KR102088290B1 - 보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치 - Google Patents

보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치 Download PDF

Info

Publication number
KR102088290B1
KR102088290B1 KR1020160002172A KR20160002172A KR102088290B1 KR 102088290 B1 KR102088290 B1 KR 102088290B1 KR 1020160002172 A KR1020160002172 A KR 1020160002172A KR 20160002172 A KR20160002172 A KR 20160002172A KR 102088290 B1 KR102088290 B1 KR 102088290B1
Authority
KR
South Korea
Prior art keywords
authentication
security
session
trust service
application
Prior art date
Application number
KR1020160002172A
Other languages
English (en)
Other versions
KR20170082885A (ko
Inventor
김건량
김정녀
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020160002172A priority Critical patent/KR102088290B1/ko
Priority to US15/201,121 priority patent/US20170201528A1/en
Publication of KR20170082885A publication Critical patent/KR20170082885A/ko
Application granted granted Critical
Publication of KR102088290B1 publication Critical patent/KR102088290B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/74Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Automation & Control Theory (AREA)

Abstract

보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치가 개시된다. 본 발명에 따른 보안 영역 기반의 신뢰서비스 제공 방법은 모바일 단말에 설치된 게이트 어플리케이션을 기반으로 일반 영역과 격리되어 생성된 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 제1 인증을 수행하는 단계; 제1 인증의 결과에 기반하여 게이트 어플리케이션과 보안 영역 사이의 제1 세션을 생성하고, 제1 세션을 기반으로 보안 어플리케이션을 실행하는 단계; 보안 어플리케이션을 기반으로 신뢰서비스를 사용하기 위한 제2 인증을 수행하는 단계; 및 제2 인증의 결과에 기반하여 보안 어플리케이션과 보안 영역 사이의 제2 세션을 생성하고, 제2 세션을 기반으로 신뢰서비스를 제공하는 단계를 포함한다.

Description

보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치 {METHOD OF PROVIDING TRUSTED SERVICE BASED ON SECURITY AREA AND APPARATUS USING THE SAME}
본 발명은 보안 영역 기반의 신뢰서비스 제공 기술에 관한 것으로, 특히 가상화를 이용한 보안 영역을 포함하는 보안 단말을 이용하여 신뢰 서비스들을 안전하게 제공할 수 있는 신뢰서비스 제공 기술에 관한 것이다.
최근 스마트 단말 장치의 급속한 보급으로 인해, 스마트 단말 내에서 개인 데이터와 기업 데이터를 함께 사용하는 사례가 늘고 있다. 그러나 보안에 대해 전혀 고려되지 않은 개방형 운영체제에서 동작하는 스마트 단말 장치의 경우에는 이와 같은 데이터 보안에 대해 많은 이슈가 제기되고 있다.
특히, 단말기 복제, 해킹과 같은 고의적인 방법이나 사용자의 부주의한 관리로 인한 단말의 유실 등으로 스마트 단말에 저장된 기업 데이터와 같이 보안이 필요한 데이터가 외부에 유출될 수 있기 때문에, 군사용 데이터, 기업 데이터 및 정보 관련 데이터 등의 보안 데이터의 외부 유출에 민감한 단체는 스마트 단말 내에서 신뢰서비스를 제공할 수 있는 솔루션이 시급한 실정이다.
따라서, 가상화 기술을 기반으로 스마트 단말의 일반적인 영역과 격리되는 보안 영역을 구축하고, 보안 영역을 통해 보안 데이터를 안전하게 저장하거나 신뢰할 수 있는 서비스를 제공할 수 있는 새로운 신뢰 및 보안 서비스 기술의 필요성이 절실하게 대두된다.
한국 공개 특허 제10-2010-0008678호, 2010년 1월 26일 공개(명칭: 가상 머신을 이용한 응용 프로그램 제공 방법 및 시스템, 가상 응용 프로그램 수행 방법, 가상 머신 모듈 및 온라인서비스 제공 방법)
본 발명의 목적은 해킹의 우려가 높은 일반 영역과는 격리된 보안 영역을 이용하여 비인가 사용자로부터의 보안 데이터 불법 외부 유출을 방지하는 것이다.
또한, 본 발명의 목적은 주기적인 사용자 확인 절차를 통해 비인가된 사용자의 접근을 차단함으로써 스마트 단말의 사용자에게 편리하고 안전한 신뢰 서비스를 제공하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 보안 영역 기반의 신뢰서비스 제공 방법은, 모바일 단말에 설치된 게이트 어플리케이션을 기반으로 일반 영역과 격리되어 생성된 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 제1 인증을 수행하는 단계; 상기 제1 인증의 결과에 기반하여 상기 게이트 어플리케이션과 상기 보안 영역 사이의 제1 세션을 생성하고, 상기 제1 세션을 기반으로 보안 어플리케이션을 실행하는 단계; 상기 보안 어플리케이션을 기반으로 상기 신뢰서비스를 사용하기 위한 제2 인증을 수행하는 단계; 및 상기 제2 인증의 결과에 기반하여 상기 보안 어플리케이션과 상기 보안 영역 사이의 제2 세션을 생성하고, 상기 제2 세션을 기반으로 상기 신뢰서비스를 제공하는 단계를 포함한다.
이 때, 신뢰서비스를 제공하는 단계는 상기 신뢰서비스의 사용 여부를 감지하여 기설정된 타임아웃시간 동안 상기 신뢰서비스의 사용이 감지되지 않는 경우에, 상기 제2 세션을 차단할 수 있다.
이 때, 신뢰서비스를 제공하는 단계는 상기 기설정된 타임아웃시간에 기반하여 상기 제2 세션이 차단된 경우에 상기 제1 세션을 기반으로 상기 사용자에 대한 재인증을 수행하고, 상기 재인증의 결과를 기반으로 상기 신뢰서비스를 제공할 수 있다.
이 때, 보안 어플리케이션을 실행하는 단계는 상기 제1 인증이 완료된 경우에 상기 제1 세션을 기반으로 상기 보안 영역에 상응하는 보안 어플리케이션 리스트를 제공하고, 상기 보안 어플리케이션 리스트에 포함된 적어도 하나의 보안 어플리케이션 중 상기 모바일 단말의 사용자가 선택한 어느 하나의 보안 어플리케이션을 실행할 수 있다.
이 때, 제1 인증을 수행하는 단계는 상기 신뢰서비스를 사용하기 위한 게이트 어플리케이션에 대한 인증 및 상기 모바일 단말의 사용자에 대한 인증 중 적어도 하나를 수행할 수 있다.
이 때, 제1 인증을 수행하는 단계는 상기 모바일 단말로 상기 사용자를 인증하기 위한 인증화면을 제공하여 상기 사용자에 대한 인증을 수행할 수 있다.
이 때, 제1 인증을 수행하는 단계는 상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 게이트 어플리케이션에 대한 인증을 수행할 수 있다.
이 때, 제2 인증을 수행하는 단계는 상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 보안 어플리케이션에 대한 인증을 수행할 수 있다.
이 때, 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 상기 제1 세션 및 상기 제2 세션 중 적어도 하나를 암호화된 세션으로 생성하는 단계를 더 포함할 수 있다.
이 때, 상기 게이트 어플리케이션이 종료되는 경우에, 상기 제1 세션과 상기 제2 세션을 삭제하여 상기 보안 영역으로의 접근을 차단하는 단계를 더 포함할 수 있다.
또한, 본 발명의 일실시예에 따른 보안 영역 기반의 신뢰서비스 제공 장치는 게이트 어플리케이션을 기반으로 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 제1 인증을 수행하는 제1 인증부; 상기 제1 인증의 결과에 기반하여 상기 게이트 어플리케이션과 상기 보안 영역 사이의 제1 세션을 생성하고, 상기 제1 세션을 기반으로 보안 어플리케이션을 실행하는 보안 어플리케이션 실행부; 상기 보안 어플리케이션을 기반으로 상기 신뢰서비스를 사용하기 위한 제2 인증을 수행하는 제2 인증부; 및 상기 제2 인증의 결과에 기반하여 상기 보안 어플리케이션과 상기 보안 영역 사이의 제2 세션을 생성하고, 상기 제2 세션을 기반으로 상기 신뢰서비스를 제공하는 신뢰서비스 제공부를 포함한다.
이 때, 신뢰서비스 제공부는 상기 신뢰서비스의 사용 여부를 감지하여 기설정된 타임아웃시간 동안 상기 신뢰서비스의 사용이 감지되지 않는 경우에, 상기 제2 세션을 차단할 수 있다.
이 때, 신뢰서비스 제공부는 상기 기설정된 타임아웃시간에 기반하여 상기 제2 세션이 차단된 경우에 상기 제1 세션을 기반으로 상기 사용자에 대한 재인증을 수행하고, 상기 재인증의 결과를 기반으로 상기 신뢰서비스를 제공할 수 있다.
이 때, 보안 어플리케이션 실행부는 상기 제1 인증이 완료된 경우에 상기 제1 세션을 기반으로 상기 보안 영역에 상응하는 보안 어플리케이션 리스트를 제공하고, 상기 보안 어플리케이션 리스트에 포함된 적어도 하나의 보안 어플리케이션 중 상기 모바일 단말의 사용자가 선택한 어느 하나의 보안 어플리케이션을 실행할 수 있다.
이 때, 제1 인증부는 상기 신뢰서비스를 사용하기 위한 게이트 어플리케이션에 대한 인증 및 상기 모바일 단말의 사용자에 대한 인증 중 적어도 하나를 수행할 수 있다.
이 때, 제1 인증부는 상기 모바일 단말로 상기 사용자를 인증하기 위한 인증화면을 제공하여 상기 사용자에 대한 인증을 수행할 수 있다.
이 때, 제1 인증부는 상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 게이트 어플리케이션에 대한 인증을 수행할 수 있다.
이 때, 제2 인증부는 상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 보안 어플리케이션에 대한 인증을 수행할 수 있다.
이 때, 신뢰서비스 제공 장치는 상기 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 상기 제1 세션 및 상기 제2 세션 중 적어도 하나를 암호화된 세션으로 생성하는 세션 생성부를 더 포함할 수 있다.
이 때, 신뢰서비스 제공 장치는 상기 게이트 어플리케이션이 종료되는 경우에, 상기 제1 세션과 상기 제2 세션을 삭제하여 상기 보안 영역으로의 접근을 차단하는 접근 제어부를 더 포함할 수 있다.
또한, 본 발명의 과제 해결을 위한 또 다른 수단으로써, 상술한 방법을 실행시키기 위하여 매체에 저장된 컴퓨터 프로그램을 제공한다.
본 발명에 따르면, 해킹의 우려가 높은 일반 영역과는 격리된 보안 영역을 이용하여 비인가 사용자로부터의 보안 데이터 불법 외부 유출을 방지할 수 있다.
또한, 본 발명은 주기적인 사용자 확인 절차를 통해 비인가된 사용자의 접근을 차단함으로써 스마트 단말의 사용자에게 편리하고 안전한 신뢰 서비스를 제공할 수 있다.
도 1은 본 발명에 따른 스마트 보안 단말의 일 예를 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 신뢰서비스 제공 장치를 나타낸 블록도이다.
도 3 내지 도 5는 본 발명에 따른 사용자 인증 과정의 일 예를 나타낸 도면이다.
도 6은 본 발명의 일실시예에 따른 신뢰서비스 제공 방법을 나타낸 동작 흐름도이다.
도 7은 본 발명의 일실시예에 따른 신뢰서비스 제공 방법을 상세하게 나타낸 동작 흐름도이다.
도 8은 도 6에 도시된 신뢰서비스 제공 방법 중 미사용 시간을 기반으로 사용자 재인증을 수행하는 과정을 나타낸 동작 흐름도이다.
도 9는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명에 따른 스마트 보안 단말의 일 예를 나타낸 블록도이다.
도 1을 참조하면, 본 발명에 따른 스마트 보안 단말(100)은 가상화 기술을 이용한 가상화 솔루션(130)을 기반으로 일반 영역(110)과 격리된 보안 영역(120)을 구축하여 사용자에게 보안 영역(120)을 기반으로 한 신뢰서비스를 제공할 수 있다.
즉, 스마트 보안 단말(100)의 일반 영역(110)은 사용자의 개인 데이터를 저장하거나 실행할 수 있는 사용자 영역일 수 있다. 또한, 보안 영역(120)은 보안이 필요한 군사용 데이터나 기업 데이터 및 정부 관련 데이터를 저장하고 실행하는 영역에 상응할 수 있다.
이 때, 신뢰서비스는 보안 영역에 개인키나 암복호화키 등의 보안 데이터를 저장하거나, 데이터 암호화 및 서명 생성 등을 수행하는 서비스에 상응할 수 있다.
이 때, 보안 영역(120)을 사용하는 여러 보안 어플리케이션에 대한 보안성을 강화하기 위해서, 일반 영역(120)에서 보안 영역(120)에 바로 접근시키지 않고 게이트 어플리케이션을 통해 접근하도록 할 수 있다. 또한, 일정한 시간 간격으로 스마트 보안 단말(100)에 상응하는 사용자에 대한 인증을 통해 보안 영역(120)의 접근을 제어할 수 있다.
이 때, 가상화 기술을 통해 생성된 보안 영역(120)을 통해 보안이 필요한 데이터를 안전하게 저장할 수 있다. 또한, 보안 영역(120)을 기반으로 데이터 암호화 및 복호화 등의 보안 기능을 수행할 수 있다.
이 때, 보안 영역(120)에서는 보안 영역(120)에 상응하는 접근 제어 정책을 기반으로 여러 어플리케이션의 인증을 수행한 뒤 신뢰할 수 있는 어플리케이션만 접근이 가능하도록 할 수 있다. 즉, 게이트 어플리케이션을 통해 보안 영역(120)에 상응하는 보안 어플리케이션에 접근할 수 있도록 하는 계층적 구조를 사용함으로써 인증되지 않은 사용자에게는 1차적으로 신뢰서비스들을 공개하지 않는 효과가 있을 수 있다.
또한, 스마트 보안 단말(100)에 상응하는 사용자에 대한 인증을 수행한 뒤 인증된 사용자만이 접근할 수 있도록 함으로써 도난이나 분실로 인해 비인가된 사용자가 보안 데이터에 접근하는 것을 방지할 수 있다.
또한, 사용자 인증을 수행한 뒤 보안 어플리케이션을 통해 신뢰서비스들을 사용하는 경우에 신뢰서비스들 각각에 대한 사용자 인증을 수행하는 것이 아니라 사용자 인증 이후 주기적으로 사용자를 확인할 수 있도록 하여 사용자에게 보다 편리하고 안전하게 신뢰서비스들을 제공할 수 있다.
도 2는 본 발명의 일실시예에 따른 신뢰서비스 제공 장치를 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 일실시예에 따른 신뢰서비스 제공 장치는 제1 인증부(210), 세션 생성부(220), 보안 어플리케이션 실행부(230), 제2 인증부(240), 신뢰서비스 제공부(250), 접근 제어부(260) 및 저장부(270)를 포함한다.
제1 인증부(210)는 모바일 단말에 설치된 게이트 어플리케이션을 기반으로 일반 영역과 격리되어 생성된 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 제1 인증을 수행한다.
이 때, 게이트 어플리케이션은 보안 영역에 저장된 신뢰서비스를 이용할 수 있는 보안 어플리케이션에 접근하기 위한 어플리케이션에 상응할 수 있다. 즉, 일반 영역과 보안 영역이 계층적 구조로 구성됨으로써 먼저 게이트 어플리케이션을 실행하여 인증을 수행한 뒤 보안 영역으로 접근할 수 있다.
이 때, 신뢰서비스를 사용하기 위한 게이트 어플리케이션에 대한 인증 및 모바일 단말의 사용자에 대한 인증 중 적어도 하나를 수행할 수 있다.
예를 들어, 게이트 어플리케이션에 대한 인증을 요청하고, 게이트 어플리케이션에 대한 인증이 성공하면 보안 영역으로 사용자에 대한 인증을 요청할 수 있다.
이 때, 보안 영역에 저장된 보안 데이터의 불법 유출을 방지하기 위해 사용자 인증을 수행함으로써 보안 영역에 접근하는 사용자가 사전에 인가된 사용자인지 여부를 확인할 수 있다. 예를 들어, 사용자가 모바일 단말을 도난 당하거나 분실하여 비인가된 사용자가 모바일 단말을 습득하는 경우에 사용자 인증을 기반으로 비인가된 사용자가 보안 영역에 접근하는 것을 방지할 수 있다.
이 때, 사용자 인증은 PIN 인증, 지문 인식 및 얼굴 인식 등 모바일 단말을 통해 수행할 수 있는 다양한 방법을 이용하여 수행할 수 있다.
이 때, 모바일 단말로 사용자를 인증하기 위한 인증화면을 제공하여 사용자에 대한 인증을 수행할 수 있다. 예를 들어, PIN을 입력하기 위한 화면을 제공함으로써 사용자가 모바일 단말을 통해 PIN을 입력하도록 할 수 있다.
이 때, 보안 영역에 저장된 접근 제어 정책을 기반으로 게이트 어플리케이션에 대한 인증을 수행할 수 있다. 예를 들어, 보안 영역에 접근을 시도하는 게이트 어플리케이션이 악성 코드가 포함된 어플리케이션이거나 또는 의도적인 해킹 어플리케이션에 상응할 수 있다. 따라서, 이와 같은 경우에는 게이트 어플리케이션의 정보와 접근 제어 정책을 기반으로 인증을 수행함으로써 사전에 보안 영역으로의 접근을 차단할 수 있다.
세션 생성부(220)는 제1 인증의 결과에 기반하여 게이트 어플리케이션과 보안 영역 사이의 제1 세션을 생성한다.
예를 들어, 게이트 어플리케이션과 사용자에 대한 인증이 모두 성공한 경우에 보안 영역으로 게이트 어플리케이션에 대한 세션 생성을 요청하여 제1 세션을 생성할 수 있다.
이 때, 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 제1 세션을 암호화된 세션으로 생성할 수 있다.
이 때, 세션 생성부(220)는 도 2와 같이 독립적으로 구성되거나 또는 보안 어플리케이션 실행부(230)에 포함되어 제1 세션을 생성하기 위한 동작을 수행할 수도 있다.
보안 어플리케이션 실행부(230)는 제1 세션을 기반으로 보안 어플리케이션을 실행한다.
즉, 제1 세션이 생성됨으로써 게이트 어플리케이션을 통해서 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 보안 어플리케이션에 접근할 수 있다.
이 때, 제1 인증이 완료된 경우에 제1 세션을 기반으로 보안 영역에 상응하는 보안 어플리케이션 리스트를 제공하고, 보안 어플리케이션 리스트에 포함된 적어도 하나의 보안 어플리케이션 중 모바일 단말의 사용자가 선택한 어느 하나의 보안 어플리케이션을 실행할 수 있다.
제2 인증부(240)는 보안 어플리케이션을 기반으로 신뢰서비스를 사용하기 위한 제2 인증을 수행한다.
이 때, 제2 인증은 보안 어플리케이션이 보안 영역으로 보안 어플리케이션에 대한 확인을 요청하는 것에 상응할 수 있다. 즉, 보안 영역에 저장된 접근 제어 정책과 보안 어플리케이션의 정보를 이용하여 보안 어플리케이션이 신뢰할 수 있는 어플리케이션인지 여부를 확인할 수 있다.
이 때, 보안 어플리케이션을 통해 신뢰서비스를 사용할 때에는 사용자에 대한 인증을 생략함으로써 보안 어플리케이션 리스트에 포함된 각각의 보안 어플리케이션을 사용할 때마다 사용자 인증을 수행해야 하는 불편함을 방지할 수 있다.
신뢰서비스 제공부(250)는 제2 인증의 결과에 기반하여 보안 어플리케이션과 보안 영역 사이의 제2 세션을 생성하고, 제2 세션을 기반으로 신뢰서비스를 제공한다.
이 때, 제2 세션은 신뢰서비스 제공부(250)와 독립적으로 구성되는 세션 생성부(220) 또는 세션 생성 모듈을 통해 생성될 수 있다.
이 때, 세션 생성부(220) 또는 세션 모듈은 보안 영역에 포함될 수 있다.
또한, 세션 모듈은 보안 영역에 포함된 신뢰서비스 제공부(250)에 포함될 수도 있다.
이 때, 제2 세션은 보안 영역에 저장된 암호화 키를 기반으로 암호화된 세션으로 생성될 수 있다.
이 때, 신뢰서비스의 사용 여부를 감지하여 기설정된 타임아웃시간 동안 신뢰서비스의 사용이 감지되지 않는 경우에, 제2 세션을 차단할 수 있다.
예를 들어, 사용자가 모바일 단말을 분실하거나 방치하는 등 신뢰서비스를 오랫동안 사용하지 않는 경우에 신뢰서비스를 사용하지 않는 시간을 체크할 수 있다. 이 때, 체크한 미사용 시간이 기설정된 타임아웃시간에 상응하거나 초과하는 경우에 보안 영역에 저장된 보안 데이터의 유출을 방지하기 위해 제2 세션을 차단할 수 있다.
또한, 기설정된 타임아웃시간에 기반하여 제2 세션이 차단된 경우에 제1 세션을 기반으로 사용자에 대한 재인증을 수행하고, 재인증의 결과를 기반으로 신뢰서비스를 제공할 수 있다. 즉, 보안 어플리케이션 리스트에 포함된 각각의 보안 어플리케이션마다 사용자 인증을 수행하지는 않지만, 신뢰서비스 사용 도중에 제2 세션이 차단된 경우에는 사용자 재인증을 통해 다시 제2 세션을 생성함으로써 차단되기 전과 동일하게 신뢰서비스를 사용할 수 있다.
이 때, 사용자가 신뢰서비스를 사용하지 않는 시간은 주기적으로 체크할 수도 있다.
접근 제어부(260)는 게이트 어플리케이션이 종료되는 경우에, 제1 세션과 제2 세션을 삭제하여 보안 영역으로의 접근을 차단한다.
예를 들어, 사용자가 더 이상 신뢰서비스들을 사용하지 않아 게이트 어플리케이션을 종료하는 경우에 보안 영역에 상응하는 모든 세션을 삭제할 수 있다.
이 때, 게이트 어플리케이션이 종료되면서 보안 영역으로 모든 세션의 삭제를 요청할 수도 있다.
저장부(270)는 상술한 바와 같이 본 발명의 일실시예에 따른 신뢰서비스를 제공하는 과정에서 발생되는 다양한 정보를 저장한다.
실시예에 따라, 저장부(270)는 신뢰서비스 제공 장치와 독립적으로 구성되어 신뢰서비스 제공을 위한 기능을 지원할 수 있다. 이 때, 저장부(270)는 별도의 대용량 스토리지로 동작할 수 있고, 동작 수행을 위한 제어기능을 포함할 수 있다.
이와 같은 신뢰서비스 제공 장치를 통해 스마트 단말을 사용하는 사용자에게 신뢰서비스를 안전하고 편리하게 제공할 수 있다.
도 3 내지 도 5는 본 발명에 따른 사용자 인증 과정의 일 예를 나타낸 도면이다.
도 3 내지 도5를 참조하면, 모바일 단말에서 신뢰서비스를 사용하기 위해 먼저 모바일 단말의 단말 화면(310)에서 게이트 어플리케이션을 실행시킬 수 있다.
이 때, 게이트 어플리케이션을 실행하면, 신뢰서비스를 사용하기 위한 제1 인증에 상응하는 사용자 인증을 수행할 수 있다.
예를 들어, 사용자 인증은 도 4와 같은 인증 정보 입력 화면(410)을 통해 PIN을 입력하는 방식에 상응할 수 있다. 또는, 모바일 단말에 출력되는 지문 인식 화면이나 얼굴 인식 화면 등을 기반으로 지문 인식이나 얼굴 인식을 수행하여 사용자 인증을 수행할 수도 있다.
이와 같은 사용자 인증이 성공하는 경우에 모바일 단말을 통해 신뢰서비스들을 이용할 수 있는 보안 응용프로그램들을 보여주는 리스트 화면(510)이 출력될 수 있다.
이 때, 사용자가 리스트 화면(510)에 출력된 보안 어플리케이션들 중에서 특정 보안 어플리케이션을 선택하여 실행함으로써 보안 영역에 상응하는 신뢰서비스를 제공받을 수 있다.
이 때, 사용자가 신뢰서비스를 사용하던 도중에 단말을 방치하여 신뢰서비스를 미사용한 시간이 기설정된 타임아웃시간을 초과한다고 가정할 수 있다. 이와 같은 경우에는 보안 영역에서 이를 감지하고 보안 어플리케이션에 상응하는 세션을 차단하여 더 이상 신뢰서비스를 사용할 수 없도록 할 수 있다.
이 때, 다시 신뢰서비스를 사용하기 위해 도 4와 같은 사용자 인증을 다시 수행할 수 있다. 사용자 인증이 성공한 경우에 보안 어플리케이션에 상응하는 세션을 다시 연결하여 신뢰서비스를 이 전과 같이 다시 사용할 수 있다.
도 6는 본 발명의 일실시예에 따른 신뢰서비스 제공 방법을 나타낸 동작 흐름도이다.
도 6를 참조하면, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 모바일 단말에 설치된 게이트 어플리케이션을 기반으로 일반 영역과 격리되어 생성된 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 제1 인증을 수행한다(S610).
이 때, 게이트 어플리케이션은 보안 영역에 저장된 신뢰서비스를 이용할 수 있는 보안 어플리케이션에 접근하기 위한 어플리케이션에 상응할 수 있다. 즉, 일반 영역과 보안 영역이 계층적 구조로 구성됨으로써 먼저 게이트 어플리케이션을 실행하여 인증을 수행한 뒤 보안 영역으로 접근할 수 있다.
이 때, 신뢰서비스를 사용하기 위한 게이트 어플리케이션에 대한 인증 및 모바일 단말의 사용자에 대한 인증 중 적어도 하나를 수행할 수 있다.
예를 들어, 게이트 어플리케이션을 이용하여 보안 영역으로 게이트 어플리케이션에 대한 인증을 요청하고, 게이트 어플리케이션에 대한 인증이 성공하면 보안 영역으로 사용자에 대한 인증을 요청할 수 있다.
이 때, 보안 영역에 저장된 보안 데이터의 불법 유출을 방지하기 위해 사용자 인증을 수행함으로써 보안 영역에 접근하는 사용자가 사전에 인가된 사용자인지 여부를 확인할 수 있다. 예를 들어, 사용자가 모바일 단말을 도난 당하거나 분실하여 비인가된 사용자가 모바일 단말을 습득하는 경우에 사용자 인증을 기반으로 비인가된 사용자가 보안 영역에 접근하는 것을 방지할 수 있다.
이 때, 사용자 인증은 PIN 인증, 지문 인식 및 얼굴 인식 등 모바일 단말을 통해 수행할 수 있는 다양한 방법을 이용하여 수행할 수 있다.
이 때, 모바일 단말로 사용자를 인증하기 위한 인증화면을 제공하여 사용자에 대한 인증을 수행할 수 있다. 예를 들어, PIN을 입력하기 위한 화면을 제공함으로써 사용자가 모바일 단말을 통해 PIN을 입력하도록 할 수 있다.
이 때, 보안 영역에 저장된 접근 제어 정책을 기반으로 게이트 어플리케이션에 대한 인증을 수행할 수 있다. 예를 들어, 보안 영역에 접근을 시도하는 게이트 어플리케이션이 악성 코드가 포함된 어플리케이션이거나 또는 의도적인 해킹 어플리케이션에 상응할 수 있다. 따라서, 이와 같은 경우에는 게이트 어플리케이션의 정보와 접근 제어 정책을 기반으로 인증을 수행함으로써 사전에 보안 영역으로의 접근을 차단할 수 있다.
또한, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 제1 인증의 성공여부를 판단한다(S615).
단계(S615)의 판단결과 제1 인증이 성공하지 않으면, 보안 영역에 대한 게이트 어플리케이션의 접근이 차단될 수 있다.
또한, 단계(S615)의 판단결과 제1 인증이 성공하면, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 게이트 어플리케이션과 보안 영역 사이의 제1 세션을 생성하고, 제1 세션을 기반으로 보안 어플리케이션을 실행한다(S620).
예를 들어, 게이트 어플리케이션과 사용자에 대한 인증이 모두 성공한 경우에 보안 영역으로 게이트 어플리케이션에 대한 세션 생성을 요청하여 제1 세션을 생성할 수 있다.
이 때, 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 제1 세션을 암호화된 세션으로 생성할 수 있다.
또한, 제1 세션이 생성됨으로써 게이트 어플리케이션을 통해서 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 보안 어플리케이션에 접근할 수 있다.
이 때, 제1 인증이 완료된 경우에 제1 세션을 기반으로 보안 영역에 상응하는 보안 어플리케이션 리스트를 제공하고, 보안 어플리케이션 리스트에 포함된 적어도 하나의 보안 어플리케이션 중 모바일 단말의 사용자가 선택한 어느 하나의 보안 어플리케이션을 실행할 수 있다.
또한, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 보안 어플리케이션을 기반으로 신뢰서비스를 사용하기 위한 제2 인증을 수행한다(S630).
이 때, 제2 인증은 보안 어플리케이션이 보안 영역으로 보안 어플리케이션에 대한 확인을 요청하는 것에 상응할 수 있다. 즉, 보안 영역에 저장된 접근 제어 정책과 보안 어플리케이션의 정보를 이용하여 보안 어플리케이션이 신뢰할 수 있는 어플리케이션인지 여부를 확인할 수 있다.
이 때, 보안 어플리케이션을 통해 신뢰서비스를 사용할 때에는 사용자에 대한 인증을 생략함으로써 보안 어플리케이션 리스트에 포함된 각각의 보안 어플리케이션을 사용할 때마다 사용자 인증을 수행해야 하는 불편함을 방지할 수 있다.
또한, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 제2 인증의 성공 여부를 판단한다(S635).
단계(S635)의 판단결과 제2 인증이 성공하지 않으면, 보안 영역에 대한 보안 어플리케이션의 접근이 차단될 수 있다.
또한, 단계(S635)의 판단결과 제2 인증이 성공하면, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 보안 어플리케이션과 보안 영역 사이의 제2 세션을 생성하고, 제2 세션을 기반으로 신뢰서비스를 제공한다(S640).
이 때, 제2 세션은 보안 영역에 저장된 암호화 키를 기반으로 암호화된 세션으로 생성될 수 있다.
이 때, 신뢰서비스의 사용 여부를 감지하여 기설정된 타임아웃시간 동안 신뢰서비스의 사용이 감지되지 않는 경우에, 제2 세션을 차단할 수 있다.
예를 들어, 사용자가 모바일 단말을 분실하거나 방치하는 등 신뢰서비스를 오랫동안 사용하지 않는 경우에 신뢰서비스를 사용하지 않는 시간을 체크할 수 있다. 이 때, 체크한 미사용 시간이 기설정된 타임아웃시간에 상응하거나 초과하는 경우에 보안 영역에 저장된 보안 데이터의 유출을 방지하기 위해 제2 세션을 차단할 수 있다.
또한, 기설정된 타임아웃시간에 기반하여 제2 세션이 차단된 경우에 제1 세션을 기반으로 사용자에 대한 재인증을 수행하고, 재인증의 결과를 기반으로 신뢰서비스를 제공할 수 있다. 즉, 보안 어플리케이션 리스트에 포함된 각각의 보안 어플리케이션마다 사용자 인증을 수행하지는 않지만, 신뢰서비스 사용 도중에 제2 세션이 차단된 경우에는 사용자 재인증을 통해 다시 제2 세션을 생성함으로써 차단되기 전과 동일하게 신뢰서비스를 사용할 수 있다.
이 때, 사용자가 신뢰서비스를 사용하지 않는 시간은 주기적으로 체크할 수도 있다.
또한, 도 6에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 게이트 어플리케이션이 종료되는 경우에, 제1 세션과 제2 세션을 삭제하여 보안 영역으로의 접근을 차단한다.
예를 들어, 사용자가 더 이상 신뢰서비스들을 사용하지 않아 게이트 어플리케이션을 종료하는 경우에 보안 영역에 상응하는 모든 세션을 삭제할 수 있다.
이 때, 게이트 어플리케이션이 종료되면서 보안 영역으로 모든 세션의 삭제를 요청할 수도 있다.
또한, 도 6에는 도시하지 아니하였으나, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 상술한 바와 같이 본 발명의 일실시예에 따른 신뢰서비스를 제공하는 과정에서 발생되는 다양한 정보를 저장모듈에 저장한다.
실시예에 따라, 저장모듈은 신뢰서비스 제공 장치와 독립적으로 구성되어 신뢰서비스 제공을 위한 기능을 지원할 수 있다. 이 때, 저장모듈은 별도의 대용량 스토리지로 동작할 수 있고, 동작 수행을 위한 제어기능을 포함할 수 있다.
이와 같은 신뢰서비스 제공 방법을 이용하여 스마트 단말을 사용하는 사용자에게 신뢰서비스를 안전하고 편리하게 제공할 수 있다.
도 7은 본 발명의 일실시예에 따른 신뢰서비스 제공 방법을 상세하게 나타낸 동작 흐름도이다.
도 7을 참조하면, 본 발명의 일실시예에 따른 신뢰서비스 제공 방법은 먼저 게이트 어플리케이션을 실행한다(S710).
이 때, 게이트 어플리케이션은 보안 영역에 저장된 신뢰서비스를 이용할 수 있는 보안 어플리케이션에 접근하기 위한 어플리케이션에 상응할 수 있다. 즉, 일반 영역과 보안 영역이 계층적 구조로 구성됨으로써 먼저 게이트 어플리케이션을 실행하여 인증을 수행한 뒤 보안 영역으로 접근할 수 있다.
이 후, 게이트 어플리케이션이 인증에 성공하였는지 여부를 판단한다(S715).
이 때, 게이트 어플리케이션을 이용하여 보안 영역으로 게이트 어플리케이션에 대한 인증을 요청할 수 있다.
단계(S715)의 판단결과 게이트 어플리케이션이 인증에 성공하지 않으면, 보안 영역에 대한 게이트 어플리케이션의 접근이 차단될 수 있다.
즉, 인증이 실패한 경우에는 게이트 어플리케이션이 신뢰할 수 없는 어플리케이션으로 판단된 것으로, 보안 영역으로의 접근을 차단할 수 있다.
또한, 단계(S715)의 판단결과 게이트 어플리케이션이 인증에 성공하면, 사용자 인증을 수행하기 위해 모바일 단말로 인증 화면을 제공한다(S720).
이 때, 사용자 인증은 보안 영역에 저장된 보안 데이터의 불법 유출을 방지하기 위해 수행할 수 있다.
이 후, 인증 화면에 상응하게 입력된 인증 정보를 기반으로 수행된 사용자 인증이 성공하였는지 여부를 판단한다(S725).
이 때, 사용자 인증은 PIN 인증, 지문 인식 및 얼굴 인식 등 다양한 방식으로 수행될 수 있다.
단계(S725)의 판단결과 사용자 인증이 성공하지 않으면, 보안 영역에 대한 게이트 어플리케이션의 접근이 차단될 수 있다.
즉, 사용자 인증이 실패하는 경우에는 해당 사용자가 비인가된 사용자인 것으로 판단하고 보안 영역에 접근할 수 없도록 차단할 수 있다.
또한, 단계(S725)의 판단결과 사용자 인증이 성공하면, 게이트 어플리케이션과 보안 영역 간의 제1 세션을 생성한다(S730).
이 때, 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 제1 세션을 생성할 수 있다.
이 후, 보안 어플리케이션 리스트를 제공한다(S740).
이 때, 보안 어플리케이션 리스트에는 보안 영역을 기반으로 사용 가능한 신뢰서비스에 상응하는 적어도 하나의 보안 어플리케이션이 포함될 수 있다.
이 후, 보안 어플리케이션 리스트에서 사용자가 선택한 보안 어플리케이션을 실행한다(S750).
이 후, 보안 어플리케이션을 기반으로 보안 영역에서 보안 어플리케이션에 대한 인증이 성공하였는지 여부를 판단한다(S755).
이 때, 보안 영역에 저장된 접근 제어 정책과 보안 어플리케이션의 정보를 이용하여 보안 어플리케이션이 신뢰할 수 있는 어플리케이션인지 여부를 인증할 수 있다.
단계(S755)의 판단결과 보안 어플리케이션의 인증이 성공하지 않으면, 보안 영역에 대한 보안 어플리케이션의 접근이 차단될 수 있다.
또한, 단계(S755)의 판단결과 보안 어플리케이션의 인증이 성공하면, 보안 어플리케이션과 보안 영역 간의 제2 세션을 생성한다(S760).
이 때, 제2 세션은 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 한 암호화 세션에 상응할 수 있다.
이 후, 제2 세션을 기반으로 신뢰서비스를 제공한다(S770)
도 8은 도 6에 도시된 신뢰서비스 제공 방법 중 미사용 시간을 기반으로 사용자 재인증을 수행하는 과정을 나타낸 동작 흐름도이다.
도 8을 참조하면, 도 6에 도시된 신뢰서비스 제공 방법 중 미사용 시간을 기반으로 사용자 재인증을 수행하는 과정은 먼저 신뢰서비스가 제공(810)된 이후에 사용자가 신뢰서비스를 사용하지 않는 미사용 시간을 체크한다(S820).
이 후, 미사용 시간이 기설정된 타임아웃시간 이상인지 여부를 판단한다(S825).
단계(S825)의 판단결과 미사용 시간이 기설정된 타임아웃시간 이상이 아니면, 게이트 어플리케이션이 종료되었는지 여부를 판단한다(S835).
단계(S835)의 판단결과 게이트 어플리케이션이 종료되지 않으면, 사용자에게 계속해서 신뢰서비스를 제공할 수 있다.
또한, 단계(S835)의 판단결과 게이트 어플리케이션이 종료되면, 게이트 어플리케이션에 상응하는 제1 세션을 차단하여(S850) 보안 영역으로의 접근을 차단할 수 있다.
이 때, 제1 세션을 차단함과 동시에 제2 세션도 삭제될 수 있다.
또한, 단계(S825)의 판단결과 미사용 시간이 기설정된 타임아웃시간 이상이면, 보안 어플리케이션에 상응하는 제2 세션을 차단한다(S830).
이 후, 사용자 재인증을 요청하고(S840), 사용자 재인증이 성공하였는지 여부를 판단한다(S845).
단계(S845)의 판단결과 사용자 재인증이 성공하면, 다시 제2 세션을 연결하여 사용자에게 신뢰서비스를 제공한다.
또한, 단계(S845)의 판단결과 사용자 재인증이 성공하지 않으면, 제1 세션을 차단하여(S850) 보안 영역으로의 모든 세션을 삭제할 수 있다.
도 9는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 9를 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템에서 구현될 수 있다. 도 9에 도시된 바와 같이, 컴퓨터 시스템(900)은 버스(920)를 통하여 서로 통신하는 하나 이상의 프로세서(910), 메모리(930), 사용자 입력 장치(940), 사용자 출력 장치(950) 및 스토리지(960)를 포함할 수 있다. 또한, 컴퓨터 시스템(900)은 네트워크(980)에 연결되는 네트워크 인터페이스(970)를 더 포함할 수 있다. 프로세서(910)는 중앙 처리 장치 또는 메모리(930)나 스토리지(960)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(930) 및 스토리지(960)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(931)이나 RAM(932)을 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 본 발명에 따른 보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치는 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
100: 스마트 보안 단말 110: 일반 영역
120: 보안 영역 130: 가상화 솔루션
210: 제1 인증부 220: 세션 생성부
230: 보안 어플리케이션 실행부 240: 제2 인증부
250: 신뢰서비스 제공부 260: 접근 제어부
270: 저장부 310: 단말 화면
410: 인증 정보 입력 화면 510: 리스트 화면
900: 컴퓨터 시스템 910: 프로세서
920: 버스 930: 메모리
931: ROM 932: RAM
940: 사용자 입력 장치 950: 사용자 출력 장치
960: 스토리지 970: 네트워크 인터페이스
980: 네트워크

Claims (20)

  1. 모바일 단말에 설치된 게이트 어플리케이션을 기반으로 일반 영역과 격리되어 생성된 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 제1 인증을 수행하는 단계;
    상기 제1 인증의 결과에 기반하여 상기 게이트 어플리케이션과 상기 보안 영역 사이의 제1 세션을 생성하고, 상기 제1 세션을 기반으로 보안 어플리케이션을 실행하는 단계;
    상기 보안 어플리케이션을 기반으로 상기 신뢰서비스를 사용하기 위한 제2 인증을 수행하는 단계; 및
    상기 제2 인증의 결과에 기반하여 상기 보안 어플리케이션과 상기 보안 영역 사이의 제2 세션을 생성하고, 상기 제2 세션을 기반으로 상기 신뢰서비스를 제공하는 단계
    를 포함하고,
    상기 신뢰서비스를 제공하는 단계는
    상기 신뢰서비스의 사용 여부를 감지하여 기설정된 타임아웃시간 동안 상기 신뢰서비스의 사용이 감지되지 않는 경우에 상기 제1 세션은 차단하지 않은 상태에서 상기 제2 세션만 차단하고, 상기 제1 세션을 기반으로 상기 제2 세션을 연결하기 위한 재인증을 수행하여 상기 신뢰서비스를 제공하고,
    상기 제2 인증은
    상기 보안 어플리케이션이 신뢰할 수 있는 어플리케이션인지 확인하기 위한 인증 과정에 상응하고,
    상기 재인증은
    사용자가 신뢰할 수 있는 사용자인지 확인하기 위한 인증 과정에 상응하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  2. 삭제
  3. 삭제
  4. 청구항 1에 있어서,
    상기 보안 어플리케이션을 실행하는 단계는
    상기 제1 인증이 완료된 경우에 상기 제1 세션을 기반으로 상기 보안 영역에 상응하는 보안 어플리케이션 리스트를 제공하고, 상기 보안 어플리케이션 리스트에 포함된 적어도 하나의 보안 어플리케이션 중 상기 모바일 단말의 사용자가 선택한 어느 하나의 보안 어플리케이션을 실행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  5. 청구항 1에 있어서,
    상기 제1 인증을 수행하는 단계는
    상기 신뢰서비스를 사용하기 위한 게이트 어플리케이션에 대한 인증 및 상기 모바일 단말의 사용자에 대한 인증 중 적어도 하나를 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  6. 청구항 5에 있어서,
    상기 제1 인증을 수행하는 단계는
    상기 모바일 단말로 상기 사용자를 인증하기 위한 인증 화면을 제공하여 상기 사용자에 대한 인증을 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  7. 청구항 5에 있어서,
    상기 제1 인증을 수행하는 단계는
    상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 게이트 어플리케이션에 대한 인증을 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  8. 청구항 1에 있어서,
    상기 제2 인증을 수행하는 단계는
    상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 보안 어플리케이션에 대한 인증을 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  9. 청구항 1에 있어서,
    상기 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 상기 제1 세션 및 상기 제2 세션 중 적어도 하나를 암호화된 세션으로 생성하는 단계를 더 포함하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  10. 청구항 1에 있어서,
    상기 게이트 어플리케이션이 종료되는 경우에, 상기 제1 세션과 상기 제2 세션을 삭제하여 상기 보안 영역으로의 접근을 차단하는 단계를 더 포함하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 방법.
  11. 게이트 어플리케이션을 기반으로 보안 영역에 상응하는 신뢰서비스를 사용하기 위한 제1 인증을 수행하는 제1 인증부;
    상기 제1 인증의 결과에 기반하여 상기 게이트 어플리케이션과 상기 보안 영역 사이의 제1 세션을 생성하고, 상기 제1 세션을 기반으로 보안 어플리케이션을 실행하는 보안 어플리케이션 실행부;
    상기 보안 어플리케이션을 기반으로 상기 신뢰서비스를 사용하기 위한 제2 인증을 수행하는 제2 인증부; 및
    상기 제2 인증의 결과에 기반하여 상기 보안 어플리케이션과 상기 보안 영역 사이의 제2 세션을 생성하고, 상기 제2 세션을 기반으로 상기 신뢰서비스를 제공하는 신뢰서비스 제공부
    를 포함하고,
    상기 신뢰서비스 제공부는
    상기 신뢰서비스의 사용 여부를 감지하여 기설정된 타임아웃시간 동안 상기 신뢰서비스의 사용이 감지되지 않는 경우에 상기 제1 세션은 차단하지 않은 상태에서 상기 제2 세션만 차단하고, 상기 제1 세션을 기반으로 상기 제2 세션을 연결하기 위한 재인증을 수행하여 상기 신뢰서비스를 제공하고,
    상기 제2 인증은
    상기 보안 어플리케이션이 신뢰할 수 있는 어플리케이션인지 확인하기 위한 인증 과정에 상응하고,
    상기 재인증은
    사용자가 신뢰할 수 있는 사용자인지 확인하기 위한 인증 과정에 상응하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 장치.
  12. 삭제
  13. 삭제
  14. 청구항 11에 있어서,
    상기 보안 어플리케이션 실행부는
    상기 제1 인증이 완료된 경우에 상기 제1 세션을 기반으로 상기 보안 영역에 상응하는 보안 어플리케이션 리스트를 제공하고, 상기 보안 어플리케이션 리스트에 포함된 적어도 하나의 보안 어플리케이션 중 모바일 단말의 사용자가 선택한 어느 하나의 보안 어플리케이션을 실행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 장치.
  15. 청구항 11에 있어서,
    상기 제1 인증부는
    상기 신뢰서비스를 사용하기 위한 게이트 어플리케이션에 대한 인증 및 사용자에 대한 인증 중 적어도 하나를 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 장치.
  16. 청구항 15에 있어서,
    상기 제1 인증부는
    상기 사용자를 인증하기 위한 인증화면을 제공하여 상기 사용자에 대한 인증을 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 장치.
  17. 청구항 15에 있어서,
    상기 제1 인증부는
    상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 게이트 어플리케이션에 대한 인증을 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 장치.
  18. 청구항 11에 있어서,
    상기 제2 인증부는
    상기 보안 영역에 저장된 접근 제어 정책을 기반으로 상기 보안 어플리케이션에 대한 인증을 수행하는 것을 특징으로 하는 보안 영역 기반의 신뢰 서비스 제공 장치.
  19. 청구항 11에 있어서,
    상기 신뢰서비스 제공 장치는
    상기 보안 영역에 저장된 적어도 하나의 암호화 키를 기반으로 상기 제1 세션 및 상기 제2 세션 중 적어도 하나를 암호화된 세션으로 생성하는 세션 생성부를 더 포함하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 장치.
  20. 청구항 11에 있어서,
    상기 신뢰서비스 제공 장치는
    상기 게이트 어플리케이션이 종료되는 경우에, 상기 제1 세션과 상기 제2 세션을 삭제하여 상기 보안 영역으로의 접근을 차단하는 접근 제어부를 더 포함하는 것을 특징으로 하는 보안 영역 기반의 신뢰서비스 제공 장치.
KR1020160002172A 2016-01-07 2016-01-07 보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치 KR102088290B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020160002172A KR102088290B1 (ko) 2016-01-07 2016-01-07 보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치
US15/201,121 US20170201528A1 (en) 2016-01-07 2016-07-01 Method for providing trusted service based on secure area and apparatus using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160002172A KR102088290B1 (ko) 2016-01-07 2016-01-07 보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치

Publications (2)

Publication Number Publication Date
KR20170082885A KR20170082885A (ko) 2017-07-17
KR102088290B1 true KR102088290B1 (ko) 2020-03-12

Family

ID=59276371

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160002172A KR102088290B1 (ko) 2016-01-07 2016-01-07 보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치

Country Status (2)

Country Link
US (1) US20170201528A1 (ko)
KR (1) KR102088290B1 (ko)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2746105C2 (ru) * 2019-02-07 2021-04-07 Акционерное общество "Лаборатория Касперского" Система и способ конфигурирования шлюза для защиты автоматизированных систем
US11792288B2 (en) * 2019-09-09 2023-10-17 Extreme Networks, Inc. Wireless network device with directional communication functionality
US10985921B1 (en) 2019-11-05 2021-04-20 Capital One Services, Llc Systems and methods for out-of-band authenticity verification of mobile applications
CN111597226B (zh) * 2020-04-26 2023-06-16 北京百度网讯科技有限公司 数据挖掘系统、方法、装置、电子设备及存储介质
US20220138884A1 (en) * 2020-10-29 2022-05-05 Mastercard International Incorporated Systems and methods for use in neutral zone execution of logic
US11956324B2 (en) * 2021-01-07 2024-04-09 Stmicroelectronics S.R.L. Sensor device, system and method

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013117962A (ja) 2011-12-02 2013-06-13 Samsung Electronics Co Ltd セキュア方法及び装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6330670B1 (en) * 1998-10-26 2001-12-11 Microsoft Corporation Digital rights management operating system
US6681304B1 (en) * 2000-06-30 2004-01-20 Intel Corporation Method and device for providing hidden storage in non-volatile memory
KR20070108723A (ko) * 2006-05-08 2007-11-13 삼성전자주식회사 보안 접근 제어를 제공하는 장치 및 방법
KR101032386B1 (ko) 2008-07-16 2011-05-03 주식회사 마크애니 가상 머신을 이용한 응용 프로그램 제공 방법 및 시스템,가상 응용 프로그램 수행 방법, 가상 머신 모듈 및 온라인서비스 제공 방법
US8949929B2 (en) * 2011-08-10 2015-02-03 Qualcomm Incorporated Method and apparatus for providing a secure virtual environment on a mobile device
KR20160043029A (ko) * 2013-08-12 2016-04-20 그라파이트 소프트웨어 코포레이션 보안 인증 및 암호화된 도메인들로의 스위칭
KR20150073567A (ko) * 2013-12-23 2015-07-01 한국전자통신연구원 보안영역을 포함하는 단말을 이용한 보안문자 송수신 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013117962A (ja) 2011-12-02 2013-06-13 Samsung Electronics Co Ltd セキュア方法及び装置

Also Published As

Publication number Publication date
KR20170082885A (ko) 2017-07-17
US20170201528A1 (en) 2017-07-13

Similar Documents

Publication Publication Date Title
KR102088290B1 (ko) 보안 영역 기반의 신뢰서비스 제공 방법 및 이를 이용한 장치
JP6275653B2 (ja) データ保護方法及びシステム
CN101350723B (zh) 一种USB Key设备及其实现验证的方法
CN113168476A (zh) 操作系统中个性化密码学安全的访问控制
US20160125180A1 (en) Near Field Communication Authentication Mechanism
KR101385929B1 (ko) 멀티 커넥터 지문인식 인증 저장장치
EP4024311A1 (en) Method and apparatus for authenticating biometric payment device, computer device and storage medium
WO2016065636A1 (zh) 用于终端的数据管理方法、数据管理装置和终端
KR101441581B1 (ko) 클라우드 컴퓨팅 환경을 위한 다계층 보안 장치 및 다계층 보안 방법
WO2015117523A1 (zh) 访问控制方法及装置
TW201530344A (zh) 應用程式存取保護方法及應用程式存取保護裝置
EP3651048A1 (en) Sfs access control method and system, sfs and terminal device
Cetin Design, testing and implementation of a new authentication method using multiple devices
KR20220167366A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
JP4947562B2 (ja) 鍵情報管理装置
WO2017092507A1 (zh) 应用加密方法、装置和应用访问方法、装置
CN109474431B (zh) 客户端认证方法及计算机可读存储介质
EP2985712B1 (en) Application encryption processing method, apparatus, and terminal
US20090327704A1 (en) Strong authentication to a network
KR101835718B1 (ko) 이종 기기 사이의 근거리 무선 통신을 이용한 모바일 인증 방법
KR20180081998A (ko) 모바일 클라우드를 위한 안전 실행 환경 제공 장치 및 방법
CN115906196A (zh) 一种移动存储方法、装置、设备及存储介质
CN114491481B (zh) 一种基于fpga的安全计算方法及装置
CN107135074A (zh) 一种高级安全方法和装置
CN115529591A (zh) 基于令牌的认证方法、装置、设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right