있다.
According to an aspect of the present invention, the signature target receiving unit 535 may be set to receive the encrypted signature target data from the communication company server 400 through the wireless network communication unit 508.

상기 암호화된 서명 대상 데이터가 수신되기 전, 중, 후의 지정된 시점에, 상기 USIM 확인부(540)는 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인한다. 예를들어, 상기 USIM 확인부(540)는 상기 USIM 리더부(510)를 통해 상기 USIM(600)으로 RST신호를 인가하여 응답되는 ATR을 판독하여 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인할 수 있다.
At the designated time points before, during, and after the encrypted signature target data is received, the USIM verification unit 540 stores and stores customer certificates and carrier keys in the USIM 600 detached from the wireless terminal 500. Check whether a certificate applet 620 that performs a signature operation is provided. For example, the USIM confirmation unit 540 applies the RST signal to the USIM 600 through the USIM reader unit 510 to read the ATR that is responded, and stores the customer certificate and the carrier key in the USIM 600. It is possible to check whether a certificate applet 620 for performing a designated signature operation is provided.

도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 상기 수신된 암호화된 서명 대상 데이터를 상기 USIM(600)으로 주입하는 서명 요청부(545)와, 상기 USIM(600)으로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(550)와, 상기 암호화된 서명 데이터를 통신사서버(400)로 전송하는 서명 데이터 전송부(555)를 구비한다.
Referring to FIG. 5, the certificate program 515 of the wireless terminal 500 includes a signature request unit 545 for injecting the received encrypted signature target data into the USIM 600, and the USIM 600 Generated using the signature target data according to the designated signature operation of the certificate applet 620 provided in the USIM 600 from and encrypted within the USIM 600 through the carrier key provided in the USIM 600 It includes a signature data receiving unit 550 for receiving the signature data, and a signature data transmission unit 555 for transmitting the encrypted signature data to the carrier server 400.

상기 서명 요청부(545)는 상기 서명 대상 수신부(535)를 통해 수신된 암호화된 서명 대상 데이터와 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 상기 명령어는, 상기 통신사서버(400)를 통해 확인된 명령어, 상기 관리서버(300)를 통해 확인된 명령어, 상기 인증서 프로그램(515)을 통해 결정된 명령어 중 적어도 하나의 명령어를 포함할 수 있다.
The signature requesting unit 545 includes instructions to cause the encrypted signature target data received through the signature target receiving unit 535 and the certificate applet 620 provided in the USIM 600 to perform a designated signature operation. Inject into USIM 600. The command may include at least one command of a command confirmed through the communication server 400, a command confirmed through the management server 300, and a command determined through the certificate program 515.

상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption / decryption module 615 that encrypts or decrypts data specified through the carrier key according to a specified algorithm, and when the injected signature target data is encrypted through the carrier key, the Based on the command, the certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the carrier key through the encryption / decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 checks a customer certificate provided in the USIM 600 based on the command, and an algorithm (eg, RSA digital signature algorithm or ECDSA digital signature) designated based on the customer certificate. Algorithm) to generate signature data by performing an electronic signature procedure on the data to be signed. Preferably, the signature data is preferably generated in the form of an electronic signature such as [PKCS7], [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the carrier key through the encryption / decryption module 615 at the same time that the signature data is generated, and the certificate program 515 of the wireless terminal 500 ). Signature data encrypted through the carrier key is encrypted inside the USIM 600 using the carrier key as an encryption key, or encrypted within the USIM 600 through an encryption key generated using the carrier key, Based on the carrier key, the key value exchanged between the USIM 600 and the carrier server 400 is encrypted inside the USIM 600 using the encryption key, or based on the carrier key, the USIM 600 and the management server ( 300) using the key value exchanged between the encryption keys inside the USIM 600, it may be encrypted through at least one.

상기 서명 데이터 수신부(550)는 상기 USIM 리더부(510)를 통해 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 수신한다. 상기 서명 데이터 전송부(555)는 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송한다. 본 발명의 일 측면에 따르면, 상기 서명 데이터 전송부(555)는 무선망 통신부(508)를 통해 통신사서버(400)로 상기 암호화된 서명 데이터를 전송하도록 설정될 수 있다.
The signature data receiving unit 550 receives the signature data encrypted inside the USIM 600 through the USIM reader unit 510 and encrypted through a carrier key. The signature data transmission unit 555 transmits the signature data that is signed inside the USIM 600 and encrypted through the carrier key to the carrier server 400. According to an aspect of the present invention, the signature data transmission unit 555 may be set to transmit the encrypted signature data to the communication company server 400 through the wireless network communication unit 508.

상기 통신사서버(400)는 상기 무선단말(500)로부터 암호화된 서명 데이터를 수신하고, 이를 관리서버(300)로 전송한다.
The carrier server 400 receives the encrypted signature data from the wireless terminal 500 and transmits it to the management server 300.

상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 is generated using the signature target data according to the designated signature operation of the certificate applet 620 provided in the USIM 600 from the carrier server 400 and is provided in the USIM 600 The encrypted signature data in the USIM 600 is received through the certificate program 515 of the wireless terminal 500 and the service provider server 400 through the service provider key.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the carrier key in the USIM 600 may include an integrity verification value for the encrypted signature data, and the management server 300 may include the financial company. A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the key may be performed.

상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 checks the signature data encrypted inside the USIM 600 through the carrier key, and is encrypted inside the USIM 600 through the carrier key using the encryption / decryption module 310. It is processed to decrypt the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The management server 300 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate has been performed, and the management server 300 includes the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the management server The 300 checks and compares the key values exchanged according to the key exchange procedure, or authenticates the validity by comparing the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the carrier server 400 at a designated time point before or after the signature data is received without being associated with the signature data. In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 processes the encrypted signature data encrypted inside the USIM 600 and encrypts the decrypted signature data again through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an embodiment of the present invention, while the process of encrypting the decrypted signature data through the financial company key is being processed, the management server 300 encrypts the decrypted signature data through the communication company key through the financial company key. The integrity authentication value of the signature data for is generated, and the integrity authentication value can be included in the signature data encrypted through the financial company key.

상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial company key to the financial company server 200. The financial institution server 200 is signed in the USIM 600 from the management server 300, encrypted through a carrier key in the USIM 600, and then decrypted by the management server 300 and re-entered the financial company key. The encrypted signature data is received.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted by the financial company key in the management server 300 through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial company key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial institution server 200 may include the financial company. A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the key may be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial company key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives an authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate is performed, and the financial institution server 200 signs the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the financial institution server The 200 checks and compares the key values exchanged according to the key exchange procedure, or compares the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values to authenticate validity. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to an embodiment of the present invention, the signature data has a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. The financial company server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified by the management server 300, and the financial company server 200 checks and compares the key values exchanged according to the key exchange procedure, or authenticates the validity by comparing the generated values according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key values can do. Meanwhile, the financial company server 200 and the management server 300 are provided by exchanging server certificates, and the financial company server 200 authenticates the reliability of the management server 300 by using each exchanged server certificate. can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a designated time point before or after the signature data is received. It can be authenticated, and in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.

도면6은 본 발명의 실시 방법에 따른 USIM(600)의 기능 구성을 도시한 도면이다.
6 is a diagram showing a functional configuration of the USIM 600 according to an embodiment of the present invention.

보다 상세하게 본 도면6은 고객 인증서를 통해 서명 대상 데이터를 서명함과 동시에 통신사 키를 통해 서명된 서명 데이터를 암호화하는 USIM(600)의 기능 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면6을 참조 및/또는 변형하여 상기 USIM(600)의 기능에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면6에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 6 shows a functional configuration of the USIM 600 that encrypts the signature data signed through the carrier key while simultaneously signing the data to be signed through the customer certificate, and is generally used in the technical field to which the present invention pertains. Anyone with knowledge of the present invention will be able to infer various implementation methods for the functions of the USIM 600 by referring to and / or modifying this figure 6, but the present invention includes all the inferred implementation methods, , The technical features are not limited only to the implementation method illustrated in FIG. 6.

상기 USIM(600)은 IC칩(605)이 구비된 SIM 타입의 카드로서, 상기 무선단말(500)의 USIM 리더부(510)와 연결되는 적어도 하나의 접점을 포함하는 입출력 인터페이스(655)와, 적어도 하나의 IC칩용 프로그램코드와 데이터셋트를 저장하는 메모리부(660)와, 상기 입출력 인터페이스(655)와 연결되어 상기 무선단말(500)로부터 전달되는 적어도 하나의 명령에 따라 상기 IC칩용 프로그램코드를 연산하거나 상기 데이터셋트를 추출(또는 가공)하여 상기 입출력 인터페이스(655)로 전달하는 제어부(610)를 구비하며, 본 발명에서 지정된 서명 동작을 수행하는 인증서 애플릿(620)은 상기 IC칩용 프로그램코드의 형태로 메모리부(660)에 저장되고 상기 제어부(610)에 의해 연산된다. 이하, 상기 인증서 애플릿(620)의 기능 구성을 본 제어부(610) 내에 도시하여 설명하기로 한다.
The USIM 600 is a SIM type card with an IC chip 605, an input / output interface 655 including at least one contact point connected to the USIM reader 510 of the wireless terminal 500, The memory unit 660 for storing at least one IC chip program code and data set, and the IC chip program code according to at least one command connected to the input / output interface 655 and transmitted from the wireless terminal 500. A control unit 610 for calculating or extracting (or processing) the data set and transmitting the data set to the input / output interface 655, and the certificate applet 620 for performing the designated signature operation in the present invention includes the program code for the IC chip. It is stored in the memory unit 660 in the form and is calculated by the control unit 610. Hereinafter, the functional configuration of the certificate applet 620 will be described and illustrated in the controller 610.

본 발명에 따르면, 고객 인증서는 상기 메모리부(660)의 DF[F300] 하위의 WEF에 기록된다. 상기 통신사 키는 메모리부(660)의 지정된 WEF에 저장되거나, 또는 SIM 영역에 저장될 수 있다.
According to the present invention, the customer certificate is recorded in WEF below DF [F300] of the memory unit 660. The carrier key may be stored in the designated WEF of the memory unit 660 or may be stored in the SIM area.

도면6을 참조하면, 상기 메모리부(660)는 MF(Master File)의 하위에 DF(Dedicate File)이 배치되고, DF의 하위에 WEF(Working Element File)이 배치되는 형태로 구현된다. 바람직하게, 고객 인증서는 DF[F300]에 저장될 수 있다. DF[F300] 하위에 배치되는 WEF는 사용자 정보(WEF[F301]), 타입 정보(WEF[F302]), 서명용 비밀키(WEF[F303]), 서명용 인증서(WEF[F304]), 식별번호 생성용 난수(WEF[F305]), 스마트카드 식별정보(WEF[F306])을 포함할 수 있다. 사용자정보는 사용자 관련 정보를 기록하기 위해서 사용되는 52바이트 영역으로 정의되고, 타입 정보는 카드의 구별자 정보로서 12바이트 영역으로 정의되고, 서명용 개인키는 사용자의 서명용 개인키 정보를 기록하기 위해서 사용되는 1560바이트 영역으로 정의되고, 서명용 인증서는 사용자의 서명용 인증서를 기록하기 위해서 사용되는 2080바이트 영역으로 정의되고, 식별번호 생성용 난수는 식별번호를 생성하는데 사용되는 160비트 이상의 안전한 임의의 난수를 저장하기 위해서 사용되는 42바이트 영역으로 정의되고, 스마트카드 식별정보는 6바이트 영역으로 정의될 수 있다.
Referring to FIG. 6, the memory unit 660 is implemented in a form in which a DF (Dedicate File) is disposed under the MF (Master File) and a WEF (Working Element File) is disposed under the DF. Preferably, the customer certificate can be stored in DF [F300]. WEFs placed under DF [F300] generate user information (WEF [F301]), type information (WEF [F302]), signature secret key (WEF [F303]), signature certificate (WEF [F304]), and identification number Dragon random number (WEF [F305]), smart card identification information (WEF [F306]) may be included. User information is defined as a 52-byte area used to record user-related information, type information is defined as a 12-byte area as discriminator information of the card, and the private key for signing is used to record the private key information for the user's signature It is defined as a 1560 byte area, and the signing certificate is defined as a 2080 byte area used to record a user's signing certificate, and the random number for generating an identification number stores a random random number of 160 bits or more that is used to generate an identification number. In order to do so, it is defined as a 42-byte area, and smart card identification information can be defined as a 6-byte area.

한편 통신사 키는 DF[F400] 하위에 배치되는 WEF로 저장되거나, 또는 실시 방법에 따라 별도의 영역에 저장될 수 있다. 통신사 키가 DF[F400] 하위에 배치되는 경우에 암호화용 비밀키 영역에 저장되거나, 또는 DF[F400] 하위에 배치되는 별도의 WEF를 정의하여 저장될 수 있다.
Meanwhile, the carrier key may be stored as a WEF disposed under the DF [F400] or may be stored in a separate area according to an implementation method. When the carrier key is disposed under DF [F400], it can be stored in the encryption key area for encryption or by defining a separate WEF disposed under DF [F400].

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부(660) 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial institution server 200 stores customer information for a customer using a financial transaction in a designated DB, and interoperates with the customer certificate by interworking with the issuing process of the customer certificate, roaming process, carrier key, or OTA process of the certificate applet 620. Check the customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 storing the carrier key and performing the designated signing operation is detached, and the customer information stored in the DB The same USIM 600 is stored, including identification information for identifying the wireless terminal 500 is detached. The identification information identifies the telephone number, communication number, serial number, key value, and certificate program 515 stored in the memory unit 660 or SE of the wireless terminal 500 assigned to the wireless terminal 500. The identification value, management server 300, communication server, at least one of the financial company server 200 may be made in the form of at least one or two or more combinations of identification values uniquely assigned by the server.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with a transaction procedure. do. For example, the signature target data may include an account transfer history that requires the electronic signature of the customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is processed so that the verified signature target data is encrypted through the financial company key managed by the financial company, and stores a customer certificate and a carrier key, and a certificate applet 620 for performing a designated signature operation is provided. The identification information identifying the customer-owned wireless terminal 500 to which the USIM 600 is detached is checked.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature target data encrypted through the financial company key and identification information about the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with N (N≥1) number of financial company servers 200, and an encrypted signature through the financial company key from the financial company server 200 that has transmitted signature data among the N financial company servers 200 Receives target data, stores customer certificate and carrier key, and receives identification information for a customer-owned wireless terminal 500 from which the USIM 600 equipped with a certificate applet 620 that performs a designated signing operation is detached. .

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 stores a secure storage medium 215 (eg, at least one medium of SAM, HSM, TSM) that stores and manages financial company keys provided from N financial company servers 200 according to a designated key exchange procedure. It is provided (or interlocked), and is provided with an encryption / decryption module 210 that encrypts or decrypts designated data according to a specified algorithm using N financial company keys provided in the secure storage medium 215, and the financial company server. In 200, the signature target data encrypted and transmitted through the financial company key is checked, and the encrypted signature target data is decrypted through the financial company key provided in the secure storage medium 215 using the encryption / decryption module 210. Process it.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(310)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 that stores and manages the carrier key provided from the carrier server 400 (or USIM 600) according to a designated key exchange procedure (eg, at least one of SAM, HSM, TSM) One medium) is provided (or interlocked), and the encryption / decryption module 310 is provided for encrypting or decrypting designated data according to a specified algorithm using a carrier key provided in the secure storage medium 315, The decrypted signature target data through the encryption / decryption module 310 is processed to be encrypted again through the carrier key using the encryption / decryption module 310.

상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the carrier key to the carrier server 400. According to an embodiment of the present invention, the management server 300 causes the certificate applet 620 provided in the USIM 600 detached from the customer-owned wireless terminal 500 corresponding to the identification information to perform the designated signature operation. Check the command to perform, and may transmit the command with the encrypted signature target data to the carrier server 400.

상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The carrier server 400 receives the signature target data encrypted through the carrier key from the management server 300 and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the carrier server 400 may receive the command together with the signature target data encrypted through the carrier key from the management server 300 and provide it to the certificate program 515 of the wireless terminal 500. .

상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다.
The certificate program 515 of the wireless terminal 500 receives the signature target data encrypted through the carrier key from the carrier server 400 and injects it into the USIM 600, at this time provided in the USIM 600 A command that causes the certificate applet 620 to perform the designated signature operation is injected into the USIM 600.

상기 USIM(600)은 상기 무선단말(500)의 USIM 리더부(510)에 삽입된 상태에서 고객 인증서와 통신사 키 및 인증서 애플릿(620)이 기록된 상태를 유지한다.
The USIM 600 maintains a state in which a customer certificate, a carrier key, and a certificate applet 620 are recorded in a state inserted in the USIM reader 510 of the wireless terminal 500.

도면6을 참조하면, 상기 USIM(600)은, 상기 고객 인증서를 통해 서명 데이터를 생성하고 상기 통신사 키를 통해 서명 데이터를 암호화하는 동작을 수행하기 위한 인증 절차를 수행하는 인증 절차 수행부(625)를 구비할 수 있으며, 실시 방법에 따라 생략되거나, 또는 서명 데이터를 수신하거나 복호화하는 절차에 통합되거나, 또는 서명 데이터를 생성하거나 암호화하는 절차에 통합될 수 있다.
Referring to FIG. 6, the USIM 600 generates an authentication data through the customer certificate and performs an authentication procedure to perform an authentication procedure to perform an operation of encrypting the signature data through the carrier key 625. It may be provided, it may be omitted depending on the implementation method, or may be integrated in the procedure for receiving or decrypting the signature data, or may be integrated in the procedure for generating or encrypting the signature data.

상기 인증 절차 수행부(625)는 상기 고객 인증서를 통해 서명 데이터를 생성하고 상기 통신사 키를 통해 서명 데이터를 암호화하는 동작을 수행하기 위해, 상기 무선단말(500)의 인증서 프로그램(515)으로부터 PIN 값을 수신하고, 상기 수신된 PIN 값의 유효성을 인증하는 절차를 수행할 수 있다.
The authentication procedure execution unit 625 generates a signature data through the customer certificate and performs an operation of encrypting the signature data through the carrier key, a PIN value from the certificate program 515 of the wireless terminal 500 It may receive, and perform a procedure for authenticating the validity of the received PIN value.

상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)을 통해 상기 금융사서버(200)를 인증하기 위한 금융사 인증정보를 확인하고, 상기 금융사 인증정보를 통해 상기 금융사를 인증할 수 있다. 예를들어, 상기 금융사 인증정보는 지정된 키 교환 절차에 따라 교환된 키 값, 금융사서버(200)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 절차 수행부(625)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다.
The authentication procedure execution unit 625 checks the financial company authentication information for authenticating the financial company server 200 through the certificate program 515 of the wireless terminal 500, and authenticates the financial company through the financial company authentication information. can do. For example, the financial company authentication information may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified by the financial company server 200, and the authentication procedure. The execution unit 625 may verify the key values exchanged according to the key exchange procedure or compare the generated values according to the same algorithm and procedure as the code generation algorithm with the key values to authenticate validity.

본 발명의 실시 방법에 따르면, 상기 금융사 인증정보는 별도의 채널을 통해 금융사서버(200)로부터 전송된 후 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신되거나, 또는 상기 서명 대상 데이터에 포함되어 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신될 수 있다. 상기 금융사 인증정보가 서명 대상 데이터에 포함되어 수신되는 경우, 상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 서명 대상 데이터를 수신(또는 복호화)하는 시점에 상기 금융사 인증정보에 대한 인증 절차를 수행할 수 있다.
According to an embodiment of the present invention, the financial company authentication information is transmitted from the financial company server 200 through a separate channel, and then received through the certificate program 515 of the wireless terminal 500 or in the data to be signed. Included can be received through the certificate program 515 of the wireless terminal 500. When the financial company authentication information is received as being included in the data to be signed, the authentication procedure performing unit 625 receives (or decrypts) the data to be signed from the certificate program 515 of the wireless terminal 500. An authentication procedure for the financial company authentication information may be performed.

상기 인증 절차 수행부(625)는 상기 무선단말(500)의 상기 인증서 프로그램(515)을 통해 상기 관리서버(300)를 인증하기 위한 관리사 인증정보를 확인하고, 상기 관리사 인증정보를 통해 상기 관리사를 인증할 수 있다. 예를들어, 상기 관리사 인증정보는 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 절차 수행부(625)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다.
The authentication procedure execution unit 625 checks the manager authentication information for authenticating the management server 300 through the certificate program 515 of the wireless terminal 500, and checks the manager through the manager authentication information. I can authenticate. For example, the manager authentication information may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified by the management server 300, and the authentication procedure The execution unit 625 may verify the key values exchanged according to the key exchange procedure or compare the generated values according to the same algorithm and procedure as the code generation algorithm with the key values to authenticate validity.

본 발명의 실시 방법에 따르면, 상기 관리사 인증정보는 별도의 채널을 통해 관리서버(300)로부터 전송된 후 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신되거나, 또는 상기 서명 대상 데이터에 포함되어 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신될 수 있다. 상기 관리사 인증정보가 서명 대상 데이터에 포함되어 수신되는 경우, 상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 서명 대상 데이터를 수신(또는 복호화)하는 시점에 상기 금융사 인증정보에 대한 인증 절차를 수행할 수 있다.
According to an embodiment of the present invention, the authentication information of the manager is transmitted from the management server 300 through a separate channel and then received through the certificate program 515 of the wireless terminal 500, or in the data to be signed. Included can be received through the certificate program 515 of the wireless terminal 500. When the authentication information of the manager is included in the data to be signed and received, the authentication procedure performing unit 625 receives (or decrypts) the data to be signed from the certificate program 515 of the wireless terminal 500. An authentication procedure for the financial company authentication information may be performed.

상기 인증 절차 수행부(625)는 고객 인증서를 이용하여 서명 데이터를 생성하고 통신사 키를 이용하여 서명 데이터를 암호화하는 인증서 애플릿(620)이 구비된 상태의 USIM(600)을 전자서명을 처리하는 매체로 인증시키기 위한 USIM(600)에 대한 매체 인증 값을 생성하고, 상기 무선단말(500)의 상기 인증서 프로그램(515)으로 상기 매체 인증 값을 전송하며, 상기 매체 인증 값은 상기 관리서버(300)로 전송되어 인증되거나, 또는 상기 관리서버(300)를 경유하여 금융사서버(200)로 전송되어 인증될 수 있다. 한편 상기 매체 인증 값은 상기 서명 데이터에 포함되어 전송될 수 있다.
The authentication procedure execution unit 625 is a medium for processing the electronic signature of the USIM 600 in a state in which a certificate applet 620 that generates signature data using a customer certificate and encrypts the signature data using a carrier key is provided. Create a medium authentication value for the USIM (600) for authentication to, and transmits the medium authentication value to the certificate program 515 of the wireless terminal 500, the medium authentication value is the management server (300) It may be transmitted and authenticated, or may be transmitted and authenticated to the financial institution server 200 via the management server 300. Meanwhile, the medium authentication value may be included in the signature data and transmitted.

도면6을 참조하면, 상기 USIM(600)은, 상기 무선단말(500)의 인증서 프로그램(515)으로부터 서명 대상 데이터를 수신하는 서명 대상 수신부(630)와, 상기 서명 대상 데이터가 암호화된 경우에 상기 통신사 키를 이용하여 상기 암호화된 서명 대상 데이터를 복호화하는 서명 대상 복호부(635)를 구비한다.
Referring to FIG. 6, the USIM 600 includes a signature target receiving unit 630 receiving signature target data from the certificate program 515 of the wireless terminal 500, and when the signature target data is encrypted, the And a signature target decoding unit 635 that decrypts the encrypted signature target data using a carrier key.

상기 서명 대상 수신부(630)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 고객 인증서를 통해 서명 처리할 서명 대상 데이터를 수신한다. 본 발명의 실시 방법에 따르면, 상기 서명 대상 수신부(630)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하도록 요청하는 명령어를 수신한다.
The signature target receiving unit 630 receives signature target data to be signed through the customer certificate from the certificate program 515 of the wireless terminal 500. According to an embodiment of the present invention, the signature target receiving unit 630 generates a signature value of the signature target data using a customer certificate from the certificate program 515 of the wireless terminal 500, and uses a carrier key. Receive an instruction requesting to encrypt signature data including the generated signature value.

본 발명의 실시 방법에 따르면, 상기 서명 대상 데이터는 지정된 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 지정된 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 데이터를 포함할 수 있다.
According to an embodiment of the present invention, the signature target data is encrypted in the financial institution server 200 through the financial company key provided in the designated financial institution server 200, and then decrypted by the designated management server 300 and back to the carrier key. It may include encrypted data through.

상기 서명 대상 수신부(630)를 통해 수신된 서명 대상 데이터가 암호화된 경우, 상기 서명 대상 복호부(635)는 상기 메모리부(660)에 저장된 통신사 키를 이용하여 상기 암호화된 서명 대상 데이터를 복호화한다. 본 발명의 실시 방법에 따르면, 상기 USIM(600)에는 상기 메모리부(660)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비할 수 있으며, 상기 서명 대상 복호부(635)는 상기 암복호 모듈(615)을 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리할 수 있다.
When the signature target data received through the signature target receiver 630 is encrypted, the signature target decoder 635 decrypts the encrypted signature target data using the carrier key stored in the memory unit 660. . According to an embodiment of the present invention, the USIM 600 may include an encryption / decryption module 615 that encrypts or decrypts designated data according to a specified algorithm using a carrier key provided in the memory unit 660. In addition, the signature target decoding unit 635 may process the encrypted signature target data to be decrypted through the encryption / decryption module 615.

도면6을 참조하면, 상기 USIM(600)은, 상기 고객 인증서를 통해 상기 서명 대상 데이터에 대한 서명 데이터를 생성하는 서명 처리부(640)와, 상기 통신사 키를 이용하여 상기 생성된 서명 데이터를 암호화하는 서명 데이터 암호부(645)와, 상기 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 데이터를 전송하는 서명 데이터 전송부(650)를 구비한다.
Referring to FIG. 6, the USIM 600 encrypts the generated signature data using a signature processing unit 640 that generates signature data for the signature target data through the customer certificate, and the carrier key. A signature data encryption unit 645 and a signature data transmission unit 650 for transmitting the encrypted signature data to the certificate program 515 of the wireless terminal 500 are provided.

상기 서명 처리부(640)는 상기 서명 대상 수신부(630)를 통해 수신된 서명 대상 데이터, 또는 상기 서명 대상 복호부(635)를 통해 복호화된 서명 대상 데이터를 확인하고, 상기 고객 인증서에 대응하는 서명용 키 값을 이용하여 지정된 전자서명 알고리즘(예컨대, RSA 알고리즘 또는 ECDSA 알고리즘)에 따라 상기 서명 대상 데이터를 서명하여 서명 값을 생성한다. 여기서, 서명 값이란 상기 전자서명 알고리즘에 의해 생성되는 값이다.
The signature processing unit 640 checks the signature target data received through the signature target receiver 630 or the signature target data decrypted through the signature target decoder 635, and a signature key corresponding to the customer certificate A signature value is generated by signing the data to be signed according to a digital signature algorithm (for example, an RSA algorithm or an ECDSA algorithm) designated using a value. Here, the signature value is a value generated by the digital signature algorithm.

상기 서명 처리부(640)는 상기 전자서명 알고리즘에 지정된 서명 값을 생성하기 위한 옵션 값을 적용할 수 있으며, 상기 옵션 값에 따라 상기 서명 값에는 상기 서명 값의 유효성을 인증하기 위한 서명 검증 키가 포함될 수 있다.
The signature processing unit 640 may apply an option value for generating a signature value specified in the digital signature algorithm, and the signature value includes a signature verification key for authenticating the validity of the signature value according to the option value You can.

상기 서명 처리부(640)는 상기 서명 값을 포함하는 서명 데이터를 생성한다. 상기 서명 값이 지정된 전자서명문 형태로 생성되는 경우, 상기 생성된 서명 값이 서명 데이터일 수 있다. 한편 상기 생성되는 서명 값이 지정된 전자서명문 형태가 아닌 경우, 상기 서명 처리부(640)는 상기 서명 값을 지정된 전자서명문 형태로 가공하여 서명 데이터를 생성할 수 있다.
The signature processing unit 640 generates signature data including the signature value. When the signature value is generated in the form of a designated digital signature, the generated signature value may be signature data. On the other hand, if the generated signature value is not in the form of a specified digital signature, the signature processing unit 640 may generate the signature data by processing the signature value in the form of a specified digital signature.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 지정된 전자서명문 형태(예컨대, [PKCS7], [RFC2630] 등)를 준용하면서 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있다.
According to an embodiment of the present invention, the signature data is applied to the validity of the USIM 600 in which the digital signature procedure using the customer certificate is performed while applying the designated digital signature type (eg, [PKCS7], [RFC2630], etc.). A medium authentication value for authentication may be included.

상기 서명 데이터 암호부(645)는 상기 메모리부(660)에 저장된 통신사 키를 이용하여 상기 생성된 서명 데이터를 암호화한다. 본 발명의 실시 방법에 따르면, 상기 USIM(600)에는 상기 메모리부(660)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비할 수 있으며, 상기 서명 데이터 암호부(645)는 상기 암복호 모듈(615)을 통해 상기 서명 데이터가 암호화되도록 처리할 수 있다.
The signature data encryption unit 645 encrypts the generated signature data using a communication company key stored in the memory unit 660. According to an embodiment of the present invention, the USIM 600 may include an encryption / decryption module 615 that encrypts or decrypts designated data according to a specified algorithm using a carrier key provided in the memory unit 660. The signature data encryption unit 645 may process the signature data to be encrypted through the encryption / decryption module 615.

상기 서명 데이터 전송부(650)는 상기 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 데이터를 전송한다. 상기 암호화된 서명 데이터는 상기 무선단말(500)의 인증서 프로그램(515)을 거쳐 지정된 통신사서버(400)(또는 관리서버(300))로 전송될 수 있는 전송채널 구조로 전송될 수 있다. 이 경우에 상기 무선단말(500)의 인증서 프로그램(515)은 상기 암호화된 서명 데이터를 전송채널 구조로 가공하지 않고도 상기 암호화된 서명 데이터를 지정된 통신사서버(400)(또는 관리서버(300))로 전송할 수 있다.
The signature data transmission unit 650 transmits the encrypted signature data to the certificate program 515 of the wireless terminal 500. The encrypted signature data may be transmitted through a transmission channel structure that can be transmitted to a designated carrier server 400 (or management server 300) through the certificate program 515 of the wireless terminal 500. In this case, the certificate program 515 of the wireless terminal 500 transmits the encrypted signature data to the designated carrier server 400 (or management server 300) without processing the encrypted signature data into a transport channel structure. Can transmit.

무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600)으로부터 암호화된 서명 데이터를 수신하고, 이를 통신사서버(400)로 전송한다. 상기 통신사서버(400)는 상기 무선단말(500)로부터 암호화된 서명 데이터를 수신하고, 이를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data from the USIM 600 and transmits it to the carrier server 400. The carrier server 400 receives the encrypted signature data from the wireless terminal 500 and transmits it to the management server 300.

상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 is generated using the signature target data according to the designated signature operation of the certificate applet 620 provided in the USIM 600 from the carrier server 400 and is provided in the USIM 600 The encrypted signature data in the USIM 600 is received through the certificate program 515 of the wireless terminal 500 and the service provider server 400 through the service provider key.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the carrier key in the USIM 600 may include an integrity verification value for the encrypted signature data, and the management server 300 may include the financial company. A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the key may be performed.

상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 checks the signature data encrypted inside the USIM 600 through the carrier key, and is encrypted inside the USIM 600 through the carrier key using the encryption / decryption module 310. It is processed to decrypt the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The management server 300 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate has been performed, and the management server 300 includes the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the management server The 300 checks and compares the key values exchanged according to the key exchange procedure, or authenticates the validity by comparing the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the carrier server 400 at a designated time point before or after the signature data is received without being associated with the signature data. In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 processes the encrypted signature data encrypted inside the USIM 600 and encrypts the decrypted signature data again through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an embodiment of the present invention, while the process of encrypting the decrypted signature data through the financial company key is being processed, the management server 300 encrypts the decrypted signature data through the communication company key through the financial company key. The integrity authentication value of the signature data for is generated, and the integrity authentication value can be included in the signature data encrypted through the financial company key.

상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial company key to the financial company server 200. The financial institution server 200 is signed in the USIM 600 from the management server 300, encrypted through a carrier key in the USIM 600, and then decrypted by the management server 300 and re-entered the financial company key. The encrypted signature data is received.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial company server 200 decrypts the signature data encrypted by the financial company key in the management server 300 through the encryption / decryption module 210 through the financial company key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data encrypted through the financial company key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial institution server 200 may include the financial company. A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the key may be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial company key is decrypted, the financial company server 200 performs a procedure for authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or a part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives an authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to an embodiment of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when 'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure for authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to an implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the electronic signature procedure using the customer certificate is performed, and the financial institution server 200 signs the signature A procedure for authenticating the medium authentication value included in the data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the financial institution server The 200 checks and compares the key values exchanged according to the key exchange procedure, or compares the generated values according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key values to authenticate validity. You can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a designated time point before or after the signature data is received without being associated with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to an embodiment of the present invention, the signature data has a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. The financial company server 200 may perform a procedure for authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm specified by the management server 300, and the financial company server 200 checks and compares the key values exchanged according to the key exchange procedure, or authenticates the validity by comparing the generated values according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key values can do. Meanwhile, the financial company server 200 and the management server 300 are provided by exchanging server certificates, and the financial company server 200 authenticates the reliability of the management server 300 by using each exchanged server certificate. can do. Meanwhile, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a designated time point before or after the signature data is received. It can be authenticated, and in this case, the process of authenticating the reliability of the management server 300 using the signature data may be omitted.

도면7은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 선택 및 요청 과정을 도시한 도면이다.
7 is a diagram illustrating a USIM-based digital signature selection and request process according to an embodiment of the present invention.

보다 상세하게 본 도면7은 금융사서버(200)에서 거래 절차를 수행하는 중에 고객 소유 무선단말(500)에 이탈착되는 USIM(600) 내부에 구비된 고객 인증서를 이용하여 서명하고 상기 USIM(600) 내부에 구비된 통신사 키를 이용하여 서명 데이터를 암호화하는 방식의 USIM 기반 전자서명을 선택하여 요청하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면7을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 선택 및 요청 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면7에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면7은 본 발명에 따른 USIM 기반 전자서명을 위해 금융사서버(200)에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 선택 및 요청 과정을 위주로 도시 및 설명하기로 한다. 본 도면7에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 7 is signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 while performing the transaction procedure at the financial institution server 200 and the USIM 600 This shows the process of selecting and requesting a USIM-based digital signature of a method of encrypting signature data using a communication company key provided therein, and those skilled in the art to which the present invention pertains, refer to FIG. 7 Various implementation methods (for example, some steps are omitted or an order is changed) for the USIM-based digital signature selection and request process may be inferred by reference and / or modification. It is made to include the implementation method, the technical features are not limited to only the implementation method shown in FIG. For convenience, FIG. 7 omits the illustration and description of various key exchange and authentication procedures to be performed in the financial institution server 200 for the USIM-based electronic signature according to the present invention, but focuses on the USIM-based electronic signature selection and request process. I will explain. For the convenience of the authentication procedure omitted in FIG. 7, the description of FIGS. 2 to 6 will be referred to.

도면7을 참조하면, 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 금융사서버(200)로 전자서명이 필요한 거래(예컨대, 금융거래, 지급결제 등)를 요청하고(700), 상기 금융사서버(200)는 상기 요청된 거래 절차를 수행하면서 상기 요청된 거래가 성립되기 위해 전자서명 절차가 수행되어야 하는지 확인한다(705). 만약 상기 요청된 거래가 성립되기 위해 전자서명이 필요하다면, 상기 금융사서버(200)는 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)로 전자서명 절차를 수행할 인증서가 구비된 위치를 선택하도록 요청하고(710), 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 인증서 위치를 선택한다(715).
Referring to FIG. 7, the wireless terminal 500 equipped with the customer terminal 100 or the USIM 600 requests a transaction (e.g., financial transaction, payment, etc.) requiring electronic signature from the financial institution server 200 ( 700), the financial institution server 200 checks whether an electronic signature procedure should be performed in order to establish the requested transaction while performing the requested transaction procedure (705). If an electronic signature is required to establish the requested transaction, the financial institution server 200 has a certificate to perform an electronic signature procedure with the wireless terminal 500 equipped with the customer terminal 100 or USIM 600. Request to select the location (710), the customer terminal 100 or the wireless terminal 500 equipped with the USIM (600) selects the location of the certificate (715).

상기 금융사서버(200)는 상기 선택된 인증서 위치가 고객 소유 무선단말(500)에 구비된 USIM(600)인지 확인한다(720). 만약 상기 선택된 인증서 위치가 상기 USIM(600)이 아니라면, 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 상기 선택된 인증서 위치에 저장된 고객 인증서를 이용하여 전자서명 절차를 수행한다(725).
The financial institution server 200 checks whether the selected certificate location is the USIM 600 provided in the customer-owned wireless terminal 500 (720). If the selected certificate location is not the USIM 600, the customer terminal 100 or the wireless terminal 500 equipped with the USIM 600 performs an electronic signature procedure using the customer certificate stored in the selected certificate location. (725).

한편 상기 선택된 인증서 위치가 상기 USIM(600)으로 확인되면, 상기 금융사서버(200)는 상기 거래 절차와 연동하여 상기 USIM(600)을 통해 서명할 서명 대상 데이터를 확인하고(730), 금융사 키를 통해 서명 대상 데이터를 암호화하고(735), 상기 서명 대상 데이터의 서명 및 암호화를 처리할 USIM(600)이 구비된 고객 소유 무선단말(500)의 식별 정보를 확인한 후(740), 지정된 관리서버(300)로 상기 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말(500)의 식별 정보를 전송한다(745).
On the other hand, if the selected certificate location is confirmed to be the USIM (600), the financial institution server (200) checks the signature target data to be signed through the USIM (600) in conjunction with the transaction procedure (730), and the financial company key. After encrypting the data to be signed (735), and verifying identification information of the customer-owned wireless terminal 500 equipped with a USIM (600) to process the signature and encryption of the data to be signed (740), the designated management server ( 300) and transmits the signature target data encrypted through the financial company key and identification information of the customer-owned wireless terminal 500 (S745).

도면8은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 요청을 중계하는 과정을 도시한 도면이다.
8 is a diagram illustrating a process of relaying a USIM-based digital signature request according to an embodiment of the present invention.

보다 상세하게 본 도면8은 관리서버(300)에서 N개의 금융사서버(200) 중 제n 금융사서버(200)로부터 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하여 복호화한 후 M개의 통신사 중 USIM(600)을 구비한 고객 소유 무선단말(500)이 가입된 제m 통신사의 제m 통신사 키로 상기 복호화된 서명 대상 데이터를 다시 암호화하여 상기 통신사서버(400)로 전송하면, 통신사서버(400)가 상기 암호화된 서명 대상 데이터를 USIM(600)을 구비한 고객 소유 무선단말(500)로 전송하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면8을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 요청 중계 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면8에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면8은 본 발명에 따른 USIM 기반 전자서명을 위해 관리서버(300) 및/또는 통신사서버(400) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 요청 중계 과정을 위주로 도시 및 설명하기로 한다. 본 도면8에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 8 shows that the management server 300 receives and decrypts the data to be signed encrypted through the nth financial company key from the nth financial company server 200 among the N financial company servers 200, and then decrypts the data among the M communication companies. When the customer-owned wireless terminal 500 equipped with a USIM 600 encrypts the decrypted signature target data again with the m-th carrier key of the m-th carrier subscribed to and transmits the decrypted signature target data to the telecommunications server 400, the carrier server 400 Figure 8 shows the process of transmitting the encrypted signature target data to a customer-owned wireless terminal 500 equipped with a USIM 600, and those of ordinary skill in the art to which the present invention pertains, refer to FIG. Various implementation methods (for example, some steps are omitted or an ordered implementation method) for the USIM-based digital signature request relaying process may be inferred by reference and / or modification. It is made including all inferred implementation methods, and its technical characteristics are not limited to only the implementation methods illustrated in FIG. 8. For convenience, this figure 8 omits the illustration and description of various key exchange and authentication procedures to be performed on the management server 300 and / or the carrier server 400 for the USIM-based electronic signature according to the present invention, but USIM-based electronic signature The request relaying process will be mainly illustrated and explained. For convenience, the authentication procedure omitted in FIG. 8 will be described with reference to FIGS. 2 to 6.

도면8을 참조하면, 관리서버(300)는 N개의 금융사서버(200) 중 상기 도면7에 도시된 과정을 통해 USIM 기반 전자서명을 요청한 제n 금융사서버(200)로부터 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말(500)의 식별 정보를 수신한다(800).
Referring to FIG. 8, the management server 300 through the n th financial company key from the n th financial company server 200 requesting a USIM-based digital signature through the process shown in FIG. 7 among the N financial company servers 200 The encrypted signature target data and identification information of the customer-owned wireless terminal 500 are received (800).

상기 관리서버(300)는 상기 암호화된 서명 대상 데이터를 제n 금융사 키를 통해 복호화한다(805). 상기 관리서버(300)는 M개의 통신사 중 상기 식별 정보에 대응하는 제m 통신사를 확인하고(810), 상기 암호화된 서명 대상 데이터가 복호화됨과 동시에, 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터를 다시 암호화하고(815), 상기 식별 정보에 대응하는 무선단말(500)의 USIM(600)으로 하여금 상기 서명 대상 데이터를 서명함과 동시에 암호화하는 동작을 수행하게 하는 명령어를 확인한 후(820), 제m 통신사서버(400)로 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 무선단말(500)의 식별 정보 및 상기 동작 수행을 위한 명령어(생략 가능)를 전송한다(825).
The management server 300 decrypts the encrypted signature target data through an nth financial company key (805). The management server 300 identifies the m-th carrier that corresponds to the identification information among the M carriers (810), and the encrypted signature target data is decrypted, and the decrypted signature target data through the m-th carrier key. After re-encrypting (815), after confirming a command to cause the USIM (600) of the wireless terminal 500 corresponding to the identification information to perform the operation of simultaneously encrypting the signature target data (820), To the m-th communication company server 400, the signature target data encrypted through the m-th communication company key, identification information of the wireless terminal 500, and a command for performing the operation (can be omitted) are transmitted (825).

상기 통신사서버(400)는 상기 관리서버(300)로부터 자사의 통신사 키를 통해 암호화된 서명 대상 데이터와 무선단말(500)의 식별 정보 및 명령어(생략 가능)를 수신한다(830). 한편 실시 방법에 따라 상기 명령어는 상기 통신사서버(400)에서 확인될 수 있다.
The communication company server 400 receives the signature target data and the identification information and commands (possibly omitted) of the wireless terminal 500 encrypted through the communication company key from the management server 300 (830). On the other hand, depending on the implementation method, the command may be confirmed in the communication company server 400.

상기 통신사서버(400)는 상기 식별 정보를 이용하여 전자서명 절차를 수행할 USIM(600)의 유효성을 인증하거나 및/또는 상기 USIM(600)을 구비한 무선단말(500)의 유효성을 인증한다(835). 만약 상기 유효성이 인증되지 않으면, 상기 통신사서버(400)는 관리서버(300)로 USIM 기반 서명 오류를 전송하고(845), 상기 관리서버(300)는 금융사서버(200)로 상기 USIM 기반 서명 오류를 전송한다(850).
The carrier server 400 uses the identification information to authenticate the validity of the USIM 600 to perform an electronic signature procedure and / or to authenticate the validity of the wireless terminal 500 equipped with the USIM 600 ( 835). If the validity is not authenticated, the carrier server 400 sends a USIM-based signature error to the management server 300 (845), and the management server 300 sends the USIM-based signature error to the financial company server 200. And transmits (850).

한편 상기 유효성이 인증되지 않으면, 상기 통신사서버(400)는 상기 식별 정보에 대응하는 무선단말(500)로 상기 통신사 키를 통해 암호화된 서명 데이터와 명령어(생략 가능)를 전송한다(840).
On the other hand, if the validity is not authenticated, the carrier server 400 transmits the encrypted signature data and the command (possibly omitted) through the carrier key to the wireless terminal 500 corresponding to the identification information (840).

도면9는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 및 암호화 과정을 도시한 도면이다.
9 is a diagram showing a USIM-based digital signature and encryption process according to an embodiment of the present invention.

보다 상세하게 본 도면9는 무선단말(500)의 인증서 프로그램(515)의 요청에 따라 USIM(600) 내부에서 고객 인증서를 통해 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 동시에 통신사 키로 암호화하여 전송하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면9를 참조 및/또는 변형하여 상기 USIM 기반 전자서명 및 암호화 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면9에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면9는 본 발명에 따른 USIM 기반 전자서명을 위해 통신사서버(400), 무선단말(500) 및 USIM(600) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 및 암호화 과정을 위주로 도시 및 설명하기로 한다. 본 도면9에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, in FIG. 9, the signature target data is signed through the customer certificate inside the USIM 600 according to the request of the certificate program 515 of the wireless terminal 500, and the signature data is generated and simultaneously encrypted and transmitted. As shown in the drawing, if a person skilled in the art to which the present invention pertains, various implementation methods for the USIM-based digital signature and encryption process (for example, some steps) by referring to and / or modifying this FIG. (Omitted or the order of the implementation method is changed) may be inferred, but the present invention includes all the inferred implementation methods, and its technical characteristics are not limited to only the implementation methods illustrated in FIG. 9. For convenience, FIG. 9 shows various key exchange and authentication procedures to be performed in the carrier server 400, the wireless terminal 500, and the USIM 600 for the USIM-based electronic signature according to the present invention, but the illustration and description are omitted. The digital signature and encryption process will be mainly illustrated and described. For convenience, the authentication procedure omitted in FIG. 9 will be described with reference to FIGS. 2 to 6.

도면9를 참조하면, 무선단말(500)의 인증서 프로그램(515)은 상기 도면8에 도시된 과정을 통해 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 데이터를 수신하고(900), USIM(600) 내부 서명 및 암호화 동작을 위한 명령어를 수신하거나(900), 또는 상기 명령어를 내부적으로 결정한다(900).
Referring to FIG. 9, the certificate program 515 of the wireless terminal 500 receives the encrypted signature data through the carrier key from the carrier server 400 through the process shown in FIG. 8 (900), and the USIM ( 600) Receive instructions for internal signature and encryption operations (900), or determine the instructions internally (900).

상기 무선단말(500)의 인증서 프로그램(515)은 상기 무선단말(500)에 이탈착되는 USIM(600)이 상기 명령어를 근거로 상기 서명 대상 데이터에 대한 전자서명 및 암호화 처리를 수행할 수 있는지 상기 USIM(600)에 대한 유효성을 인증한다(905).
The certificate program 515 of the wireless terminal 500 is to determine whether the USIM 600 detached from the wireless terminal 500 can perform digital signature and encryption processing on the signature target data based on the command. The validity of the USIM 600 is authenticated (905).

만약 상기 USIM(600)의 유효성이 인증되지 않으면, 상기 무선단말(500)의 인증서 프로그램(515)은 통신사서버(400)로 USIM 기반 서명 오류를 전송하고(910), 상기 통신사서버(400)는 상기 USIM 기반 서명 오류를 수신하여(910) 관리서버(300)를 경유하여 금융사서버(200)로 전송한다.
If the validity of the USIM 600 is not authenticated, the certificate program 515 of the wireless terminal 500 transmits a USIM-based signature error to the carrier server 400 (910), and the carrier server 400 is The USIM-based signature error is received (910) and transmitted to the financial institution server 200 via the management server 300.

한편 상기 USIM(600)의 유효성이 인증되면, 상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 명령어를 USIM(600)으로 주입하고(915), 상기 USIM(600)은 상기 무선단말(500)의 인증서 프로그램(515)으로부터 통신사 키를 통해 암호화된 서명 대상 데이터와 명령어를 USIM(600)으로 수신한다(920).
On the other hand, if the validity of the USIM 600 is authenticated, the certificate program 515 of the wireless terminal 500 injects the encrypted target data and commands through the carrier key into the USIM 600 (915), and the USIM (600) receives the signature target data and commands encrypted through the carrier key from the certificate program 515 of the wireless terminal 500 to the USIM (600) (920).

상기 USIM(600)은 상기 암호화된 서명 대상 데이터를 통신사 키를 통해 복호화하고(925), 고객 인증서를 이용하여 상기 복호화된 서명 대상 데이터를 서명하여 지정된 전자서명문 형태의 서명 데이터를 생성한다(930). 상기 USIM(600)은 통신사 키를 통해 상기 서명 데이터를 암호화하고(935), 상기 통신사 키를 통해 암호화된 서명 데이터를 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다(940).
The USIM 600 decrypts the encrypted signature target data through a carrier key (925), and signs the decrypted signature target data using a customer certificate to generate signature data in the form of a designated digital signature (930) ). The USIM 600 encrypts the signature data through the carrier key (935) and transmits the signature data encrypted through the carrier key to the certificate program 515 of the wireless terminal 500 (940).

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600)으로부터 상기 통신사 키를 통해 암호화된 서명 데이터를 수신하고(945), 상기 통신사서버(400)로 상기 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 전송한다(950).
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data through the carrier key from the USIM 600 (945), and the customer inside the USIM 600 to the carrier server 400 The signature data that is signed through the certificate and encrypted through the carrier key is transmitted (950).

상기 통신사서버(400)는 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 수신하고(955), 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 관리서버(300)로 전송한다(960).
The carrier server 400 receives the signature data that is signed through the customer certificate and encrypted through the carrier key in the USIM 600 (955), and manages the signature and encrypted signature data in the USIM 600 inside the management server It transmits to (300) (960).

도면10은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 인증 과정을 도시한 도면이다.
10 is a diagram showing a USIM-based digital signature authentication process according to an embodiment of the present invention.

보다 상세하게 본 도면10은 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 인증하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면10을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 인증 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면10에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면10은 본 발명에 따른 USIM 기반 전자서명을 위해 관리서버(300), 금융사서버(200) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 인증 과정을 위주로 도시 및 설명하기로 한다. 본 도면10에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 10 shows a process of authenticating signature data that is signed through a customer certificate and encrypted through a carrier key in the USIM 600, and those skilled in the art to which the present invention pertains However, by referring to and / or modifying this drawing 10, various implementation methods (for example, an implementation method in which some steps are omitted or an order is changed) for the USIM-based digital signature authentication process may be inferred. It is made including all inferred implementation methods, and its technical characteristics are not limited to only the implementation methods illustrated in FIG. 10. For convenience, FIG. 10 shows various key exchange and authentication procedures to be performed in the management server 300, the financial institution server 200, and the like for the USIM-based electronic signature according to the present invention, but the USIM-based electronic signature authentication process is omitted. It will be mainly illustrated and illustrated. For the convenience of the authentication procedure omitted in FIG. 10, the description of FIGS. 2 to 6 will be referred to.

도면10을 참조하면, 관리서버(300)는 M개의 통신사서버(400) 중 상기 도면9 도시된 과정을 수행한 제m 통신사서버(400)로부터 무선단말(500)의 USIM(600) 내부에서 서명되고 제m 통신사 키를 통해 암호화된 서명 데이터를 수신한다(1000).
Referring to FIG. 10, the management server 300 is signed inside the USIM 600 of the wireless terminal 500 from the m carrier company server 400 performing the process shown in FIG. 9 among the M carrier companies 400 Then, the encrypted signature data is received through the m-th carrier key (1000).

상기 관리서버(300)는 상기 암호화된 서명 데이터를 제m 통신사 키를 통해 복호화(1005)함과 동시에, 상기 복호화된 서명 데이터를 제n 금융사 키를 통해 다시 암호화하고(1010), 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송한다(1015).
The management server 300 decrypts (1005) the encrypted signature data through the mth communication company key, and simultaneously encrypts the decrypted signature data through the nth financial company key (1010), and the nth financial company. The signature data encrypted through the key is transmitted to the n-th financial institution server 200 (1015).

제n 금융사에 해당하는 금융사서버(200)는 상기 관리서버(300)로부터 금융사 키를 통해 암호화된 서명 데이터를 수신하고(1020), 상기 암호화된 서명 데이터를 금융사 키를 통해 복호화하고(1025), 상기 복호화된 서명 데이터에 대한 인증 절차를 수행한다(1030).
The financial company server 200 corresponding to the nth financial company receives the encrypted signature data through the financial company key from the management server 300 (1020), decrypts the encrypted signature data through the financial company key (1025), An authentication procedure for the decrypted signature data is performed (1030).

만약 상기 복호화된 서명 데이터가 인증되지 않으면, 상기 금융사서버(200)는 거래를 요청한 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)로 USIM 기반 서명 오류를 전송하고(1035), 상기 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)은 상기 USIM 기반 서명 오류를 수신하여 출력한다(1035).
If the decrypted signature data is not authenticated, the financial institution server 200 transmits a USIM-based signature error to the wireless terminal 500 having the customer terminal 100 or the USIM 600 requesting the transaction (1035). The wireless terminal 500 equipped with the customer terminal 100 or the USIM 600 receives and outputs the USIM-based signature error (1035).

한편 상기 복호화된 서명 데이터가 인증되면, 상기 금융사서버(200)는 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)로부터 요청된 거래 절차에 대한 거래가 성립된 것으로 인증하고, 상기 성립된 거래 절차의 나머지 절차를 수행하며(1040), 상기 거래를 요청한 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)은 상기 금융사서버(200)로부터 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 이용한 거래 절차를 수행한 거래 결과를 수신하여 출력한다(1045).
On the other hand, when the decrypted signature data is authenticated, the financial institution server 200 authenticates that the transaction for the transaction procedure requested from the wireless terminal 500 equipped with the customer terminal 100 or the USIM 600 is established, and the The remaining procedure of the established transaction procedure is performed (1040), and the wireless terminal 500 equipped with the customer terminal 100 or the USIM 600 requesting the transaction is provided within the USIM 600 from the financial institution server 200. In step 1045, the result of the transaction that performed the transaction procedure using the signed and encrypted signature data is received and output.

100 : 고객단말 200 : 금융사서버
300 : 관리서버 400 : 통신사서버
405 : 서명 대상 수신부 410 : 정보 관리부
415 : 정보 인증부 420 : 서명 대상 중계부
425 : 서명 데이터 수신부 430 : 서명 데이터 중계부
500 : 무선단말 600 : USIM100: customer terminal 200: financial company server
300: management server 400: carrier server
405: Signature target receiving unit 410: Information management unit
415: Information authentication unit 420: Signature target relay unit
425: Signature data receiving unit 430: Signature data relay unit
500: Wireless terminal 600: USIM

Claims (10)

통신사서버를 통해 실행되는 방법에 있어서,
지정된 관리서버로부터 금융사서버에 구비된 금융사 키를 통해 상기 금융사서버 내에서 암호화된 후 상기 관리서버에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말을 식별하는 식별 정보를 수신하는 제1 단계;
상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로 상기 암호화된 서명 대상 데이터를 전송하는 제2 단계;
상기 식별 정보에 대응하는 무선단말의 인증서 프로그램으로부터 상기 무선단말의 USIM(Universal Subscriber Identity Module)에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 통신사 키를 통해 상기 USIM 내에서 암호화된 서명 데이터를 수신하는 제3 단계; 및
상기 암호화된 서명 데이터를 상기 관리서버로 전송하는 제4 단계;를 포함하는 통신사의 유심기반 전자서명 처리 방법.
In the method executed through the carrier server,
Receives identification information identifying the target data and customer-owned wireless terminal encrypted by the management server and encrypted again by the management server after being encrypted in the financial company server through the financial company key provided in the financial company server from the designated management server. The first step;
A second step of transmitting the encrypted signature target data to a certificate program of a wireless terminal corresponding to the identification information;
From the certificate program of the wireless terminal corresponding to the identification information, it is generated using the data to be signed according to the designated signature operation of the certificate applet provided in the universal subscriber identity module (USIM) of the wireless terminal, and the carrier key provided in the USIM A third step of receiving encrypted signature data in the USIM through; And
And a fourth step of transmitting the encrypted signature data to the management server.
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제 1항에 있어서, 상기 서명 데이터는,
상기 USIM의 인증서 애플릿을 통해 수행된 전자서명 절차의 서명 검증 키를 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
The method of claim 1, wherein the signature data,
And a signature verification key of an electronic signature procedure performed through the USIM's certificate applet.
제 1항에 있어서, 상기 통신사 키를 통해 암호화된 서명 데이터는,
상기 통신사 키를 암호 키로 이용하여 상기 USIM 내부에서 암호화되거나,
상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM 내부에서 암호화되거나,
상기 통신사 키를 근거로 USIM과 통신사서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되거나,
상기 통신사 키를 근거로 USIM과 관리서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되는 것 중, 적어도 하나를 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
The method of claim 1, wherein the signature data encrypted through the carrier key,
Encrypted inside the USIM using the carrier key as an encryption key, or
Encrypted inside the USIM through an encryption key generated using the carrier key, or
Based on the carrier key, the key value exchanged between the USIM and the carrier server is used as an encryption key, or encrypted inside the USIM.
A method for processing a digital signature based on the carrier's simulativeity, characterized in that it comprises at least one of encryption among the USIM using a key value exchanged between a USIM and a management server as an encryption key based on the carrier key.
제 1항에 있어서, 상기 통신사 키를 통해 암호화된 서명 데이터는,
상기 통신사 키를 이용하여 USIM 내에서 수행된 암호화의 무결성 검증 값을 포함하여 이루어지는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.
The method of claim 1, wherein the signature data encrypted through the carrier key,
A method of processing a digital signature based on a carrier's SIM, characterized in that it comprises a verification value of integrity of encryption performed in a USIM using the carrier's key.
제 1항에 있어서, 상기 통신사 키를 통해 암호화된 서명 데이터는,
상기 관리서버에 의해 복호화되고 다시 금융사 키를 통해 암호화되는 것을 특징으로 하는 통신사의 유심기반 전자서명 처리 방법.

The method of claim 1, wherein the signature data encrypted through the carrier key,
Decrypted by the management server and encrypted again through a financial company key, a method for processing a digital signature based on a telecommunication company.

KR1020130100290A 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator KR102078319B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130100290A KR102078319B1 (en) 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130100290A KR102078319B1 (en) 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator

Publications (2)

Publication Number Publication Date
KR20150023150A KR20150023150A (en) 2015-03-05
KR102078319B1 true KR102078319B1 (en) 2020-04-03

Family

ID=53020693

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130100290A KR102078319B1 (en) 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator

Country Status (1)

Country Link
KR (1) KR102078319B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7502618B2 (en) * 2020-07-20 2024-06-19 富士通株式会社 COMMUNICATION PROGRAM, COMMUNICATION DEVICE, AND COMMUNICATION METHOD

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100858146B1 (en) 2007-02-21 2008-09-10 주식회사 케이티프리텔 Method for personal authentication using mobile and subscriber identify module and device thereof
KR101087215B1 (en) 2009-04-08 2011-11-29 신동현 USIM direct paying system in mobile phone, direct paying method and storage medium of its method
KR101103189B1 (en) 2009-09-14 2012-01-04 사단법인 금융결제원 System and Method for Issueing Public Certificate of Attestation using USIM Information and Recording Medium
KR101138283B1 (en) 2010-04-22 2012-04-24 비씨카드(주) Method and system of mobile payment

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070051817A (en) * 2007-04-27 2007-05-18 주식회사 아이캐시 The credit card payment system without authorization using mobile commerce celluar phone in internet electronic commerce

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100858146B1 (en) 2007-02-21 2008-09-10 주식회사 케이티프리텔 Method for personal authentication using mobile and subscriber identify module and device thereof
KR101087215B1 (en) 2009-04-08 2011-11-29 신동현 USIM direct paying system in mobile phone, direct paying method and storage medium of its method
KR101103189B1 (en) 2009-09-14 2012-01-04 사단법인 금융결제원 System and Method for Issueing Public Certificate of Attestation using USIM Information and Recording Medium
KR101138283B1 (en) 2010-04-22 2012-04-24 비씨카드(주) Method and system of mobile payment

Also Published As

Publication number Publication date
KR20150023150A (en) 2015-03-05

Similar Documents

Publication Publication Date Title
KR102304778B1 (en) System and method for initially establishing and periodically confirming trust in a software application
CN101261675B (en) Secure method for loading service access data in an NFC chipset
CN112823335A (en) System and method for password authentication of contactless cards
EP4081921B1 (en) Contactless card personal identification system
US20190165947A1 (en) Signatures for near field communications
JP2022502888A (en) Systems and methods for cryptographic authentication of non-contact cards
CN112602104A (en) System and method for password authentication of contactless cards
CN113168631A (en) System and method for password authentication of contactless cards
US20230224297A1 (en) Establishing authentication persistence
CN111404706A (en) Application downloading method, secure element, client device and service management device
WO2024107974A1 (en) Systems and techniques to perform verification operations with wireless communication
WO2015117323A1 (en) Method and device for achieving remote payment
CN111709747A (en) Intelligent terminal authentication method and system
KR102078319B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator
KR102149313B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module
KR102076313B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module of Mobile Device
KR102193696B1 (en) Method for Providing Safety Login based on One Time Code by using User’s Card
KR102149315B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Financial Institution
KR20110005615A (en) System and method for managing wireless otp using user's media, wireless terminal and recording medium
KR20150023144A (en) Method for Processing Electronic Signature by using Universal Subscriber Identity Module
Köse et al. Design of a Secure Key Management System for SIM Cards: SIM-GAYS
KR101505735B1 (en) Method for Authenticating Near Field Communication Card by using Time Verification
KR101628614B1 (en) Method for Processing Electronic Signature by using Secure Operating System
KR20130126127A (en) User authentication method using rf local area network communication
KR101513434B1 (en) Method and Module for Protecting Key Input

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant