KR102146748B1 - 모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법 - Google Patents

모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법 Download PDF

Info

Publication number
KR102146748B1
KR102146748B1 KR1020200026872A KR20200026872A KR102146748B1 KR 102146748 B1 KR102146748 B1 KR 102146748B1 KR 1020200026872 A KR1020200026872 A KR 1020200026872A KR 20200026872 A KR20200026872 A KR 20200026872A KR 102146748 B1 KR102146748 B1 KR 102146748B1
Authority
KR
South Korea
Prior art keywords
digital key
digital
server
key
service
Prior art date
Application number
KR1020200026872A
Other languages
English (en)
Inventor
양지훈
김성원
황재형
김용환
김승준
강지헌
Original Assignee
(주)케이스마텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이스마텍 filed Critical (주)케이스마텍
Priority to KR1020200026872A priority Critical patent/KR102146748B1/ko
Application granted granted Critical
Publication of KR102146748B1 publication Critical patent/KR102146748B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted

Abstract

본 발명은 모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법에 관한 것이다. 일 실시 예에 따른 디지털 키 서비스 방법은, 디지털 키 서버가 잠금 디바이스를 등록하는 단계와, 디지털 키 서버가 서비스 제공자를 통해 디지털 키 디바이스를 서비스 등록하고 디지털 키 디바이스의 일반영역과 분리된 보안영역을 활성화하는 서비스 등록 단계와, 디지털 키 서버가 디지털 키 디바이스의 요청에 따라 디지털 키를 생성하고 생성된 디지털 키에 대한 보안설정을 거친 후 디지털 키 디바이스의 활성화된 보안영역에 주입하는 디지털 키 발급 단계와, 디지털 키 서버가 디지털 키의 발급, 사용 및 공유를 위한 디지털 키 제어와, 디지털 키를 탑재한 디지털 키 디바이스 및 잠금 디바이스에 대한 관리를 수행하는 제어 및 관리 단계를 포함한다.

Description

모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법 {Digital key based service system and method thereof in mobile trusted environment}
본 발명은 모바일 보안 기술에 관한 것으로서, 더욱 상세하게는, 모바일 보안 기술 및 디지털 키 제어 기술을 이용한 디지털 키 서비스 제공 기술에 관한 것이다.
최근 들어 무선통신기술이 급격히 발전하면서 NFC(Near field communication), 블루투스, 지그비, 비콘, 와이파이를 포함한 다양한 근거리 무선통신기술을 이용하는 비접촉방식의 원격 잠금 해제용 디지털 키 기술이 다양한 분야에서 각광을 받고 있다.
또한, 정보통신 기술이 발전하면서 스마트폰과 같은 디지털 키 디바이스기에 설치되는 애플리케이션을 이용하여 무선으로 잠금 해제 대상을 제어하기 위한 노력이 시도되고 있다.
그러나, 이와 같이 스마트폰과 같은 디지털 키 디바이스를 사용하여 잠금 디바이스를 잠금 해제 하는 경우 보안이 취약하여 도난 위험 증가는 물론 애플리케이션 설치에 따른 디지털 키의 사용자 등록과정에서 디지털 키에 대한 보안을 확보하기 어려운 문제점이 있다.
따라서, 디지털 키에 대한 보안확보를 가능하게 하면서 분실시에도 도난 가능성을 원천적으로 방지할 수 있는 현실적이고도 적용 가능한 디지털 키에 관한 기술이 절실히 필요한 실정이다.
대한민국 공개특허공보 제10-2017-0078533호 (공개일자 2017년7월7일)
본 발명은 문제점을 해결하기 위하여 안출된 것으로서, 디지털 키에 모바일 보안이 강화된 디지털 키 서비스 시스템 및 그 방법을 제공하는데 그 목적이 있다.
일 실시 예에 따른 디지털 키 서비스 방법은, 디지털 키 서버가 잠금 디바이스를 등록하는 단계와, 디지털 키 서버가 서비스 제공자를 통해 디지털 키 디바이스를 서비스 등록하고 디지털 키 디바이스의 일반영역과 분리된 보안영역을 활성화하는 서비스 등록 단계와, 디지털 키 서버가 디지털 키 디바이스의 요청에 따라 디지털 키를 생성하고 생성된 디지털 키에 대한 보안설정을 거친 후 디지털 키 디바이스의 활성화된 보안영역에 주입하는 디지털 키 발급 단계와, 디지털 키 서버가 디지털 키의 발급, 사용 및 공유를 위한 디지털 키 제어와, 디지털 키를 탑재한 디지털 키 디바이스 및 잠금 디바이스에 대한 관리를 수행하는 제어 및 관리 단계를 포함한다.
서비스 등록 단계는, 디지털 키 디바이스의 일반영역 내 클라이언트 애플리케이션이 서비스 제공자에 회원가입을 포함한 서비스 등록을 신청하는 단계와, 서비스 제공자가 회원 여부 확인 및 잠금 디바이스에 대한 사용권한 확인을 거쳐 디지털 키 디바이스를 서비스 등록한 후 서비스 가입정보를 디지털 키 서버에 전송하는 단계와, 서비스 가입정보를 수신한 디지털 키 서버가 디지털 키 디바이스의 보안영역을 활성화 하는 단계를 포함할 수 있다.
디지털 키 디바이스의 보안영역을 활성화 하는 단계에서, 디지털 키 서버가 제3자와 연동하여 제3자의 통신사 또는 TAM(Trusted Application Management) 사업자를 통해 디지털 키 디바이스의 보안영역을 활성화 할 수 있다.
디지털 키 발급 단계는, 디지털 키 디바이스가 일반영역의 클라이언트 애플리케이션을 통해 서비스 제공자에 디지털 키 발급을 요청하는 단계와, 서비스 제공자가 사용자 인증을 거쳐 서비스 가입정보를 디지털 키 서버에 전달하는 단계와, 디지털 키 디바이스가 잠금 디바이스에 요청하여 디바이스 정보를 수신한 후 디지털 키 서버에 디지털 키 생성을 요청하는 단계와, 디지털 키 서버가 디지털 키를 생성하고 생성된 디지털 키에 보안설정을 수행하는 단계와, 보안설정된 디지털 키를 E2E 암호화한 후 디지털 키 디바이스에 전송하여 보안영역에 주입하는 단계를 포함할 수 있다.
디지털 키 서버가 디지털 키를 생성하고 생성된 디지털 키에 보안설정을 수행하는 단계는, 디지털 키 서버가 잠금 디바이스의 디바이스 정보를 확인하여 디바이스를 인증하는 단계와, 디지털 키를 생성하고 생성된 디지털 키의 제한설정 값을 포함한 디지털 키의 권한 부여 및 인증을 수행하는 단계와, 생성된 디지털 키를 암호화하고 암호화된 디지털 키를 전자서명한 후 디지털 키를 저장하는 단계를 포함할 수 있다.
디지털 키 서비스 방법은, 디지털 키 디바이스의 보안영역에 저장된 디지털 키를 이용하여 잠금 디바이스를 잠금 해제시키는 디지털 키 사용 단계를 더 포함하며, 디지털 키 사용 단계는, 디지털 키 등록 이후, 디지털 키 디바이스가 잠금 디바이스에 접근 또는 태그하면 디지털 키 디바이스의 보안영역에 저장된 암호화된 디지털 키를 전달하여 잠금 디바이스에 전송하는 단계와, 잠금 디바이스가 사전에 등록된 디지털 키를 통해 전달받은 암호화된 디지털 키를 검증함으로써 잠금 디바이스를 잠금 해제시키는 단계를 포함할 수 있다.
디지털 서비스 방법은, 제1 디지털 키 디바이스가 제2 디지털 키 디바이스에 공유 키를 공유하는 단계를 더 포함하며, 공유 키를 공유하는 단계는, 제1 디지털 키 디바이스가 서비스 제공자에 디지털 키 공유를 요청하는 단계와, 서비스 제공자가 사용자를 인증한 후 디지털 키 서버에 디지털 키 공유를 요청하는 단계와, 디지털 키 서버가 잠금 디바이스를 인증하고, 자신이 관리하고 있는 공유 키를 확인하는 단계와, 서비스 제공자가 제2 디지털 키 디바이스에 디지털 키 공유를 알리는 단계를 포함할 수 있다.
공유 키를 공유하는 단계는, 제2 디지털 키 디바이스가 디지털 키 서버에 공유 키 확인을 요청하는 단계와, 디지털 키 서버가 자신이 관리하고 있는 공유 키를 확인하는 단계와, 디지털 키 서버가 확인된 공유 키를 E2E 암호화한 후 제2 디지털 키 디바이스에 전송하여 보안영역에 주입하는 단계를 더 포함할 수 있다.
제2 디지털 키 디바이스에 전송하여 보안영역에 주입하는 단계에서, 디지털 키 서버가 제3자와 연동하여 제3자의 통신사 또는 TAM 사업자를 통해 보안영역을 활성화 할 수 있다.
디지털 키 디바이스의 보안영역은 TEE(Trusted Execution Environment), WBC(White Box Cryptography), USIM(universal subscriber identity module) 및 eSIM(embedded subscriber identity module) 중 어느 하나를 이용한 모바일 보안영역에 해당할 수 있다.
다른 실시 예에 따른 디지털 키 서비스 시스템은, 디지털 키의 발급, 공유 및 삭제를 위한 디지털 키 제어와, 디지털 키를 탑재한 디지털 키 디바이스 및 잠금 디바이스에 대한 관리를 수행하는 디지털 키 서버와, 디지털 키 서버의 인증을 통해 디지털 키를 발급받아 일반영역과 분리된 보안영역에 디지털 키를 저장하고 발급받은 디지털 키를 사용 및 공유하는 디지털 키 디바이스와, 디지털 키 디바이스에 발급된 디지털 키에 의해 잠금 또는 잠금해제를 수행하는 잠금 디바이스와, 잠금 디바이스를 제공하는 서비스 제공자를 포함한다.
디지털 키 서버는, 디지털 키 디바이스의 보안영역을 활성화하는 보안영역 활성화부와, 디지털 키 서버가 외부와 통신하기 위한 외부 인터페이스와, 디지털 키 디바이스 및 잠금 디바이스가 등록된 디바이스인지 여부를 확인하여 각 디바이스를 인증하고 각 디바이스 정보를 관리 및 저장하는 디바이스 관리부와, 디지털 키 디바이스의 디지털 키 생성 요청에 따라 디지털 키를 생성하고 생성된 디지털 키를 대상으로 암호화 및 전자서명을 포함한 보안설정을 수행하며, 생성된 디지털 키의 공유 및 삭제를 제어하는 디지털 키 관리부를 포함할 수 있다.
보안영역 활성화부는, 보안환경에 맞게 TEE 활성화부, USIM 활성화부, WBC 활성화부, 및 eSIM 활성화부 중 어느 하나를 통해 디지털 키 디바이스의 보안영역을 활성화 하며, USIM 활성화부 및 eSIM 활성화부는 제3자와 연동하여 디지털 키 디바이스의 보안영역을 활성화 할 수 있다.
외부 인터페이스는, 디지털 키 서버의 외부와의 통신 시 송수신되는 데이터를 E2E(End to End) 암호화하는 보안영역 통신부와, 디지털 키 서버의 디지털 키 디바이스와의 통신을 위한 디지털 키 API와, 디지털 키 서버의 서비스 공급자와의 통신을 위한 잠금 디바이스 API를 포함할 수 있다.
디지털 키 관리부는, 디지털 키를 생성하는 디지털 키 발급부와, 생성된 디지털 키를 공유하는 디지털 키 공유부와, 생성된 디지털 키의 제한설정 값을 포함한 권한을 설정하는 디지털 키 권한 관리부와, 물리적 모듈로서 인증 키를 저장하거나 관리하여 디지털 키를 인증하는 하드웨어 보안 모듈과, 디지털 키를 암호화하는 암호화부와, 암호화된 디지털 키의 무결함을 전자증명하기 위한 디지털 서명부를 포함할 수 있다.
디지털 키 서비스 시스템은, 디지털 키 디바이스와 잠금 디바이스 간 통신을 수행하는 통신 인터페이스를 더 포함하며, 통신 인터페이스는 NFC, 블루투스(BLE) 또는 암호화 QR 코드를 이용하여 통신할 수 있다.
디지털 키 서비스 시스템은 제3자를 더 포함하며, 제3자는 디지털 키 디바이스가 TEE, USIM, eSIM, 및 WBC를 포함하는 각 보안요소 환경에 맞게 보안영역을 활성화하기 위한 TAM 사업자와, 디지털 키 디바이스의 디지털 키 공유 시 푸시 서비스를 통해 키 공유 및 삭제를 알리는 푸시 서버와, 디지털 키 디바이스 사용자 본인을 인증하기 위한 본인인증서버를 포함할 수 있다.
이상에서 설명한 바와 같이, 본 발명은 모바일 형태의 디지털 키 디바이스를 일반 운영체제와 보안 운영체제로 운영하고 보안 운영체제의 보안요소를 통하여 중요한 정보와 로직을 보호함에 따라 모바일 보안이 강화된 디지털 키 서비스 시스템 및 그 방법을 제공하는 목적이 있다.
또한, 본 발명은 디지털 키 서버에서 디지털 키 발급, 공유, 삭제 등을 일괄 관리하여 보안성을 높이며, 클라우드 기반으로 확장이 용이하며, 이중화된 WAS, DB 및 HSM을 구성할 수 있다.
또한, 본 발명은 제3자를 통해 디지털 키 디바이스가 USIM, WBC 등을 사용할 수 있도록 활성화 하고, 사용자가 디지털 키를 공유할 때 푸시(push)를 통한 디지털 키 공유를 알림할 수 있다. 제3자를 통해 디지털 키 디바이스와 잠금 디바이스 간 인증을 수행할 수 있다.
또한, 본 발명은, NFC, 블루투스(BLE) 또는 암호화 QR 코드를 이용한 통신 인터페이스를 지원할 수 있다.
또한, 본 발명은 모바일 보안환경 기반의 디지털 키 디바이스를 이용하여 디지털 키 서버로부터 전달받은 암호화된 디지털 키를 보안영역에서 복호화하여 저장함으로써 잠금 디바이스를 잠금 해제시킬 수 있는 디지털 키에 대한 보안을 확보할 수 있는 효과가 있다.
또한, 본 발명은 디지털 키 공유 시 잠금 해제권한을 다양한 조건으로 제한할 수 있어 디지털 키를 다른 사용자와 안전하게 공유할 수 있으면서도 사용자 편의성을 높일 수 있는 효과가 있다.
또한, 본 발명은 디지털 키 디바이스가 디지털 키 서버로부터 디지털 키를 전달받는 과정에서 비대칭 암호 알고리즘 방식으로 암호화된 디지털 키를 전달받아 디지털 키 디바이스의 보안영역에서 복호화함으로써 온라인을 통해 디지털 키를 전달받더라도 보안을 강화할 수 있는 효과가 있다.
또한, 본 발명은 디지털 키 디바이스의 보안영역에 저장된 디지털 키를 이용하여 잠금 디바이스를 잠금 해제시키는 경우에도 인증토큰 암복호화 과정을 거치기 때문에 디지털 키의 유출 가능성을 원천적으로 방지하는 효과가 있다.
또한, 본 발명은, 디지털 키를 공유하는 공유 디바이스에 대한 보안인증과정을 디지털 키 서버를 통해 수행함으로써 안전성을 높이는 효과가 있다.
또한, 본 발명은, 공유 디바이스에 디지털 키를 저장하여 사용하는 경우에도 보안 운영체제에서 디지털 키를 사용해 인증토큰를 생성시키고 제한설정 값과 함께 암복호화하는 과정을 거치게 함으로써 디지털 키를 공유하는 경우에 필요한 보안성을 확보하는 효과가 있다. 이때, 사용 가능기간, 사용 가능횟수, 사용 가능지역, 및 재배포권한을 포함한 제한설정을 부여한 후 디지털 키를 다른 사용자와 공유함으로써 디지털 키를 분실하더라도 잠금 디바이스의 도난위험을 최소화할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 디지털 키 서비스 시스템의 개념을 도시한 도면,
도 2은 본 발명의 일 실시 예에 따른 디지털 키 서비스 시스템의 구성을 도시한 도면,
도 3는 본 발명의 일 실시 예에 따른 디지털 키 서버의 세부 구성을 도시한 도면,
도 4는 본 발명의 일 실시 예에 따른 디지털 키 서비스 방법의 프로세스를 도시한 도면,
도 5는 본 발명의 일 실시 예에 따른 잠금 디바이스 등록 단계의 흐름을 도시한 도면,
도 6은 본 발명의 일 실시 예에 따른 서비스 등록 단계의 흐름을 도시한 도면,
도 7은 본 발명의 일 실시 예에 따른 디지털 키 발급 단계의 흐름을 도시한 도면,
도 8은 본 발명의 일 실시 예에 따른 디지털 키 사용 단계의 흐름을 도시한 도면,
도 9는 본 발명의 일 실시 예에 따른 디지털 키 공유 단계를 소유자 중심으로 도시한 도면,
도 10은 본 발명의 일 실시 예에 따른 디지털 키 공유 단계를 공유자 중심에서 도시한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이며, 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.
이하, 첨부 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다. 그러나 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시 예에 한정되는 것은 아니다. 본 발명의 실시 예는 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공된다.
이하, 본 명세서의 실시 예를 첨부된 도면을 참조하여 설명한다. 본 명세서의 실시 예를 설명하면서, 본 명세서가 속하는 기술 분야에 익히 알려졌고 본 명세서와 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 이는 불필요한 설명을 생략함으로써 본 명세서의 요지를 흐리지 않고 더욱 명확히 전달하기 위함이다.
또한, 본 명세서의 구성 요소를 설명하는 데 있어서, 동일한 명칭의 구성 요소에 대하여 도면에 따라 다른 참조부호를 부여할 수도 있으며, 서로 다른 도면임에도 동일한 참조부호를 부여할 수도 있다. 그러나 이와 같은 경우라 하더라도 해당 구성 요소가 실시 예에 따라 서로 다른 기능을 갖는다는 것을 의미하거나, 서로 다른 실시 예에서 동일한 기능을 갖는다는 것을 의미하는 것은 아니며, 각각의 구성 요소의 기능은 해당 실시 예에서의 각각의 구성 요소에 대한 설명에 기초하여 판단하여야 할 것이다.
도 1은 본 발명의 일 실시 예에 따른 디지털 키 서비스 시스템의 개념을 도시한 도면이다.
도 1을 참조하면, 지털 키 서비스 시스템은, 디지털 키 서버(Digital Key Server)(1), 디지털 키 디바이스(Digital Key Device)(2) 및 잠금 디바이스(Lock Device)(3)를 포함한다.
일 실시 예에 따른 디지털 키 서비스는, 이동통신 기술의 발달로 널리 사용되는 스마트폰과 같은 디지털 키 디바이스(2)의 내부에 잠금 디바이스(3)를 디지털 키 방식으로 잠금 해제시킬 수 있는 디지털 키(Digital Key)를 구비하고, 디지털 키를 발급, 삭제, 사용, 공유 등을 제공하는 서비스를 의미한다. 디지털 키 디바이스(2)는 자신의 보안영역에 디지털 키를 암호화하여 저장해 두고, 이 디지털 키를 가지고 잠금 디바이스(3)를 잠금해제할 수 있다. 디지털 키 디바이스(2)와 잠금 디바이스(3) 간 통신은 NFC(Near field communication), 블루투스(Bluetooth), 와이파이(Wi-fi), QR 코드, 지그비(Zigbee)와 같은 무선통신을 이용할 수 있다. 잠금 디바이스(3)는 상술한 무선 통신을 이용한 디지털 키 방식으로 작동될 수 있다.
디지털 키 서버(1)는 디지털 키 디바이스(2)와 잠금 디바이스(3)의 디지털 키를 발급, 삭제, 사용, 회수 등의 디지털 키 제어 기능과, 디지털 키를 탑재하고 사용할 기기(디지털 키 디바이스, 잠금 디바이스)에 대한 등록 및 삭제를 포함한 관리 기능을 수행한다. 디지털 키 서버(1)에서 디지털 키 발급, 삭제, 공유가 모두 이루어진다. 나아가, 디지털 키 서버(1)는 각 보안영역뿐 아니라 전체 플로우상 취약점 확인을 위해 프로토콜을 검사하고, E2E(End to End) 암호화를 수행한다. 디지털 키 서버(1)가 클라우드(Cloud) 기반으로 운영되는 경우 확장이 용이하다.
디지털 키 디바이스(2)는 디지털 키 서버(1)에 등록하여 디지털 키를 안전하게 발급 받는다. 발급 받은 디지털 키를 사용하는 기능을 가지며, 보안요소(Secure Element: SE)를 통하여 중요한 로직을 보호한다.
잠금 디바이스(3)는 디지털 키 디바이스(2)에 발급된 디지털 키로 실제 잠금 및 해제를 수행하는 기기이다. 예를 들어, 도어, 출입관리시스템, 차량 등이 될 수 있다. 잠금 디바이스(3)는 디지털 키 서버(1)에 등록하여 디지털 키를 발급 받는다.
디지털 키 서버(1)와 잠금 디바이스(3)는 서로 간에 직접적으로 통신하지 않고, 디지털 키 디바이스(2)를 통해 통신을 한다. 디지털 키 디바이스(2)가 잠금 디바이스(3) 및 디지털 키 서버(1)의 게이트웨이(G/W) 역할을 수행한다.
디지털 키 서비스를 위한 준비작업으로, 디지털 키 디바이스(2)와 잠금 디바이스(3)는 서버 공개 키(Server Public key)를 안전한 곳에 보관하며, 디지털 키 서버(1)는 잠금 디바이스(예를 들어, 도어 ID) 별 공개 키(LockDevice Public key)를 안전한 곳에 저장해 둘 수 있다. 디지털 키 디바이스(2)는 로그인 후 디지털 키 서버(1)와 통신 시 헤더에 토큰정보를 주입할 수 있다.
도 2은 본 발명의 일 실시 예에 따른 디지털 키 서비스 시스템의 구성을 도시한 도면이다.
도 2을 참조하면, 디지털 키 서비스 시스템은, 디지털 키 서버(Digital Key Server)(1), 디지털 키 디바이스(Digital Key Device)(2), 잠금 디바이스(Lock Device)(3), 서비스 제공자(Service Provider)(4), 제3자(3rd Party)(5) 및 통신 인터페이스(Communication Interface)(6)를 포함한다.
디지털 키 디바이스(2)는, 스마트폰, 태블릿 PC 등의 휴대 가능한 모바일 단말을 가리키는 것으로서, 안드로이드(구글의 스마트폰용 운영체제), iOS(애플사의 아이폰용 운영체제) 등과 같은 운영체제에서 동작한다. 디지털 키 디바이스(2)에는 일반 운영체제와, 일반 운영체제와는 독립적으로 동작하는 보안 운영체제가 탑재된다. 일반 운영체제가 동작하는 영역을 일반영역(Normal World: NW)(21)이라 하고, 보안 운영체제가 동작하는 영역을 보안영역(Secure World: SW)(22)이라고 한다. 보안영역(22)은 TEE(Trusted Execution Environment), WBC(White Box Cryptography), USIM(universal subscriber identity module) 및 eSIM(embedded subscriber identity module) 중 어느 하나를 이용한 모바일 보안영역에 해당할 수 있다. 이하, 설명의 편의를 위해, TEE를 중심으로 설명하고자 하나, WBC, USIM, eSIM 등 각종 보안처리 기술에도 유사하게 적용될 수 있음을 명시한다.
일반영역(21)은 클라이언트 애플리케이션(Client Application)을 포함하며, 클라이언트 애플리케이션은 사용자 UI, 일반 로직 및 네트워크 통신기능을 수행한다. 보안영역(22)은 TEE/USIM/eSIM/WBC 등의 다양한 보안요소 환경을 수행하기 위한 보안 애플리케이션(Trusted Application)을 포함한다. 보안 애플리케이션은 지급결제, 인증, 금융정보 관리, 개인정보 관리, 기기관리, 보안 서비스 등의 모바일 보안 강화 서비스를 제공하며, 보안이 필요한 서비스를 제공하기 위해 보안영역에 저장된 보안정보를 액세스하게 된다. 보안 애플리케이션은 보안요소(Secure Element)를 포함하며, 디지털 키 저장 기능, 중요정보 저장, 기능 암복호화 기능, 중요 로직 기능을 수행한다. 예를 들어, 보안 애플리케이션은 카메라, 마이크, 화면 터치, 지문스캐너 등의 I/O 장치를 통한 보안이 강화된 사용자 인터페이스 제공(보안강화 I/O TA), 사용자 특정을 위한 특징값의 암호화 및 복호화(암호화 복호화 TA), 암호화된 특징값을 개인정보DB에 저장 등 보안영역에서 개인정보를 관리하고 제어하는 동작을 수행한다. 보안 애플리케이션은 일반영역(21)에서 직접적으로 액세스할 수 없다. 또한, 사이트 등록 확인, 사용자 개인키 암호화, 인증토큰의 생성, 권한토큰의 복호화, 전자서명 데이터의 생성, 전자서명 데이터의 확인 등 보안 애플리케이션의 동작에 필요한 특징값, 공인인증서, 아이디 및 패스워드 등의 중요정보도 보안영역(22)에 저장된다.
디지털 키 디바이스(2)는 소유자 디바이스와 공유 디바이스를 포함할 수 있다. 소유자 디바이스는 공유 디바이스와 디지털 키를 공유할 때, 제한설정 값을 설정하여 사용에 제한을 줄 수 있다. 예를 들어, 사용 가능 기간, 사용 가능 횟수, 사용 가능 지역 및 재공유 가능정보 등을 미리 설정하고 공유 디바이스의 사용권한을 제한할 수 있다.
소유자 디바이스는 디지털 키 소유주(Primary User)가 휴대하는 디지털 키 디바이스로서, 디지털 키 서버(1)로부터 인증을 받고 최초 디지털 키를 발급받는다. 디지털 키 소유자가 잠금 디바이스 소유주가 된다. 공유 디바이스는 공유자(Shared User)가 휴대하는 디지털 키 디바이스다. 공유자는 소유주로부터 디지털 키를 공유 받은 사용자이다. 예를 들어, 가족, 친구 등이 있다.
잠금 디바이스(3)는 디지털 키 디바이스(2)에 발급된 디지털 키로 실제 잠금 및 해제를 수행하는 기기이다. 예를 들어, 도어, 출입관리시스템, 차량 등이 될 수 있다. 잠금 디바이스(3)는 디지털 키 서버(1)에 등록하여 디지털 키를 발급 받는다. 잠금 디바이스(3)는 디지털 키 디바이스(2)의 디지털 키에 의해 잠금 해제될 수 있다. 일 실시 예에 따른 잠금 디바이스(3)는 디지털 키 디바이스(2)의 접근에 따라 디지털 키 디바이스(2)를 인식하고 인식된 디지털 키 디바이스(2)로부터 암호화를 위한 공개 키를 수신한 후 수신된 공개 키를 이용하여 잠금 디바이스 정보를 암호화할 수 있다. 그리고 암호화된 잠금 디바이스용 디지털 키를 수신하면 이를 복호화하여 저장할 수 있다. 잠금 디바이스(3)는 디지털 키 디바이스(2)로부터 무선 전력신호를 수신하여 전력을 충전하는 거치용 무선 충전 패드 형태일 수 있다.
서비스 제공자(Service Provider)(5)는 잠금 디바이스(3)를 제공하는 업체이다. 디지털 키 서버(1)를 통해 디지털 키를 발급 받을 수 있도록 잠금 디바이스(3)에 기능을 제공한다. 일 실시 예에 따른 서비스 제공자(5)는 회원관리 모듈과, 잠금 디바이스 사용 권한 확인 모듈 및 본인인증 모듈을 포함한다. 회원관리 모듈은 디지털 키 디바이스(2)의 회원관리 요청에 따라 회원 여부를 확인한다. 잠금 디바이스 사용 권한 확인 모듈은 디지털 키 디바이스(2)의 사용자가 잠금 디바이스(3)에 대한 사용 권한이 있는지 여부를 확인한다. 본인인증 모듈은 사용자 본인을 인증한다. 사용자 본인인증은 SMS, 비대면, 공인인증, 아이핀 등이 있다.
제3자(5)는, 푸시(push)를 통한 디지털 키 공유 알림 기능을 제공하는 푸시 서버, 디지털 키 디바이스(2) 사용자 본인을 인증하기 위한 본인인증서버, 이동통신사, TEE, USIM을 사용할 수 있도록 활성화 하는 보안 애플리케이션 관리(Trusted Application Management: TAM) 사업자 등을 포함한다. 푸시 서버는 파이어베이스 클라우드 메시징(Firebase Cloud Messaging: FCM)을 사용할 수 있다. 디지털 키 디바이스(2)가 USIM, WBC를 모두 지원하는 단말이면, 제3자(5)를 통해 디지털 키 디바이스(2)와 잠금 디바이스(3) 간 인증을 수행할 수 있다. 이에 비해, 디지털 키 디바이스(2)가 TEE를 지원하는 단말이면, 토큰 인증을 통해 디지털 키 디바이스(2)와 잠금 디바이스(3) 간 인증을 수행할 수 있다.
통신 인터페이스(6)는 디지털 키 디바이스(2)와 잠금 디바이스(3) 간 통신을 수행한다. 통신방법은 NFC, 블루투스(BLE), 암호화 QR 코드 등이 있다.
디지털 키 발급 단계에서 디지털 키 디바이스(2)는 통신 인터페이스(6)를 통해 잠금 디바이스(3)에 잠금 디바이스(3)의 디바이스 정보를 요청하고, 잠금 디바이스(3)로부터 디바이스 정보를 수신하여 잠금 디바이스(3)를 확인하고 확인된 잠금 디바이스(3)에 디지털 키를 전송한다. 잠금 디바이스(3)는 수신된 디지털 키를 저장한다. 잠금 디바이스 정보는, 잠금 디바이스의 제조사정보, 잠금 디바이스의 일련번호, 잠금디바이스의 특징 정보, 잠금 디바이스 공개 키 등을 포함한다.
도 3는 본 발명의 일 실시 예에 따른 디지털 키 서버의 세부 구성을 도시한 도면이다.
도 2 및 도 3를 참조하면, 디지털 키 서버(1)는 보안영역 활성화부(TA Activation Manager)(10), 외부 인터페이스(External Interface)(12), 디지털 키 코어(Digital Core),디바이스 관리부(Device Manager)(14) 디지털 키 관리부(Digital Key Management)(16) 및 관리자 모듈(Admin)(18)을 포함한다.
보안영역 활성화부(10)는 디지털 키 디바이스(2)가 디지털 키 서버(1)에 접속할 때 보안영역 내 각 보안기능을 활성화한다. 일 실시 예에 다른 보안영역 활성화부(10)는 TEE 활성화부(100), USIM 활성화부(102), WBC 활성화부(104)를 포함한다. USIM 활성화부(102)는 디지털 키 디바이스(2)가 USIM을 활용 시 애플릿(applet) 탑재 및 사용 기능을 제공한다. WBC 활성화부(104)는 디지털 키 디바이스(2)가 WBC 사용 시 해당 영역을 활성화 한다. 또한, 도면에는 도시되지 않았으나, 본 발명에 따르면 eSIM활성화부를 추가로 구비할 수 있으며, 상기 보안영역 활성화부(10)가 보안환경에 맞게 TEE 활성화부(100), USIM 활성화부(102), WBC 활성화부(104), 및 eSIM 활성화부 중 어느 하나를 통해 디지털 키 디바이스(2)의 보안영역을 활성할 수 있다. 이때, 보안영역 활성화부(10)는 제3자(5)와 연동하여 제3자(5)의 통신사 또는 TAM 사업자를 통해 디지털 키 디바이스(2)의 보안영역을 활성화할 수도 있는데, USIM활성화부 및 eSIM활성화부를 통해 제 3자와 연동할 수 있다.
외부 인터페이스(12)는 디지털 키 서버(1)가 외부와 통신하는 모듈이다. 일 실시 예에 따른 외부 인터페이스(12)는 보안영역 통신부(Secure Communication Channel)(120), 디지털 키 API(122) 및 잠금 디바이스 API(124)를 포함한다. 보안영역 통신부(120)는 디지털 키 서버(1)의 외부와의 통신 시 송수신되는 모든 데이터를 E2E(End to End) 암호화(Encryption) 한다. 디지털 키 API(122)는 디지털 키 서버(1)의 디지털 키 디바이스(2)와의 통신을 위한 API이다. 디지털 키 API(122)를 통해 디지털 키 디바이스(2)가 디지털 키 서버(1)에 접속하게 된다. 잠금 디바이스 API(124)는 디지털 키 서버(1)의 서비스 공급자(4)와의 통신을 위한 API이다. 디지털 키 서버(1)는 잠금 디바이스 API(124)를 통해 서비스 공급자(4)로부터 처음 등록 요청을 수신할 수 있다.
일 실시 예에 따른 디지털 키 코어는 디바이스 관리부(14)와 디지털 키 관리부(16)를 포함한다. 디바이스 관리부(14)는 각 디바이스가 등록된 디바이스인지 여부를 확인하여 각 디바이스를 인증하며, 각 디바이스 정보를 관리 및 저장하는 모듈이다. 일 실시 예에 따른 디바이스 관리부(14)는 디지털 키 디바이스 관리부(140)와 잠금 디바이스 관리부(142)를 포함한다. 디지털 키 디바이스 관리부(140)는 디지털 키 디바이스(2)를 관리하며, 디지털 키 디바이스(2)의 디바이스 정보를 저장하여, 디지털 키 디바이스(2)가 등록된 디바이스인지를 인증한다. 잠금 디바이스 관리부(142)는 잠금 디바이스 정보를 관리하며, 잠금 디바이스(3)가 등록된 디바이스인지를 인증한다. 처음에 서비스 공급자(4)가 잠금 디바이스(3)에 대한 등록 요청 시 잠금 디바이스 정보를 등록하고 저장할 수 있다.
디지털 키 관리부(16)는, 디지털 키 디바이스(2)의 디지털 키 생성 요청에 따라 디지털 키를 생성하고 생성된 디지털 키를 대상으로 암호화 및 전자서명을 포함한 보안설정을 수행하며, 생성된 디지털 키의 공유 및 삭제를 수행한다.
일 실시 예에 따른 디지털 키 관리부(16)는 디지털 키를 생성하는 디지털 키 발급부(Digital Key Issue module)(160), 생성된 디지털 키를 공유하는 디지털 키 공유부(Digital Key Share module)(161), 생성된 디지털 키의 제한설정 값을 포함한권한을 설정하는 디지털 키 권한 관리부(Digital Key Authority Manager)(162), 물리적 모듈로서 인증 키를 저장하거나 관리하여 디지털 키를 인증하는 하드웨어 보안 모듈(Hardware Security Module)(163), 디지털 키를 암호화하는 암호화부(Cryptography)(164), 암호화된 디지털 키의 무결함을 전자증명하기 위한 디지털 서명부(Digital Signature)(165)를 포함한다. 디지털 키 공유부(161)는 디지털 키의 공유 기능, 공유된 키의 만료 및 비활성화 기능, 제3자(5)의 푸시 서버와 연동하여 푸시를 통한 키 공유 알림 기능 등을 수행할 수 있다. 암호화부(164)는 디지털 키 디바이스(2)가 잠금 디바이스(3)에 디지털 키를 전송할 때, 잠금 디바이스(3)만 디지털 키를 열어볼 수 있도록 디지털 키를 암호화할 수 있다. 디지털 키 서버(1)가 디지털 키 디바이스(2)에 디지털 키를 발급하면 디지털 키 디바이스(2)가 발급된 디지털 키를 저장하고, 디지털 키 디바이스가 키가 없는 잠금 디바이스(3)에 이러한 디지털 키를 가지고 있음을 알려준다. 이때, 디지털 키 디바이스(2)는 통로로만 사용되고, 그 내용을 알지 못하도록 해당 디지털 키를 암호화하여 전송하도록 한다. 이때, 상호 암호화를 위해 선등록되어 있는 통신용 키를 이용하여 디지털 키 암호화를 수행할 수 있다.
관리자 모듈(18)은 디지털 키 서버(1)의 사용자인 관리자를 위한 모듈이다. 일 실시 예에 따른 관리자 모듈(18)은, 디지털 키 서버(1) 동작을 모니터링하는 시스템 모니터링부(System Monitoring Module)(180), 발급된 디지털 키를 추적하여 관리하는 디지털 키 발급 처리부(Digital Key Issue Tracker)(182), 디지털 키 디바이스(2) 및 잠금 디바이스(3)를 추적하여 관리하는 디바이스 관리 처리부(Device Management Tracker)(184), 통계정보를 산출하고 제공하는 통계 처리부(Statistics Tracker)(186)를 포함한다.
도 4는 본 발명의 일 실시 예에 따른 디지털 키 서비스 방법의 프로세스를 도시한 도면이다.
도 2 및 도 4를 참조하면, 디지털 키 서버(1)가 잠금 디바이스(3)를 등록한다(S410). 잠금 디바이스 등록 단계(S410)의 세부 프로세스는 도 5를 참조로 하여 상세히 후술한다.
이어서, 디지털 키 서버(1)가 디지털 키 디바이스(2)의 서비스를 등록한다(S420). 예를 들어, 디지털 키 디바이스(2)의 요청에 따라 디지털 키 서버(1)가 서비스 제공자(4)를 통해 서비스 등록하고 디지털 키 디바이스(2)의 보안영역을 활성화한다. 서비스 등록 단계(S420)의 세부 프로세스는 도 6을 참조로 상세히 후술한다.
이어서, 디지털 키 서버(1)가 디지털 키를 발급한다(S430). 디지털 키 발급 단계(S430)는 디지털 키 서버(1)가 디지털 키 디바이스(2)의 사용자 요청에 따라 디지털 키를 생성하고 이 디지털 키를 활성화된 보안영역에 주입하는 단계까지 포함한다. 디지털 키의 안전한 운반을 위해 E2E 암호화, 전자서명 등의 보안설정을 필요로 한다. 디지털 키 발급 단계(S430)의 세부 프로세스는 도 7을 참조로 하여 상세히 후술한다.
이어서, 디지털 키 디바이스(2)가 발급된 디지털 키를 사용한다(S440). 디지털 키 사용 단계(S440)는 잠금 디바이스(3)의 잠금을 디지털 키 디바이스(2)에 저장된 디지털 키를 통하여 해제하는 단계이다. 잠금 해제를 위해 토큰 인증, 제3자 인증 등을 수행할 수 있다. 토큰 인증은 사전에 등록된 디지털 키를 잠금 디바이스(3)가 확인하여 동작을 수행하는 인증 방식으로, 속도가 빠르나 보안이 상대적으로 취약하다. 제3자 인증은 디지털 키 서버(1)를 통해서 디지털 키의 정합성을 확인하는 방식으로, 속도가 느리나 보안적으로 더 안전하다. 제3자 인증을 위하여, 전자서명, 암복호화 기술과 디지털 키 디바이스(2)가 잠금 디바이스(3)에 키 정보를 전달하기 위한 통신 인터페이스(6)를 제공한다. 디지털 키 사용 단계(S430)의 세부 프로세스는 도 8을 참조로 하여 상세히 후술한다.
또한, 두 디지털 키 디바이스 간에 디지털 키를 공유할 수 있다(S450). 디지털 키 공유 단계(S450)는 소유자가 자기 권한 안에서 새로운 디지털 키를 공유자에게 발급하는 단계이다. 이때 공유 키에 대한 사용 가능 기간, 사용 가능 횟수, 사용 가능 지역 및 재공유 가능정보 등 전체적인 제한사항을 설정할 수 있다. 기본적인 암호화, 서명 등 키 사용에 관한 기능은 물론 공유자에게 공유 사실을 알리기 위한 푸시 기능 및 음영상태 또는 비행기 모드 등의 상태에서 만료된 키의 무단 사용을 방지하기 위한 프로토콜을 제공한다. 키 공유 기능 제공을 위해서는 공유한 키의 삭제 또는 회수 방법을 명확하게 정의한다. 디지털 키 공유 단계(S440)의 세부 프로세스는 도 9 및 도 10을 참조로 하여 상세히 후술한다.
이때, 본 발명에 따르면, 디지털 키 서버(1)가 디지털 키를 발급하는 단계(S430)이후에, 상기 디지털 키를 사용하는 단계(S440)와 두 디지털 키 디바이스 간에 디지털 키를 공유하는 단계(S450)는, 도면에 도시된 실시예와 같이, 항상 순차적으로 수행되는 것이 아닐 수 있다. 즉, 상기 디지털 키 사용(S430)과 상기 디지털 키 공유(S440)는 반드시 순서가 보장되는 것이 아니며, 병렬로 동시에 일어날 수 도 있고, 두가지 중 하나의 단계만 발생할 수 있다.
디지털 키 서버(1)는 전술한 디지털 키 발급(S420), 디지털 키 사용(S440) 및 디지털 키 공유(S440)를 위한 디지털 키 제어와, 디지털 키를 탑재한 디지털 키 디바이스 및 잠금 디바이스에 대한 관리를 수행하는 제어 및 관리 단계를 수행한다.
도 5는 본 발명의 일 실시 예에 따른 잠금 디바이스 등록 단계의 흐름을 도시한 도면이다.
도 5를 참조하면, 서비스 제공자(4)가 디지털 키 서버(1)에 잠금 디바이스(3)의 디바이스 정보를 포함한 잠금 디바이스 등록 요청 메시지를 전송한다(S510). 디지털 키 서버(1)는 잠금 디바이스 API(124)를 통해 서비스 제공자(4)로부터 잠금 디바이스 등록요청을 수신하면, 디바이스 관리부(14)의 잠금 디바이스 관리부(142)에 잠금 디바이스 정보를 저장한다(S520). 이에 따라, 잠금 디바이스(3)의 등록이 완료된다.
도 6은 본 발명의 일 실시 예에 따른 서비스 등록 단계의 흐름을 도시한 도면이다.
도 6을 참조하면, 서비스 등록 단계는 디지털 키 서버(1)가 디지털 키 디바이스(2)를 등록하는 단계이다. 이때, 등록된 디지털 키 디바이스(2) 내부에 보안영역을 활성화 하는 단계까지 포함할 수 있다. 서비스 제공자(4)의 정책과 디지털 키 디바이스(2)의 지원 여부에 따라 디지털 키 디바이스(2)는 다양한 보안영역을 사용한다. 디지털 키 디바이스(2)는 각 보안영역을 이용할 수 있는 인프라를 제공하는 통신사, TAM 사업자 등의 제3자(5)와 연동할 수 있다. 디지털 키 디바이스(2)는 WBC를 사용할 경우 해당 영역이 구현된 애플리케이션을 설치한다.
보다 세부적으로, 디지털 키 디바이스(2)의 일반영역(21) 내 클라이언트 애플리케이션이 서비스 제공자(4)에 회원가입을 포함한 서비스 등록을 신청한다(S610). 서비스 제공자(4)는 회원관리 모듈을 통해 회원 여부를 확인하고 잠금 디바이스 사용권한 확인 모듈을 통한 잠금 디바이스에 대한 사용권한 확인을 거쳐 디지털 키 디바이스(2)를 서비스 등록한 후 디지털 키 디바이스(2)의 서비스 가입정보를 디지털 키 서버(1)에 전송한다(S620).
이어서, 디지털 키 서버(1)는 잠금 디바이스 API(124)를 통해 서비스 제공자(4)로부터 서비스 가입정보를 수신하면 서비스 가입정보를 디지털 키 디바이스 관리부(140)에 저장(S630)하고, 디지털 키 디바이스 관리부(140)는 보안영역 활성화부(10)에 활성화를 요청(S640)하여, 보안영역 활성화부(10)가 보안환경에 맞게 TEE 활성화부(100), USIM 활성화부(102), WBC 활성화부(104) 중 어느 하나를 통해 디지털 키 디바이스(2)의 보안영역을 활성화 한다(S650). 이때, 보안영역 활성화부(10)는 제3자(5)와 연동하여 제3자(5)의 통신사 또는 TAM 사업자를 통해 디지털 키 디바이스(2)의 보안영역을 활성화할 수도 있다. 디지털 키 디바이스(2)의 보안영역 활성화 단계(S640)는 전술한 바와 같이 서비스 신청 이후 수행될 수도 있지만, 서비스 신청 이전에 수행될 수도 있다. 다만, 과금 문제에 의해 서비스 신청 이후 수행되는 것이 효율적이다. 단, 디지털 키 저장 이전에는 수행되어야 한다.
도 7은 본 발명의 일 실시 예에 따른 디지털 키 발급 단계의 흐름을 도시한 도면이다.
도 7을 참조하면, 디지털 키 디바이스(2)가 일반영역의 클라이언트 애플리케이션을 통해 서비스 제공자(4)에 잠금 디바이스(3)의 디지털 키 발급을 요청한다(S701). 서비스 제공자(4)는 디지털 키 디바이스 사용자가 등록된 사용자이고 잠금 디바이스(3)에 사용 권한이 있는지 여부를 확인하여 사용자를 인증한 후 서비스 가입정보를 디지털 키 서버(1)에 전달한다(S702).
이어서, 디지털 키 디바이스(2)는 잠금 디바이스(3)에 잠금 디바이스(3)의 디바이스 정보를 통신 인터페이스(6)를 통해 요청하여 디바이스 정보를 수신한다(S703). 디바이스 정보를 수신한 디지털 키 디바이스(2)는 디지털 키 서버(1)에 디지털 키 생성을 요청한다(S704).
디지털 키 서버(1)의 디지털 키 디바이스 관리부(140)는 디지털 키 디바이스(2)의 키 생성 요청에 따라 잠금 디바이스 관리부(142)에 요청하여 잠금 디바이스의 디바이스 정보를 확인(S705)하여 등록된 디바이스인지 여부를 확인하여 디바이스를 인증한 후, 디지털 키 관리부(16)의 디지털 키 발급부(160)에 디지털 키 생성을 요청한다(S706). 디지털 키 발급부(160)는 디지털 키를 생성하고, 디지털 키 권한관리부(162)에 디지털 키 권한 부여를 요청(S707)하며, 디지털 키 권한관리부(162)가 디지털 키의 제한설정 값을 포함한 디지털 키 권한을 부여한 후, HSM(163)을 통해 디지털 키를 인증한다(S708). 이어서, 암호화부(164)가 생성된 디지털 키를 암호화(S709)하고, 디지털 서명부(165)가 암호화된 디지털 키를 전자서명 하며(S710), 디지털 키 공유부(161)가 디지털 키를 저장한다(S711).
이어서, 디지털 키 서버(1)의 외부 인터페이스(12)가 보안영역 통신부(120)를 통해 디지털 키를 E2E 암호화한 후 디지털 키 API(122)를 통해 디지털 키 디바이스(2)에 암호화된 디지털 키를 전송하여 보안영역에 주입한다(S712). 이때, 디지털 키 디바이스(2)가 디지털 키 서버(1)로부터 디지털 키를 전달받는 과정에서, 비대칭 암호 알고리즘 방식으로 암호화된 디지털 키를 전달받아 디지털 키 디바이스(2)의 보안영역에서 복호화함으로써 온라인을 통해 디지털 키를 전달받더라도 보안을 강화할 수 있는 효과가 있다.
디지털 키 디바이스(2)는 주입된 디지털 키를 통신 인터페이스(6)를 통해 잠금 디바이스(3)에 전송(S713) 하며, 잠금 디바이스(3)는 수신된 디지털 키를 저장한다. 이때, 잠금 디바이스(3)에 전송되는 디지털 키는 암호화 된다.
도 8은 본 발명의 일 실시 예에 따른 디지털 키 사용 단계의 흐름을 도시한 도면이다.
도 8을 참조하면, 디지털 키 등록 이후, 디지털 키 디바이스(2)가 잠금 디바이스(3)에 접근 또는 태그하면 디지털 키 디바이스(2)의 보안 애플리케이션을 통해 보안영역(22)에 저장된 암호화된 디지털 키를 전달하여 잠금 디바이스(3)에 전송ㅎ하는 단계(S800)와, 잠금 디바이스(3)는 사전에 등록된 디지털 키를 통해 전달받은 암호화된 디지털 키를 검증함으로써 잠금 디바이스(3)를 잠금 해제시킬 수 있다. 인증토큰에 대한 검증이 성공하면 잠금 디바이스(3)가 잠금 해제된다. 디지털 키 디바이스(2)의 보안영역에 저장된 디지털 키를 이용하여 잠금 디바이스(3)를 잠금 해제시키는 경우, 인증토큰 암복호화 과정을 거치기 때문에 디지털 키의 유출 가능성을 원천적으로 방지하는 효과가 있다.
도 9는 본 발명의 일 실시 예에 따른 디지털 키 공유 단계를 소유자 중심으로 도시한 도면이다.
도 9를 참조하면, 소유자의 디지털 키 디바이스(이하, 소유자 디바이스)(2-1)는 일반영역(21) 내 클라이언트 애플리케이션을 통해 서비스 제공자(4)에 디지털 키 공유를 요청한다(S910). 그러면, 서비스 제공자(4)는 잠금 디바이스 사용 권한 확인 및 사용자 확인을 거쳐 사용자를 인증한 후 디지털 키 서버(1)에 디지털 키 공유를 요청한다(S920). 디지털 키 서버(1)의 디지털 키 API(122)가 디지털 키 공유 요청을 수신하면 디지털 키 디바이스 관리부(140)에 디지털 키 공유 요청을 전달한다(S930). 디지털 키 디바이스 관리부(140)는 잠금 디바이스 관리부(142)에 등록된 잠금 디바이스인지 확인을 요청(S940) 하여 잠금 디바이스 관리부(142)가 디바이스를 인증하게 하고, 디바이스 인증이 이루어지면 디지털 키 공유부(161)에 공유 키를 요청(S950)하며, 디지털 키 공유부(161)가 자신이 관리하고 있는 공유 키를 확인한다. 서비스 제공자(4)는 공유자의 디지털 키 디바이스(이하, 공유 디바이스)에 디지털 키 공유를 알린다(S960).
도 10은 본 발명의 일 실시 예에 따른 디지털 키 공유 단계를 공유자 중심에서 도시한 도면이다.
도 10을 참조하면, 디지털 키 디바이스(이하, 공유 디바이스)(2-2)는 디지털 키 서버(1)에 공유 키 확인을 요청한다(S1010). 디지털 키 API(122)를 통해 공유 키 확인 요청을 수신한 디지털 키 서버(1)는 디지털 키 디바이스 관리부(140)에 키 확인 요청을 전달(S1020)하고, 디지털 키 디바이스 관리부(140)는 다시 키 확인 요청을 디지털 키 공유부(161)에 전달한다(S1030). 디지털 키 공유부(161)는 자신이 관리하고 있는 공유 키를 확인한 후 디지털 키 공유부(161)가 외부 인터페이스(12)에 공유 키를 전달(S1040) 하면, 외부 인터페이스(12)가 보안영역 통신부(120)를 통해 공유 키를 E2E 암호화한 후 디지털 키 API(122)를 통해 공유 디바이스(2-2)에 전송하여 보안영역에 주입한다(S1050).
전술한 바와 같이, 디지털 키 서버(1)가 직접 공유 디바이스(2-2)에 공유 키를 주입할 수도 있으나, 디지털 키 서버(1)가 제3자(5)와 연동하여 제3자(5)의 통신사 또는 TAM 사업자를 통해 공유 디바이스(2-2)의 보안영역(22)에 공유 키를 주입할 수도 있다. 나아가. 디지털 키 서버(1)는 공유된 디지털 키를 삭제하여 공유를 해제할 수 있다.
상기와 같이, 본 발명은 모바일 형태의 디지털 키 디바이스를 일반 운영체제와 보안 운영체제로 운영하고 보안 운영체제의 보안요소를 통하여 중요한 정보와 로직을 보호함에 따라 모바일 보안이 강화된 디지털 키 서비스 시스템 및 그 방법을 제공하는 목적이 있다.
또한, 본 발명은 디지털 키 서버에서 디지털 키 발급, 공유, 삭제 등을 일괄 관리하여 보안성을 높이며, 클라우드 기반으로 확장이 용이하며, 이중화된 WAS, DB 및 HSM을 구성할 수 있다.
또한, 본 발명은 제3를 통해 디지털 키 디바이스가 USIM, WBC 등을 사용할 수 있도록 활성화 하고, 사용자가 디지털 키를 공유할 때 푸시(push)를 통한 디지털 키 공유를 알림할 수 있다. 제3자를 통해 디지털 키 디바이스와 잠금 디바이스 간 인증을 수행할 수 있다.
또한, 본 발명은 디지털 키 디바이스가 TEE 지원 단말이면 NFC를 이용한 통신 인터페이스를 지원하고, 디지털 키 디바이스가 USIM 및 WBC를 지원하는 단말이면 블루투스(BLE) 또는 암호화 QR 코드를 이용한 통신 인터페이스를 지원할 수 있다.
또한, 본 발명은 모바일 보안환경 기반의 디지털 키 디바이스를 이용하여 디지털 키 서버로부터 전달받은 암호화된 디지털 키를 보안영역에서 복호화하여 저장함으로써 잠금 디바이스를 잠금 해제시킬 수 있는 디지털 키에 대한 보안을 확보할 수 있는 효과가 있다.
또한, 본 발명은 디지털 키 공유 시 잠금 해제권한을 다양한 조건으로 제한할 수 있어 디지털 키를 다른 사용자와 안전하게 공유할 수 있으면서도 사용자 편의성을 높일 수 있는 효과가 있다.
또한, 본 발명은 디지털 키 디바이스가 디지털 키 서버로부터 디지털 키를 전달받는 과정에서 비대칭 암호 알고리즘 방식으로 암호화된 디지털 키를 전달받아 디지털 키 디바이스의 보안영역에서 복호화함으로써 온라인을 통해 디지털 키를 전달받더라도 보안을 강화할 수 있는 효과가 있다.
또한, 본 발명은 디지털 키 디바이스의 보안영역에 저장된 디지털 키를 이용하여 잠금 디바이스를 잠금 해제시키는 경우에도 인증토큰 암복호화 과정을 거치기 때문에 디지털 키의 유출 가능성을 원천적으로 방지하는 효과가 있다.
또한, 본 발명은, 디지털 키를 공유하는 공유 디바이스에 대한 보안인증과정을 디지털 키 서버를 통해 수행함으로써 안전성을 높이는 효과가 있다.
또한, 본 발명은, 공유 디바이스에 디지털 키를 저장하여 사용하는 경우에도 보안 운영체제에서 디지털 키를 사용해 인증토큰를 생성시키고 제한설정 값과 함께 암복호화하는 과정을 거치게 함으로써 디지털 키를 공유하는 경우에 필요한 보안성을 확보하는 효과가 있다. 이때, 사용 가능기간, 사용 가능횟수, 사용 가능지역, 및 재배포권한을 포함한 제한설정을 부여한 후 디지털 키를 다른 사용자와 공유함으로써 디지털 키를 분실하더라도 잠금 디바이스의 도난위험을 최소화할 수 있는 효과가 있다.
이상, 본 발명을 몇 가지 예를 들어 설명하였으나, 본 발명의 실시 예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시 예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시 예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 반도체 기록매체, 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.
또한, 이상에서 기재된 "포함하다", "구성하다" 또는 "가지다"등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재할 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다.
이상에서 설명한 실시 예들은 그 일 예로서, 본 명세서가 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 명세서의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 명세서에 개시된 실시 예들은 본 명세서의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예에 의하여 본 명세서의 기술 사상의 범위가 한정되는 것은 아니다. 본 명세서의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 명세서의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
1 : 디지털 키 서버
2 : 디지털 키 디바이스
3 : 잠금 디바이스
4 : 서비스 제공자
5 : 제 3자
6 : 통신인터페이스

Claims (17)

  1. 디지털 키 서버가 잠금 디바이스를 등록하는 단계;
    디지털 키 서버가 서비스 제공자를 통해 디지털 키 디바이스를 서비스 등록하고 디지털 키 디바이스의 일반영역과 분리된 보안영역을 활성화하는 서비스 등록 단계;
    디지털 키 서버가 디지털 키 디바이스의 요청에 따라 디지털 키를 생성하고 생성된 디지털 키에 대한 보안설정을 거친 후 디지털 키 디바이스의 활성화된 보안영역에 주입하는 디지털 키 발급 단계; 및
    디지털 키 서버가 디지털 키의 발급, 사용 및 공유를 위한 디지털 키 제어와, 디지털 키를 탑재한 디지털 키 디바이스 및 잠금 디바이스에 대한 관리를 수행하는 제어 및 관리 단계;를 포함하고,
    상기 디지털 키 발급 단계는,
    디지털 키 디바이스가 일반영역의 클라이언트 애플리케이션을 통해 서비스 제공자에 디지털 키 발급을 요청하는 단계;
    서비스 제공자가 사용자 인증을 거쳐 서비스 가입정보를 디지털 키 서버에 전달하는 단계;
    디지털 키 디바이스가 잠금 디바이스에 요청하여 디바이스 정보를 수신한 후 디지털 키 서버에 디지털 키 생성을 요청하는 단계;
    디지털 키 서버가 디지털 키를 생성하고 생성된 디지털 키에 보안설정을 수행하는 단계; 및
    보안설정된 디지털 키를 E2E 암호화한 후 디지털 키 디바이스에 전송하여 보안영역에 주입하는 단계;를 포함하고,
    상기 디지털 키 서버가 디지털 키를 생성하고 생성된 디지털 키에 보안설정을 수행하는 단계는,
    디지털 키 서버가 잠금 디바이스의 디바이스 정보를 확인하여 디바이스를 인증하는 단계;
    디지털 키를 생성하고 생성된 디지털 키의 제한설정 값을 포함한 디지털 키의 권한 부여 및 인증을 수행하는 단계; 및
    생성된 디지털 키를 암호화하고 암호화된 디지털 키를 전자서명한 후 디지털 키를 저장하는 단계;를 포함하는 것을 특징으로 하는 디지털 키 서비스 방법.
  2. 제 1 항에 있어서, 서비스 등록 단계는
    디지털 키 디바이스의 일반영역 내 클라이언트 애플리케이션이 서비스 제공자에 회원가입을 포함한 서비스 등록을 신청하는 단계;
    서비스 제공자가 회원 여부 확인 및 잠금 디바이스에 대한 사용권한 확인을 거쳐 디지털 키 디바이스를 서비스 등록한 후 서비스 가입정보를 디지털 키 서버에 전송하는 단계; 및
    서비스 가입정보를 수신한 디지털 키 서버가 디지털 키 디바이스의 보안영역을 활성화 하는 단계;
    를 포함하는 것을 특징으로 하는 디지털 키 서비스 방법.
  3. 제 2 항에 있어서, 디지털 키 디바이스의 보안영역을 활성화 하는 단계는
    디지털 키 서버가 제3자와 연동하여 제3자의 통신사 또는 TAM(Trusted Application Management) 사업자를 통해 디지털 키 디바이스의 보안영역을 활성화 하는 것을 특징으로 하는 디지털 키 서비스 방법.
  4. 삭제
  5. 삭제
  6. 제 1 항에 있어서, 디지털 키 서비스 방법은
    디지털 키 디바이스의 보안영역에 저장된 디지털 키를 이용하여 잠금 디바이스를 잠금 해제시키는 디지털 키 사용 단계; 를 더 포함하며,
    디지털 키 사용 단계는
    디지털 키 등록 이후, 디지털 키 디바이스가 잠금 디바이스에 접근 또는 태그하면 디지털 키 디바이스의 보안영역에 저장된 암호화된 디지털 키를 전달하여 잠금 디바이스에 전송하는 단계; 및
    잠금 디바이스가 사전에 등록된 디지털 키를 통해 전달 받은 암호화된 디지털 키를 검증함으로써 잠금 디바이스를 잠금 해제시키는 단계;
    를 포함하는 것을 특징으로 하는 디지털 키 서비스 방법.
  7. 제 1 항에 있어서, 디지털 서비스 방법은
    제1 디지털 키 디바이스가 제2 디지털 키 디바이스에 공유 키를 공유하는 단계; 를 더 포함하며,
    공유 키를 공유하는 단계는
    제1 디지털 키 디바이스가 서비스 제공자에 디지털 키 공유를 요청하는 단계;
    서비스 제공자가 사용자를 인증한 후 디지털 키 서버에 디지털 키 공유를 요청하는 단계;
    디지털 키 서버가 잠금 디바이스를 인증하고, 자신이 관리하고 있는 공유 키를 확인하는 단계; 및
    서비스 제공자가 제2 디지털 키 디바이스에 디지털 키 공유를 알리는 단계;
    를 포함하는 것을 특징으로 하는 디지털 키 서비스 방법.
  8. 제 7 항에 있어서, 공유 키를 공유하는 단계는
    제2 디지털 키 디바이스가 디지털 키 서버에 공유 키 확인을 요청하는 단계;
    디지털 키 서버가 자신이 관리하고 있는 공유 키를 확인하는 단계; 및
    디지털 키 서버가 확인된 공유 키를 E2E 암호화한 후 제2 디지털 키 디바이스에 전송하여 보안영역에 주입하는 단계;
    를 더 포함하는 것을 특징으로 하는 디지털 키 서비스 방법.
  9. 제 8 항에 있어서, 제2 디지털 키 디바이스에 전송하여 보안영역에 주입하는 단계는
    디지털 키 서버가 제3자와 연동하여 제3자의 통신사 또는 TAM 사업자를 통해 보안영역을 활성화 하는 것을 특징으로 하는 디지털 키 서비스 방법.
  10. 제 1 항에 있어서, 디지털 키 디바이스의 보안영역은
    TEE(Trusted Execution Environment), WBC(White Box Cryptography), USIM(universal subscriber identity module) 및 eSIM(embedded subscriber identity module) 중 어느 하나를 이용한 모바일 보안영역에 해당하는 것을 특징으로 하는 디지털 키 서비스 방법.
  11. 디지털 키의 발급, 공유 및 삭제를 위한 디지털 키 제어와, 디지털 키를 탑재한 디지털 키 디바이스 및 잠금 디바이스에 대한 관리를 수행하는 디지털 키 서버;
    디지털 키 서버의 인증을 통해 디지털 키를 발급받아 일반영역과 분리된 보안영역에 디지털 키를 저장하고 발급받은 디지털 키를 사용 및 공유하는 디지털 키 디바이스;
    디지털 키 디바이스에 발급된 디지털 키에 의해 잠금 또는 잠금해제를 수행하는 잠금 디바이스; 및
    잠금 디바이스를 제공하는 서비스 제공자;를 포함하고,
    상기 디지털 키 서버는,
    디지털 키 디바이스의 보안영역을 활성화하는 보안영역 활성화부;
    디지털 키 서버가 외부와 통신하기 위한 외부 인터페이스;
    디지털 키 디바이스 및 잠금 디바이스가 등록된 디바이스인지 여부를 확인하여 각 디바이스를 인증하고 각 디바이스 정보를 관리 및 저장하는 디바이스 관리부; 및
    디지털 키 디바이스의 디지털 키 생성 요청에 따라 디지털 키를 생성하고 생성된 디지털 키를 대상으로 암호화 및 전자서명을 포함한 보안설정을 수행하며, 생성된 디지털 키의 공유 및 삭제를 제어하는 디지털 키 관리부;를 포함하며,
    상기 디지털 키 관리부는,
    디지털 키를 생성하는 디지털 키 발급부;
    생성된 디지털 키를 공유하는 디지털 키 공유부;
    생성된 디지털 키의 제한설정 값을 포함한 권한을 설정하는 디지털 키 권한 관리부;
    물리적 모듈로서 인증 키를 저장하거나 관리하여 디지털 키를 인증하는 하드웨어 보안 모듈;
    디지털 키를 암호화하는 암호화부; 및
    암호화된 디지털 키의 무결함을 전자증명하기 위한 디지털 서명부;
    를 포함하는 것을 특징으로 하는 디지털 키 서비스 시스템.
  12. 삭제
  13. 제 11 항에 있어서, 보안영역 활성화부는
    보안환경에 맞게 TEE 활성화부, USIM 활성화부, WBC 활성화부, 및 eSIM 활성화부 중 어느 하나를 통해 디지털 키 디바이스의 보안영역을 활성화 하며,
    USIM 활성화부 및 eSIM 활성화부는 제3자와 연동하여 디지털 키 디바이스의 보안영역을 활성화 하는 것을 특징으로 하는 디지털 키 서비스 시스템.
  14. 제 11 항에 있어서, 외부 인터페이스는
    디지털 키 서버의 외부와의 통신 시 송수신되는 데이터를 E2E(End to End) 암호화하는 보안영역 통신부;
    디지털 키 서버의 디지털 키 디바이스와의 통신을 위한 디지털 키 API; 및
    디지털 키 서버의 서비스 공급자와의 통신을 위한 잠금 디바이스 API;
    를 포함하는 것을 특징으로 하는 디지털 키 서비스 시스템.
  15. 삭제
  16. 제 11 항에 있어서, 디지털 키 서비스 시스템은
    디지털 키 디바이스와 잠금 디바이스 간 통신을 수행하는 통신 인터페이스; 를 더 포함하며,
    통신 인터페이스는 NFC, 블루투스(BLE) 또는 암호화 QR 코드를 이용하여 통신하는 것을 특징으로 하는 디지털 키 서비스 시스템.
  17. 삭제
KR1020200026872A 2020-03-03 2020-03-03 모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법 KR102146748B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200026872A KR102146748B1 (ko) 2020-03-03 2020-03-03 모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200026872A KR102146748B1 (ko) 2020-03-03 2020-03-03 모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020200067954A Division KR102142906B1 (ko) 2020-06-04 2020-06-04 모바일 보안환경에서의 디지털 키 서비스 시스템

Publications (1)

Publication Number Publication Date
KR102146748B1 true KR102146748B1 (ko) 2020-08-21

Family

ID=72235839

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200026872A KR102146748B1 (ko) 2020-03-03 2020-03-03 모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102146748B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111047740A (zh) * 2019-11-22 2020-04-21 上海银基信息安全技术股份有限公司 数字钥匙分享方法
KR102366869B1 (ko) * 2021-09-03 2022-02-23 (주)케이스마텍 디지털 키 서비스 확장 및 제공 시스템 및 방법
KR102385467B1 (ko) * 2021-09-23 2022-04-14 (주)케이스마텍 디지털 키 통합 서비스 제공 시스템 및 그 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170078533A (ko) 2015-12-29 2017-07-07 주식회사 스타트나우 스마트 호텔 예약 관리 시스템
KR20190136554A (ko) * 2018-05-31 2019-12-10 (주)케이스마텍 이기종 단말기에 적용이 가능한 하이브리드 보안환경 기반의 호텔용 스마트 키 서비스 방법 및 이를 위한 호텔용 스마트 키 관리시스템
KR102068357B1 (ko) * 2019-09-16 2020-02-11 (주)케이스마텍 디지털 키 기반 차량 원격 제어 서비스 방법 및 이를 위한 모바일 단말

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170078533A (ko) 2015-12-29 2017-07-07 주식회사 스타트나우 스마트 호텔 예약 관리 시스템
KR20190136554A (ko) * 2018-05-31 2019-12-10 (주)케이스마텍 이기종 단말기에 적용이 가능한 하이브리드 보안환경 기반의 호텔용 스마트 키 서비스 방법 및 이를 위한 호텔용 스마트 키 관리시스템
KR102068357B1 (ko) * 2019-09-16 2020-02-11 (주)케이스마텍 디지털 키 기반 차량 원격 제어 서비스 방법 및 이를 위한 모바일 단말

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111047740A (zh) * 2019-11-22 2020-04-21 上海银基信息安全技术股份有限公司 数字钥匙分享方法
KR102366869B1 (ko) * 2021-09-03 2022-02-23 (주)케이스마텍 디지털 키 서비스 확장 및 제공 시스템 및 방법
KR102385467B1 (ko) * 2021-09-23 2022-04-14 (주)케이스마텍 디지털 키 통합 서비스 제공 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
US11968525B2 (en) Vehicle digital key sharing service method and system
KR101211477B1 (ko) 모바일키 서비스 제공 방법
US9135425B2 (en) Method and system of providing authentication of user access to a computer resource on a mobile device
KR102146748B1 (ko) 모바일 보안 환경에서의 디지털 키 서비스 시스템 및 그 방법
EP3293995B1 (en) Locking system and secure token and ownership transfer
JP2011511350A (ja) アクセス制御の管理方法および装置
CN107733652B (zh) 用于共享交通工具的开锁方法和系统及车锁
US11722529B2 (en) Method and apparatus for policy-based management of assets
KR101873828B1 (ko) 신뢰된 실행 환경 기반의 사용자 단말을 이용한 무선 도어키 공유 서비스 방법 및 시스템
JP2018148463A (ja) 認証システム、認証情報生成装置、被認証装置及び認証装置
US20220366408A1 (en) Digital Key With Monetary Value
KR102142906B1 (ko) 모바일 보안환경에서의 디지털 키 서비스 시스템
WO2016035466A1 (ja) 通信システム、サーバ装置用プログラム及びこれを記録した記録媒体、通信装置用プログラム及びこれを記録した記録媒体、端末装置用プログラム及びこれを記録した記録媒体
KR101680536B1 (ko) 기업용 모바일 업무데이터 보안 서비스 방법 및 그 시스템
WO2010048350A1 (en) Card credential method and system
TWI588782B (zh) 保全方法、保全閘與伺服器
KR102175408B1 (ko) 디지털키 서비스 방법 및 그 시스템
KR101934785B1 (ko) 출입 통제 시스템
KR20110128371A (ko) 모바일 클라이언트 보안인증시스템과 중앙제어시스템 및 그 동작방법
JP2019213085A (ja) データ通信システム
TWI725623B (zh) 基於管理者自發行票券的點對點權限管理方法
US20220085996A1 (en) Digital key generation for electric and electronic locks
KR20150005789A (ko) 인증서를 이용한 사용자 인증 방법
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
CN109493493B (zh) 一种基于nfc的安全智能型酒店门禁控制系统及方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant