KR102149313B1 - Method for Processing Electronic Signature based on Universal Subscriber Identity Module - Google Patents

Method for Processing Electronic Signature based on Universal Subscriber Identity Module Download PDF

Info

Publication number
KR102149313B1
KR102149313B1 KR1020130100276A KR20130100276A KR102149313B1 KR 102149313 B1 KR102149313 B1 KR 102149313B1 KR 1020130100276 A KR1020130100276 A KR 1020130100276A KR 20130100276 A KR20130100276 A KR 20130100276A KR 102149313 B1 KR102149313 B1 KR 102149313B1
Authority
KR
South Korea
Prior art keywords
key
usim
signature
encrypted
signature data
Prior art date
Application number
KR1020130100276A
Other languages
Korean (ko)
Other versions
KR20150023145A (en
Inventor
김재형
권봉기
Original Assignee
주식회사 비즈모델라인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 비즈모델라인 filed Critical 주식회사 비즈모델라인
Priority to KR1020130100276A priority Critical patent/KR102149313B1/en
Publication of KR20150023145A publication Critical patent/KR20150023145A/en
Application granted granted Critical
Publication of KR102149313B1 publication Critical patent/KR102149313B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3229Use of the SIM of a M-device as secure element
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions

Abstract

본 발명은 관리사의 유심기반 전자서명 처리 방법에 관한 것으로, 고객 소유 무선단말과 연동하고 금융사서버와 통신하는 관리서버를 통해 실행되는 방법에 있어서, N(N≥1)개의 금융사서버 중 제n(1≤n≤N) 금융사서버로부터 지정된 서명 동작을 수행하는 인증서 애플릿을 구비하고 고객 인증서와 통신사 키를 저장한 USIM(Universal Subscriber Identity Module)이 이탈착되는 고객 소유 무선단말의 식별 정보와 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하고, M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하고, 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말의 식별 정보를 제m 통신사서버로 전송하고, 상기 제m 통신사서버와 통신하는 고객 소유 무선단말에 구비된 USIM이 상기 고객 소유 무선단말을 통해 상기 암호화된 서명 대상 데이터를 전달받아 상기 제m 통신사 키를 통해 복호화하고 상기 인증서 애플릿과 고객 인증서를 통해 상기 복호화된 서명 대상 데이터를 전자서명하여 서명 데이터를 생성한 후 상기 제m 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하여 상기 고객 소유 무선단말로 제공한 경우, 상기 고객 소유 무선단말과 통신하는 상기 제m 통신사서버를 경유하여 상기 고객 소유 무선단말의 USIM을 통해 생성 및 암호화화된 서명 데이터를 수신하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하고, 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하며, 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버로 전송한다.The present invention relates to a management company's SIM-based electronic signature processing method, and in a method executed through a management server that interworks with a customer-owned wireless terminal and communicates with a financial institution server, the nth ( 1≤n≤N) Identification information of the customer-owned wireless terminal to which the USIM (Universal Subscriber Identity Module), which has a certificate applet that performs a specified signing operation from the financial institution server and stores the customer certificate and the communication company key, is detached, and the n control Receives the encrypted signature target data through the financial company key, processes the encrypted signature target data to be decrypted through the nth financial company key stored in the designated secure storage medium, and provides the identification information among M (M≥1) communication companies. The corresponding mth (1≤m≤M) carrier is checked, the decrypted signature data is processed to be encrypted again through the mth carrier key stored in the designated secure storage medium, and encrypted through the mth carrier key The signature target data and the identification information of the customer-owned wireless terminal are transmitted to the m-th communication company server, and the USIM provided in the customer-owned wireless terminal communicating with the m-th communication company server is the encrypted signature target through the customer-owned wireless terminal. After receiving the data, decrypting it through the m-th communication company key, digitally signing the decrypted signature data through the certificate applet and the customer certificate to generate signature data, and then using the m-th communication company key When encrypted and provided to the customer-owned wireless terminal, the signature data generated and encrypted through the USIM of the customer-owned wireless terminal is received via the m-th communication company server communicating with the customer-owned wireless terminal, and designated security Decrypts the encrypted signature data through the m-th carrier key stored in the storage medium, re-encrypts the decrypted signature data through the n-th financial company key stored in the designated secure storage medium, and encrypts the signature through the n-th financial company key The data is transmitted to the n-th financial institution server.

Description

유심기반 전자서명 처리 방법{Method for Processing Electronic Signature based on Universal Subscriber Identity Module}Method for Processing Electronic Signature based on Universal Subscriber Identity Module}

본 발명은 고객 소유 무선단말과 연동하고 금융사서버와 통신하는 관리서버를 통해 실행되는 방법에 있어서, N(N≥1)개의 금융사서버 중 제n(1≤n≤N) 금융사서버로부터 지정된 서명 동작을 수행하는 인증서 애플릿을 구비하고 고객 인증서와 통신사 키를 저장한 USIM(Universal Subscriber Identity Module)이 이탈착되는 고객 소유 무선단말의 식별 정보와 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하고, M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하고, 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말의 식별 정보를 제m 통신사서버로 전송하고, 상기 제m 통신사서버와 통신하는 고객 소유 무선단말에 구비된 USIM이 상기 고객 소유 무선단말을 통해 상기 암호화된 서명 대상 데이터를 전달받아 상기 제m 통신사 키를 통해 복호화하고 상기 인증서 애플릿과 고객 인증서를 통해 상기 복호화된 서명 대상 데이터를 전자서명하여 서명 데이터를 생성한 후 상기 제m 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하여 상기 고객 소유 무선단말로 제공한 경우, 상기 고객 소유 무선단말과 통신하는 상기 제m 통신사서버를 경유하여 상기 고객 소유 무선단말의 USIM을 통해 생성 및 암호화화된 서명 데이터를 수신하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하고, 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하며, 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버로 전송하는 유심기반 전자서명 처리 방법에 관한 것이다.The present invention is a method executed through a management server interworking with a customer-owned wireless terminal and communicating with a financial institution server, the signature operation designated by the nth (1≦n≦N) financial institution server among N (N≥1) financial institution servers Receives identification information of the customer-owned wireless terminal from which the USIM (Universal Subscriber Identity Module) storing the customer certificate and the carrier key is detached and the encrypted signature data through the n-controlled financial company key , The encrypted signature target data is processed to be decrypted through the n-th financial company key stored in the designated secure storage medium, and the m-th (1≦m≦M) communication company corresponding to the identification information among M (M≧1) communication companies Is processed so that the decrypted signature data is re-encrypted through the mth carrier key stored in the designated secure storage medium, and the signature data encrypted through the mth carrier key and the identification information of the customer-owned wireless terminal Is transmitted to the mth telecommunication company server, and the USIM provided in the customer-owned wireless terminal communicating with the mth telecommunication company server receives the encrypted signature data through the customer-owned wireless terminal and decrypts it through the mth telecommunication company key And digitally sign the decrypted signature data through the certificate applet and customer certificate to generate signature data, and then encrypt the generated signature data through the m-th communication company key and provide it to the customer-owned wireless terminal, Receives the signature data generated and encrypted through the USIM of the customer-owned wireless terminal via the m-th communication company server communicating with the customer-owned wireless terminal, and encrypted through the m-th communication company key stored in a designated secure storage medium. A SIM-based electronic device that decrypts the signature data, re-encrypts the decrypted signature data through the n-th financial company key stored in a designated secure storage medium, and transmits the encrypted signature data through the n-th financial company key to the n-th financial company server It is about how to process signatures.

무선단말의 USIM에 고객 인증서를 저장하여 전자서명을 제공하는 USIM 기반 전자서명 서비스가 개시된다. 종래에 개시된 USIM 기반 전자서명 서비스는 USIM을 인증서의 저장토큰으로 이용하는 방식과, USIM을 인증서의 보안토큰으로 이용하는 방식으로 구분된다.
A USIM-based digital signature service that provides digital signatures by storing customer certificates in a USIM of a wireless terminal is disclosed. The previously disclosed USIM-based digital signature service is divided into a method of using USIM as a storage token for a certificate and a method of using USIM as a security token for a certificate.

종래에 USIM을 인증서의 저장토큰으로 이용하는 USIM 기반 전자서명 서비스는, USIM 내에 고객 인증서를 저장하고, 무선단말의 인증서 프로그램이 USIM에 저장된 고객 인증서를 이용하여 전자서명 절차를 수행하여 서명 값을 생성하고 이를 포함하는 서명 데이터를 생성하는 것이다.
In the conventional USIM-based digital signature service that uses USIM as a storage token for a certificate, a customer certificate is stored in the USIM, and a certificate program of the wireless terminal performs a digital signature procedure using the customer certificate stored in the USIM to generate a signature value. It generates signature data including this.

종래에 USIM을 인증서의 보안토큰으로 이용하는 USIM 기반 전자서명 서비스는, USIM 내에 고객 인증서를 저장한 후 USIM 내에서 고객 인증서를 통해 전자서명을 수행하게 하고, 무선단말의 인증서 프로그램이 USIM에서 수행된 서명 값을 수신하여 서명 데이터를 생성하는 것이다.
In the conventional USIM-based digital signature service using USIM as a security token for a certificate, after storing the customer certificate in the USIM, the digital signature is performed through the customer certificate in the USIM, and the certificate program of the wireless terminal is the signature performed by the USIM. It receives the value and generates signature data.

이와 같은 종래의 USIM 기반 전자서명 서비스는, USIM을 저장토큰으로 이용하든, 또는 USIM을 보안토큰으로 이용하든, 일단 무선단말이 해킹되거나 또는 악성코드가 설치된 상태에서 전자서명 절차를 수행하여 생성된 서명 값이 그대로 노출되는 문제점을 지니고 있다.
Such a conventional USIM-based digital signature service, whether using USIM as a storage token or USIM as a security token, is a signature created by performing an electronic signature procedure once a wireless terminal is hacked or a malicious code is installed. It has a problem that the value is exposed as it is.

상기와 같은 문제점을 해소하기 위한 본 발명의 목적은, 고객 소유 무선단말과 연동하고 금융사서버와 통신하는 관리서버를 통해 실행되는 방법에 있어서, N(N≥1)개의 금융사서버 중 제n(1≤n≤N) 금융사서버로부터 지정된 서명 동작을 수행하는 인증서 애플릿을 구비하고 고객 인증서와 통신사 키를 저장한 USIM(Universal Subscriber Identity Module)이 이탈착되는 고객 소유 무선단말의 식별 정보와 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하는 제1 단계와 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하는 제2 단계와 M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하는 제3 단계와 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말의 식별 정보를 제m 통신사서버로 전송하는 제4 단계와 상기 제m 통신사서버와 통신하는 고객 소유 무선단말에 구비된 USIM이 상기 고객 소유 무선단말을 통해 상기 암호화된 서명 대상 데이터를 전달받아 상기 제m 통신사 키를 통해 복호화하고 상기 인증서 애플릿과 고객 인증서를 통해 상기 복호화된 서명 대상 데이터를 전자서명하여 서명 데이터를 생성한 후 상기 제m 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하여 상기 고객 소유 무선단말로 제공한 경우, 상기 고객 소유 무선단말과 통신하는 상기 제m 통신사서버를 경유하여 상기 고객 소유 무선단말의 USIM을 통해 생성 및 암호화화된 서명 데이터를 수신하는 제5 단계와 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하는 제6 단계와 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하는 제7 단계 및 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버로 전송하는 제8 단계를 포함하는 유심기반 전자서명 처리 방법을 제공함에 있다.An object of the present invention for solving the above problems is, in a method executed through a management server that interworks with a customer-owned wireless terminal and communicates with a financial institution server, the n (1) among N (N≥1) financial institution servers ≤n≤N) Identification information of the customer-owned wireless terminal to which the USIM (Universal Subscriber Identity Module), which has a certificate applet that performs a specified signing operation from the financial institution server, and stores the customer certificate and the telecommunication company key, and the n-controlled financial institution The first step of receiving the encrypted signature data through the key and the second step of processing the encrypted signature target data to be decrypted through the n-th financial company key stored in the designated secure storage medium, and M (M≥1) communication companies The third step of verifying the mth (1≦m≦M) telecommunication company corresponding to the identification information, and processing the decrypted signature data to be encrypted again through the mth telecommunication company key stored in a designated secure storage medium, and the The fourth step of transmitting the signature data encrypted through the mth telecommunication company key and the identification information of the customer-owned wireless terminal to the m th telecommunication company server and the USIM provided in the customer-owned wireless terminal communicating with the m th telecommunication company server After receiving the encrypted signature data through a customer-owned wireless terminal, decrypting it through the m-th communication company key, digitally signing the decrypted signature data through the certificate applet and customer certificate to generate signature data, When the generated signature data is encrypted through an m carrier key and provided to the customer-owned wireless terminal, it is generated through the USIM of the customer-owned wireless terminal through the m-th communication company server communicating with the customer-owned wireless terminal, and The fifth step of receiving the encrypted signature data and the sixth step of decrypting the encrypted signature data through the m-th carrier key stored in the designated secure storage medium, and the decrypted through the n-th financial company key stored in the designated secure storage medium. The seventh step of re-encrypting the signature data and encryption through the n-th financial company key It is to provide a SIM-based electronic signature processing method including an eighth step of transmitting the converted signature data to the n-th financial institution server.

본 발명에 따른 유심기반 전자서명 처리 방법은, 고객 소유 무선단말과 연동하고 금융사서버와 통신하는 관리서버를 통해 실행되는 방법에 있어서, N(N≥1)개의 금융사서버 중 제n(1≤n≤N) 금융사서버로부터 지정된 서명 동작을 수행하는 인증서 애플릿을 구비하고 고객 인증서와 통신사 키를 저장한 USIM(Universal Subscriber Identity Module)이 이탈착되는 고객 소유 무선단말의 식별 정보와 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하는 제1 단계와 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하는 제2 단계와 M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하는 제3 단계와 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말의 식별 정보를 제m 통신사서버로 전송하는 제4 단계와 상기 제m 통신사서버와 통신하는 고객 소유 무선단말에 구비된 USIM이 상기 고객 소유 무선단말을 통해 상기 암호화된 서명 대상 데이터를 전달받아 상기 제m 통신사 키를 통해 복호화하고 상기 인증서 애플릿과 고객 인증서를 통해 상기 복호화된 서명 대상 데이터를 전자서명하여 서명 데이터를 생성한 후 상기 제m 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하여 상기 고객 소유 무선단말로 제공한 경우, 상기 고객 소유 무선단말과 통신하는 상기 제m 통신사서버를 경유하여 상기 고객 소유 무선단말의 USIM을 통해 생성 및 암호화화된 서명 데이터를 수신하는 제5 단계와 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하는 제6 단계와 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하는 제7 단계 및 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버로 전송하는 제8 단계를 포함하는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, N개의 금융사서버에 대응하는 N개의 금융사 키를 지정된 보안저장매체에 저장하는 단계를 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, M개의 통신사서버에 대응하는 M개의 통신사 키를 지정된 보안저장매체에 저장하는 단계를 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, 상기 서명 데이터는, 상기 USIM의 인증서 애플릿을 통해 수행된 전자서명 절차의 서명 검증 키를 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, 상기 서명 데이터에 포함된 서명 검증 키의 유효성을 검증하는 단계를 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, 상기 통신사 키를 통해 암호화된 서명 데이터는, 상기 통신사 키를 암호 키로 이용하여 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 통신사서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 관리서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되는 것 중, 적어도 하나를 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, 상기 통신사 키를 통해 암호화된 서명 데이터는, 상기 통신사 키를 이용하여 USIM 내에서 수행된 암호화의 무결성 검증 값을 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, 상기 통신사 키를 통해 USIM 내에서 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 단계를 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, 상기 금융사 키를 통해 암호화된 서명 데이터는, 상기 금융사 키를 이용한 암호화의 무결성 검증 값을 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법에 있어서, 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하는 단계 및 상기 무결성 인증 값을 상기 제n 금융사 키를 통해 암호화되는 서명 데이터에 포함시키는 단계를 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따른 유심기반 전자서명 처리 방법은, 금융사서버와 통신하는 관리서버에서 실행되는 관리사의 유심기반 전자서명 처리 방법에 있어서, N(N≥1)개의 금융사서버 중 제n(1≤n≤N) 금융사서버로부터 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿이 구비된 USIM(Universal Subscriber Identity Module)이 이탈착되는 고객 소유 무선단말에 대한 식별 정보와 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하는 제1 단계와, 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하는 제2 단계와, M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하는 제3 단계와, 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 제m 통신사서버로 전송하는 제4 단계와, 상기 제m 통신사서버로부터 상기 USIM에 구비된 인증서 애플릿의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM에 구비된 제m 통신사 키를 통해 상기 USIM 내에서 암호화된 서명 데이터를 수신하는 제5 단계와, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하는 제6 단계와, 지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하는 제7 단계와, 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버로 전송하는 제8 단계를 포함한다. 한편 상기 지정된 서명 동작은 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 제m 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.In the method of processing a SIM-based electronic signature according to the present invention, in a method executed through a management server interlocking with a customer-owned wireless terminal and communicating with a financial institution server, the nth (1 ≤ n) among N (N≥1) financial institution servers ≤N) The identification information of the customer-owned wireless terminal and the n-th financial company key to which the USIM (Universal Subscriber Identity Module), which has a certificate applet that performs a designated signing operation from the financial institution server, and stores the customer certificate and the communication company key, is detached The first step of receiving the encrypted signature data through the second step of processing the encrypted signature target data to be decrypted through the n-th financial company key stored in a designated secure storage medium, and the M (M≥1) of the telecommunications companies A third step of identifying the mth (1≤m≤M) carrier corresponding to the identification information, and processing the decrypted signature data to be encrypted again through the mth carrier key stored in the designated secure storage medium, and the mth The fourth step of transmitting the signature data encrypted through the telecommunication company key and the identification information of the customer-owned wireless terminal to the m-th telecommunication company server and the USIM provided in the customer-owned wireless terminal communicating with the m th telecommunication company server are owned by the customer. After receiving the encrypted signature data through a wireless terminal, decrypting it through the m-th communication company key, digitally signing the decrypted signature data through the certificate applet and customer certificate to generate signature data, and then the m-th communication company When the generated signature data is encrypted through a key and provided to the customer-owned wireless terminal, it is generated and encrypted through the USIM of the customer-owned wireless terminal via the mth communication company server communicating with the customer-owned wireless terminal. The fifth step of receiving the signed data and the sixth step of decrypting the encrypted signature data through the m-th communication company key stored in the designated secure storage medium, and the decrypted signature data through the n-th financial company key stored in the designated secure storage medium. The seventh step of re-encrypting and the document encrypted through the n-th financial company key And an eighth step of transmitting the name data to the n-th financial institution server.
In the SIM-based electronic signature processing method according to the present invention, it is characterized in that it further comprises the step of storing N financial company keys corresponding to N financial company servers in a designated secure storage medium.
In the SIM-based digital signature processing method according to the present invention, it is characterized in that it further comprises the step of storing the M communication company keys corresponding to the M communication service company servers in a designated secure storage medium.
In the SIM-based digital signature processing method according to the present invention, the signature data includes a signature verification key of an electronic signature procedure performed through a certificate applet of the USIM.
In the SIM-based digital signature processing method according to the present invention, it is characterized in that it further comprises the step of verifying the validity of the signature verification key included in the signature data.
In the SIM-based digital signature processing method according to the present invention, the signature data encrypted through the carrier key is encrypted inside the USIM using the carrier key as an encryption key, or an encryption key generated using the carrier key is used. The key is encrypted inside the USIM through the USIM, or encrypted within the USIM using the key value exchanged between the USIM and the carrier server based on the carrier key as an encryption key, or exchanged between the USIM and the management server based on the carrier key It is characterized by including at least one of those encrypted within the USIM using the value as an encryption key.
In the SIM-based digital signature processing method according to the present invention, the signature data encrypted through the communication company key includes an integrity verification value of encryption performed in the USIM using the communication company key.
In the SIM-based digital signature processing method according to the present invention, it is characterized in that it further comprises the step of authenticating the validity of the integrity verification value included in the signature data encrypted in the USIM through the communication company key.
In the SIM-based digital signature processing method according to the present invention, the signature data encrypted through the financial institution key includes an integrity verification value of encryption using the financial institution key.
In the SIM-based digital signature processing method according to the present invention, the step of generating an integrity authentication value of signature data for a process of encrypting signature data decrypted through an m-th communication company key through an n-th financial company key, and the integrity authentication value And including in the signature data encrypted through the n-th financial company key.
The SIM-based electronic signature processing method according to the present invention, in the SIM-based electronic signature processing method of a manager executed in a management server communicating with a financial institution server, nth (1≤n≤) of N (N≥1) financial institution servers N) Through the identification information of the customer-owned wireless terminal and the n-controlled financial company key, the USIM (Universal Subscriber Identity Module) equipped with a certificate applet that stores the customer certificate and the carrier key from the financial company server and performs a designated signing operation A first step of receiving the encrypted signature target data, a second step of processing the encrypted signature target data to be decrypted through an n-th financial company key stored in a designated secure storage medium, and among M (M≥1) carriers A third step of verifying the mth (1≦m≦M) communication company corresponding to the identification information, and processing the decrypted signature data to be encrypted again through the mth communication company key stored in a designated secure storage medium; and A fourth step of transmitting the encrypted signature data through the mth carrier key and the mth carrier server, and using the signature target data according to a specified signing operation of the certificate applet provided in the USIM from the mth carrier server A fifth step of receiving the signature data encrypted in the USIM through the generated and m-th carrier key provided in the USIM, and a sixth step of decrypting the encrypted signature data through the m-th carrier key stored in a designated secure storage medium. A seventh step of re-encrypting the decrypted signature data through an n-th financial institution key stored in a designated secure storage medium, and an eighth transmitting the encrypted signature data through the n-th financial institution key to an n-th financial institution server Includes steps. Meanwhile, the designated signing operation receives the signing target data and the command, generates a signature value of the signing target data using a customer certificate according to the received command, and includes the generated signature value using the mth carrier key. And encrypting the signature data.

본 발명에 따르면, 상기 유심기반 전자서명 처리 방법은, N개의 금융사서버에 대응하는 N개의 금융사 키를 지정된 보안저장매체에 저장하는 단계를 더 포함할 수 있다.
According to the present invention, the SIM-based digital signature processing method may further include storing N financial company keys corresponding to the N financial company servers in a designated secure storage medium.

본 발명에 따르면, 상기 유심기반 전자서명 처리 방법은, M개의 통신사서버에 대응하는 M개의 통신사 키를 지정된 보안저장매체에 저장하는 단계를 더 포함할 수 있다.
According to the present invention, the SIM-based digital signature processing method may further include storing the M communication company keys corresponding to the M communication service company servers in a designated secure storage medium.

본 발명에 따르면, 상기 유심기반 전자서명 처리 방법은, 상기 식별 정보에 대응하는 고객 소유 무선단말에 이탈착되는 USIM에 구비된 인증서 애플릿으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하는 단계를 더 포함하며, 상기 제4 단계는 상기 확인된 명령어를 제m 통신사서버로 전송하는 단계를 포함할 수 있다.
According to the present invention, the SIM-based digital signature processing method comprises the step of confirming a command for causing a certificate applet provided in a USIM to be detached from a customer-owned wireless terminal corresponding to the identification information to perform the specified signing operation. It further includes, and the fourth step may include transmitting the confirmed command to the mth communication company server.

본 발명에 따르면, 상기 서명 데이터는 상기 USIM의 인증서 애플릿을 통해 상기 서명 대상 데이터를 RSA 알고리즘과 ECDSA 알고리즘 중 적어도 하나를 통해 서명한 서명 값을 포함할 수 있다.
According to the present invention, the signature data may include a signature value obtained by signing the signature data through at least one of an RSA algorithm and an ECDSA algorithm through a certificate applet of the USIM.

본 발명에 따르면, 상기 서명 데이터는 상기 USIM의 인증서 애플릿을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 이 경우에 상기 인증 절차는 상기 서명 데이터에 포함된 서명 검증 키의 유효성을 검증하는 단계를 더 포함할 수 있다.
According to the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the USIM certificate applet. In this case, the authentication procedure may further include verifying the validity of the signature verification key included in the signature data.

본 발명에 따르면, 상기 유심기반 전자서명 처리 방법은, 상기 서명 데이터를 생성 및 암호화하는 USIM의 유효성을 인증하는 단계를 더 포함할 수 있다.
According to the present invention, the SIM-based digital signature processing method may further include verifying the validity of the USIM generating and encrypting the signature data.

본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 통신사서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM과 관리서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되는 것 중, 적어도 하나를 포함할 수 있다.
According to the present invention, the signature data encrypted through the carrier key is encrypted inside the USIM using the carrier key as an encryption key, or encrypted inside the USIM through an encryption key generated using the carrier key, or the Based on the carrier key, the key value exchanged between the USIM and the carrier server is used as an encryption key and encrypted inside the USIM, or the key value exchanged between the USIM and the management server based on the carrier key is used as the encryption key. Among the encrypted ones, at least one may be included.

본 발명에 따르면, 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 이용하여 USIM 내에서 수행된 암호화의 무결성 검증 값을 포함할 수 있다. 이 경우에 상기 유심기반 전자서명 처리 방법은, 상기 통신사 키를 통해 USIM 내에서 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 단계를 더 포함할 수 있다.
According to the present invention, the signature data encrypted through the communication company key may include an integrity verification value of encryption performed in the USIM using the communication company key. In this case, the SIM-based digital signature processing method may further include authenticating the validity of the integrity verification value included in the signature data encrypted in the USIM through the communication company key.

본 발명에 따르면, 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 금융사 키를 이용한 암호화의 무결성 검증 값을 포함할 수 있다.
According to the present invention, the signature data encrypted through the financial institution key may include an integrity verification value of encryption using the financial institution key.

본 발명에 따르면, 상기 유심기반 전자서명 처리 방법은, 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하는 단계와, 상기 무결성 인증 값을 상기 제n 금융사 키를 통해 암호화되는 서명 데이터에 포함시키는 단계를 더 포함할 수 있다.
According to the present invention, the SIM-based digital signature processing method includes the steps of generating an integrity authentication value of signature data for a process of encrypting the signature data decrypted through the m-th communication company key through the n-th financial company key, and the integrity It may further include the step of including the authentication value in the signature data encrypted through the n-th financial company key.

본 발명에 따르면, 무선단말의 USIM 내부에서 서명 대상 데이터를 서명하여 지정된 전자서명문 형태의 서명 데이터를 생성함과 동시에 USIM 내부 구비된 통신사 키를 통해 USIM 내부에서 서명 데이터를 암호화함으로써, USIM을 구비한 무선단말이 해킹되거나 악성코드가 설치된 상태에서도 안전한 USIM 기반 전자서명 서비스를 제공하는 이점이 있다.
According to the present invention, a USIM is provided by generating signature data in the form of a designated digital signature by signing the signature data inside the USIM of a wireless terminal and at the same time encrypting the signature data inside the USIM through a communication company key provided inside the USIM. There is an advantage of providing a secure USIM-based digital signature service even when a wireless terminal is hacked or a malicious code is installed.

본 발명에 따르면, 무선단말의 USIM 내부에서 생성된 서명 대상 데이터를 통신사 키를 통해 USIM 내부에서 암호화하고, 이를 지정된 관리서버를 통해 복호화한 후 다시 금융사 키를 통해 재암호화하도록 함으로써, USIM 내부 구성을 변경하거나 또는 각 금융사 키를 USIM에 기록하지 않고도 편리하고 안전하게 USIM 기반 전자서명 서비스를 제공하는 이점이 있다.
According to the present invention, the signature target data generated inside the USIM of a wireless terminal is encrypted inside the USIM through a communication company key, decrypted through a designated management server, and then re-encrypted through a financial company key, thereby re-encrypting the internal configuration of the USIM. There is an advantage of providing a USIM-based digital signature service conveniently and securely without changing or recording each financial company's key in USIM.

도 1은 본 발명의 USIM 기반 전자서명 시스템의 구성을 도시한 도면이다.
도 2는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 금융사서버의 구성을 도시한 도면이다.
도 3은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 관리서버의 구성을 도시한 도면이다.
도 4는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 통신사서버의 구성을 도시한 도면이다.
도 5는 본 발명의 실시 방법에 따른 무선단말과 인증서 프로그램의 기능 구성을 도시한 도면이다.
도 6은 본 발명의 실시 방법에 따른 USIM의 기능 구성을 도시한 도면이다.
도 7은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 선택 및 요청 과정을 도시한 도면이다.
도 8은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 요청을 중계하는 과정을 도시한 도면이다.
도 9는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 및 암호화 과정을 도시한 도면이다.
도 10은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 인증 과정을 도시한 도면이다.1 is a diagram showing the configuration of a USIM-based electronic signature system of the present invention.
2 is a diagram showing the configuration of a financial institution server of a USIM-based digital signature system according to an embodiment of the present invention.
3 is a diagram showing a configuration of a management server of a USIM-based digital signature system according to an embodiment of the present invention.
4 is a diagram showing the configuration of a communication company server of a USIM-based digital signature system according to an embodiment of the present invention.
5 is a diagram showing a functional configuration of a wireless terminal and a certificate program according to an embodiment of the present invention.
6 is a diagram showing a functional configuration of a USIM according to an exemplary method of the present invention.
7 is a diagram illustrating a USIM-based electronic signature selection and request process according to an implementation method of the present invention.
8 is a diagram illustrating a process of relaying a USIM-based electronic signature request according to an exemplary method of the present invention.
9 is a diagram illustrating a USIM-based digital signature and encryption process according to an implementation method of the present invention.
10 is a diagram illustrating a USIM-based digital signature authentication process according to an implementation method of the present invention.

이하 첨부된 도면과 설명을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 다만, 하기에 도시되는 도면과 후술되는 설명은 본 발명의 특징을 효과적으로 설명하기 위한 여러 가지 방법 중에서 바람직한 실시 방법에 대한 것이며, 본 발명이 하기의 도면과 설명만으로 한정되는 것은 아니다. 예를들어, 각 서버 측에 구비된 구성부가 단말 측에 구현되거나, 반대로 단말 측에 구비된 구성부가 적어도 하나의 서버 측에 구현되는 형태로 실시되는 것이 가능하다.
Hereinafter, the operating principle of a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings and description. However, the drawings and the description to be described below are for a preferred implementation method among various methods for effectively describing the features of the present invention, and the present invention is not limited to the following drawings and description. For example, the configuration unit provided on each server side may be implemented on the terminal side, or conversely, the configuration unit provided on the terminal side may be implemented on at least one server side.

또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 발명에서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
In addition, in the following description of the present invention, if it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to the intention or custom of users or operators. Therefore, the definition should be made based on the contents throughout the present invention.

결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
As a result, the technical idea of the present invention is determined by the claims, and the following examples are a means for efficiently explaining the technical idea of the present invention to those of ordinary skill in the art to which the present invention belongs. Only.

도면1은 본 발명의 USIM 기반 전자서명 시스템의 구성을 도시한 도면이다.
1 is a diagram showing the configuration of a USIM-based electronic signature system of the present invention.

보다 상세하게 본 도면1은 무선단말(500)의 USIM(600)(Universal Subscriber Identity Module)에 고객 인증서와 통신사 키를 구비한 후, USIM(600) 내부에서 통신사 키를 통해 암호화되어 USIM(600)으로 수신된 서명 대상 데이터를 복호화하고, USIM(600) 내부에서 고객 인증서를 통해 복호화된 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 USIM(600) 내부에서 통신사 키를 통해 서명 데이터를 암호화함으로써 USIM(600)에 의한 전자서명을 안전하게 보호하는 시스템 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 시스템에 대한 다양한 실시 방법(예컨대, 일부 구성이 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면1에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, this figure 1 shows a customer certificate and a communication company key in the USIM 600 (Universal Subscriber Identity Module) of the wireless terminal 500, and then the USIM 600 is encrypted through the communication company key inside the USIM 600. By decrypting the signature data received by the USIM (600), signing the decrypted signature data through a customer certificate inside the USIM (600) to generate the signature data, and by encrypting the signature data through the carrier key inside the USIM (600) It shows the system configuration to securely protect the electronic signature according to 600, and if a person of ordinary skill in the art to which the present invention belongs, refer to and/or modify this Figure 1 to provide the USIM-based electronic signature system. Various implementation methods (e.g., some configurations are omitted, subdivided, or combined implementation methods) may be inferred, but the present invention includes all the inferred implementation methods, and is shown in FIG. The technical features are not limited only by the implementation method.

본 발명의 USIM 기반 전자서명 시스템은, 금융사서버(200), 관리서버(300), 통신사서버(400), 무선단말(500) 및 무선단말(500)에 이탈착되는 USIM(600)을 포함하여 이루어지며, 상기 금융사서버(200)는 금융사 키를 통해 서명 대상 데이터를 암호화하거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 관리서버(300)에서 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 복호화하며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 통신사 키를 통해 암호화거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 다시 금융사 키를 통해 암호화하며, 상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)로 제공하거나 및/또는 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 제공하며, 상기 무선단말(500)은 인증서 프로그램(515)을 통해 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 USIM(600)으로 주입하거나 및/또는 인증서 프로그램(515)을 통해 USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 수신하여 통신사서버(400)로 전송하며, 상기 USIM(600)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 복호화하거나 및/또는 고객 인증서를 통해 복호화된 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 동시에 통신사 키를 통해 서명 데이터를 암호화하는 구성을 지니고 있습니다.
The USIM-based electronic signature system of the present invention includes a financial company server 200, a management server 300, a communication company server 400, a wireless terminal 500, and a USIM 600 that is detached from and detached from the wireless terminal 500. The financial company server 200 encrypts the data to be signed through the financial company key and/or signed inside the USIM 600 and encrypted through the communication company key inside the USIM 600, and then in the management server 300. The decrypted and encrypted signature data is decrypted again through the financial company key, and the management server 300 decrypts the signature data encrypted through the financial company key and then encrypts it through the communication company key and/or inside the USIM 600 After decrypting the signature data, which is signed at USIM 600 and encrypted through the communication company key inside the USIM 600, it is encrypted again through the financial company key, and the communication company server 400 transmits the signature data encrypted through the communication company key to the wireless terminal ( 500) and/or the signature data signed inside the USIM 600 and encrypted through the communication company key inside the USIM 600 to the management server 300, and the wireless terminal 500 is a certificate program ( 515) injects the data to be signed, encrypted through the carrier key, into the USIM 600, and/or is signed inside the USIM 600 through the certificate program 515, and through the carrier key inside the USIM 600 Receives the encrypted signature data and transmits it to the communication company server 400, and the USIM 600 decrypts the signature data encrypted through the communication company key and/or signs the decrypted signature data through a customer certificate. It has a configuration that generates signature data and encrypts the signature data through the carrier key at the same time.

본 발명의 바람직한 실시 방법에 따르면, 상기 서명 대상 데이터는 금융사서버(200)에서 금융사 키를 통해 암호화되어 관리서버(300)를 통해 복호화된 후 다시 통신사 키를 통해 암호화되어 통신사서버(400)를 경유하여 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달되는 것이 바람직하다. 본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, 상기 서명 대상 데이터는 고객 무선단말(500) 이외에 고객이 금융거래를 위해 이용하는 고객단말(100)에서 관리서버(300)와 통신사서버(400)를 거쳐 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달될 수 있으며, 이 경우에 서명 대상 데이터는 고객단말(100)을 통해 암호화되어 관리서버(300)로 전달되거나, 또는 고객단말(100)에서 금융사서버(200)를 거처 관리서버(300)로 전달될 수 있다. 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, 상기 서명 대상 데이터는 고객 무선단말(500)에 구비된 애플리케이션(예컨대, 뱅킹 애플리케이션, 결제 애플리케이션 등을 포함하는 인증서를 이용하는 각종 애플리케이션)으로부터 무선단말(500)에 구비된 인증서 프로그램(515)을 통해 무선단말(500)에 이탈착되는 USIM(600)으로 전달될 수 있다. 한편 상기 USIM(600)으로 서명 대상 데이터가 전달되는 경로가 상술된 방식으로만 한정되는 것은 아니며, 상술된 방식을 조합하여 다양하게 변형 가능 가능하며, 본 발명은 변형 가능한 모든 방식을 포함함을 명백하게 밝혀두는 바이다.
According to a preferred implementation method of the present invention, the signing target data is encrypted through the financial company key in the financial institution server 200, decrypted through the management server 300, and then encrypted again through the communication company key, and then passed through the communication company server 400. Thus, it is preferable to be transferred to the USIM 600 which is detached from the wireless terminal 500 through the certificate program 515 provided in the wireless terminal 500. According to another implementation method expandable from the present invention, the signing target data is wirelessly transmitted through the management server 300 and the communication company server 400 in the customer terminal 100 used by the customer for financial transactions in addition to the customer wireless terminal 500. It can be transmitted to the USIM 600 that is detached from the wireless terminal 500 through the certificate program 515 provided in the terminal 500, and in this case, the signature target data is encrypted and managed through the customer terminal 100. It may be transmitted to the server 300 or may be transmitted from the customer terminal 100 to the management server 300 via the financial institution server 200. According to another implementation method expandable from the present invention, the signing target data is from an application provided in the customer wireless terminal 500 (eg, various applications using certificates including banking applications, payment applications, etc.) to the wireless terminal 500. ) May be transferred to the USIM 600 that is detached from the wireless terminal 500 through the certificate program 515 provided in the). On the other hand, it is clear that the path through which the signature target data is transmitted to the USIM 600 is not limited to the above-described method, and various modifications can be made by combining the above-described methods, and the present invention includes all possible modifications. I have to tell you.

본 발명에 따르면, 상기 USIM(600)은 고객 인증서를 통해 서명 대상 데이터를 USIM(600) 내부에서 서명하여 서명 데이터를 생성함과 동시에 상기 생성된 서명 데이터를 USIM(600) 내부에서 암호화하는 기능(이하, “인증서 애플릿(620)”이라고 함)을 구비하며, 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 암호화된 서명 데이터는 지정된 경로를 거쳐 금융사서버(200)로 전달된다.
According to the present invention, the USIM 600 creates signature data by signing the signature data inside the USIM 600 through a customer certificate, and at the same time encrypts the generated signature data inside the USIM 600 ( Hereinafter, "certificate applet 620") is provided, and the signature data signed inside the USIM 600 and encrypted inside the USIM 600 is transmitted to the financial institution server 200 through a designated path.

본 발명의 바람직한 실시 방법에 따르면, 상기 USIM(600) 내부에서 고객 인증서를 통해 서명 대상 데이터를 서명하여 생성된 서명 데이터는 USIM(600)에 구비된 통신사 키를 통해 USIM(600) 내부에서 암호화된다. 이것은 USIM(600)의 ISD(Issuer Security Domain)를 통신사가 관리하기 때문이며, 만약 통신사가 정책적으로 USIM(600)의 SD(Security Domain)를 개방한다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 통신사 키 대신에 다른 키를 통해 암호화될 수 있다(물론 이 경우에도 통신사 키를 이용하는 것은 유효하다). 예를들어 상기 USIM(600)의 SD가 관리서버(300)를 운영하는 관리사에게 개방된다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 관리사 키를 통해 USIM(600) 내부에서 암호화될 수 있다. 또는 상기 USIM(600)의 SD가 금융사에게 개방된다면 상기 USIM(600) 내부에서 서명된 서명 데이터는 금융사 키를 통해 USIM(600) 내부에서 암호화될 수 있다. 따라서 본 발명은 USIM(600)의 SD가 개방되는 경우 통신사 키 대신에 다른 각종 키를 이용하여 서명 데이터를 USIM(600) 내부에서 암호화하는 것도 권리범위로 포함할 수 있다. 다만 본 발명의 바람직한 실시예는 USIM(600) 내부에서 통신사 키를 통해 서명 데이터를 암호화하는 실시예를 도시하여 설명하기로 한다. 특히 통신사 키를 이용하여 통신사서버(400)를 경유하는 경우에 전송채널의 보안 중 일부는 통신사에 의해 보장될 수 있다.
According to a preferred implementation method of the present invention, the signature data generated by signing the signing target data through a customer certificate inside the USIM 600 is encrypted inside the USIM 600 through a communication company key provided in the USIM 600. . This is because the communication company manages the ISD (Issuer Security Domain) of the USIM 600, and if the communication company opens the SD (Security Domain) of the USIM 600 as a policy, the signature data signed inside the USIM 600 is It can be encrypted with a different key instead of the key (of course it is still valid to use the carrier key in this case). For example, if the SD of the USIM 600 is opened to a management company operating the management server 300, the signature data signed inside the USIM 600 may be encrypted inside the USIM 600 through a management company key. Alternatively, if the SD of the USIM 600 is opened to a financial company, the signature data signed inside the USIM 600 may be encrypted inside the USIM 600 through a financial company key. Accordingly, in the present invention, when the SD of the USIM 600 is opened, encryption of the signature data inside the USIM 600 using various keys instead of the communication company key may be included as a scope of rights. However, a preferred embodiment of the present invention will be described by showing an embodiment of encrypting signature data through a communication company key inside the USIM 600. Particularly, in the case of passing through the communication company server 400 using the communication company key, some of the security of the transmission channel may be guaranteed by the communication company.

본 발명의 바람직한 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515), 통신사서버(400) 및 관리서버(300)를 거쳐 금융사서버(200)로 전송된다. 본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 관리서버(300)를 거쳐 금융사서버(200)로 전송될 수 있다. 이 경우 상기 서명 데이터는 반드시 통신사서버(400)를 경유하지 않거나, 또는 통신사서버(400) 기능의 일부가 관리서버(300)에 통합될 수 있다. 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 금융사서버(200)로 전송될 수 있다. 이 경우 상기 통신사서버(400)와 관리서버(300)는 생략되거나 또는 그 기능의 일부가 금융사서버(200)에 통합될 수 있다. 또는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터는 무선단말(500)의 인증서 프로그램(515)에서 통신사서버(400)를 거쳐 금융사서버(200)로 전송될 수 있다. 이 경우 상기 관리서버(300) 기능의 일부는 금융사서버(200)에 통합될 수 있다. 금융사서버(200)로 전송된 서명 데이터는 지정된 인증서버(105)를 통해 인증될 수 있다. 실시 방법에 따라 상기 인증서버(105)의 인증 기능은 금융사서버(200)에 통합될 수 있다.
According to a preferred implementation method of the present invention, the signed and encrypted signature data inside the USIM 600 is passed through the certificate program 515 of the wireless terminal 500, the communication company server 400, and the management server 300, and the financial institution server ( 200). According to another implementation method expandable from the present invention, the signed and encrypted signature data inside the USIM 600 is transmitted from the certificate program 515 of the wireless terminal 500 to the financial institution server 200 through the management server 300 Can be. In this case, the signature data may not necessarily pass through the communication company server 400, or a part of the functions of the communication company server 400 may be integrated into the management server 300. According to another implementation method extendable from the present invention, the signed and encrypted signature data inside the USIM 600 may be transmitted to the financial institution server 200 from the certificate program 515 of the wireless terminal 500. In this case, the communication service provider server 400 and the management server 300 may be omitted or some of their functions may be integrated into the financial service company server 200. Alternatively, the signature data signed and encrypted inside the USIM 600 may be transmitted from the certificate program 515 of the wireless terminal 500 to the financial institution server 200 through the communication company server 400. In this case, some of the functions of the management server 300 may be integrated into the financial institution server 200. Signature data transmitted to the financial institution server 200 may be authenticated through a designated authentication server 105. Depending on the implementation method, the authentication function of the authentication server 105 may be integrated into the financial institution server 200.

상기 USIM(600)은 무선단말(500)의 가입자 정보를 저장하는 SIM 저장영역과 IC칩(605)이 구비되어 무선단말(500)에 탑재 또는 이탈착되는 모듈의 총칭으로서, 그 크기와 형식에 의해 제한되지 않는다. 바람직하게, 상기 USIM(600)은 ISO/IEC 7810:2003, ID-1 규격의 SIM카드, ISO/IEC 7810:2003, ID-000 규격의 미니 SIM카드, ETSI TS 102 221 V9.0.0, Mini-UICC 규격의 마이크로 SIM 카드, ETSI TS 102 221 V11.0.0 규격의 나노 SIM 카드, JEDEC Design Guide 4.8, SON-8 규격의 단말기 내장형 SIM 카드 등을 포함할 수 있으며, 향 후 출시 또는 변형되는 모든 USIM(600)을 포함한다.
The USIM 600 is a generic term for a module that is mounted on or detached from the wireless terminal 500 by having a SIM storage area and an IC chip 605 for storing subscriber information of the wireless terminal 500. Not limited by Preferably, the USIM 600 is an ISO/IEC 7810:2003, ID-1 standard SIM card, ISO/IEC 7810:2003, ID-000 standard mini SIM card, ETSI TS 102 221 V9.0.0, Mini- UICC standard micro SIM card, ETSI TS 102 221 V11.0.0 standard nano SIM card, JEDEC Design Guide 4.8, SON-8 standard terminal built-in SIM card, etc., and all USIM ( 600).

본 발명의 실시 방법에 따르면, 상기 USIM(600)은 고객 인증서가 기록되고, 암복호화를 위한 통신사 키가 기록되며, 서명 대상 데이터와 명령어를 수신하고 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 수행하는 인증서 애플릿(620)이 구비된다. 상기 인증서 애플릿(620)은 서명 대상 데이터가 암호화된 경우에 통신사 키를 이용하여 암호화된 서명 대상 데이터를 복호화할 수 있다.
According to the implementation method of the present invention, the USIM 600 records a customer certificate, a carrier key for encryption/decryption, receives the signature target data and command, and signs the signature using a customer certificate according to the received command. A certificate applet 620 is provided that generates a signature value of target data and encrypts the signature data including the generated signature value using a communication company key. When the signing target data is encrypted, the certificate applet 620 may decrypt the encrypted signing target data using a communication company key.

상기 무선단말(500)은 상기 USIM(600)이 탑재 또는 이탈착되는 무선 통신 기능을 구비한 휴대 가능한 단말기의 총칭으로서, 바람직하게 휴대폰, 스마트폰, 태블릿PC 등을 포함할 수 있다.
The wireless terminal 500 is a generic term for a portable terminal having a wireless communication function in which the USIM 600 is mounted or detached, and may preferably include a mobile phone, a smart phone, a tablet PC, or the like.

본 발명의 실시 방법에 따르면, 상기 무선단말(500)은 상기 USIM(600)으로 서명 대상 데이터와 명령어를 주입하고, 상기 USIM(600)으로부터 서명 및 암호화된 서명 데이터를 수신하는 인증서 프로그램(515)이 구비된다. 상기 인증서 프로그램(515)은 무선단말(500)에 구비된 USIM(600) 관리 프로그램에 통합된 형태로 구현되거나, 또는 별도의 프로그램 형태로 구현되는 것이 가능하며, 이에 의해 본 발명이 한정되지 아니한다. 상기 인증서 프로그램(515)은 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 지정된 경로를 통해 전송한다.
According to the implementation method of the present invention, the wireless terminal 500 injects signature target data and commands into the USIM 600, and receives the signed and encrypted signature data from the USIM 600 (515). Is equipped. The certificate program 515 may be implemented in a form integrated with the USIM 600 management program provided in the wireless terminal 500, or may be implemented in a separate program form, and the present invention is not limited thereby. The certificate program 515 transmits the signed and encrypted signature data inside the USIM 600 through a designated path.

상기 통신사서버(400)는 상기 무선단말(500)이 가입된 통신사에서 운영하는 서버 중에서 본 발명에 따른 USIM 기반 인증서 이용에 관여하는 서버의 총칭으로서, USIM(600) 인증 기능, 통신사 키의 분배와 관리 기능, 무선단말(500)의 인증서 프로그램(515)과 관리서버(300) 간 통신채널의 보안 기능 중 하나 이상의 기능을 수행한다.
The communication service provider server 400 is a generic name of a server that is involved in the use of a USIM-based certificate according to the present invention among servers operated by a communication company to which the wireless terminal 500 is subscribed, and includes a USIM 600 authentication function, a communication company key distribution It performs one or more of a management function and a security function of a communication channel between the certificate program 515 of the wireless terminal 500 and the management server 300.

상기 관리서버(300)는 M(M≥1)개의 통신사서버(400)와 N(N≥1)개의 금융사서버(200)를 중계하여 USIM 기반 인증서 이용을 관리하는 서버의 총칭으로서, USIM(600) 내부에서 서명되어 제m(1≤m≤M)통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 제n(1≤n≤N) 금융사 키를 통해 다시 암호화하여 제n 금융사서버(200)로 전송하는 기능을 수행한다. 만약 상기 USIM(600)으로 제공되는 서명 대상 데이터가 제n 금융사 키를 통해 암호화된 경우, 상기 관리서버(300)는 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 제m 통신사 키를 통해 다시 암호화하여 제m 통신사서버(400)로 전송하는 기능을 수행할 수 있다.
The management server 300 is a generic term for a server that manages the use of USIM-based certificates by relaying M (M≥1) communication service provider servers 400 and N (N≥1) financial company servers 200, and uses USIM 600 ) After decrypting the signature data that is internally signed and encrypted through the m-th (1≤m≤M) telecommunication company key, it is re-encrypted through the nth (1≤n≤N) financial company key to the n-th financial institution server 200 It performs the function of transmitting. If the signature target data provided to the USIM 600 is encrypted through the n-th financial company key, the management server 300 decrypts the signature target data encrypted through the n-th financial company key and then the m-th communication company key It may perform a function of re-encrypting through and transmitting to the m-th communication company server 400.

상기 금융사서버(200)는 고개 소유 무선단말(500)에 탑재 또는 이탈착되는 USIM(600) 내부에서 고객 인증서를 통해 서명된 서명 데이터를 이용하여 고객이 요청한 거래를 성립시키는 서버의 총칭으로서, 상기 USIM(600) 내부에서 고객 인증서를 통해 서명된 서명 데이터(또는 서명 데이터의 일부)는 지정된 인증서버(105)를 통해 인증될 수 있다. 실시 방법에 따라 상기 금융사서버(200)는 서명 대상 데이터를 금융사 키를 통해 암호화하여 관리서버(300)로 전송할 수 있다.
The financial institution server 200 is a generic term for a server that establishes a transaction requested by a customer using signature data signed through a customer certificate inside the USIM 600 mounted on or detached from the wireless terminal 500 owned by the customer. Signature data (or part of the signature data) signed through the customer certificate inside the USIM 600 may be authenticated through the designated authentication server 105. Depending on the implementation method, the financial institution server 200 may encrypt data to be signed using a financial institution key and transmit it to the management server 300.

상기 고객단말(100)은 USIM(600)에 구비된 고객 인증서를 이용하는 거래를 위해 고객이 이용하는 단말의 총칭으로서, 컴퓨터, 노트북 등의 유선단말, 휴대폰, 스마트폰, 태블릿PC 등의 무선단말을 포함할 수 있으며, 특히 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)도 상기 고객단말(100)에 속할 수 있다.
The customer terminal 100 is a generic term for terminals used by customers for transactions using customer certificates provided in the USIM 600, and includes wired terminals such as computers and laptops, and wireless terminals such as mobile phones, smartphones, and tablet PCs. In particular, the customer-owned wireless terminal 500 to which the USIM 600 is detached may also belong to the customer terminal 100.

도면2는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 금융사서버(200)의 구성을 도시한 도면이다.
Figure 2 is a diagram showing the configuration of the financial institution server 200 of the USIM-based electronic signature system according to an embodiment of the present invention.

보다 상세하게 본 도면2는 금융사 키를 통해 서명 대상 데이터를 암호화하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 관리서버(300)에서 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 복호화하는 금융사서버(200)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면2를 참조 및/또는 변형하여 상기 금융사서버(200)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면2에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, this figure 2 encrypts the data to be signed through a financial company key, is signed inside the USIM 600, is encrypted by the communication company key inside the USIM 600, is decrypted in the management server 300, and then is decrypted by the financial company key. It shows a preferred configuration of the financial institution server 200 that decrypts the encrypted signature data through, and if a person of ordinary skill in the art to which the present invention belongs, the financial institution server by referring to and/or modifying this Figure 2 It will be possible to infer various implementation methods for the configuration of (200) (e.g., implementation methods in which some components are omitted, subdivided, or combined), but the present invention is made including all the inferred implementation methods, The technical features are not limited only to the implementation method illustrated in FIG. 2.

도면2를 참조하면, 상기 금융사서버(200)는, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객을 식별하는 고객 정보를 저장하는 정보 저장부(205)를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to FIG. 2, the financial institution server 200 includes a wireless terminal 500 to which a USIM 600 equipped with a certificate applet 620 for storing a customer certificate and a communication company key and performing a designated signing operation is detached. It includes an information storage unit 205 for storing customer information identifying the customer to be used. Preferably, in the designated signing operation, the signing target data and the command are received, the signing value of the signing target data is generated using a customer certificate according to the received command, and the generated signing value is determined using a communication company key. And encrypting the included signature data.

고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-owned wireless terminal 500 is a designated area of the USIM 600 in which the customer certificate is separated from the wireless terminal 500 according to a designated certificate issuance procedure or a roaming procedure of a previously issued certificate (for example, , And recorded in WEF) below DF[F300] of the IC chip 605 provided in the USIM 600.

상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 using a key value registered at the time of issuing the USIM 600 or through a designated OTA. It is preferable that the communication company key recorded in the USIM 600 is managed through the communication company server 400.

상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued in a state provided in the USIM 600, or may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 정보 저장부(205)는 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial institution server 200 stores customer information on customers who use financial transactions in a designated DB, and the information storage unit 205 is a customer certificate issuance procedure, a roaming procedure, a telecommunication company key or OTA of the certificate applet 620 Check customer information using the wireless terminal 500 to which the USIM 600 equipped with a certificate applet 620 that stores a client certificate and a communication company key in conjunction with the procedure and performs a specified signing operation, and checks the DB The customer information stored in the USIM 600 is stored including identification information for identifying the wireless terminal 500 to be detached or detached. The identification information includes a phone number assigned to the wireless terminal 500, a communication number, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, an identification value identifying the certificate program 515, It may be formed in the form of at least one or a combination of two or more of the identification values uniquely assigned by at least one of the management server 300, the communication server, and the financial institution server 200.

도면2를 참조하면, 상기 금융사서버(200)는, 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인하는 서명 대상 확인부(225)와, 금융사 키를 이용하여 상기 확인된 서명 대상 데이터를 암호화하는 서명 대상 암호부와, 상기 고객 정보를 이용하여 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 확인하고, 상기 암호화된 서명 대상 데이터와 상기 식별 정보를 지정된 관리서버(300)로 전송하는 서명 대상 전송부(235)를 구비하며, 상기 서명 대상 데이터에 대응하는 거래 절차를 수행하는 거래 절차부(220)를 구비하며, 무선단말(500)에 이탈착되는 USIM(600)을 이용한 서명을 위한 인증 절차를 수행하는 서명 인증 절차부(250)를 구비한다.
Referring to Fig. 2, the financial institution server 200 is a signature object verification unit that checks the signature object data to be signed using a customer certificate provided in the USIM 600 that is detached from and detached from the customer-owned wireless terminal 500. Identification of the customer-owned wireless terminal 500 to which the USIM 600 is detached and detached by using the 225 and, a signing target encryption unit that encrypts the verified signing target data using a financial company key, and the customer information A transaction procedure for checking information, including a signature target transmission unit 235 for transmitting the encrypted signature data and the identification information to a designated management server 300, and performing a transaction procedure corresponding to the signature data A signature authentication procedure unit 250 is provided that includes a unit 220 and performs an authentication procedure for signing using the USIM 600 detached from and detached from the wireless terminal 500.

상기 거래 절차부(220)는 고객이 이용하는 고객단말(100) 또는 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 구비된 애플리케이션과 연동하여 고객이 요청하는 거래 절차를 수행하는 구성부의 총칭으로서, 바람직하게 상기 거래 절차는 고객 인증서를 이용한 서명이 필요한 금융거래 또는 지급 결제를 제공한다. 실시 방법에 따라 상기 거래 절차부(220)는 본 도면2에 도시된 금융사서버(200)와 연동하는 별도의 거래서버의 형태로 구현될 수 있다.
The transaction procedure unit 220 is configured to perform a transaction procedure requested by the customer by interlocking with an application provided in the customer terminal 100 used by the customer or the customer-owned wireless terminal 500 to which the USIM 600 is detached As a generic term for negative, preferably, the transaction procedure provides a financial transaction or payment settlement requiring signature using a customer certificate. Depending on the implementation method, the transaction procedure unit 220 may be implemented in the form of a separate transaction server interworking with the financial institution server 200 shown in FIG. 2.

상기 서명 대상 확인부(225)는 상기 거래 절차부(220)에 의해 수행되는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The signature object verification unit 225 is provided in the USIM 600 that is detached from and detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in conjunction with the transaction procedure performed by the transaction procedure unit 220 The signed customer certificate is used to verify the signature data to be signed. For example, the signature target data may include account transfer details requiring an electronic signature of a customer while performing an account transfer transaction.

본 발명의 실시 방법에 따르면, 상기 서명 인증 절차부(250)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 금융사서버(200)를 인증하도록 하기 위한 금융사 인증정보를 생성하고, 상기 서명 대상 데이터에 상기 금융사 인증정보를 포함시킬 수 있다. 또는 상기 서명 인증 절차부(250)는 별도의 통신채널을 통해 상기 관리서버(300)와 통신사서버(400) 및 무선단말(500)의 인증서 프로그램(515)을 거쳐 상기 USIM(600)으로 금융사 인증정보를 제공함으로써, 상기 USIM(600)으로 하여금 상기 금융사서버(200)를 인증하도록 처리할 수 있다.
According to the implementation method of the present invention, the signature authentication procedure unit 250 generates financial company authentication information to allow the certificate applet 620 of the USIM 600 to authenticate the financial institution server 200, and the signature The financial company authentication information may be included in the target data. Alternatively, the signature authentication procedure unit 250 authenticates the financial company with the USIM 600 through a certificate program 515 of the management server 300 and the communication company server 400 and the wireless terminal 500 through a separate communication channel. By providing information, the USIM 600 may process the financial institution server 200 to authenticate.

상기 서명 대상 암호부(230)는 상기 서명 대상 확인부(225)에 의해 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리한다.
The signature subject encryption unit 230 processes the signature subject data verified by the signature subject verification unit 225 to be encrypted using a financial company key managed by a corresponding financial company.

본 발명의 실시 방법에 따르면, 상기 서명 인증 절차부(250)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 금융사서버(200)를 인증하도록 하기 위한 금융사 인증정보를 생성하고, 상기 암호화된 서명 대상 데이터에 상기 금융사 인증정보를 포함시킬 수 있다.
According to the implementation method of the present invention, the signature authentication procedure unit 250 generates financial company authentication information to allow the certificate applet 620 of the USIM 600 to authenticate the financial institution server 200, and the encryption The financial company authentication information may be included in the signed signature data.

본 발명의 실시 방법에 따르면, 상기 금융사서버(200)는 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM(Secure Application Module), HSM(Hardware Security Module), TSM(Trusted Service Manager) 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비할 수 있다. 상기 서명 대상 암호부(230)는 상기 서명 대상 확인부(225)에 의해 확인된 서명 대상 데이터를 상기 암복호 모듈(210)로 전달하여 사익 금융사 키를 통해 지정된 알고리즘에 따라 암호화되도록 처리할 수 있다. 한편 상기 보안저장매체(215)와 암복호 모듈(210)은 상기 서명 대상 암호부(230)에 통합될 수 있다.
According to the implementation method of the present invention, the financial institution server 200 is a secure storage medium 215 for storing and managing financial institution keys (e.g., Secure Application Module (SAM), Hardware Security Module (HSM)), Trusted Service Manager (TSM). ), and encryption/decryption module 210 for encrypting or decrypting designated data according to a designated algorithm using a financial company key provided in the secure storage medium 215 can do. The signing target encryption unit 230 may transfer the signing target data verified by the signing target verification unit 225 to the encryption/decryption module 210 to be encrypted according to a designated algorithm through a private financial company key. . Meanwhile, the secure storage medium 215 and the encryption/decryption module 210 may be integrated into the signature target encryption unit 230.

상기 서명 대상 전송부(235)는 상기 정보 저장부(205)에 의해 저장된 고객 정보로부터 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The signing target transmission unit 235 stores a customer certificate and a communication company key from the customer information stored by the information storage unit 205, and the USIM 600 provided with a certificate applet 620 for performing a specified signing operation is removed. Check identification information that identifies the customer-owned wireless terminal 500 to be reached.

상기 서명 대상 전송부(235)는 상기 서명 대상 암호부(230)를 통해 금융사 키로 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The signature target transmission unit 235 manages the signature target data encrypted with a financial company key through the signature target encryption unit 230 and identification information for the customer-owned wireless terminal 500 to which the USIM 600 is detached or detached. It is transmitted to the server 300.

본 발명으로부터 확장 가능한 다른 실시 방법에 따르면, 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)는 고객단말(100)에 구비되거나, 또는 고객 소유 무선단말(500)의 애플리케이션에 구비될 수 있다. 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)가 고객단말(100)에 구비된 경우에 금융사 키를 통해 암호화된 서명 대상 데이터는 금융사서버(200)를 경유하여 관리서버(300)로 전송되거나, 또는 고객단말(100)에서 관리서버(300)로 직접 제공될 수 있다. 한편 상기 서명 대상 확인부(225)와 서명 대상 암호부(230) 및 서명 대상 전송부(235)가 상기 USIM(600)이 구비된 무선단말(500)의 애플리케이션에 구비된 경우에 금융사 키를 통해 암호화된 서명 대상 데이터는 금융사서버(200)를 경유하여 관리서버(300)로 전송되거나, 또는 무선단말(500)에서 관리서버(300)로 직접 제공되거나 또는 통신사서버(400)를 경유하여 관리서버(300)로 제공될 수 있다. 한편 본 발명으로부터 확장 가능한 또 다른 실시 방법에 따르면, 상기 서명 대상 확인부(225)는 고객 소유 무선단말(500)의 애플리케이션에 구비될 수 있으며, 이 경우에 상기 서명 대상 데이터는 애플리케이션과 인증서 프로그램(515) 사이의 프로세스 간 통신을 통해 애플리케이션에서 인증서 프로그램(515)으로 전달될 수 있으며, 이 때 상기 서명 대상 데이터는 암호화되지 않아도 무방하며, 실시 방법에 따라 통신사 키로 암호화될 수 있다.
According to another implementation method expandable from the present invention, the signature object verification unit 225, the signature object encryption unit 230, and the signature object transmission unit 235 are provided in the customer terminal 100, or a customer-owned wireless terminal It may be provided in the application of 500. When the signature target verification unit 225, the signature target encryption unit 230, and the signature target transmission unit 235 are provided in the customer terminal 100, the signature target data encrypted through the financial company key is the financial institution server 200 It may be transmitted to the management server 300 via or may be provided directly from the customer terminal 100 to the management server 300. Meanwhile, when the signature target verification unit 225, the signature target encryption unit 230, and the signature target transmission unit 235 are provided in the application of the wireless terminal 500 equipped with the USIM 600, through a financial company key The encrypted signature target data is transmitted to the management server 300 via the financial institution server 200, or directly provided from the wireless terminal 500 to the management server 300, or the management server via the communication company server 400 It may be provided as 300. Meanwhile, according to another implementation method expandable from the present invention, the signing target verification unit 225 may be provided in an application of the customer-owned wireless terminal 500, and in this case, the signing target data is an application and a certificate program ( 515) may be transmitted from the application to the certificate program 515 through inter-process communication, and at this time, the signature data may not be encrypted, and may be encrypted with a communication company key depending on the implementation method.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 상기 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 복호화한다. 상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키로 다시 암호화한다. 상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 통신사 키로 암호화된 서명 대상 데이터를 통신사서버(400)로 제공한다.
The management server 300 is provided with a secure storage medium 215 (e.g., at least one medium of SAM, HSM, TSM) for storing and managing the financial institution key provided from the financial institution server 200 according to a specified key exchange procedure. (Or interlock), and includes an encryption/decryption module 210 that encrypts or decrypts specified data according to a specified algorithm using a financial company key provided in the secure storage medium 215, and the encryption/decryption module 210 ), the financial institution server 200 encrypts and transmits the signature data through the financial institution key. The management server 300 is a secure storage medium 315 for storing and managing the communication company key provided from the communication company server 400 (or USIM 600) according to a specified key exchange procedure (e.g., at least one of SAM, HSM, TSM A single medium), and an encryption/decryption module 310 for encrypting or decrypting designated data according to a designated algorithm using a communication company key provided in the secure storage medium 315, The decrypted signature data through the encryption/decryption module 210 is encrypted again with a communication company key using the encryption/decryption module 310. The management server 300 provides the signing target data encrypted with the communication company key through the encryption/decryption module 310 to the communication company server 400.

상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)의 인증서 프로그램(515)으로 제공하며, 상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 USIM(600)으로 주입한다.
The communication company server 400 provides the signing target data encrypted through the communication company key to the certificate program 515 of the wireless terminal 500, and the certificate program 515 of the wireless terminal 500 receives the communication company key. The encrypted signature data is injected into the USIM 600.

상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption/decryption module 615 that encrypts or decrypts data designated through the communication company key according to a designated algorithm, and when the injected signature data is encrypted through a communication company key, the The certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the communication company key through the encryption/decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 USIM(600)에 구비된 고객 인증서를 통해 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터를 서명하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 signs the signature data by using an algorithm (eg, RSA digital signature algorithm or ECDSA digital signature algorithm) specified through the customer certificate provided in the USIM 600 to sign the signature data. Create Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7] or [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the communication company key through the encryption/decryption module 615 as soon as the signature data is generated, and the certificate program 515 of the wireless terminal 500 ). The signature data encrypted through the carrier key is encrypted inside the USIM 600 using the carrier key as an encryption key, or encrypted inside the USIM 600 through an encryption key generated using the carrier key, Based on the communication company key, the key value exchanged between the USIM 600 and the communication company server 400 is used as an encryption key to be encrypted inside the USIM 600, or the USIM 600 and the management server ( 300) may be encrypted through at least one of those encrypted inside the USIM 600 by using the exchanged key value as an encryption key.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송하고, 상기 통신사서버(400)는 상기 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits signature data signed inside the USIM 600 and encrypted through a communication company key to the communication company server 400, and the communication company server 400 Through the encrypted signature data is transmitted to the management server 300.

상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 상기 통신사 키로 암호화된 서명 데이터를 복호화한다. 상기 관리서버(300)는 상기 암복호 모듈(310)을 통해 상기 복호화된 서명 데이터를 금융사 키로 다시 암호화하고, 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다.
The management server 300 decrypts the signature data encrypted with the communication company key through the encryption/decryption module 310. The management server 300 re-encrypts the decrypted signature data with a financial company key through the encryption/decryption module 310 and transmits the encrypted signature data through the financial company key to the financial institution server 200.

도면2를 참조하면, 상기 금융사서버(200)는, 상기 관리서버(300)부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(240)와, 금융사 키를 통해 상기 암호화된 서명 데이터를 복호화하는 서명 데이터 복호부(245)와, 상기 복호화된 서명 데이터의 인증 절차를 수행하는 서명 인증 절차부(250)를 구비한다.
Referring to Fig. 2, the financial institution server 200 is generated using the signing target data according to a designated signing operation of the certificate applet 620 provided in the USIM 600 from the management server 300, and the Signature data receiving unit 240 for receiving encrypted signature data through the key of the USIM 600 and then decrypted by the management server 300 after being encrypted in the USIM 600 through the communication company key provided in the USIM 600 And, a signature data decryption unit 245 that decrypts the encrypted signature data through a financial company key, and a signature authentication procedure unit 250 that performs an authentication procedure of the decrypted signature data.

상기 서명 데이터 수신부(240)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The signature data receiving unit 240 is signed inside the USIM 600 from the management server 300 and encrypted by the communication company key inside the USIM 600, and then decrypted by the management server 300, and then the financial company key The encrypted signature data is received through.

상기 서명 데이터 복호부(245)는 상기 암복호 모듈(210)을 통해 상기 금융사 키로 암호화된 서명 데이터를 금융사 키를 통해 복호화한다.
The signature data decryption unit 245 decrypts the signature data encrypted with the financial institution key through the encryption/decryption module 210 through the financial institution key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an implementation method of the present invention, the signature data encrypted by the financial institution key in the management server 300 may include an integrity verification value included in the signature data encrypted through the financial institution key, and the signature authentication procedure The unit 250 may perform a procedure of authenticating the validity of the integrity verification value included in the signature data encrypted through the financial company key.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 서명 인증 절차부(250)는 상기 서명 데이터 복호부(245)를 통해 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 서명 인증 절차부(250)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial company key is decrypted, the signature authentication procedure unit 250 performs a procedure of authenticating the validity of the decrypted signature data through the signature data decryption unit 245. Preferably, the signature authentication procedure unit 250 transmits the signature data (or part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives an authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The signature authentication procedure unit 250 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 in which the digital signature procedure using the customer certificate was performed, and the signature authentication procedure unit 250 A procedure of authenticating a medium authentication value included in the signature data may be performed. For example, the medium authentication value may include at least one of a key value exchanged according to a specified key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the signature authentication The procedure unit 250 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to determine validity. You can authenticate. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a specified time before or after receiving the signature data without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 서명 인증 절차부(250)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 서명 인증 절차부(250)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 서명 인증 절차부(250)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data is a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. It may be included, and the signature authentication procedure unit 250 may perform a procedure of authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a specified key exchange procedure and a key value generated according to a code generation algorithm specified by the management server 300, and the signature authentication The procedure unit 250 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key value Can be authenticated. Meanwhile, the financial institution server 200 and the management server 300 are provided by exchanging server certificates, and the signature authentication procedure unit 250 uses the exchanged server certificates to provide reliability of the management server 300. Can be authenticated. On the other hand, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a specified time before or after the signature data is received. It can be authenticated through, in this case, the process of authenticating the reliability of the management server 300 using the signature data can be omitted.

도면3은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 관리서버(300)의 구성을 도시한 도면이다.
3 is a diagram showing the configuration of a management server 300 of a USIM-based digital signature system according to an embodiment of the present invention.

보다 상세하게 본 도면3은 금융사 키를 통해 암호화된 서명 대상 데이터를 복호화한 후 다시 통신사 키를 통해 암호화하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 복호화한 후 다시 금융사 키를 통해 암호화하는 관리서버(300)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면3을 참조 및/또는 변형하여 상기 관리서버(300)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면3에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, Figure 3 shows the signature data encrypted by the financial company key and encrypted by the carrier key after decrypting the data to be signed, and then signed inside the USIM 600 and encrypted by the carrier key inside the USIM 600. It shows a preferred configuration of the management server 300 that decrypts and then encrypts it again through a financial company key.If a person of ordinary skill in the art to which the present invention belongs, refer to and/or modify this Figure 3 Various implementation methods for the configuration of the management server 300 (e.g., some components are omitted, or subdivided, or combined implementation methods) may be inferred, but the present invention includes all the inferred implementation methods. The technical features are not limited only by the implementation method shown in FIG. 3.

고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-owned wireless terminal 500 is a designated area of the USIM 600 in which the customer certificate is separated from the wireless terminal 500 according to a designated certificate issuance procedure or a roaming procedure of a previously issued certificate (for example, , And recorded in WEF) below DF[F300] of the IC chip 605 provided in the USIM 600.

상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 using a key value registered at the time of issuing the USIM 600 or through a designated OTA. It is preferable that the communication company key recorded in the USIM 600 is managed through the communication company server 400.

상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued in a state provided in the USIM 600, or may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information on customers who use financial transactions in a designated DB, and interlocks with the customer certificate issuance procedure, roaming procedure, communication company key or OTA procedure of the certificate applet 620 Check customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 for storing the carrier key and performing a specified signing operation is separated, and the customer information stored in the DB The same USIM 600 is stored including identification information identifying the wireless terminal 500 to be detached. The identification information includes a phone number assigned to the wireless terminal 500, a communication number, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, an identification value identifying the certificate program 515, It may be formed in the form of at least one or a combination of two or more of the identification values uniquely assigned by at least one of the management server 300, the communication server, and the financial institution server 200.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the signature target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in connection with the transaction procedure. do. For example, the signature target data may include account transfer details requiring an electronic signature of a customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is provided with a certificate applet 620 that processes the verified signing target data to be encrypted using a financial company key managed by a corresponding financial company, stores a customer certificate and a communication company key, and performs a designated signing operation. The USIM 600 checks the identification information that identifies the customer-owned wireless terminal 500 to be detached or detached.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature data encrypted through the financial institution key and identification information on the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

도면3을 참조하면, 상기 관리서버(300)는, N(N≥1)개의 금융사서버(200) 중 제n(1≤n≤N) 금융사서버(200)로부터 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보와 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하는 서명 대상 수신부(305)와, 지정된 보안저장매체(215)에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하는 서명 대상 복호부(320)를 구비하며, 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함할 수 있다.
Referring to FIG. 3, the management server 300 stores a customer certificate and a communication company key from the nth (1≤n≤N) financial institution server 200 among N (N≥1) financial institution servers 200, and A signature target receiving identification information on the customer-owned wireless terminal 500 from which the USIM 600 equipped with the certificate applet 620 performing a specified signing operation is detached and the signature target data encrypted through the n-th financial company key A receiving unit 305 and a signature target decryption unit 320 for processing the encrypted signature data to be decrypted through the n-th financial company key stored in the designated secure storage medium 215, and preferably, the designated signature operation Receives signature data and commands, generates a signature value of the signature target data using a customer certificate according to the received command, and encrypts signature data including the generated signature value using a carrier key May include actions.

상기 관리서버(300)는 N개의 금융사서버(200)와 통신 가능하며, 상기 서명 대상 수신부(305)는 N개의 금융사서버(200) 중 서명 데이터를 전송한 제n 금융사서버(200)로부터 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with the N financial institution servers 200, and the signature target receiving unit 305 is an n-th financial institution server 200 that has transmitted signature data among the N financial institution servers 200. A customer-owned wireless terminal 500 to which the USIM 600 equipped with a certificate applet 620 that receives encrypted signature data through a financial company key, stores a customer certificate and a communication company key, and performs a designated signing operation Receive identification information for

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 서명 대상 복호부(320)는 상기 제n 금융사서버(200)에서 제n 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 is a secure storage medium 215 (e.g., at least one of SAM, HSM, TSM) for storing and managing financial company keys provided from the N financial company servers 200 according to a specified key exchange procedure. It is provided with (or interlocked with), and is provided with an encryption/decryption module 210 for encrypting or decrypting designated data according to a designated algorithm using N financial company keys provided in the secure storage medium 215, and the signature target The decryption unit 320 checks the signature data transmitted by encryption through the n-th financial institution key from the n-th financial institution server 200, and is provided in the secure storage medium 215 using the encryption/decryption module 210 Process to decrypt the encrypted signature target data through the n-th financial company key.

도면3을 참조하면, 상기 관리서버(300)는, M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체(315)에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하는 서명 대상 재암호부(325)와, 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 제m 통신사서버(400)로 전송하는 서명 대상 중계부(335)를 구비하며, 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하는 명령어 확인부(330)를 더 구비하고, 이 경우에 상기 서명 대상 중계부(335)는 상기 확인된 명령어를 제m 통신사서버(400)로 전송한다. 한편 상기 관리서버(300)는, 상기 서명 대상 데이터의 중계를 위한 적어도 하나의 인증 절차를 수행하는 인증 처리부(355)를 구비할 수 있다.
Referring to FIG. 3, the management server 300 checks the m-th (1≤m≤M) carrier corresponding to the identification information among M (M≥1) carriers, and a designated secure storage medium 315 A signature target re-encryption unit 325 that processes the decrypted signature data to be re-encrypted through the mth carrier key stored in the mth carrier server 400, and the signature target data encrypted through the mth carrier key A certificate applet 620 provided in the USIM 600 that is provided with a signature target relay 335 to be transmitted to and detached from the customer-owned wireless terminal 500 corresponding to the identification information to perform the designated signing operation A command verification unit 330 for checking a command to be executed is further provided, and in this case, the signature target relay 335 transmits the verified command to the mth communication company server 400. Meanwhile, the management server 300 may include an authentication processing unit 355 that performs at least one authentication procedure for relaying the signature target data.

본 발명의 실시 방법에 따르면, 상기 인증 처리부(355)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 관리서버(300)를 인증하도록 하기 위한 관리사 인증정보를 생성하고, 상기 서명 대상 데이터에 상기 관리사 인증정보를 포함시킬 수 있다. 또는 상기 인증 처리부(355)는 별도의 통신채널을 통해 상기 통신사서버(400)와 무선단말(500)의 인증서 프로그램(515)을 거쳐 상기 무선단말(500)에 이탈착되는 USIM(600)으로 관리사 인증정보를 제공함으로써, USIM(600)으로 하여금 상기 관리서버(300)를 인증하도록 처리할 수 있다.
According to an implementation method of the present invention, the authentication processing unit 355 generates management company authentication information for allowing the certificate applet 620 of the USIM 600 to authenticate the management server 300, and the signature target data In may include the management company authentication information. Alternatively, the authentication processing unit 355 is a USIM 600 that is detached from and detached from the wireless terminal 500 through the communication company server 400 and the certificate program 515 of the wireless terminal 500 through a separate communication channel. By providing authentication information, it is possible to process the USIM 600 to authenticate the management server 300.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 서명 대상 재암호부(325)는 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 제m 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 for storing and managing the communication company key provided from the communication company server 400 (or USIM 600) according to a specified key exchange procedure (e.g., at least one of SAM, HSM, TSM A single medium), and an encryption/decryption module 310 for encrypting or decrypting designated data according to a designated algorithm using a communication company key provided in the secure storage medium 315, The signature subject re-encryption unit 325 processes the decrypted signature data through the encryption/decryption module 210 to be encrypted again using the mth communication company key using the encryption/decryption module 310.

본 발명의 실시 방법에 따르면, 상기 인증 처리부(355)는 상기 USIM(600)의 인증서 애플릿(620)으로 하여금 상기 관리서버(300)를 인증하도록 하기 위한 관리사 인증정보를 생성하고, 상기 암호화된 서명 대상 데이터에 상기 관리사 인증정보를 포함시킬 수 있다.
According to the implementation method of the present invention, the authentication processing unit 355 generates management company authentication information for allowing the certificate applet 620 of the USIM 600 to authenticate the management server 300, and the encrypted signature The management company authentication information may be included in the target data.

상기 서명 대상 중계부(335)는 상기 서명 대상 재암호부(325)를 통해 제m 통신사 키로 다시 암호화된 서명 대상 데이터를 제m 통신사서버(400)로 전송한다.
The signature target relay unit 335 transmits the signature target data encrypted again with the mth communication company key to the mth communication company server 400 through the signature target re-encryption unit 325.

본 발명의 실시 방법에 따르면, 상기 명령어 확인부(330)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 서명 대상 중계부(335)는 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 제m 통신사서버(400)로 전송할 수 있다.
According to the implementation method of the present invention, the command verification unit 330 causes the certificate applet 620 provided in the USIM 600 to be detached from and detached from the customer-owned wireless terminal 500 corresponding to the identification information. After confirming a command to perform an operation, the signing target relay 335 may transmit the command along with the encrypted signing target data to the mth communication company server 400.

상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The communication company server 400 receives the encrypted signature data from the management server 300 through the mth communication company key and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the communication company server 400 receives the command along with the signature target data encrypted through the m-th communication company key from the management server 300 and provides it to the certificate program 515 of the wireless terminal 500. I can.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 제m 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 무선단말(500)에 이탈착되는 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 본 발명의 실시 방법에 따르면, 상기 명령어는 관리서버(300)로부터 통신사서버(400)를 경유하여 수신되거나, 또는 통신사서버(400)로부터 수신되거나, 또는 인증서 프로그램(515)이 내부적으로 확인할 수 있다.
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data from the communication company server 400 through the m-th communication company key and injects it into the USIM 600 that is detached from the wireless terminal 500 At this time, a command for causing the certificate applet 620 provided in the USIM 600 to perform the specified signing operation is injected into the USIM 600. According to the implementation method of the present invention, the command may be received from the management server 300 via the communication company server 400, or received from the communication company server 400, or the certificate program 515 may internally verify. .

상기 USIM(600)은 상기 제m 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 제m 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 제m 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption/decryption module 615 that encrypts or decrypts data designated through the m-th carrier key according to a specified algorithm, and the injected signature data is encrypted through the m-th carrier key. In this case, based on the command, the certificate applet 620 of the USIM 600 decrypts the signature data encrypted with the mth communication company key through the encryption/decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 checks the customer certificate provided in the USIM 600 based on the command, and an algorithm designated based on the customer certificate (e.g., RSA digital signature algorithm or ECDSA digital signature Algorithm) to generate signature data by performing an electronic signature procedure on the signature target data. Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7] or [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 제m 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 제m 통신사 키를 통해 암호화된 서명 데이터는 상기 제m 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 제m 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data through the encryption/decryption module 615 with the m-th communication company key as the signature data is generated, and the certificate program of the wireless terminal 500 Send to (515). The signature data encrypted through the m-th carrier key is encrypted inside the USIM 600 using the m-th carrier key as an encryption key, or the USIM 600 is encrypted through an encryption key generated using the m-th carrier key. ) Internally encrypted, or encrypted inside the USIM 600 by using the key value exchanged between the USIM 600 and the communication company server 400 based on the mth communication company key as an encryption key, or the mth communication company key As a basis, the key value exchanged between the USIM 600 and the management server 300 may be used as an encryption key and may be encrypted through at least one of those encrypted inside the USIM 600.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 제m 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송하고, 상기 통신사서버(400)는 상기 제m 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signature data signed inside the USIM 600 and encrypted through the mth communication company key to the communication company server 400, and the communication company server 400 The signature data encrypted through the m-th communication company key is transmitted to the management server 300.

도면3을 참조하면, 상기 관리서버(300)는, 상기 제m 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 제m 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(340)와, 지정된 보안저장매체(315)에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하는 서명 데이터 복호부(345)와, 지정된 보안저장매체(215)에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하는 서명 데이터 재암호부(350)와, 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송하는 서명 데이터 중계부(360)를 구비하며, 상기 서명 데이터의 중계를 위한 적어도 하나의 인증 절차를 수행하는 인증 처리부(355)를 구비할 수 있다.
Referring to Fig. 3, the management server 300 is generated by using the signing target data according to a designated signing operation of the certificate applet 620 provided in the USIM 600 from the m-th communication company server 400 The signature data receiving unit 340 that receives the encrypted signature data in the USIM 600 through the m-th carrier key provided in the USIM 600, and the m-th carrier key stored in the designated secure storage medium 315 A signature data decryption unit 345 that decrypts the encrypted signature data through, and a signature data re-encryption unit 350 that re-encrypts the decrypted signature data through an n-th financial company key stored in a designated secure storage medium 215 And, a signature data relay 360 for transmitting the signature data encrypted through the n-th financial institution key to the n-th financial institution server 200, and performing at least one authentication procedure for relaying the signature data. An authentication processing unit 355 may be provided.

상기 서명 데이터 수신부(340)는 상기 제m 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 제m 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 제m 통신사서버(400)를 경유하여 수신한다.
The signature data receiving unit 340 is generated from the m-th communication service provider server 400 using the signature target data according to a specified signing operation of the certificate applet 620 provided in the USIM 600, and the USIM 600 The signed data encrypted in the USIM 600 is received through the m-th communication company key provided in the wireless terminal 500 through the certificate program 515 and the m-th communication company server 400.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 제m 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 인증 처리부(355)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an implementation method of the present invention, the signature data encrypted through the m-th communication company key inside the USIM 600 may include an integrity verification value for the encrypted signature data, and the authentication processing unit 355 A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the financial company key may be performed.

상기 서명 데이터 복호부(345)는 상기 제m 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 제m 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The signature data decryption unit 345 checks the signature data encrypted inside the USIM 600 through the m-th communication company key, and uses the encryption/decryption module 310 to use the mth communication company key through the USIM ( 600) Process to decrypt the encrypted signature data inside.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 인증 처리부(355)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The authentication processing unit 355 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 인증 처리부(355)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 처리부(355)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the authentication processing unit 355 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a specified key exchange procedure and a key value generated according to a code generation algorithm specified inside the USIM 600, and the authentication processing unit (355) checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a specified time point before or after the signature data is received without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 서명 데이터 재암호부(350)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 제n 금융사 키를 통해 다시 암호화하도록 처리한다.
The signature data re-encryption unit 350 decrypts the signature data encrypted inside the USIM 600 and simultaneously encrypts the decrypted signature data through the encryption/decryption module 210 through the n-th financial company key. Process.

본 발명의 실시 방법에 따르면, 상기 서명 데이터 재암호부(350)에 의해 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 인증 처리부(355)는 상기 제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 제n 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an implementation method of the present invention, while the process of encrypting the signature data decrypted through the m-th communication company key by the signature data re-encryption unit 350 through the n-th financial company key is being processed, the authentication processing unit 355 Generates an integrity authentication value of the signature data for the process of encrypting the signature data decrypted through the m-th telecommunication company key through the n-th financial company key, and the signature data encrypted with the n-th financial company key Can be included in

상기 서명 데이터 중계부(360)는 상기 서명 데이터 재암호부(350)에 의해 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송한다.
The signature data relay unit 360 transmits the signature data encrypted by the signature data re-encryption unit 350 through the n-th financial institution key to the n-th financial institution server 200.

상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 제m 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 제n 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The financial institution server 200 is signed inside the USIM 600 from the management server 300 and encrypted by the m-th communication company key inside the USIM 600, and then decrypted by the management server 300, n Receive encrypted signature data through a financial company key.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 제n 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial institution server 200 decrypts the signature data encrypted by the n-th financial institution key in the management server 300 through the encryption/decryption module 210 through the financial institution key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 제n 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an implementation method of the present invention, the signature data encrypted by the n-th financial institution key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial institution server 200 A procedure for authenticating the validity of the integrity verification value included in the encrypted signature data through the financial company key may be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial institution key is decrypted, the financial institution server 200 performs a procedure of authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives the authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the financial institution server 200 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated inside the USIM 600, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a specified time before or after receiving the signature data without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 제n 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data is a server authentication for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through the n-th financial company key. A value may be included, and the financial institution server 200 may perform a procedure of authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key value to verify validity. can do. Meanwhile, the financial institution server 200 and the management server 300 are provided by exchanging server certificates, and the financial institution server 200 authenticates the reliability of the management server 300 using the exchanged server certificates. can do. On the other hand, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a specified time before or after the signature data is received. It can be authenticated through, in this case, the process of authenticating the reliability of the management server 300 using the signature data can be omitted.

도면4는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 시스템의 통신사서버(400)의 구성을 도시한 도면이다.
FIG. 4 is a diagram showing the configuration of a communication company server 400 of a USIM-based digital signature system according to an embodiment of the present invention.

보다 상세하게 본 도면4는 통신사 키를 통해 암호화된 서명 대상 데이터를 무선단말(500)의 인증서 프로그램(515)으로 전달하고, USIM(600) 내부에서 서명되어 USIM(600) 내부에서 통신사 키를 통해 암호화된 서명 데이터를 관리서버(300)로 전달하는 통신사서버(400)의 바람직한 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면4를 참조 및/또는 변형하여 상기 통신사서버(400)의 구성에 대한 다양한 실시 방법(예컨대, 일부 구성부가 생략되거나, 또는 세분화되거나, 또는 합쳐진 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면4에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, this figure 4 transmits the data to be signed encrypted through the communication company key to the certificate program 515 of the wireless terminal 500, and is signed inside the USIM 600 through the communication company key inside the USIM 600. As showing a preferred configuration of the communication service provider server 400 for transmitting the encrypted signature data to the management server 300, if a person of ordinary skill in the art to which the present invention belongs, see Figure 4 and / or modification Thus, various implementation methods for the configuration of the communication company server 400 (e.g., some components are omitted, subdivided, or combined implementation methods) can be inferred, but the present invention includes all the inferred implementation methods. It is made, and the technical features are not limited only by the implementation method shown in FIG. 4.

고객 소유 무선단말(500)의 인증서 프로그램(515)은 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate program 515 of the customer-owned wireless terminal 500 is a designated area of the USIM 600 in which the customer certificate is separated from the wireless terminal 500 according to a designated certificate issuance procedure or a roaming procedure of a previously issued certificate (for example, , And recorded in WEF) below DF[F300] of the IC chip 605 provided in the USIM 600.

상기 USIM(600)의 통신사 키는 USIM(600) 발급 시점에 등록된 키 값을 이용하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다. 상기 USIM(600)에 기록된 통신사 키는 통신사서버(400)를 통해 관리되는 것이 바람직하다.
The carrier key of the USIM 600 may be recorded in the USIM 600 using a key value registered at the time of issuing the USIM 600 or through a designated OTA. It is preferable that the communication company key recorded in the USIM 600 is managed through the communication company server 400.

상기 인증서 애플릿(620)은 USIM(600)에 구비된 상태로 제조 또는 발급되거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 기록될 수 있다.
The certificate applet 620 may be manufactured or issued in a state provided in the USIM 600, or may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information on customers who use financial transactions in a designated DB, and interlocks with the customer certificate issuance procedure, roaming procedure, communication company key or OTA procedure of the certificate applet 620 Check customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 for storing the carrier key and performing a specified signing operation is separated, and the customer information stored in the DB The same USIM 600 is stored including identification information identifying the wireless terminal 500 to be detached. The identification information includes a phone number assigned to the wireless terminal 500, a communication number, a serial number stored in the memory unit or SE of the wireless terminal 500, a key value, an identification value identifying the certificate program 515, It may be formed in the form of at least one or a combination of two or more of the identification values uniquely assigned by at least one of the management server 300, the communication server, and the financial institution server 200.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the signature target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in connection with the transaction procedure. do. For example, the signature target data may include account transfer details requiring an electronic signature of a customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is provided with a certificate applet 620 that processes the verified signing target data to be encrypted using a financial company key managed by a corresponding financial company, stores a customer certificate and a communication company key, and performs a designated signing operation. The USIM 600 checks the identification information that identifies the customer-owned wireless terminal 500 to be detached or detached.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature data encrypted through the financial institution key and identification information on the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with N (N≥1) financial institution servers 200, and a signature encrypted through a financial institution key from the financial institution server 200 that has transmitted the signature data among the N financial institution servers 200 Receives the target data, stores the customer certificate and the carrier key, and receives the identification information on the customer-owned wireless terminal 500 to which the USIM 600 equipped with a certificate applet 620 performing a specified signing operation is detached. .

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 is a secure storage medium 215 (e.g., at least one of SAM, HSM, TSM) for storing and managing financial company keys provided from the N financial company servers 200 according to a specified key exchange procedure. It is provided with (or interlocked with), and has an encryption/decryption module 210 for encrypting or decrypting designated data according to a designated algorithm using N financial company keys provided in the secure storage medium 215, and the financial institution server Check the signature data transmitted by encryption through the financial company key at 200, and decrypt the encrypted signature data through the financial company key provided in the secure storage medium 215 using the encryption/decryption module 210 Process to do it.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 for storing and managing the communication company key provided from the communication company server 400 (or USIM 600) according to a specified key exchange procedure (e.g., at least one of SAM, HSM, TSM A single medium), and an encryption/decryption module 310 for encrypting or decrypting designated data according to a designated algorithm using a communication company key provided in the secure storage medium 315, The decrypted signature data through the encryption/decryption module 210 is processed to be re-encrypted using a communication company key using the encryption/decryption module 310.

상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the communication company key to the communication company server 400. According to the implementation method of the present invention, the management server 300 causes the certificate applet 620 provided in the USIM 600 to be detached from the customer-owned wireless terminal 500 corresponding to the identification information to cause the designated signing operation. It is possible to check the command for performing the command and transmit the command to the communication company server 400 together with the encrypted signature data.

도면4를 참조하면, 상기 통신사서버(400)는, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되고, 상기 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 식별하는 T(T≥1)개의 식별 정보를 저장하는 정보 관리부(410)를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to Figure 4, the communication company server 400, the USIM 600 with a certificate applet 620 that stores a customer certificate and a communication company key and performs a designated signing operation is detached, the certificate applet 620 ) To perform the designated signing operation, and includes an information management unit 410 that stores T (T≥1) pieces of identification information that identifies the wireless terminal 500 equipped with the certificate program 515. Preferably, in the designated signing operation, the signing target data and the command are received, the signing value of the signing target data is generated using a customer certificate according to the received command, and the generated signing value is determined using a communication company key. And encrypting the included signature data.

상기 정보 관리부(410)는 지정된 USIM(600) 인증 절차를 결과로서, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 확인한다. 상기 USIM(600) 인증 절차는 UICC(Universal Integrated Circuit Card) 규격에 정의된 인증 절차를 포함할 수 있다.
The information management unit 410 is a wireless terminal to which the USIM 600 equipped with a certificate applet 620 that stores a customer certificate and a communication company key and performs a designated signing operation as a result of the designated USIM 600 authentication procedure Check 500. The USIM 600 authentication procedure may include an authentication procedure defined in a Universal Integrated Circuit Card (UICC) standard.

상기 정보 관리부(410)는 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 확인한다. 상기 인증서 프로그램(515)의 구비된 상태는 상기 무선단말(500)로 인증서 프로그램(515)을 제공한 서버 또는 상기 인증서 프로그램(515)을 관리하는 서버와 연동하여 확인될 수 있다.
The information management unit 410 checks the wireless terminal 500 equipped with a certificate program 515 that causes the certificate applet 620 provided in the USIM 600 to perform the designated signing operation. The provided state of the certificate program 515 may be checked by interlocking with a server providing the certificate program 515 to the wireless terminal 500 or a server managing the certificate program 515.

상기 정보 관리부(410)는 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되고, 상기 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 인증서 프로그램(515)이 구비된 무선단말(500)을 식별하는 T개의 식별 정보를 확인하여 저장한다.
The information management unit 410 stores a customer certificate and a communication company key, and the USIM 600 equipped with a certificate applet 620 for performing a specified signing operation is detached, and the certificate applet 620 causes the designated signing operation. Confirms and stores T pieces of identification information identifying the wireless terminal 500 equipped with the certificate program 515 to perform the operation.

도면4를 참조하면, 상기 통신사서버(400)는, 관리서버(300)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말(500)을 식별하는 식별 정보를 수신하는 서명 대상 수신부(405)와, 상기 관리서버(300)로부터 수신된 식별 정보가 상기 T개의 식별 정보에 속한 제t(1≤t≤T) 식별 정보인지 확인하는 정보 인증부(415)와, 상기 관리서버(300)로부터 제t 식별 정보가 수신된 경우에 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 대상 데이터를 전송하는 서명 대상 중계부(420)를 구비하며, 상기 서명 대상 수신부(405)는 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하고, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 명령어를 전송할 수 있다.
4, the communication company server 400 is encrypted in the financial company server 200 through the financial company key provided in the financial company server 200 from the management server 300 and then transferred to the management server 300. The signature target receiving unit 405 for receiving identification information that identifies the signing target data and the customer-owned wireless terminal 500, which is decrypted and encrypted again through the communication company key, and the identification information received from the management server 300 An information authentication unit 415 that checks whether the t-th (1≤t≤T) identification information belongs to the T identification information, and the t-th identification information when the t-th identification information is received from the management server 300 A signature target relay 420 for transmitting the encrypted signature target data to the certificate program 515 of the corresponding wireless terminal 500, and the signature target receiver 405 is the customer-owned wireless terminal 500 Receiving a command for causing the certificate applet 620 provided in the USIM 600 to perform a specified signing operation, the signing target relay unit 420 is a wireless terminal corresponding to the t-th identification information ( 500) can transmit the command to the certificate program 515.

상기 서명 대상 수신부(405)는 관리서버(300)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 상기 고객 인증서를 통해 상기 서명 대상 데이터를 서명하여 서명 데이터를 생성하고 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하는 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 수신한다.
The signing target receiving unit 405 is encrypted in the financial institution server 200 through the financial institution key provided in the financial institution server 200 from the management server 300, and then decrypted by the management server 300, and then the communication company key The customer owns the USIM 600, which receives the encrypted signature data through and signs the signature data through the customer certificate, generates signature data, and encrypts the generated signature data through a telecommunication company key. Receive identification information for identifying the wireless terminal 500.

상기 정보 인증부(415)는 상기 관리서버(300)로부터 수신된 식별 정보가 상기 정보 관리부(410)에 의해 저장된 T개의 식별 정보에 속한 제t 식별 정보인지 확인한다. 만약 상기 관리서버(300)로부터 제t 식별 정보가 수신되었다면, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 대상 데이터를 전송한다.
The information authentication unit 415 checks whether the identification information received from the management server 300 is t-th identification information belonging to the T pieces of identification information stored by the information management unit 410. If the t-th identification information is received from the management server 300, the signature target relay 420 is the encrypted signature target with the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information Transmit data.

본 발명의 실시 방법에 따르면, 상기 서명 대상 수신부(405)는 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신하고, 상기 서명 대상 중계부(420)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 상기 명령어를 전송할 수 있다. 본 발명의 다른 실시 방법에 따르면, 상기 명령어는 상기 통신사서버(400)에서 확인되어 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로 전송될 수 있다. 본 발명의 다른 실시 방법에 따르면, 상기 명령어는 상기 무선단말(500)의 인증서 프로그램(515)을 통해 결정될 수 있다.
According to the implementation method of the present invention, the signing target receiving unit 405 is a command for causing the certificate applet 620 provided in the USIM 600 to be detached from the customer-owned wireless terminal 500 to perform a specified signing operation Upon receiving, the signing target relay 420 may transmit the command to the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. According to another embodiment of the present invention, the command may be confirmed by the communication company server 400 and transmitted to the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. According to another embodiment of the present invention, the command may be determined through a certificate program 515 of the wireless terminal 500.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 무선단말(500)에 이탈착되는 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 본 발명의 실시 방법에 따르면, 상기 명령어는 관리서버(300)로부터 통신사서버(400)를 경유하여 수신되거나, 또는 통신사서버(400)로부터 수신되거나, 또는 인증서 프로그램(515)이 내부적으로 확인할 수 있다.
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data from the communication company server 400 through the communication company key and injects it into the USIM 600 that is detached from the wireless terminal 500, At this time, a command for causing the certificate applet 620 provided in the USIM 600 to perform the designated signing operation is injected into the USIM 600. According to the implementation method of the present invention, the command may be received from the management server 300 via the communication company server 400, or received from the communication company server 400, or the certificate program 515 may internally verify. .

상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption/decryption module 615 that encrypts or decrypts data designated through the communication company key according to a designated algorithm, and when the injected signature data is encrypted through a communication company key, the Based on the command, the certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the communication company key through the encryption/decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 checks the customer certificate provided in the USIM 600 based on the command, and an algorithm designated based on the customer certificate (e.g., RSA digital signature algorithm or ECDSA digital signature Algorithm) to generate signature data by performing an electronic signature procedure on the signature target data. Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7] or [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the communication company key through the encryption/decryption module 615 as soon as the signature data is generated, and the certificate program 515 of the wireless terminal 500 ). The signature data encrypted through the carrier key is encrypted inside the USIM 600 using the carrier key as an encryption key, or encrypted inside the USIM 600 through an encryption key generated using the carrier key, Based on the communication company key, the key value exchanged between the USIM 600 and the communication company server 400 is used as an encryption key to be encrypted inside the USIM 600, or the USIM 600 and the management server ( 300) may be encrypted through at least one of those encrypted inside the USIM 600 by using the exchanged key value as an encryption key.

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송한다.
The certificate program 515 of the wireless terminal 500 transmits the signed data signed inside the USIM 600 and encrypted through the communication company key to the communication company server 400.

도면4를 참조하면, 상기 통신사서버(400)는, 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로부터 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(425)와, 상기 암호화된 서명 데이터를 상기 관리서버(300)로 전송하는 서명 데이터 중계부(430)를 구비한다.
Referring to FIG. 4, the communication company server 400 includes a certificate applet provided in the USIM 600 of the wireless terminal 500 from the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information. A signature data receiving unit 425 that is generated using the signature target data according to the specified signing operation of 620 and receives the encrypted signature data in the USIM 600 through a communication company key provided in the USIM 600 ), and a signature data relay 430 for transmitting the encrypted signature data to the management server 300.

상기 서명 데이터 수신부(425)는 상기 제t 식별 정보에 대응하는 무선단말(500)의 인증서 프로그램(515)으로부터 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신한다.
The signature data receiving unit 425 is a designated signature of the certificate applet 620 provided in the USIM 600 of the wireless terminal 500 from the certificate program 515 of the wireless terminal 500 corresponding to the t-th identification information According to the operation, the signature data generated using the signature target data and encrypted in the USIM 600 is received through a communication company key provided in the USIM 600.

상기 서명 데이터 중계부(430)는 상기 무선단말(500)의 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 상기 관리서버(300)로 전송한다.
The signature data relay 430 is generated using the signature target data according to a specified signing operation of the certificate applet 620 provided in the USIM 600 of the wireless terminal 500 and provided in the USIM 600 The signed data encrypted in the USIM 600 is transmitted to the management server 300 through the telecommunication company key.

상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 is generated using the signing target data according to a designated signing operation of the certificate applet 620 provided in the USIM 600 from the communication service provider server 400 and provided in the USIM 600 The signature data encrypted in the USIM 600 is received through the communication company key through the certificate program 515 of the wireless terminal 500 and the communication company server 400.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data encrypted through the communication company key inside the USIM 600 may include an integrity verification value for the encrypted signature data, and the management server 300 A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the key can be performed.

상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 checks the signature data encrypted inside the USIM 600 through the communication company key, and encrypted inside the USIM 600 through the communication company key using the encryption/decryption module 310 Process to decrypt the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The management server 300 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the management server 300 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated inside the USIM 600, and the management server 300 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a specified time point before or after the signature data is received without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 decrypts the signature data encrypted inside the USIM 600 and processes the decrypted signature data through the encryption/decryption module 210 to re-encrypt the decrypted signature data using a financial company key.

본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an implementation method of the present invention, while the process of encrypting the decrypted signature data through a financial company key is being processed, the management server 300 encrypts the decrypted signature data through the communication company key through a financial company key. An integrity authentication value of the signature data for is generated, and the integrity authentication value may be included in the signature data encrypted through the financial company key.

상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial institution key to the financial institution server 200. The financial institution server 200 is signed inside the USIM 600 from the management server 300 and encrypted by the communication company key inside the USIM 600, and then decrypted by the management server 300 and re-enters the financial company key. The encrypted signature data is received.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial institution server 200 decrypts the signature data encrypted by the financial institution key in the management server 300 through the encryption/decryption module 210 through the financial institution key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an implementation method of the present invention, the signature data encrypted by the financial institution key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial institution server 200 A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the key can be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial institution key is decrypted, the financial institution server 200 performs a procedure of authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives the authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the financial institution server 200 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated inside the USIM 600, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a specified time before or after receiving the signature data without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data is a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. It may be included, and the financial institution server 200 may perform a procedure of authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key value to verify validity. can do. Meanwhile, the financial institution server 200 and the management server 300 are provided by exchanging server certificates, and the financial institution server 200 authenticates the reliability of the management server 300 using the exchanged server certificates. can do. On the other hand, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a specified time before or after the signature data is received. It can be authenticated through, in this case, the process of authenticating the reliability of the management server 300 using the signature data can be omitted.

도면5는 본 발명의 실시 방법에 따른 무선단말(500)과 인증서 프로그램(515)의 기능 구성을 도시한 도면이다.
5 is a diagram showing the functional configuration of the wireless terminal 500 and the certificate program 515 according to an embodiment of the present invention.

보다 상세하게 본 도면5는 USIM(600)에 구비된 고객 인증서를 통해 서명 대상 데이터가 서명되도록 함과 동시에 USIM(600)에 구비된 통신사 키를 통해 서명된 서명 데이터가 암호화되도록 한 후, 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 지정된 전송채널로 전송하는 프로그램 구성에 대응되는 인증서 프로그램(515)과 무선단말(500) 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면5를 참조 및/또는 변형하여 상기 무선단말(500) 기능에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면5에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 바람직하게, 본 도면5의 무선단말(500)은 무선 통신이 가능한 각종 스마트폰, 각종 태블릿PC, 각종 PDA 및 각종 휴대폰 중 적어도 하나를 포함할 수 있다.
In more detail, FIG. 5 shows that the signing target data is signed through a customer certificate provided in the USIM 600, and the signature data signed through the carrier key provided in the USIM 600 is encrypted, and then the USIM (600) As showing the configuration of the certificate program 515 and the wireless terminal 500 corresponding to the configuration of a program for transmitting the internally signed and encrypted signature data to a designated transmission channel, common knowledge in the technical field to which the present invention belongs. If a person has, it is possible to infer various implementation methods for the function of the wireless terminal 500 by referring and/or modifying this Figure 5, but the present invention includes all the inferred implementation methods, and the present invention The technical features are not limited only by the implementation method shown in FIG. 5. Preferably, the wireless terminal 500 of FIG. 5 may include at least one of various smart phones capable of wireless communication, various tablet PCs, various PDAs, and various mobile phones.

도면5를 참조하면, 상기 무선단말(500)은, 제어부(501)와 메모리부(511)와 화면 출력부(502)와 키 입력부(503)와 사운드 출력부(504)와 사운드 입력부(505)와 무선망 통신부(508)와 근거리 무선 통신부(507)와 근접 무선 통신부(509)와 USIM(600)이 이탈착되는 USIM 리더부(510)를 구비하며, 전원 공급을 위한 배터리(506)를 구비한다.
Referring to FIG. 5, the wireless terminal 500 includes a control unit 501, a memory unit 511, a screen output unit 502, a key input unit 503, a sound output unit 504, and a sound input unit 505. And a wireless network communication unit 508, a short range wireless communication unit 507, a proximity wireless communication unit 509, and a USIM reader unit 510 to which the USIM 600 is detached, and a battery 506 for supplying power do.

상기 제어부(501)는 상기 무선단말(500)의 동작을 제어하는 구성의 총칭으로서, 적어도 하나의 프로세서와 실행 메모리를 포함하여 구성되며, 상기 무선단말(500)에 구비된 각 구성부와 버스(BUS)를 통해 연결된다. 본 발명에 따르면, 상기 제어부(501)는 상기 프로세서를 통해 상기 무선단말(500)에 구비되는 적어도 하나의 프로그램코드를 상기 실행 메모리에 로딩하여 연산하고, 그 결과를 상기 버스를 통해 적어도 하나의 구성부로 전달하여 상기 무선단말(500)의 동작을 제어한다. 이하, 편의상 프로그램코드 형태로 구현되는 본 발명의 인증서 프로그램(515) 구성을 본 제어부(501) 내에 도시하여 설명하기로 한다.
The control unit 501 is a generic term for a configuration for controlling the operation of the wireless terminal 500, and includes at least one processor and an execution memory, and each component and a bus provided in the wireless terminal 500 ( BUS). According to the present invention, the control unit 501 loads at least one program code provided in the wireless terminal 500 into the execution memory through the processor and calculates, and calculates the result of at least one configuration through the bus. It transfers to the unit and controls the operation of the wireless terminal 500. Hereinafter, for convenience, the configuration of the certificate program 515 of the present invention implemented in the form of a program code will be illustrated and described in the control unit 501.

상기 메모리부(511)는 상기 무선단말(500)의 저장 자원에 대응되는 비휘발성 메모리의 총칭으로서, 상기 제어부(501)를 통해 실행되는 적어도 하나의 프로그램코드와, 상기 프로그램코드가 이용하는 적어도 하나의 데이터셋트를 저장하여 유지한다. 상기 메모리부(511)는 기본적으로 상기 무선단말(500)의 운영체제에 대응하는 시스템프로그램코드와 시스템데이터셋트, 상기 무선단말(500)의 무선 통신 연결을 처리하는 통신프로그램코드와 통신데이터셋트 및 적어도 하나의 응용프로그램코드와 응용데이터셋트를 저장하며, 본 발명의 인증서 프로그램(515)에 대응하는 프로그램코드와 데이터셋트도 상기 메모리부(511)에 저장된다.
The memory unit 511 is a generic term for a nonvolatile memory corresponding to a storage resource of the wireless terminal 500, and includes at least one program code executed through the control unit 501 and at least one program code used by the program code. Save and maintain the dataset. The memory unit 511 basically includes a system program code and a system data set corresponding to the operating system of the wireless terminal 500, a communication program code and a communication data set for processing wireless communication connection of the wireless terminal 500, and at least One application program code and application data set are stored, and a program code and data set corresponding to the certificate program 515 of the present invention are also stored in the memory unit 511.

상기 화면 출력부(502)는 상기 무선단말(500)의 출력 자원에 대응되는 화면출력기(예컨대, LCD(Liquid Crystal Display) 등)와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산 결과 중 화면 출력에 대응하는 연산 결과를 상기 화면출력 장치로 출력한다.
The screen output unit 502 is composed of a screen output unit (eg, LCD (Liquid Crystal Display)) corresponding to the output resource of the wireless terminal 500 and a driving module that drives the screen output unit, and interlocks with the control unit 501 Thus, among the various calculation results of the control unit 501, the calculation result corresponding to the screen output is output to the screen output device.

상기 키 입력부(503)는 상기 무선단말(500)의 입력 자원에 대응되는 하나 이상의 사용자입력기(예컨대, 버튼, 키패드, 터치패드, 화면 출력부(502)와 연동하는 터치스크린 등)와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산을 명령하는 명령을 입력하거나, 또는 상기 제어부(501)의 연산에 필요한 데이터를 입력한다.
The key input unit 503 includes one or more user input devices corresponding to the input resources of the wireless terminal 500 (eg, buttons, keypads, touch pads, and a touch screen interlocking with the screen output unit 502) and driving them. It is composed of a driving module, and is interlocked with the control unit 501 to input commands for instructing various operations of the control unit 501 or input data necessary for the operation of the control unit 501.

상기 사운드 출력부(504)는 상기 무선단말(500)의 출력 자원에 대응되는 스피커와 이를 구동하는 구동 모듈로 구성되며, 상기 제어부(501)와 연동되어 상기 제어부(501)의 각종 연산 결과 중 사운드 출력에 대응하는 연산 결과를 상기 스피커를 통해 출력한다. 상기 구동 모듈은 상기 스피커를 통해 출력할 사운드 데이터를 디코딩(Decoding)하여 사운드 신호로 변환한다.
The sound output unit 504 is composed of a speaker corresponding to the output resource of the wireless terminal 500 and a driving module that drives it, and is interlocked with the control unit 501 to generate sound among various calculation results of the control unit 501. The calculation result corresponding to the output is output through the speaker. The driving module decodes sound data to be output through the speaker and converts it into a sound signal.

상기 사운드 입력부(505)는 상기 무선단말(500)의 입력 자원에 대응되는 마이크로폰과 이를 구동하는 구동 모듈로 구성되며, 상기 마이크로폰을 통해 입력되는 사운드 데이터를 상기 제어부(501)로 전달한다. 상기 구동 모듈은 상기 마이크로폰을 통해 입력되는 사운드 신호를 엔코딩(Encoding)하여 부호화한다.
The sound input unit 505 includes a microphone corresponding to the input resource of the wireless terminal 500 and a driving module that drives the microphone, and transmits sound data input through the microphone to the control unit 501. The driving module encodes and encodes the sound signal input through the microphone.

상기 무선망 통신부(508)와 근거리 무선 통신부(507)는 상기 무선단말(500)을 지정된 통신망에 접속시키는 통신 자원의 총칭이다. 바람직하게, 상기 무선단말(500)은 무선망 통신부(508)를 기본 통신 자원으로 구비할 수 있으며, 하나 이상의 근거리 무선 통신부(507)를 구비할 수 있다.
The wireless network communication unit 508 and the short-range wireless communication unit 507 are generic terms of communication resources for connecting the wireless terminal 500 to a designated communication network. Preferably, the wireless terminal 500 may include a wireless network communication unit 508 as a basic communication resource, and may include one or more short-range wireless communication units 507.

상기 무선망 통신부(508)는 상기 무선단말(500)을 기지국을 경유하는 무선 통신망에 접속시키는 통신 자원의 총칭으로서, 특정 주파수 대역의 무선 주파수 신호를 송수신하는 안테나, RF모듈, 기저대역모듈, 신호처리모듈을 적어도 하나 포함하여 구성되며, 상기 제어부(501)와 연결되어 상기 제어부(501)의 각종 연산 결과 중 무선 통신에 대응하는 연산 결과를 무선 통신망을 통해 전송하거나 또는 무선 통신망을 통해 데이터를 수신하여 상기 제어부(501)로 전달함과 동시에, 상기 무선 통신의 접속, 등록, 통신, 핸드오프의 절차를 수행한다. 본 발명에 따르면, 상기 무선망 통신부(508)는 상기 무선단말(500)을 교환기를 경유하는 통화채널과 데이터채널을 포함하는 전화통화망에 연결할 수 있으며, 경우에 따라 상기 교환기를 경유하지 않고 패킷 통신 기반의 무선망 데이터 통신(예컨대, 인터넷)을 제공하는 데이터망에 연결할 수 있다.
The wireless network communication unit 508 is a generic term for communication resources for connecting the wireless terminal 500 to a wireless communication network via a base station, and an antenna for transmitting and receiving a radio frequency signal of a specific frequency band, an RF module, a baseband module, and a signal It is configured to include at least one processing module, and is connected to the control unit 501 to transmit an operation result corresponding to wireless communication among various operation results of the control unit 501 through a wireless communication network or receive data through a wireless communication network. Thus, the transmission is transmitted to the control unit 501 and the wireless communication access, registration, communication, and handoff procedures are performed. According to the present invention, the wireless network communication unit 508 may connect the wireless terminal 500 to a telephone communication network including a communication channel and a data channel through an exchange, and in some cases, a packet It is possible to connect to a data network that provides communication-based wireless network data communication (eg, the Internet).

본 발명의 실시 방법에 따르면, 상기 무선망 통신부(508)는 CDMA/WCDMA/LTE 규격에 따라 이동 통신망에 접속, 위치등록, 호처리, 통화연결, 데이터통신, 핸드오프를 적어도 하나 수행하는 이동 통신 구성을 포함한다. 한편 당업자의 의도에 따라 상기 무선망 통신부(508)는 IEEE 802.16 관련 규격에 따라 휴대인터넷에 접속, 위치등록, 데이터통신, 핸드오프를 적어도 하나 수행하는 휴대 인터넷 통신 구성을 더 포함할 수 있으며, 상기 무선망 통신부(508)가 제공하는 무선 통신 구성에 의해 본 발명이 한정되지 아니함을 명백히 밝혀두는 바이다. 즉, 상기 무선망 통신부(508)는 무선 구간의 주파수 대역이나 통신망의 종류 또는 프로토콜에 무관하게 셀 기반의 기지국을 통해 무선 통신망에 접속하는 구성부의 총칭이다.
According to the method of the present invention, the wireless network communication unit 508 performs at least one of access to a mobile communication network, location registration, call processing, call connection, data communication, and handoff according to CDMA/WCDMA/LTE standards. Includes composition. Meanwhile, according to the intention of a person skilled in the art, the wireless network communication unit 508 may further include a mobile Internet communication configuration that performs at least one access to the mobile Internet, location registration, data communication, and handoff according to IEEE 802.16 related standards. It is to be clear that the present invention is not limited by the wireless communication configuration provided by the wireless network communication unit 508. That is, the wireless network communication unit 508 is a generic term for a configuration unit that connects to a wireless communication network through a cell-based base station regardless of a frequency band of a radio section or a type or protocol of a communication network.

상기 근거리 무선 통신부(507)는 일정 거리 이내(예컨대, 10m)에서 무선 주파수 신호를 통신매체로 이용하여 통신세션을 연결하고 이를 기반으로 상기 무선단말(500)을 통신망에 접속시키는 통신 자원의 총칭으로서, 바람직하게는 와이파이 통신, 블루투스 통신, 공중무선 통신, UWB 중 적어도 하나를 통해 상기 무선단말(500)을 통신망에 접속시킬 수 있다. 본 발명의 실시 방법에 따르면, 상기 근거리 무선 통신부(507)는 상기 무선망 통신부(508)와 통합 또는 분리된 형태로 구현될 수 있다. 본 발명에 따르면, 상기 근거리 무선 통신부(507)는 무선AP를 통해 상기 무선단말(500)을 패킷 통신 기반의 근거리 무선 데이터 통신을 제공하는 데이터망에 연결한다.
The short-range wireless communication unit 507 is a generic term for communication resources for connecting a communication session using a radio frequency signal as a communication medium within a certain distance (e.g., 10 m) and connecting the wireless terminal 500 to a communication network based on this. , Preferably, the wireless terminal 500 may be connected to the communication network through at least one of Wi-Fi communication, Bluetooth communication, public wireless communication, and UWB. According to an exemplary method of the present invention, the short-range wireless communication unit 507 may be implemented in an integrated or separate form with the wireless network communication unit 508. According to the present invention, the short-range wireless communication unit 507 connects the wireless terminal 500 to a data network providing packet communication-based short-range wireless data communication through a wireless AP.

상기 근접 무선 통신부(509)는 근접 거리(예컨대, 10cm 내외)에서 무선 주파수 신호를 통신매체로 이용하여 양방향 근접 무선 통신, 전이중 근접 무선 통신, 반이중 근접 무선 통신 중 하나 이상의 근접 무선 통신을 처리하는 통신 자원의 총칭으로서, 바람직하게 13.56Mz 주파수 대역의 NFC(Near Field Communication) 규격에 따라 근접 무선 통신을 처리할 수 있다. 또는 상기 근접 무선 통신부(509)는 ISO 18000 시리즈 규격의 근접 무선 통신을 처리할 수 있으며, 이 경우 13.56Mz 주파수 대역 이외의 다른 주파수 대역에 대한 근접 무선 통신을 처리할 수도 있다. 예를들어, 상기 근접 무선 통신부(509)는 리더 모드로 동작하거나, 태그 모드로 동작하거나, 양방향 통신 모드로 동작하는 것이 모두 가능하다. 한편 상기 근접 무선 통신부(509)는 근접하여 통신하는 대상에 따라 상기 무선단말(500)을 통신망에 접속시키는 통신 자원에 포함될 수 있다.
The proximity wireless communication unit 509 is a communication that processes one or more proximity wireless communication among two-way proximity wireless communication, full-duplex proximity wireless communication, and half-duplex proximity wireless communication by using a radio frequency signal as a communication medium at a close distance (for example, within 10 cm). As a generic term for resources, proximity wireless communication can be preferably processed according to the NFC (Near Field Communication) standard of the 13.56Mz frequency band. Alternatively, the proximity wireless communication unit 509 may process proximity wireless communication according to the ISO 18000 series standard, and in this case, may process proximity wireless communication for a frequency band other than the 13.56Mz frequency band. For example, the proximity wireless communication unit 509 may operate in a reader mode, a tag mode, or a two-way communication mode. Meanwhile, the proximity wireless communication unit 509 may be included in a communication resource for connecting the wireless terminal 500 to a communication network according to an object to communicate in proximity.

상기 USIM 리더부(510)는 ISO/IEC 7816 규격을 기반으로 상기 무선단말(500)에 탑재 또는 이탈착되는 범용가입자식별모듈(Universal Subscriber Identity Module)과 적어도 하나의 데이터셋트를 교환하는 구성의 총칭으로서, 상기 데이터셋트는 APDU(Application Protocol Data Unit)를 통해 반이중 통신 방식으로 교환된다.
The USIM reader unit 510 is a generic term for exchanging at least one data set with a Universal Subscriber Identity Module mounted or detached from the wireless terminal 500 based on the ISO/IEC 7816 standard. As a result, the data set is exchanged in a half-duplex communication method through an application protocol data unit (APDU).

상기 통신 자원이 접속 가능한 데이터망을 통해 프로그램제공서버(예컨대, 애플사의 앱스토어 등)로부터 본 발명의 인증서 프로그램(515)이 다운로드되어 상기 메모리부(511)에 저장된다. 상기 다운로드된 인증서 프로그램(515)은 지정된 서버와 연동하여 동작하며, 사용자에 의해 수동으로 구동되거나, 메시지 수신에 의해 사용자 확인 후 또는 자동으로 구동(또는 활성화)될 수 있다. 한편 상기 인증서 프로그램(515)을 사용자 확인 후 또는 자동으로 구동하기 위해 별도의 인증서 프로그램(515)이 미리 구동 중일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
The certificate program 515 of the present invention is downloaded from a program providing server (eg, Apple's App Store, etc.) through a data network to which the communication resource is accessible, and stored in the memory unit 511. The downloaded certificate program 515 operates in conjunction with a designated server, and may be manually driven by a user, or automatically driven (or activated) after user confirmation or by receiving a message. Meanwhile, a separate certificate program 515 may be running in advance to automatically drive the certificate program 515 after user confirmation or automatically, and the present invention is not limited thereby.

도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서를 기록하는 인증서 기록부(520)와, 상기 무선단말(500)에 이탈착되는 USIM(600)에 통신사 키를 기록하는 통신사 키 기록부(525)와, 상기 무선단말(500)에 이탈착되는 USIM(600)에 지정된 서명 동작을 수행하는 인증서 애플릿(620)을 기록하는 애플릿 기록부(530) 중, 적어도 하나의 기록부를 구비한다. 바람직하게, 상기 지정된 서명 동작은, 서명 대상 데이터와 명령어를 수신하고, 수신된 명령어에 따라 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하는 동작을 포함한다.
Referring to Figure 5, the certificate program 515 of the wireless terminal 500, a certificate recording unit 520 for recording a customer certificate in the USIM 600 detached from the wireless terminal 500, the wireless terminal A communication company key recording unit 525 that records a communication company key in the USIM 600 that is detached from and detached from 500, and a certificate applet 620 that performs a specified signing operation on the USIM 600 that is detached from and detached from the wireless terminal 500. In the applet recording unit 530 for recording ), at least one recording unit is provided. Preferably, in the designated signing operation, the signing target data and the command are received, the signing value of the signing target data is generated using a customer certificate according to the received command, and the generated signing value is determined using a communication company key. And encrypting the included signature data.

상기 인증서 기록부(520)는 지정된 인증서 발급 절차 또는 기 발급된 인증서의 로밍 절차에 따라 고객 인증서를 상기 무선단말(500)에 이탈착되는 USIM(600)의 지정된 영역(예컨대, USIM(600)에 구비된 IC칩(605)의 DF[F300] 하위의 WEF)에 기록한다.
The certificate recording unit 520 is provided in a designated area (eg, USIM 600) of the USIM 600 to be detached from the wireless terminal 500 according to a designated certificate issuing procedure or a roaming procedure of a previously issued certificate. It is recorded in WEF) under DF[F300] of the IC chip 605 that has been used.

상기 통신사 키 기록부(525)는 USIM(600) 발급 시점에 등록된 키 값이 상기 USIM(600) 내부의 암호화 또는 복호화에 이용되도록 설정하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 통신사 키를 기록할 수 있다.
The carrier key recording unit 525 sets the key value registered at the time of issuance of the USIM 600 to be used for encryption or decryption inside the USIM 600, or transmits the carrier key to the USIM 600 through a designated OTA. Can be recorded.

상기 애플릿 기록부(530)는 USIM(600) 제조 또는 시점에 USIM(600)에 기록된 애플릿이 상기 USIM(600) 내부의 전자서명 절차 및 암호화 또는 복호화를 위한 인증서 애플릿(620)으로 이용되도록 설정하거나, 또는 지정된 OTA를 거쳐 상기 USIM(600)에 인증서 애플릿(620)을 기록할 수 있다.
The applet recording unit 530 sets the applet recorded in the USIM 600 at the time of manufacture or the USIM 600 to be used as a certificate applet 620 for digital signature procedures and encryption or decryption inside the USIM 600, or Alternatively, the certificate applet 620 may be recorded in the USIM 600 through a designated OTA.

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부(511) 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information on customers who use financial transactions in a designated DB, and interlocks with the customer certificate issuance procedure, roaming procedure, communication company key or OTA procedure of the certificate applet 620 Check customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 for storing the carrier key and performing a specified signing operation is separated, and the customer information stored in the DB The same USIM 600 is stored including identification information identifying the wireless terminal 500 to be detached. The identification information identifies a phone number, a communication number assigned to the wireless terminal 500, a serial number stored in the memory unit 511 or SE of the wireless terminal 500, a key value, and the certificate program 515. It may be made in the form of at least one or a combination of two or more of identification values uniquely assigned by at least one of the identification values, the management server 300, the communication server, and the financial institution server 200.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the signature target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in connection with the transaction procedure. do. For example, the signature target data may include account transfer details requiring an electronic signature of a customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is provided with a certificate applet 620 that processes the verified signing target data to be encrypted using a financial company key managed by a corresponding financial company, stores a customer certificate and a communication company key, and performs a designated signing operation. The USIM 600 checks the identification information that identifies the customer-owned wireless terminal 500 to be detached or detached.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature data encrypted through the financial institution key and identification information on the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with N (N≥1) financial institution servers 200, and a signature encrypted through a financial institution key from the financial institution server 200 that has transmitted the signature data among the N financial institution servers 200 Receives the target data, stores the customer certificate and the carrier key, and receives the identification information on the customer-owned wireless terminal 500 to which the USIM 600 equipped with a certificate applet 620 performing a specified signing operation is detached. .

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 is a secure storage medium 215 (e.g., at least one of SAM, HSM, TSM) for storing and managing financial company keys provided from the N financial company servers 200 according to a specified key exchange procedure. It is provided with (or interlocked with), and has an encryption/decryption module 210 for encrypting or decrypting designated data according to a designated algorithm using N financial company keys provided in the secure storage medium 215, and the financial institution server Check the signature data transmitted by encryption through the financial company key at 200, and decrypt the encrypted signature data through the financial company key provided in the secure storage medium 215 using the encryption/decryption module 210 Process to do it.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 for storing and managing the communication company key provided from the communication company server 400 (or USIM 600) according to a specified key exchange procedure (e.g., at least one of SAM, HSM, TSM A single medium), and an encryption/decryption module 310 for encrypting or decrypting designated data according to a designated algorithm using a communication company key provided in the secure storage medium 315, The decrypted signature data through the encryption/decryption module 210 is processed to be re-encrypted using a communication company key using the encryption/decryption module 310.

상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the communication company key to the communication company server 400. According to the implementation method of the present invention, the management server 300 causes the certificate applet 620 provided in the USIM 600 to be detached from the customer-owned wireless terminal 500 corresponding to the identification information to cause the designated signing operation. It is possible to check the command for performing the command and transmit the command to the communication company server 400 together with the encrypted signature data.

상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The communication company server 400 receives the signature data encrypted through the communication company key from the management server 300 and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the communication company server 400 may receive the command along with the signature target data encrypted through the communication company key from the management server 300 and provide it to the certificate program 515 of the wireless terminal 500. .

도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 통신사서버(400)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하는 서명 대상 수신부(535)를 구비하고, 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인하는 USIM 확인부(540)를 구비할 수 있다.
Referring to Fig. 5, the certificate program 515 of the wireless terminal 500 is encrypted in the financial institution server 200 through the financial institution key provided in the financial institution server 200 from the communication company server 400 and then managed. Provides a signature target receiver 535 for receiving the signature target data decrypted by the server 300 and encrypted again through the communication company key, and the customer certificate and the communication company in the USIM 600 detached from the wireless terminal 500 A USIM verification unit 540 may be provided to check whether a certificate applet 620 that stores a key and performs a specified signing operation is provided.

상기 서명 대상 수신부(535)는 무선망 통신부(508)와 근거리 무선 통신부(507) 중 적어도 하나의 통신부를 통해 통신사서버(400)로부터 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 서명 대상 데이터를 수신한다. 바람직하게, 상기 서명 대상 수신부(535)는 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 수신할 수 있다.
The signing target receiving unit 535 is the financial institution server through at least one communication unit of the wireless network communication unit 508 and the short-range wireless communication unit 507 through a financial institution key provided in the financial institution server 200 from the communication company server 400 200) after being encrypted, decrypted by the management server 300, and receives the encrypted signature data through the carrier key again. Preferably, the signing target receiving unit 535 may receive a command for causing the certificate applet 620 provided in the USIM 600 to perform a designated signing operation.

본 발명의 일 측면에 따르면, 상기 서명 대상 수신부(535)는 무선망 통신부(508)를 통해 통신사서버(400)로부터 상기 암호화된 서명 대상 데이터를 수신하도록 설정될 수 있다.
According to an aspect of the present invention, the signature subject receiving unit 535 may be configured to receive the encrypted signature subject data from the communication company server 400 through the wireless network communication unit 508.

상기 암호화된 서명 대상 데이터가 수신되기 전, 중, 후의 지정된 시점에, 상기 USIM 확인부(540)는 상기 무선단말(500)에 이탈착되는 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인한다. 예를들어, 상기 USIM 확인부(540)는 상기 USIM 리더부(510)를 통해 상기 USIM(600)으로 RST신호를 인가하여 응답되는 ATR을 판독하여 USIM(600)에 고객 인증서와 통신사 키가 저장되고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비되어 있는지 확인할 수 있다.
At a designated time point before, during, and after the encrypted signature data is received, the USIM verification unit 540 stores a customer certificate and a communication company key in the USIM 600 that is detached from the wireless terminal 500 and is designated. It is checked whether a certificate applet 620 that performs a signing operation is provided. For example, the USIM verification unit 540 reads an ATR that is responded by applying an RST signal to the USIM 600 through the USIM reader unit 510, and stores the customer certificate and the communication company key in the USIM 600. It is possible to check whether a certificate applet 620 that performs a designated signing operation is provided.

도면5를 참조하면, 상기 무선단말(500)의 인증서 프로그램(515)은, 상기 수신된 암호화된 서명 대상 데이터를 상기 USIM(600)으로 주입하는 서명 요청부(545)와, 상기 USIM(600)으로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600)에 내에서 암호화된 서명 데이터를 수신하는 서명 데이터 수신부(550)와, 상기 암호화된 서명 데이터를 통신사서버(400)로 전송하는 서명 데이터 전송부(555)를 구비한다.
5, the certificate program 515 of the wireless terminal 500 includes a signature request unit 545 for injecting the received encrypted signature data into the USIM 600, and the USIM 600 Generated using the signing target data according to the specified signing operation of the certificate applet 620 provided in the USIM 600 from, and encrypted within the USIM 600 through the carrier key provided in the USIM 600 A signature data receiving unit 550 for receiving the signed data, and a signature data transmitting unit 555 for transmitting the encrypted signature data to the communication service provider server 400.

상기 서명 요청부(545)는 상기 서명 대상 수신부(535)를 통해 수신된 암호화된 서명 대상 데이터와 상기 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다. 상기 명령어는, 상기 통신사서버(400)를 통해 확인된 명령어, 상기 관리서버(300)를 통해 확인된 명령어, 상기 인증서 프로그램(515)을 통해 결정된 명령어 중 적어도 하나의 명령어를 포함할 수 있다.
The signature requesting unit 545 sends the encrypted signature data received through the signature receiving unit 535 and a command for causing the certificate applet 620 included in the USIM 600 to perform a specified signing operation. It is injected with USIM 600. The command may include at least one of a command checked through the communication company server 400, a command checked through the management server 300, and a command determined through the certificate program 515.

상기 USIM(600)은 상기 통신사 키를 통해 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비하고 있으며, 상기 주입된 서명 대상 데이터가 통신사 키를 통해 암호화된 경우에 상기 명령어를 근거로 USIM(600)의 인증서 애플릿(620)은 상기 암복호 모듈(615)을 통해 상기 통신사 키로 암호화된 서명 대상 데이터를 복호화시킨다.
The USIM 600 includes an encryption/decryption module 615 that encrypts or decrypts data designated through the communication company key according to a designated algorithm, and when the injected signature data is encrypted through a communication company key, the Based on the command, the certificate applet 620 of the USIM 600 decrypts the signature target data encrypted with the communication company key through the encryption/decryption module 615.

상기 USIM(600)의 인증서 애플릿(620)은 상기 명령어를 근거로 상기 USIM(600)에 구비된 고객 인증서를 확인하고, 상기 고객 인증서를 기반으로 지정된 알고리즘(예컨대, RSA 전자서명 알고리즘 또는 ECDSA 전자서명 알고리즘)을 이용하여 상기 서명 대상 데이터에 대한 전자서명 절차를 수행하여 서명 데이터를 생성한다. 바람직하게, 상기 서명 데이터는 [PKCS7], [RFC2630] 등의 전자서명문 형식으로 생성되는 것이 바람직하다.
The certificate applet 620 of the USIM 600 checks the customer certificate provided in the USIM 600 based on the command, and an algorithm designated based on the customer certificate (e.g., RSA digital signature algorithm or ECDSA digital signature Algorithm) to generate signature data by performing an electronic signature procedure on the signature target data. Preferably, the signature data is preferably generated in an electronic signature format such as [PKCS7] or [RFC2630].

상기 USIM(600)의 인증서 애플릿(620)은 상기 서명 데이터가 생성됨과 동시에 상기 암복호 모듈(615)을 통해 상기 생성된 서명 데이터를 상기 통신사 키로 암호화하여 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다. 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 통신사 키를 암호 키로 이용하여 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 통신사서버(400) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되거나, 상기 통신사 키를 근거로 USIM(600)과 관리서버(300) 사이에 교환된 키 값을 암호 키로 사용하여 USIM(600) 내부에서 암호화되는 것 중, 적어도 하나를 통해 암호화 될 수 있다.
The certificate applet 620 of the USIM 600 encrypts the generated signature data with the communication company key through the encryption/decryption module 615 as soon as the signature data is generated, and the certificate program 515 of the wireless terminal 500 ). The signature data encrypted through the carrier key is encrypted inside the USIM 600 using the carrier key as an encryption key, or encrypted inside the USIM 600 through an encryption key generated using the carrier key, Based on the communication company key, the key value exchanged between the USIM 600 and the communication company server 400 is used as an encryption key to be encrypted inside the USIM 600, or the USIM 600 and the management server ( 300) may be encrypted through at least one of those encrypted inside the USIM 600 by using the exchanged key value as an encryption key.

상기 서명 데이터 수신부(550)는 상기 USIM 리더부(510)를 통해 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 수신한다. 상기 서명 데이터 전송부(555)는 상기 USIM(600) 내부에서 서명되고 통신사 키를 통해 암호화된 서명 데이터를 통신사서버(400)로 전송한다. 본 발명의 일 측면에 따르면, 상기 서명 데이터 전송부(555)는 무선망 통신부(508)를 통해 통신사서버(400)로 상기 암호화된 서명 데이터를 전송하도록 설정될 수 있다.
The signature data receiver 550 receives signature data signed inside the USIM 600 through the USIM reader unit 510 and encrypted through a communication company key. The signature data transmission unit 555 transmits the signature data signed inside the USIM 600 and encrypted through the communication company key to the communication company server 400. According to an aspect of the present invention, the signature data transmission unit 555 may be configured to transmit the encrypted signature data to the communication company server 400 through the wireless network communication unit 508.

상기 통신사서버(400)는 상기 무선단말(500)로부터 암호화된 서명 데이터를 수신하고, 이를 관리서버(300)로 전송한다.
The communication company server 400 receives encrypted signature data from the wireless terminal 500 and transmits it to the management server 300.

상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 is generated using the signing target data according to a designated signing operation of the certificate applet 620 provided in the USIM 600 from the communication service provider server 400 and provided in the USIM 600 The signature data encrypted in the USIM 600 is received through the communication company key through the certificate program 515 of the wireless terminal 500 and the communication company server 400.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data encrypted through the communication company key inside the USIM 600 may include an integrity verification value for the encrypted signature data, and the management server 300 A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the key can be performed.

상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 checks the signature data encrypted inside the USIM 600 through the communication company key, and encrypted inside the USIM 600 through the communication company key using the encryption/decryption module 310 Process to decrypt the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The management server 300 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the management server 300 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated inside the USIM 600, and the management server 300 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a specified time point before or after the signature data is received without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 decrypts the signature data encrypted inside the USIM 600 and processes the decrypted signature data through the encryption/decryption module 210 to re-encrypt the decrypted signature data using a financial company key.

본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an implementation method of the present invention, while the process of encrypting the decrypted signature data through a financial company key is being processed, the management server 300 encrypts the decrypted signature data through the communication company key through a financial company key. An integrity authentication value of the signature data for is generated, and the integrity authentication value may be included in the signature data encrypted through the financial company key.

상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial institution key to the financial institution server 200. The financial institution server 200 is signed inside the USIM 600 from the management server 300 and encrypted by the communication company key inside the USIM 600, and then decrypted by the management server 300 and re-enters the financial company key. The encrypted signature data is received.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial institution server 200 decrypts the signature data encrypted by the financial institution key in the management server 300 through the encryption/decryption module 210 through the financial institution key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data encrypted by the financial institution key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial institution server 200 A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the key can be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial institution key is decrypted, the financial institution server 200 performs a procedure of authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives the authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the financial institution server 200 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated inside the USIM 600, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a specified time before or after receiving the signature data without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data is a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. It may be included, and the financial institution server 200 may perform a procedure of authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key value to verify validity. can do. Meanwhile, the financial institution server 200 and the management server 300 are provided by exchanging server certificates, and the financial institution server 200 authenticates the reliability of the management server 300 using the exchanged server certificates. can do. On the other hand, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a specified time before or after the signature data is received. It can be authenticated through, in this case, the process of authenticating the reliability of the management server 300 using the signature data can be omitted.

도면6은 본 발명의 실시 방법에 따른 USIM(600)의 기능 구성을 도시한 도면이다.
6 is a diagram showing a functional configuration of the USIM 600 according to an exemplary method of the present invention.

보다 상세하게 본 도면6은 고객 인증서를 통해 서명 대상 데이터를 서명함과 동시에 통신사 키를 통해 서명된 서명 데이터를 암호화하는 USIM(600)의 기능 구성을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면6을 참조 및/또는 변형하여 상기 USIM(600)의 기능에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면6에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
In more detail, FIG. 6 shows the functional configuration of the USIM 600 for signing data to be signed through a customer certificate and encrypting the signed data through a communication company key, and is generally used in the technical field to which the present invention belongs. If a person with knowledge of the above, it is possible to infer various implementation methods for the functions of the USIM 600 by referring and/or modifying this Figure 6, but the present invention includes all the inferred implementation methods. , The technical features are not limited only by the implementation method shown in FIG. 6.

상기 USIM(600)은 IC칩(605)이 구비된 SIM 타입의 카드로서, 상기 무선단말(500)의 USIM 리더부(510)와 연결되는 적어도 하나의 접점을 포함하는 입출력 인터페이스(655)와, 적어도 하나의 IC칩용 프로그램코드와 데이터셋트를 저장하는 메모리부(660)와, 상기 입출력 인터페이스(655)와 연결되어 상기 무선단말(500)로부터 전달되는 적어도 하나의 명령에 따라 상기 IC칩용 프로그램코드를 연산하거나 상기 데이터셋트를 추출(또는 가공)하여 상기 입출력 인터페이스(655)로 전달하는 제어부(610)를 구비하며, 본 발명에서 지정된 서명 동작을 수행하는 인증서 애플릿(620)은 상기 IC칩용 프로그램코드의 형태로 메모리부(660)에 저장되고 상기 제어부(610)에 의해 연산된다. 이하, 상기 인증서 애플릿(620)의 기능 구성을 본 제어부(610) 내에 도시하여 설명하기로 한다.
The USIM 600 is a SIM type card equipped with an IC chip 605, and an input/output interface 655 including at least one contact point connected to the USIM reader 510 of the wireless terminal 500, A memory unit 660 for storing at least one IC chip program code and data set, and the IC chip program code according to at least one command transmitted from the wireless terminal 500 by being connected to the input/output interface 655 A certificate applet 620 that operates or extracts (or processes) the data set and transmits it to the input/output interface 655, and a certificate applet 620 that performs a specified signing operation in the present invention It is stored in the memory unit 660 in a form and is calculated by the control unit 610. Hereinafter, the functional configuration of the certificate applet 620 will be illustrated and described in the control unit 610.

본 발명에 따르면, 고객 인증서는 상기 메모리부(660)의 DF[F300] 하위의 WEF에 기록된다. 상기 통신사 키는 메모리부(660)의 지정된 WEF에 저장되거나, 또는 SIM 영역에 저장될 수 있다.
According to the present invention, the customer certificate is recorded in WEF under DF[F300] of the memory unit 660. The carrier key may be stored in a designated WEF of the memory unit 660 or may be stored in a SIM area.

도면6을 참조하면, 상기 메모리부(660)는 MF(Master File)의 하위에 DF(Dedicate File)이 배치되고, DF의 하위에 WEF(Working Element File)이 배치되는 형태로 구현된다. 바람직하게, 고객 인증서는 DF[F300]에 저장될 수 있다. DF[F300] 하위에 배치되는 WEF는 사용자 정보(WEF[F301]), 타입 정보(WEF[F302]), 서명용 비밀키(WEF[F303]), 서명용 인증서(WEF[F304]), 식별번호 생성용 난수(WEF[F305]), 스마트카드 식별정보(WEF[F306])을 포함할 수 있다. 사용자정보는 사용자 관련 정보를 기록하기 위해서 사용되는 52바이트 영역으로 정의되고, 타입 정보는 카드의 구별자 정보로서 12바이트 영역으로 정의되고, 서명용 개인키는 사용자의 서명용 개인키 정보를 기록하기 위해서 사용되는 1560바이트 영역으로 정의되고, 서명용 인증서는 사용자의 서명용 인증서를 기록하기 위해서 사용되는 2080바이트 영역으로 정의되고, 식별번호 생성용 난수는 식별번호를 생성하는데 사용되는 160비트 이상의 안전한 임의의 난수를 저장하기 위해서 사용되는 42바이트 영역으로 정의되고, 스마트카드 식별정보는 6바이트 영역으로 정의될 수 있다.
Referring to FIG. 6, the memory unit 660 is implemented in a form in which a dedicated file (DF) is disposed under a master file (MF), and a working element file (WEF) is disposed under the DF. Preferably, the customer certificate may be stored in DF[F300]. WEF placed under DF[F300] generates user information (WEF[F301]), type information (WEF[F302]), signature secret key (WEF[F303]), signature certificate (WEF[F304]), and identification number. It may include a random number (WEF[F305]) and smart card identification information (WEF[F306]). User information is defined as a 52-byte area used to record user-related information, type information is defined as a 12-byte area as card identifier information, and signature private key is used to record user's signature private key information It is defined as a 1560 byte area, and the signing certificate is defined as a 2080 byte area used to record the user's signing certificate, and the random number for generating the identification number stores a secure random number of 160 bits or more used to generate the identification number. It is defined as a 42-byte area used to do so, and the smart card identification information can be defined as a 6-byte area.

한편 통신사 키는 DF[F400] 하위에 배치되는 WEF로 저장되거나, 또는 실시 방법에 따라 별도의 영역에 저장될 수 있다. 통신사 키가 DF[F400] 하위에 배치되는 경우에 암호화용 비밀키 영역에 저장되거나, 또는 DF[F400] 하위에 배치되는 별도의 WEF를 정의하여 저장될 수 있다.
Meanwhile, the carrier key may be stored as WEF disposed under DF[F400], or may be stored in a separate area according to an implementation method. When the carrier key is disposed under DF[F400], it may be stored in the encryption secret key area, or may be stored by defining a separate WEF disposed under DF[F400].

상기 금융사서버(200)는 금융거래를 이용하는 고객에 대한 고객 정보를 지정된 DB에 저장하며, 상기 고객 인증서의 발급 절차, 로밍 절차, 통신사 키 또는 인증서 애플릿(620)의 OTA 절차와 연동하여 객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 무선단말(500)을 사용하는 고객 정보를 확인하고, 상기 DB에 저장된 고객 정보에 상기와 같은 USIM(600)이 이탈착되는 무선단말(500)을 식별하는 식별 정보를 포함하여 저장한다. 상기 식별 정보는 상기 무선단말(500)에 할당된 전화번호, 통신번호, 상기 무선단말(500)의 메모리부(660) 또는 SE에 저장된 일련번호, 키 값, 상기 인증서 프로그램(515)을 식별하는 식별 값, 관리서버(300), 통신서버, 금융사서버(200) 중 적어도 하나의 서버에서 고유하게 부여한 식별 값 중 적어도 하나 또는 둘 이상의 조합의 형태로 이루어질 수 있다.
The financial company server 200 stores customer information on customers who use financial transactions in a designated DB, and interlocks with the customer certificate issuance procedure, roaming procedure, communication company key or OTA procedure of the certificate applet 620 Check customer information using the wireless terminal 500 to which the USIM 600 equipped with the certificate applet 620 for storing the carrier key and performing a specified signing operation is separated, and the customer information stored in the DB The same USIM 600 is stored including identification information identifying the wireless terminal 500 to be detached. The identification information is a phone number assigned to the wireless terminal 500, a communication number, a serial number stored in the memory unit 660 or SE of the wireless terminal 500, a key value, and the certificate program 515. It may be made in the form of at least one or a combination of two or more of identification values uniquely assigned by at least one of the identification values, the management server 300, the communication server, and the financial institution server 200.

상기 금융사서버(200)는 거래 절차와 연동하여 상기 거래 절차가 성립되기 위해 상기 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 고객 인증서를 이용하여 서명될 서명 대상 데이터를 확인한다. 예를들어, 상기 서명 대상 데이터는 계좌이체 거래를 수행하는 중에 고객의 전자서명이 필요한 계좌이체 내역을 포함할 수 있다.
The financial institution server 200 checks the signature target data to be signed using a customer certificate provided in the USIM 600 detached from the customer-owned wireless terminal 500 in order to establish the transaction procedure in connection with the transaction procedure. do. For example, the signature target data may include account transfer details requiring an electronic signature of a customer while performing an account transfer transaction.

상기 금융사서버(200)는 상기 확인된 서명 대상 데이터가 해당 금융사에서 관리하는 금융사 키를 통해 암호화되도록 처리하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)을 식별하는 식별 정보를 확인한다.
The financial institution server 200 is provided with a certificate applet 620 that processes the verified signing target data to be encrypted using a financial company key managed by a corresponding financial company, stores a customer certificate and a communication company key, and performs a designated signing operation. The USIM 600 checks the identification information that identifies the customer-owned wireless terminal 500 to be detached or detached.

상기 금융사서버(200)는 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 지정된 관리서버(300)로 전송한다.
The financial institution server 200 transmits the signature data encrypted through the financial institution key and identification information on the customer-owned wireless terminal 500 from which the USIM 600 is detached to the designated management server 300.

상기 관리서버(300)는 N(N≥1)개의 금융사서버(200)와 통신 가능하며, N개의 금융사서버(200) 중 서명 데이터를 전송한 금융사서버(200)로부터 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하고, 고객 인증서와 통신사 키를 저장하고 지정된 서명 동작을 수행하는 인증서 애플릿(620)이 구비된 USIM(600)이 이탈착되는 고객 소유 무선단말(500)에 대한 식별 정보를 수신한다.
The management server 300 is capable of communicating with N (N≥1) financial institution servers 200, and a signature encrypted through a financial institution key from the financial institution server 200 that has transmitted the signature data among the N financial institution servers 200 Receives the target data, stores the customer certificate and the carrier key, and receives the identification information on the customer-owned wireless terminal 500 to which the USIM 600 equipped with a certificate applet 620 performing a specified signing operation is detached. .

상기 관리서버(300)는 지정된 키 교환 절차에 따라 N개의 금융사서버(200)로부터 제공된 금융사 키를 저장 및 관리하는 보안저장매체(215)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(215)에 구비된 N개의 금융사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(210)을 구비하고 있으며, 상기 금융사서버(200)에서 금융사 키를 통해 암호화하여 전송한 서명 대상 데이터를 확인하고, 상기 암복호 모듈(210)을 이용하여 보안저장매체(215)에 구비된 금융사 키를 통해 상기 암호화된 서명 대상 데이터를 복호화하도록 처리한다.
The management server 300 is a secure storage medium 215 (e.g., at least one of SAM, HSM, TSM) for storing and managing financial company keys provided from the N financial company servers 200 according to a specified key exchange procedure. It is provided with (or interlocked with), and has an encryption/decryption module 210 for encrypting or decrypting designated data according to a designated algorithm using N financial company keys provided in the secure storage medium 215, and the financial institution server Check the signature data transmitted by encryption through the financial company key at 200, and decrypt the encrypted signature data through the financial company key provided in the secure storage medium 215 using the encryption/decryption module 210 Process to do it.

상기 관리서버(300)는 지정된 키 교환 절차에 따라 통신사서버(400)(또는 USIM(600))으로부터 제공된 통신사 키를 저장 및 관리하는 보안저장매체(315)(예컨대, SAM, HSM, TSM 중 적어도 하나의 매체)를 구비(또는 연동)하고, 상기 보안저장매체(315)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(310)을 구비하고 있으며, 상기 암복호 모듈(310)을 통해 상기 복호화된 서명 대상 데이터를 상기 암복호 모듈(310)을 이용하여 통신사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 is a secure storage medium 315 for storing and managing the communication company key provided from the communication company server 400 (or USIM 600) according to a specified key exchange procedure (e.g., at least one of SAM, HSM, TSM A single medium), and an encryption/decryption module 310 for encrypting or decrypting designated data according to a designated algorithm using a communication company key provided in the secure storage medium 315, The decrypted signature data through the encryption/decryption module 310 is processed to be re-encrypted using the communication company key using the encryption/decryption module 310.

상기 관리서버(300)는 상기 통신사 키로 다시 암호화된 서명 대상 데이터를 통신사서버(400)로 전송한다. 본 발명의 실시 방법에 따르면, 상기 관리서버(300)는 상기 식별 정보에 대응하는 고객 소유 무선단말(500)에 이탈착되는 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 확인하고, 상기 암호화된 서명 대상 데이터와 함께 상기 명령어를 상기 통신사서버(400)로 전송할 수 있다.
The management server 300 transmits the signature target data encrypted again with the communication company key to the communication company server 400. According to the implementation method of the present invention, the management server 300 causes the certificate applet 620 provided in the USIM 600 to be detached from the customer-owned wireless terminal 500 corresponding to the identification information to cause the designated signing operation. It is possible to check the command for performing the command and transmit the command to the communication company server 400 together with the encrypted signature data.

상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공한다. 바람직하게, 상기 통신사서버(400)는 상기 관리서버(300)로부터 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 함께 상기 명령어를 수신하여 무선단말(500)의 인증서 프로그램(515)으로 제공할 수 있다.
The communication company server 400 receives the signature data encrypted through the communication company key from the management server 300 and provides it to the certificate program 515 of the wireless terminal 500. Preferably, the communication company server 400 may receive the command along with the signature target data encrypted through the communication company key from the management server 300 and provide it to the certificate program 515 of the wireless terminal 500. .

상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 대상 데이터를 수신하여 상기 USIM(600)으로 주입하며, 이 때 USIM(600)에 구비된 인증서 애플릿(620)으로 하여금 상기 지정된 서명 동작을 수행하게 하는 명령어를 상기 USIM(600)으로 주입한다.
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data from the communication company server 400 through the communication company key and injects it into the USIM 600, and at this time, provided in the USIM 600 A command for causing the certificate applet 620 to perform the designated signing operation is injected into the USIM 600.

상기 USIM(600)은 상기 무선단말(500)의 USIM 리더부(510)에 삽입된 상태에서 고객 인증서와 통신사 키 및 인증서 애플릿(620)이 기록된 상태를 유지한다.
The USIM 600 maintains a state in which a customer certificate, a communication company key, and a certificate applet 620 are recorded while being inserted into the USIM reader unit 510 of the wireless terminal 500.

도면6을 참조하면, 상기 USIM(600)은, 상기 고객 인증서를 통해 서명 데이터를 생성하고 상기 통신사 키를 통해 서명 데이터를 암호화하는 동작을 수행하기 위한 인증 절차를 수행하는 인증 절차 수행부(625)를 구비할 수 있으며, 실시 방법에 따라 생략되거나, 또는 서명 데이터를 수신하거나 복호화하는 절차에 통합되거나, 또는 서명 데이터를 생성하거나 암호화하는 절차에 통합될 수 있다.
Referring to Figure 6, the USIM 600, the authentication procedure performing unit 625 for performing an authentication procedure for performing an operation of generating signature data through the customer certificate and encrypting the signature data through the carrier key May be provided, and may be omitted according to an implementation method, or may be integrated into a procedure of receiving or decrypting signature data, or may be integrated into a procedure of generating or encrypting signature data.

상기 인증 절차 수행부(625)는 상기 고객 인증서를 통해 서명 데이터를 생성하고 상기 통신사 키를 통해 서명 데이터를 암호화하는 동작을 수행하기 위해, 상기 무선단말(500)의 인증서 프로그램(515)으로부터 PIN 값을 수신하고, 상기 수신된 PIN 값의 유효성을 인증하는 절차를 수행할 수 있다.
The authentication procedure execution unit 625 generates a PIN value from the certificate program 515 of the wireless terminal 500 in order to generate signature data through the customer certificate and encrypt the signature data through the communication company key. Is received, and a procedure for authenticating the validity of the received PIN value may be performed.

상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)을 통해 상기 금융사서버(200)를 인증하기 위한 금융사 인증정보를 확인하고, 상기 금융사 인증정보를 통해 상기 금융사를 인증할 수 있다. 예를들어, 상기 금융사 인증정보는 지정된 키 교환 절차에 따라 교환된 키 값, 금융사서버(200)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 절차 수행부(625)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다.
The authentication procedure execution unit 625 checks the financial institution authentication information for authenticating the financial institution server 200 through the certificate program 515 of the wireless terminal 500, and authenticates the financial institution through the financial institution authentication information. can do. For example, the financial institution authentication information may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the financial institution server 200, and the authentication procedure The execution unit 625 may check and compare a key value exchanged according to the key exchange procedure, or may verify validity by comparing a value generated according to the same algorithm and procedure as the code generation algorithm with the key value.

본 발명의 실시 방법에 따르면, 상기 금융사 인증정보는 별도의 채널을 통해 금융사서버(200)로부터 전송된 후 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신되거나, 또는 상기 서명 대상 데이터에 포함되어 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신될 수 있다. 상기 금융사 인증정보가 서명 대상 데이터에 포함되어 수신되는 경우, 상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 서명 대상 데이터를 수신(또는 복호화)하는 시점에 상기 금융사 인증정보에 대한 인증 절차를 수행할 수 있다.
According to the implementation method of the present invention, the financial institution authentication information is transmitted from the financial institution server 200 through a separate channel and then received through the certificate program 515 of the wireless terminal 500, or the signature target data It may be included and received through the certificate program 515 of the wireless terminal 500. When the financial company authentication information is included in the signature target data and is received, the authentication procedure execution unit 625 receives (or decrypts) the signature target data from the certificate program 515 of the wireless terminal 500. The authentication procedure for the authentication information of the financial company may be performed.

상기 인증 절차 수행부(625)는 상기 무선단말(500)의 상기 인증서 프로그램(515)을 통해 상기 관리서버(300)를 인증하기 위한 관리사 인증정보를 확인하고, 상기 관리사 인증정보를 통해 상기 관리사를 인증할 수 있다. 예를들어, 상기 관리사 인증정보는 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 인증 절차 수행부(625)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다.
The authentication procedure execution unit 625 checks the management company authentication information for authenticating the management server 300 through the certification program 515 of the wireless terminal 500, and checks the management company through the management company authentication information. You can authenticate. For example, the management company authentication information may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, and the authentication procedure The execution unit 625 may check and compare a key value exchanged according to the key exchange procedure, or may verify validity by comparing a value generated according to the same algorithm and procedure as the code generation algorithm with the key value.

본 발명의 실시 방법에 따르면, 상기 관리사 인증정보는 별도의 채널을 통해 관리서버(300)로부터 전송된 후 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신되거나, 또는 상기 서명 대상 데이터에 포함되어 상기 무선단말(500)의 인증서 프로그램(515)을 통해 수신될 수 있다. 상기 관리사 인증정보가 서명 대상 데이터에 포함되어 수신되는 경우, 상기 인증 절차 수행부(625)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 서명 대상 데이터를 수신(또는 복호화)하는 시점에 상기 금융사 인증정보에 대한 인증 절차를 수행할 수 있다.
According to the implementation method of the present invention, the management company authentication information is transmitted from the management server 300 through a separate channel and then received through the certificate program 515 of the wireless terminal 500, or in the signature target data. It may be included and received through the certificate program 515 of the wireless terminal 500. When the management company authentication information is included in the signature target data and is received, the authentication procedure execution unit 625 receives (or decrypts) the signature target data from the certificate program 515 of the wireless terminal 500. The authentication procedure for the authentication information of the financial company may be performed.

상기 인증 절차 수행부(625)는 고객 인증서를 이용하여 서명 데이터를 생성하고 통신사 키를 이용하여 서명 데이터를 암호화하는 인증서 애플릿(620)이 구비된 상태의 USIM(600)을 전자서명을 처리하는 매체로 인증시키기 위한 USIM(600)에 대한 매체 인증 값을 생성하고, 상기 무선단말(500)의 상기 인증서 프로그램(515)으로 상기 매체 인증 값을 전송하며, 상기 매체 인증 값은 상기 관리서버(300)로 전송되어 인증되거나, 또는 상기 관리서버(300)를 경유하여 금융사서버(200)로 전송되어 인증될 수 있다. 한편 상기 매체 인증 값은 상기 서명 데이터에 포함되어 전송될 수 있다.
The authentication procedure execution unit 625 generates signature data using a customer certificate and uses a communication company key to encrypt the signature data using the USIM 600 in a state equipped with a certificate applet 620 that processes digital signatures. Generates a medium authentication value for USIM 600 for authentication with, and transmits the medium authentication value to the certificate program 515 of the wireless terminal 500, and the medium authentication value is the management server 300 It may be transmitted to and authenticated, or may be transmitted to the financial institution server 200 via the management server 300 to be authenticated. Meanwhile, the medium authentication value may be included in the signature data and transmitted.

도면6을 참조하면, 상기 USIM(600)은, 상기 무선단말(500)의 인증서 프로그램(515)으로부터 서명 대상 데이터를 수신하는 서명 대상 수신부(630)와, 상기 서명 대상 데이터가 암호화된 경우에 상기 통신사 키를 이용하여 상기 암호화된 서명 대상 데이터를 복호화하는 서명 대상 복호부(635)를 구비한다.
Referring to FIG. 6, the USIM 600 includes a signature target receiver 630 that receives signature target data from a certificate program 515 of the wireless terminal 500, and when the signature target data is encrypted, the And a signature object decryption unit 635 for decrypting the encrypted signature object data using a communication company key.

상기 서명 대상 수신부(630)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 상기 고객 인증서를 통해 서명 처리할 서명 대상 데이터를 수신한다. 본 발명의 실시 방법에 따르면, 상기 서명 대상 수신부(630)는 상기 무선단말(500)의 인증서 프로그램(515)으로부터 고객 인증서를 이용하여 상기 서명 대상 데이터의 서명 값을 생성하고, 통신사 키를 이용하여 상기 생성된 서명 값을 포함하는 서명 데이터를 암호화하도록 요청하는 명령어를 수신한다.
The signature object receiver 630 receives signature object data to be signed through the customer certificate from the certificate program 515 of the wireless terminal 500. According to the implementation method of the present invention, the signing target receiving unit 630 generates a signature value of the signing target data using a customer certificate from the certificate program 515 of the wireless terminal 500, and uses a communication company key. A command requesting to encrypt signature data including the generated signature value is received.

본 발명의 실시 방법에 따르면, 상기 서명 대상 데이터는 지정된 금융사서버(200)에 구비된 금융사 키를 통해 상기 금융사서버(200) 내에서 암호화된 후 지정된 관리서버(300)에 의해 복호화되고 다시 통신사 키를 통해 암호화된 데이터를 포함할 수 있다.
According to the implementation method of the present invention, the data to be signed is encrypted in the financial institution server 200 through the financial institution key provided in the designated financial institution server 200, and then decrypted by the designated management server 300 and then again the communication company key. It may include data encrypted through.

상기 서명 대상 수신부(630)를 통해 수신된 서명 대상 데이터가 암호화된 경우, 상기 서명 대상 복호부(635)는 상기 메모리부(660)에 저장된 통신사 키를 이용하여 상기 암호화된 서명 대상 데이터를 복호화한다. 본 발명의 실시 방법에 따르면, 상기 USIM(600)에는 상기 메모리부(660)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비할 수 있으며, 상기 서명 대상 복호부(635)는 상기 암복호 모듈(615)을 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리할 수 있다.
When the signature target data received through the signature target receiver 630 is encrypted, the signature target decryption unit 635 decrypts the encrypted signature target data using a communication company key stored in the memory unit 660 . According to the implementation method of the present invention, the USIM 600 may be provided with an encryption/decryption module 615 that encrypts or decrypts specified data according to a specified algorithm using a communication company key provided in the memory unit 660. In addition, the signature object decryption unit 635 may process the encrypted signature object data to be decrypted through the encryption/decryption module 615.

도면6을 참조하면, 상기 USIM(600)은, 상기 고객 인증서를 통해 상기 서명 대상 데이터에 대한 서명 데이터를 생성하는 서명 처리부(640)와, 상기 통신사 키를 이용하여 상기 생성된 서명 데이터를 암호화하는 서명 데이터 암호부(645)와, 상기 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 데이터를 전송하는 서명 데이터 전송부(650)를 구비한다.
Referring to Figure 6, the USIM 600, a signature processing unit 640 for generating signature data for the signing target data through the customer certificate, and encrypting the generated signature data using the communication company key. A signature data encryption unit 645 and a signature data transmission unit 650 for transmitting the encrypted signature data to the certificate program 515 of the wireless terminal 500 are provided.

상기 서명 처리부(640)는 상기 서명 대상 수신부(630)를 통해 수신된 서명 대상 데이터, 또는 상기 서명 대상 복호부(635)를 통해 복호화된 서명 대상 데이터를 확인하고, 상기 고객 인증서에 대응하는 서명용 키 값을 이용하여 지정된 전자서명 알고리즘(예컨대, RSA 알고리즘 또는 ECDSA 알고리즘)에 따라 상기 서명 대상 데이터를 서명하여 서명 값을 생성한다. 여기서, 서명 값이란 상기 전자서명 알고리즘에 의해 생성되는 값이다.
The signature processing unit 640 checks the signature target data received through the signature target receiving unit 630 or the signature target data decrypted through the signature target decoding unit 635, and a signature key corresponding to the customer certificate The signature value is generated by signing the signature target data according to a designated digital signature algorithm (eg, RSA algorithm or ECDSA algorithm) using the value. Here, the signature value is a value generated by the digital signature algorithm.

상기 서명 처리부(640)는 상기 전자서명 알고리즘에 지정된 서명 값을 생성하기 위한 옵션 값을 적용할 수 있으며, 상기 옵션 값에 따라 상기 서명 값에는 상기 서명 값의 유효성을 인증하기 위한 서명 검증 키가 포함될 수 있다.
The signature processing unit 640 may apply an option value for generating a signature value specified in the digital signature algorithm, and the signature value according to the option value includes a signature verification key for authenticating the validity of the signature value. I can.

상기 서명 처리부(640)는 상기 서명 값을 포함하는 서명 데이터를 생성한다. 상기 서명 값이 지정된 전자서명문 형태로 생성되는 경우, 상기 생성된 서명 값이 서명 데이터일 수 있다. 한편 상기 생성되는 서명 값이 지정된 전자서명문 형태가 아닌 경우, 상기 서명 처리부(640)는 상기 서명 값을 지정된 전자서명문 형태로 가공하여 서명 데이터를 생성할 수 있다.
The signature processing unit 640 generates signature data including the signature value. When the signature value is generated in the form of a designated electronic signature, the generated signature value may be signature data. On the other hand, when the generated signature value is not in a specified electronic signature format, the signature processing unit 640 may generate signature data by processing the signature value into a specified electronic signature format.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 지정된 전자서명문 형태(예컨대, [PKCS7], [RFC2630] 등)를 준용하면서 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있다.
According to the implementation method of the present invention, the signature data conforms to the designated electronic signature format (eg, [PKCS7], [RFC2630], etc.), and the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed. A medium authentication value for authentication may be included.

상기 서명 데이터 암호부(645)는 상기 메모리부(660)에 저장된 통신사 키를 이용하여 상기 생성된 서명 데이터를 암호화한다. 본 발명의 실시 방법에 따르면, 상기 USIM(600)에는 상기 메모리부(660)에 구비된 통신사 키를 이용하여 지정된 데이터를 지정된 알고리즘에 따라 암호화하거나 또는 복호화하는 암복호 모듈(615)을 구비할 수 있으며, 상기 서명 데이터 암호부(645)는 상기 암복호 모듈(615)을 통해 상기 서명 데이터가 암호화되도록 처리할 수 있다.
The signature data encryption unit 645 encrypts the generated signature data using a communication company key stored in the memory unit 660. According to the implementation method of the present invention, the USIM 600 may be provided with an encryption/decryption module 615 that encrypts or decrypts specified data according to a specified algorithm using a communication company key provided in the memory unit 660. In addition, the signature data encryption unit 645 may process the signature data to be encrypted through the encryption/decryption module 615.

상기 서명 데이터 전송부(650)는 상기 무선단말(500)의 인증서 프로그램(515)으로 상기 암호화된 서명 데이터를 전송한다. 상기 암호화된 서명 데이터는 상기 무선단말(500)의 인증서 프로그램(515)을 거쳐 지정된 통신사서버(400)(또는 관리서버(300))로 전송될 수 있는 전송채널 구조로 전송될 수 있다. 이 경우에 상기 무선단말(500)의 인증서 프로그램(515)은 상기 암호화된 서명 데이터를 전송채널 구조로 가공하지 않고도 상기 암호화된 서명 데이터를 지정된 통신사서버(400)(또는 관리서버(300))로 전송할 수 있다.
The signature data transmission unit 650 transmits the encrypted signature data to the certificate program 515 of the wireless terminal 500. The encrypted signature data may be transmitted in a transmission channel structure capable of being transmitted to a designated communication company server 400 (or management server 300) through a certificate program 515 of the wireless terminal 500. In this case, the certificate program 515 of the wireless terminal 500 transfers the encrypted signature data to a designated communication company server 400 (or management server 300) without processing the encrypted signature data into a transmission channel structure. Can be transmitted.

무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600)으로부터 암호화된 서명 데이터를 수신하고, 이를 통신사서버(400)로 전송한다. 상기 통신사서버(400)는 상기 무선단말(500)로부터 암호화된 서명 데이터를 수신하고, 이를 관리서버(300)로 전송한다.
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data from the USIM 600 and transmits it to the communication company server 400. The communication company server 400 receives encrypted signature data from the wireless terminal 500 and transmits it to the management server 300.

상기 관리서버(300)는 상기 통신사서버(400)로부터 상기 USIM(600)에 구비된 인증서 애플릿(620)의 지정된 서명 동작에 따라 상기 서명 대상 데이터를 이용하여 생성되고 상기 USIM(600)에 구비된 통신사 키를 통해 상기 USIM(600) 내에서 암호화된 서명 데이터를 무선단말(500)의 인증서 프로그램(515) 및 통신사서버(400)를 경유하여 수신한다.
The management server 300 is generated using the signing target data according to a designated signing operation of the certificate applet 620 provided in the USIM 600 from the communication service provider server 400 and provided in the USIM 600 The signature data encrypted in the USIM 600 is received through the communication company key through the certificate program 515 of the wireless terminal 500 and the communication company server 400.

본 발명의 실시 방법에 따르면, 상기 USIM(600) 내부에서 상기 통신사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data encrypted through the communication company key inside the USIM 600 may include an integrity verification value for the encrypted signature data, and the management server 300 A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the key can be performed.

상기 관리서버(300)는 상기 통신사 키를 통해 USIM(600) 내부에서 암호화된 서명 데이터를 확인하고, 상기 암복호 모듈(310)을 이용하여 상기 통신사 키를 통해 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화하도록 처리한다.
The management server 300 checks the signature data encrypted inside the USIM 600 through the communication company key, and encrypted inside the USIM 600 through the communication company key using the encryption/decryption module 310 Process to decrypt the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 관리서버(300)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The management server 300 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 관리서버(300)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 관리서버(300)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 통신사서버(400)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the management server 300 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated inside the USIM 600, and the management server 300 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the communication company server 400 at a specified time point before or after the signature data is received without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

상기 관리서버(300)는 상기 USIM(600) 내부에서 암호화된 서명 데이터를 복호화됨과 동시에, 상기 암복호 모듈(210)을 통해 상기 복호화된 서명 데이터를 금융사 키를 통해 다시 암호화하도록 처리한다.
The management server 300 decrypts the signature data encrypted inside the USIM 600 and processes the decrypted signature data through the encryption/decryption module 210 to re-encrypt the decrypted signature data using a financial company key.

본 발명의 실시 방법에 따르면, 상기 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정이 처리되는 중에, 상기 관리서버(300)는 상기 통신사 키를 통해 복호화된 서명 데이터를 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하고, 상기 무결성 인증 값을 상기 금융사 키를 통해 암호화되는 서명 데이터에 포함시킬 수 있다.
According to an implementation method of the present invention, while the process of encrypting the decrypted signature data through a financial company key is being processed, the management server 300 encrypts the decrypted signature data through the communication company key through a financial company key. An integrity authentication value of the signature data for is generated, and the integrity authentication value may be included in the signature data encrypted through the financial company key.

상기 관리서버(300)는 상기 금융사 키를 통해 암호화된 서명 데이터를 금융사서버(200)로 전송한다. 상기 금융사서버(200)는 상기 관리서버(300)부터 상기 USIM(600) 내부에서 서명되고 USIM(600) 내부에서 통신사 키를 통해 암호화된 후 상기 관리서버(300)에 의해 복호화되고 다시 금융사 키를 통해 암호화된 서명 데이터를 수신한다.
The management server 300 transmits the signature data encrypted through the financial institution key to the financial institution server 200. The financial institution server 200 is signed inside the USIM 600 from the management server 300 and encrypted by the communication company key inside the USIM 600, and then decrypted by the management server 300 and re-enters the financial company key. The encrypted signature data is received.

상기 금융사서버(200)는 상기 암복호 모듈(210)을 통해 상기 관리서버(300)에서 금융사 키를 통해 암호화한 서명 데이터를 금융사 키를 통해 복호화한다.
The financial institution server 200 decrypts the signature data encrypted by the financial institution key in the management server 300 through the encryption/decryption module 210 through the financial institution key.

본 발명의 실시 방법에 따르면, 상기 관리서버(300)에서 상기 금융사 키를 통해 암호화된 서명 데이터는 상기 암호화된 서명 데이터에 대한 무결성 검증 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 금융사 키를 통해 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 절차를 수행할 수 있다.
According to an implementation method of the present invention, the signature data encrypted by the financial institution key in the management server 300 may include an integrity verification value for the encrypted signature data, and the financial institution server 200 A procedure for authenticating the validity of the integrity verification value included in the signature data encrypted through the key can be performed.

상기 금융사 키를 통해 암호화된 서명 데이터가 복호화되면, 상기 금융사서버(200)는 상기 복호화된 서명 데이터의 유효성을 인증하는 절차를 수행한다. 바람직하게, 상기 금융사서버(200)는 상기 서명 데이터(또는 서명 데이터의 일부)를 지정된 인증서버(105)로 전송하여 상기 서명 데이터의 인증을 요청하고, 인증 결과를 수신한다.
When the signature data encrypted through the financial institution key is decrypted, the financial institution server 200 performs a procedure of authenticating the validity of the decrypted signature data. Preferably, the financial institution server 200 transmits the signature data (or part of the signature data) to the designated authentication server 105 to request authentication of the signature data, and receives the authentication result.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 USIM(600)의 인증서 애플릿(620)을 통해 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 예를들어, 인증서 애플릿(620)에서 호출한 서명 함수의 옵션에 ‘INCLUDE_KEY_HASH’이 적용된 경우에 상기 서명 데이터는 USIM(600) 내부에서 수행된 전자서명 절차의 서명 검증 키를 포함할 수 있다. 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서명 검증 키를 인증하는 절차를 수행할 수 있다.
According to the implementation method of the present invention, the signature data may include a signature verification key of an electronic signature procedure performed through the certificate applet 620 of the USIM 600. For example, when'INCLUDE_KEY_HASH' is applied to the option of the signature function called by the certificate applet 620, the signature data may include the signature verification key of the digital signature procedure performed inside the USIM 600. The financial institution server 200 may perform a procedure of authenticating a signature verification key included in the signature data.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 상기 고객 인증서를 이용한 전자서명 절차가 수행된 USIM(600)의 유효성을 인증하기 위한 매체 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 매체 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 매체 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, USIM(600) 내부에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 USIM(600)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 USIM(600)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)를 경유하는 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 USIM(600)의 유효성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data may include a medium authentication value for authenticating the validity of the USIM 600 on which the digital signature procedure using the customer certificate was performed, and the financial institution server 200 You can perform a procedure for authenticating the media authentication value included in the data. For example, the medium authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated inside the USIM 600, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the USIM 600 with the key value to verify validity. I can. Meanwhile, the procedure for authenticating the reliability of the USIM 600 may be authenticated through a communication channel via the management server 300 at a specified time before or after receiving the signature data without being linked with the signature data, In this case, the process of authenticating the validity of the USIM 600 using the signature data may be omitted.

본 발명의 실시 방법에 따르면, 상기 서명 데이터는 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 복호화하고 이를 다시 금융사 키를 통해 암호화한 관리서버(300)의 신뢰성을 인증하기 위한 서버 인증 값이 포함될 수 있으며, 상기 금융사서버(200)는 상기 서명 데이터에 포함된 서버 인증 값을 인증하는 절차를 수행할 수 있다. 예를들어, 상기 서버 인증 값은 지정된 키 교환 절차에 따라 교환된 키 값, 관리서버(300)에서 지정된 코드 생성 알고리즘에 따라 생성한 키 값 중 적어도 하나의 값을 포함할 수 있으며, 상기 금융사서버(200)는 상기 키 교환 절차에 따라 교환된 키 값을 확인하여 비교하거나 또는 상기 관리서버(300)의 코드 생성 알고리즘과 동일한 알고리즘과 절차에 따라 생성된 값을 상기 키 값과 비교하여 유효성을 인증할 수 있다. 한편 상기 금융사서버(200)와 관리서버(300)는 서버 인증서를 교환하여 구비하고 있으며, 상기 금융사서버(200)는 상기 교환된 각각의 서버 인증서를 이용하여 상기 관리서버(300)의 신뢰성을 인증할 수 있다. 한편 상기 관리서버(300)의 신뢰성을 인증하는 절차는 상기 서명 데이터와 연계되지 않고 상기 서명 데이터가 수신되기 전 또는 후의 지정된 시점에 상기 관리서버(300)와 금융사서버(200) 사이에 형성된 통신채널을 통해 인증될 수 있으며, 이 경우에 상기 서명 데이터를 이용하여 관리서버(300)의 신뢰성을 인증하는 과정은 생략 가능하다.
According to the implementation method of the present invention, the signature data is a server authentication value for authenticating the reliability of the management server 300 that decrypts the signed and encrypted signature data inside the USIM 600 and encrypts it again through a financial company key. It may be included, and the financial institution server 200 may perform a procedure of authenticating a server authentication value included in the signature data. For example, the server authentication value may include at least one of a key value exchanged according to a designated key exchange procedure and a key value generated according to a code generation algorithm designated by the management server 300, and the financial institution server 200 checks and compares the key value exchanged according to the key exchange procedure, or compares the value generated according to the same algorithm and procedure as the code generation algorithm of the management server 300 with the key value to verify validity. can do. Meanwhile, the financial institution server 200 and the management server 300 are provided by exchanging server certificates, and the financial institution server 200 authenticates the reliability of the management server 300 using the exchanged server certificates. can do. On the other hand, the procedure for authenticating the reliability of the management server 300 is not associated with the signature data, and a communication channel formed between the management server 300 and the financial institution server 200 at a specified time before or after the signature data is received. It can be authenticated through, in this case, the process of authenticating the reliability of the management server 300 using the signature data can be omitted.

도면7은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 선택 및 요청 과정을 도시한 도면이다.
7 is a diagram illustrating a USIM-based electronic signature selection and request process according to an implementation method of the present invention.

보다 상세하게 본 도면7은 금융사서버(200)에서 거래 절차를 수행하는 중에 고객 소유 무선단말(500)에 이탈착되는 USIM(600) 내부에 구비된 고객 인증서를 이용하여 서명하고 상기 USIM(600) 내부에 구비된 통신사 키를 이용하여 서명 데이터를 암호화하는 방식의 USIM 기반 전자서명을 선택하여 요청하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면7을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 선택 및 요청 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면7에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면7은 본 발명에 따른 USIM 기반 전자서명을 위해 금융사서버(200)에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 선택 및 요청 과정을 위주로 도시 및 설명하기로 한다. 본 도면7에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, this figure 7 shows a sign using a customer certificate provided in the USIM 600 that is detached from the customer-owned wireless terminal 500 while performing a transaction procedure in the financial institution server 200, and the USIM 600 It shows a process of selecting and requesting a USIM-based digital signature in a method of encrypting signature data using a communication company key provided therein. For those of ordinary skill in the technical field to which the present invention belongs, this figure 7 By reference and/or modification, various implementation methods for the USIM-based digital signature selection and request process (e.g., some steps are omitted, or the order is changed) may be inferred, but the present invention The implementation method is included, and the technical features are not limited only by the implementation method shown in FIG. 7. For convenience, FIG. 7 shows various key exchange and authentication procedures to be performed in the financial institution server 200 for the USIM-based electronic signature according to the present invention, but the illustrations and descriptions are omitted, and mainly shows the process of selecting and requesting a USIM-based electronic signature. I will explain. For information on the authentication procedure omitted for convenience in FIG. 7, the description of FIGS. 2 to 6 will be referred to.

도면7을 참조하면, 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 금융사서버(200)로 전자서명이 필요한 거래(예컨대, 금융거래, 지급결제 등)를 요청하고(700), 상기 금융사서버(200)는 상기 요청된 거래 절차를 수행하면서 상기 요청된 거래가 성립되기 위해 전자서명 절차가 수행되어야 하는지 확인한다(705). 만약 상기 요청된 거래가 성립되기 위해 전자서명이 필요하다면, 상기 금융사서버(200)는 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)로 전자서명 절차를 수행할 인증서가 구비된 위치를 선택하도록 요청하고(710), 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 인증서 위치를 선택한다(715).
Referring to Figure 7, the customer terminal 100 or the wireless terminal 500 equipped with the USIM 600 requests a transaction (e.g., financial transaction, payment, etc.) that requires an electronic signature to the financial institution server 200 ( 700), while performing the requested transaction procedure, the financial institution server 200 checks whether an electronic signature procedure should be performed in order to establish the requested transaction (705). If an electronic signature is required to establish the requested transaction, the financial institution server 200 is provided with a certificate to perform the electronic signature procedure to the customer terminal 100 or the wireless terminal 500 equipped with the USIM 600 A request is made to select a location (710), and the wireless terminal 500 equipped with the customer terminal 100 or the USIM 600 selects a certificate location (715).

상기 금융사서버(200)는 상기 선택된 인증서 위치가 고객 소유 무선단말(500)에 구비된 USIM(600)인지 확인한다(720). 만약 상기 선택된 인증서 위치가 상기 USIM(600)이 아니라면, 상기 고객단말(100) 또는 USIM(600)이 구비된 무선단말(500)은 상기 선택된 인증서 위치에 저장된 고객 인증서를 이용하여 전자서명 절차를 수행한다(725).
The financial institution server 200 checks whether the selected certificate location is the USIM 600 provided in the customer-owned wireless terminal 500 (720). If the selected certificate location is not the USIM 600, the customer terminal 100 or the wireless terminal 500 equipped with the USIM 600 performs an electronic signature procedure using the customer certificate stored in the selected certificate location. Do (725).

한편 상기 선택된 인증서 위치가 상기 USIM(600)으로 확인되면, 상기 금융사서버(200)는 상기 거래 절차와 연동하여 상기 USIM(600)을 통해 서명할 서명 대상 데이터를 확인하고(730), 금융사 키를 통해 서명 대상 데이터를 암호화하고(735), 상기 서명 대상 데이터의 서명 및 암호화를 처리할 USIM(600)이 구비된 고객 소유 무선단말(500)의 식별 정보를 확인한 후(740), 지정된 관리서버(300)로 상기 금융사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말(500)의 식별 정보를 전송한다(745).
Meanwhile, when the selected certificate location is confirmed by the USIM 600, the financial institution server 200 checks the signature target data to be signed through the USIM 600 in connection with the transaction procedure (730), After verifying the identification information of the customer-owned wireless terminal 500 equipped with the USIM 600 to encrypt the signing target data (735) and process the signing and encryption of the signing target data (740), the designated management server ( 300), the signature data encrypted through the financial company key and identification information of the customer-owned wireless terminal 500 are transmitted (745).

도면8은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 요청을 중계하는 과정을 도시한 도면이다.
8 is a diagram illustrating a process of relaying a USIM-based electronic signature request according to an exemplary method of the present invention.

보다 상세하게 본 도면8은 관리서버(300)에서 N개의 금융사서버(200) 중 제n 금융사서버(200)로부터 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하여 복호화한 후 M개의 통신사 중 USIM(600)을 구비한 고객 소유 무선단말(500)이 가입된 제m 통신사의 제m 통신사 키로 상기 복호화된 서명 대상 데이터를 다시 암호화하여 상기 통신사서버(400)로 전송하면, 통신사서버(400)가 상기 암호화된 서명 대상 데이터를 USIM(600)을 구비한 고객 소유 무선단말(500)로 전송하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면8을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 요청 중계 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면8에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면8은 본 발명에 따른 USIM 기반 전자서명을 위해 관리서버(300) 및/또는 통신사서버(400) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 요청 중계 과정을 위주로 도시 및 설명하기로 한다. 본 도면8에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 8 is a diagram of the management server 300 receiving and decrypting the encrypted signature data from the n-th financial institution server 200 from the n-th financial institution server 200 among the N financial institution servers 200 and decrypting the data. When a customer-owned wireless terminal 500 equipped with a USIM 600 re-encrypts the decrypted signature target data with the m-th communication company key of the registered m-th communication company and transmits it to the communication service company server 400, the communication service company server 400 As a diagram showing a process of transmitting the encrypted signature data to the customer-owned wireless terminal 500 equipped with the USIM 600, if a person of ordinary skill in the art to which the present invention belongs, this figure 8 By reference and/or modification, various implementation methods for the USIM-based digital signature request relay process (e.g., an implementation method in which some steps are omitted or the order is changed) may be inferred, but the present invention provides all of the inferred implementations. A method is included, and the technical features are not limited only to the implementation method shown in FIG. 8. For convenience, FIG. 8 shows various key exchange and authentication procedures to be performed in the management server 300 and/or the communication company server 400 for the USIM-based electronic signature according to the present invention, but the illustration and description are omitted, but the USIM-based electronic signature The request relay process will be mainly illustrated and described. For details on the authentication procedure omitted for convenience in FIG. 8, the description of FIGS. 2 to 6 will be referred to.

도면8을 참조하면, 관리서버(300)는 N개의 금융사서버(200) 중 상기 도면7에 도시된 과정을 통해 USIM 기반 전자서명을 요청한 제n 금융사서버(200)로부터 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터와 고객 소유 무선단말(500)의 식별 정보를 수신한다(800).
Referring to FIG. 8, the management server 300 is from the n-th financial company server 200 that requested the USIM-based electronic signature through the process shown in FIG. 7 among the N financial company servers 200 through the n-th financial company key. The encrypted signature data and identification information of the customer-owned wireless terminal 500 are received (800).

상기 관리서버(300)는 상기 암호화된 서명 대상 데이터를 제n 금융사 키를 통해 복호화한다(805). 상기 관리서버(300)는 M개의 통신사 중 상기 식별 정보에 대응하는 제m 통신사를 확인하고(810), 상기 암호화된 서명 대상 데이터가 복호화됨과 동시에, 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터를 다시 암호화하고(815), 상기 식별 정보에 대응하는 무선단말(500)의 USIM(600)으로 하여금 상기 서명 대상 데이터를 서명함과 동시에 암호화하는 동작을 수행하게 하는 명령어를 확인한 후(820), 제m 통신사서버(400)로 상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 무선단말(500)의 식별 정보 및 상기 동작 수행을 위한 명령어(생략 가능)를 전송한다(825).
The management server 300 decrypts the encrypted signature target data through an n-th financial company key (805). The management server 300 checks the m-th communication company corresponding to the identification information among the M communication companies (810), the encrypted signature target data is decrypted, and the decrypted signature target data through the m-th communication company key After re-encrypting (815), and confirming a command that causes the USIM 600 of the wireless terminal 500 corresponding to the identification information to perform an operation of simultaneously signing and encrypting the signature data (820), To the mth communication company server 400, the signature target data encrypted through the mth communication company key, identification information of the wireless terminal 500, and a command for performing the operation (can be omitted) are transmitted (825).

상기 통신사서버(400)는 상기 관리서버(300)로부터 자사의 통신사 키를 통해 암호화된 서명 대상 데이터와 무선단말(500)의 식별 정보 및 명령어(생략 가능)를 수신한다(830). 한편 실시 방법에 따라 상기 명령어는 상기 통신사서버(400)에서 확인될 수 있다.
The communication company server 400 receives the signature data encrypted through the company's communication company key from the management server 300 and identification information and commands (optionally omitted) of the wireless terminal 500 (830). Meanwhile, depending on the implementation method, the command may be confirmed by the communication service provider server 400.

상기 통신사서버(400)는 상기 식별 정보를 이용하여 전자서명 절차를 수행할 USIM(600)의 유효성을 인증하거나 및/또는 상기 USIM(600)을 구비한 무선단말(500)의 유효성을 인증한다(835). 만약 상기 유효성이 인증되지 않으면, 상기 통신사서버(400)는 관리서버(300)로 USIM 기반 서명 오류를 전송하고(845), 상기 관리서버(300)는 금융사서버(200)로 상기 USIM 기반 서명 오류를 전송한다(850).
The communication company server 400 uses the identification information to authenticate the validity of the USIM 600 to perform the digital signature procedure and/or the validity of the wireless terminal 500 equipped with the USIM 600 ( 835). If the validity is not authenticated, the communication company server 400 transmits a USIM-based signature error to the management server 300 (845), and the management server 300 transmits the USIM-based signature error to the financial company server 200 Transmit (850).

한편 상기 유효성이 인증되지 않으면, 상기 통신사서버(400)는 상기 식별 정보에 대응하는 무선단말(500)로 상기 통신사 키를 통해 암호화된 서명 데이터와 명령어(생략 가능)를 전송한다(840).
On the other hand, if the validity is not authenticated, the communication company server 400 transmits the encrypted signature data and a command (can be omitted) through the communication company key to the wireless terminal 500 corresponding to the identification information (840).

도면9는 본 발명의 실시 방법에 따른 USIM 기반 전자서명 및 암호화 과정을 도시한 도면이다.
9 is a diagram illustrating a USIM-based electronic signature and encryption process according to an embodiment of the present invention.

보다 상세하게 본 도면9는 무선단말(500)의 인증서 프로그램(515)의 요청에 따라 USIM(600) 내부에서 고객 인증서를 통해 서명 대상 데이터를 서명하여 서명 데이터를 생성함과 동시에 통신사 키로 암호화하여 전송하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면9를 참조 및/또는 변형하여 상기 USIM 기반 전자서명 및 암호화 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면9에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면9는 본 발명에 따른 USIM 기반 전자서명을 위해 통신사서버(400), 무선단말(500) 및 USIM(600) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 및 암호화 과정을 위주로 도시 및 설명하기로 한다. 본 도면9에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 9 shows signature data by signing data to be signed through a customer certificate in USIM 600 at the request of the certificate program 515 of the wireless terminal 500, and at the same time, encrypts and transmits it with a communication company key. As an illustration of the process, if a person of ordinary skill in the art to which the present invention belongs, various implementation methods for the USIM-based digital signature and encryption process by referring to and/or modifying this Figure 9 (e.g., some steps Is omitted, or the order of implementation is changed), but the present invention includes all the inferred implementation methods, and the technical features are not limited only by the implementation method shown in FIG. For convenience, FIG. 9 shows various key exchange and authentication procedures to be performed in the communication company server 400, the wireless terminal 500, and the USIM 600 for the USIM-based electronic signature according to the present invention, but the illustration and description are omitted. The basic digital signature and encryption process will be mainly illustrated and described. For details on the authentication procedure omitted for convenience in FIG. 9, the description of FIGS. 2 to 6 will be referred to.

도면9를 참조하면, 무선단말(500)의 인증서 프로그램(515)은 상기 도면8에 도시된 과정을 통해 통신사서버(400)로부터 통신사 키를 통해 암호화된 서명 데이터를 수신하고(900), USIM(600) 내부 서명 및 암호화 동작을 위한 명령어를 수신하거나(900), 또는 상기 명령어를 내부적으로 결정한다(900).
Referring to Figure 9, the certificate program 515 of the wireless terminal 500 receives the encrypted signature data through the carrier key from the carrier server 400 through the process shown in Figure 8 (900), USIM ( 600) Receives a command for an internal signature and encryption operation (900), or determines the command internally (900).

상기 무선단말(500)의 인증서 프로그램(515)은 상기 무선단말(500)에 이탈착되는 USIM(600)이 상기 명령어를 근거로 상기 서명 대상 데이터에 대한 전자서명 및 암호화 처리를 수행할 수 있는지 상기 USIM(600)에 대한 유효성을 인증한다(905).
The certificate program 515 of the wireless terminal 500 asks whether the USIM 600 detached from the wireless terminal 500 can perform digital signature and encryption processing on the signature data based on the command. Validity of the USIM 600 is verified (905).

만약 상기 USIM(600)의 유효성이 인증되지 않으면, 상기 무선단말(500)의 인증서 프로그램(515)은 통신사서버(400)로 USIM 기반 서명 오류를 전송하고(910), 상기 통신사서버(400)는 상기 USIM 기반 서명 오류를 수신하여(910) 관리서버(300)를 경유하여 금융사서버(200)로 전송한다.
If the validity of the USIM 600 is not authenticated, the certificate program 515 of the wireless terminal 500 transmits a USIM-based signature error to the communication company server 400 (910), and the communication company server 400 The USIM-based signature error is received (910) and transmitted to the financial institution server 200 via the management server 300.

한편 상기 USIM(600)의 유효성이 인증되면, 상기 무선단말(500)의 인증서 프로그램(515)은 상기 통신사 키를 통해 암호화된 서명 대상 데이터와 명령어를 USIM(600)으로 주입하고(915), 상기 USIM(600)은 상기 무선단말(500)의 인증서 프로그램(515)으로부터 통신사 키를 통해 암호화된 서명 대상 데이터와 명령어를 USIM(600)으로 수신한다(920).
On the other hand, when the validity of the USIM 600 is authenticated, the certificate program 515 of the wireless terminal 500 injects the signature target data and command encrypted through the communication company key into the USIM 600 (915), and the The USIM 600 receives the signature target data and commands encrypted through the communication company key from the certificate program 515 of the wireless terminal 500 to the USIM 600 (920).

상기 USIM(600)은 상기 암호화된 서명 대상 데이터를 통신사 키를 통해 복호화하고(925), 고객 인증서를 이용하여 상기 복호화된 서명 대상 데이터를 서명하여 지정된 전자서명문 형태의 서명 데이터를 생성한다(930). 상기 USIM(600)은 통신사 키를 통해 상기 서명 데이터를 암호화하고(935), 상기 통신사 키를 통해 암호화된 서명 데이터를 상기 무선단말(500)의 인증서 프로그램(515)으로 전송한다(940).
The USIM 600 decrypts the encrypted signature data using a communication company key (925), and signs the decrypted signature data using a customer certificate to generate signature data in the form of a designated digital signature (930). ). The USIM 600 encrypts the signature data through the communication company key (935), and transmits the signature data encrypted through the communication company key to the certificate program 515 of the wireless terminal 500 (940).

상기 무선단말(500)의 인증서 프로그램(515)은 상기 USIM(600)으로부터 상기 통신사 키를 통해 암호화된 서명 데이터를 수신하고(945), 상기 통신사서버(400)로 상기 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 전송한다(950).
The certificate program 515 of the wireless terminal 500 receives the encrypted signature data through the communication company key from the USIM 600 (945), and the customer in the USIM 600 to the communication company server 400 Signature data signed through a certificate and encrypted through a communication company key is transmitted (950).

상기 통신사서버(400)는 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 수신하고(955), 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 관리서버(300)로 전송한다(960).
The communication company server 400 receives the signature data signed through the customer certificate inside the USIM 600 and encrypted through the communication company key (955), and manages the signed and encrypted signature data inside the USIM 600 It transmits to (300) (960).

도면10은 본 발명의 실시 방법에 따른 USIM 기반 전자서명 인증 과정을 도시한 도면이다.
10 is a diagram illustrating a USIM-based digital signature authentication process according to an implementation method of the present invention.

보다 상세하게 본 도면10은 USIM(600) 내부에서 고객 인증서를 통해 서명되고 통신사 키를 통해 암호화된 서명 데이터를 인증하는 과정을 도시한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면10을 참조 및/또는 변형하여 상기 USIM 기반 전자서명 인증 과정에 대한 다양한 실시 방법(예컨대, 일부 단계가 생략되거나, 또는 순서가 변경된 실시 방법)을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면10에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다. 편의상, 본 도면10은 본 발명에 따른 USIM 기반 전자서명을 위해 관리서버(300), 금융사서버(200) 등에서 수행될 각종 키 교환 및 인증 절차는 도시 및 설명을 생략하되, USIM 기반 전자서명 인증 과정을 위주로 도시 및 설명하기로 한다. 본 도면10에서 편의상 생략된 인증 절차에 대한 내용은 도면2 내지 도면6의 설명을 참조하기로 한다.
In more detail, FIG. 10 shows a process of authenticating signature data signed through a customer certificate and encrypted through a communication company key inside the USIM 600, and those of ordinary skill in the art to which the present invention belongs , It is possible to infer various implementation methods for the USIM-based digital signature authentication process (e.g., an implementation method in which some steps are omitted or the order is changed) by referring and/or modifying this Figure 10, but the present invention It includes all the inferred implementation methods, and the technical features are not limited only by the implementation method shown in FIG. 10. For convenience, FIG. 10 is a diagram illustrating various key exchange and authentication procedures to be performed in the management server 300, the financial institution server 200, etc. for the USIM-based electronic signature according to the present invention, but the illustration and description are omitted, but the USIM-based digital signature authentication process It will be mainly illustrated and described. For information on the authentication procedure omitted for convenience in FIG. 10, the description of FIGS. 2 to 6 will be referred to.

도면10을 참조하면, 관리서버(300)는 M개의 통신사서버(400) 중 상기 도면9 도시된 과정을 수행한 제m 통신사서버(400)로부터 무선단말(500)의 USIM(600) 내부에서 서명되고 제m 통신사 키를 통해 암호화된 서명 데이터를 수신한다(1000).
Referring to FIG. 10, the management server 300 is signed from the inside of the USIM 600 of the wireless terminal 500 from the m-th communication company server 400 that performed the process shown in FIG. 9 among the M communication service provider servers 400. And receives the encrypted signature data through the m-th communication company key (1000).

상기 관리서버(300)는 상기 암호화된 서명 데이터를 제m 통신사 키를 통해 복호화(1005)함과 동시에, 상기 복호화된 서명 데이터를 제n 금융사 키를 통해 다시 암호화하고(1010), 상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버(200)로 전송한다(1015).
The management server 300 decrypts (1005) the encrypted signature data through the m-th communication company key, and at the same time encrypts the decrypted signature data again through the n-th financial company key (1010), and the n-th financial company The signature data encrypted through the key is transmitted to the n-th financial institution server 200 (1015).

제n 금융사에 해당하는 금융사서버(200)는 상기 관리서버(300)로부터 금융사 키를 통해 암호화된 서명 데이터를 수신하고(1020), 상기 암호화된 서명 데이터를 금융사 키를 통해 복호화하고(1025), 상기 복호화된 서명 데이터에 대한 인증 절차를 수행한다(1030).
The financial institution server 200 corresponding to the n-th financial institution receives the encrypted signature data through the financial institution key from the management server 300 (1020), and decrypts the encrypted signature data through the financial institution key (1025), An authentication procedure is performed on the decrypted signature data (1030).

만약 상기 복호화된 서명 데이터가 인증되지 않으면, 상기 금융사서버(200)는 거래를 요청한 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)로 USIM 기반 서명 오류를 전송하고(1035), 상기 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)은 상기 USIM 기반 서명 오류를 수신하여 출력한다(1035).
If the decrypted signature data is not authenticated, the financial institution server 200 transmits a USIM-based signature error to the customer terminal 100 requesting the transaction or the wireless terminal 500 equipped with the USIM 600 (1035). , The customer terminal 100 or the wireless terminal 500 with the USIM 600 receives and outputs the USIM-based signature error (1035).

한편 상기 복호화된 서명 데이터가 인증되면, 상기 금융사서버(200)는 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)로부터 요청된 거래 절차에 대한 거래가 성립된 것으로 인증하고, 상기 성립된 거래 절차의 나머지 절차를 수행하며(1040), 상기 거래를 요청한 고객단말(100) 또는 USIM(600)을 구비한 무선단말(500)은 상기 금융사서버(200)로부터 상기 USIM(600) 내부에서 서명 및 암호화된 서명 데이터를 이용한 거래 절차를 수행한 거래 결과를 수신하여 출력한다(1045).
Meanwhile, when the decrypted signature data is authenticated, the financial institution server 200 authenticates that a transaction for a transaction procedure requested from the customer terminal 100 or the wireless terminal 500 equipped with the USIM 600 has been established, and the The remaining procedures of the established transaction procedure are performed (1040), and the customer terminal 100 or the wireless terminal 500 having the USIM 600 requesting the transaction is transferred from the financial institution server 200 to the USIM 600. The transaction result obtained by performing the transaction procedure using the signed and encrypted signature data is received and output (1045).

100 : 고객단말 200 : 금융사서버
210 : 암복호 모듈 215 : 보안저장매체
300 : 관리서버 305 : 서명 대상 수신부
310 : 암복호 모듈 315 : 보안저장매체
320 : 서명 대상 복호부 325 : 서명 대상 재암호부
330 : 명령어 확인부 335 : 서명 대상 중계부
340 : 서명 데이터 수신부 345 : 서명 데이터 복호부
350 : 서명 데이터 재암호부 355 : 인증 처리부
360 : 서명 데이터 중계부 400 : 통신사서버
500 : 무선단말 600 : USIM100: customer terminal 200: financial company server
210: encryption/decryption module 215: secure storage medium
300: management server 305: signature target receiver
310: encryption/decryption module 315: secure storage medium
320: signature target decoding unit 325: signature target re-encryption unit
330: command verification unit 335: signing target relay unit
340: signature data receiving unit 345: signature data decoding unit
350: signature data re-encryption unit 355: authentication processing unit
360: signature data relay 400: communication company server
500: wireless terminal 600: USIM

Claims (14)

고객 소유 무선단말과 연동하고 금융사서버와 통신하는 관리서버를 통해 실행되는 방법에 있어서,
N(N≥1)개의 금융사서버 중 제n(1≤n≤N) 금융사서버로부터 지정된 서명 동작을 수행하는 인증서 애플릿을 구비하고 고객 인증서와 통신사 키를 저장한 USIM(Universal Subscriber Identity Module)이 이탈착되는 고객 소유 무선단말의 식별 정보와 상기 제n 금융사 키를 통해 암호화된 서명 대상 데이터를 수신하는 제1 단계;
지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 암호화된 서명 대상 데이터가 복호화되도록 처리하는 제2 단계;
M(M≥1)개의 통신사 중 상기 식별 정보에 대응하는 제m(1≤m≤M) 통신사를 확인하고, 지정된 보안저장매체에 저장된 제m 통신사 키를 통해 상기 복호화된 서명 대상 데이터가 다시 암호화되도록 처리하는 제3 단계;
상기 제m 통신사 키를 통해 암호화된 서명 대상 데이터와 상기 고객 소유 무선단말의 식별 정보를 제m 통신사서버로 전송하는 제4 단계;
상기 제m 통신사서버와 통신하는 고객 소유 무선단말에 구비된 USIM이 상기 고객 소유 무선단말을 통해 상기 암호화된 서명 대상 데이터를 전달받아 상기 제m 통신사 키를 통해 복호화하고 상기 인증서 애플릿과 고객 인증서를 통해 상기 복호화된 서명 대상 데이터를 전자서명하여 서명 데이터를 생성한 후 상기 제m 통신사 키를 통해 상기 생성된 서명 데이터를 암호화하여 상기 고객 소유 무선단말로 제공한 경우, 상기 고객 소유 무선단말과 통신하는 상기 제m 통신사서버를 경유하여 상기 고객 소유 무선단말의 USIM을 통해 생성 및 암호화화된 서명 데이터를 수신하는 제5 단계;
지정된 보안저장매체에 저장된 제m 통신사 키를 통해 암호화된 서명 데이터를 복호화하는 제6 단계;
지정된 보안저장매체에 저장된 제n 금융사 키를 통해 상기 복호화된 서명 데이터를 다시 암호화하는 제7 단계; 및
상기 제n 금융사 키를 통해 암호화된 서명 데이터를 제n 금융사서버로 전송하는 제8 단계;를 포함하는 유심기반 전자서명 처리 방법.
In the method executed through a management server interlocking with a customer-owned wireless terminal and communicating with a financial institution server,
USIM (Universal Subscriber Identity Module), which has a certificate applet that performs a specified signing operation from the nth (1≤n≤N) financial institution server among N (N≥1) financial institution servers, and stores customer certificates and carrier keys, is released. A first step of receiving identification information of a customer-owned wireless terminal to be reached and signature target data encrypted through the n-th financial company key;
A second step of processing the encrypted signature target data to be decrypted using an n-th financial company key stored in a designated secure storage medium;
Among M (M≥1) carriers, the mth (1≤m≤M) carrier corresponding to the identification information is identified, and the decrypted signature data is re-encrypted through the mth carrier key stored in a designated secure storage medium. A third step of processing to be possible;
A fourth step of transmitting the data to be signed encrypted through the m-th communication company key and identification information of the customer-owned wireless terminal to the m-th communication company server;
USIM provided in the customer-owned wireless terminal communicating with the m-th communication company server receives the encrypted signature target data through the customer-owned wireless terminal, decrypts it through the m-th communication company key, and uses the certificate applet and the customer certificate. When the decrypted signature data is digitally signed to generate signature data, the generated signature data is encrypted through the m-th communication company key and provided to the customer-owned wireless terminal, the communication with the customer-owned wireless terminal A fifth step of receiving the signature data generated and encrypted through the USIM of the customer-owned wireless terminal via the m-th communication company server;
A sixth step of decrypting the encrypted signature data through the m-th communication company key stored in the designated secure storage medium;
A seventh step of re-encrypting the decrypted signature data through an n-th financial company key stored in a designated secure storage medium; And
An eighth step of transmitting the signature data encrypted through the n-th financial institution key to the n-th financial institution server; and a SIM-based electronic signature processing method.
삭제delete 제 1항에 있어서,
N개의 금융사서버에 대응하는 N개의 금융사 키를 지정된 보안저장매체에 저장하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 1,
And storing the N financial company keys corresponding to the N financial company servers in a designated secure storage medium.
제 1항에 있어서,
M개의 통신사서버에 대응하는 M개의 통신사 키를 지정된 보안저장매체에 저장하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 1,
And storing the M communication company keys corresponding to the M communication company servers in a designated secure storage medium.
삭제delete 삭제delete 제 1항에 있어서, 상기 서명 데이터는,
상기 USIM의 인증서 애플릿을 통해 수행된 전자서명 절차의 서명 검증 키를 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 1, wherein the signature data,
A SIM-based digital signature processing method comprising a signature verification key for a digital signature procedure performed through the USIM certificate applet.
제 7항에 있어서,
상기 서명 데이터에 포함된 서명 검증 키의 유효성을 검증하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 7,
And verifying the validity of the signature verification key included in the signature data.
삭제delete 제 1항에 있어서, 상기 통신사 키를 통해 암호화된 서명 데이터는,
상기 통신사 키를 암호 키로 이용하여 상기 USIM 내부에서 암호화되거나,
상기 통신사 키를 이용하여 생성된 암호 키를 통해 상기 USIM 내부에서 암호화되거나,
상기 통신사 키를 근거로 USIM과 통신사서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되거나,
상기 통신사 키를 근거로 USIM과 관리서버 사이에 교환된 키 값을 암호 키로 사용하여 USIM 내부에서 암호화되는 것 중, 적어도 하나를 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 1, wherein the signature data encrypted through the carrier key,
Encrypted inside the USIM using the carrier key as an encryption key,
Encrypted inside the USIM through an encryption key generated using the carrier key,
Based on the carrier key, the key value exchanged between the USIM and the carrier server is used as an encryption key to be encrypted inside the USIM,
A SIM-based digital signature processing method comprising at least one of encrypted within the USIM using a key value exchanged between the USIM and the management server based on the communication company key as an encryption key.
제 1항에 있어서, 상기 통신사 키를 통해 암호화된 서명 데이터는,
상기 통신사 키를 이용하여 USIM 내에서 수행된 암호화의 무결성 검증 값을 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 1, wherein the signature data encrypted through the carrier key,
A SIM-based digital signature processing method comprising a value of verifying the integrity of encryption performed in the USIM using the carrier key.
제 11항에 있어서,
상기 통신사 키를 통해 USIM 내에서 암호화된 서명 데이터에 포함된 무결성 검증 값의 유효성을 인증하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 11,
And authenticating the validity of the integrity verification value included in the signature data encrypted in the USIM through the communication company key.
제 1항에 있어서, 상기 금융사 키를 통해 암호화된 서명 데이터는,
상기 금융사 키를 이용한 암호화의 무결성 검증 값을 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 1, wherein the signature data encrypted through the financial company key,
A SIM-based digital signature processing method comprising the integrity verification value of encryption using the financial company key.
제 1항에 있어서,
제m 통신사 키를 통해 복호화된 서명 데이터를 제n 금융사 키를 통해 암호화하는 과정에 대한 서명 데이터의 무결성 인증 값을 생성하는 단계; 및
상기 무결성 인증 값을 상기 제n 금융사 키를 통해 암호화되는 서명 데이터에 포함시키는 단계;를 더 포함하여 이루어지는 것을 특징으로 하는 유심기반 전자서명 처리 방법.
The method of claim 1,
Generating an integrity authentication value of the signature data for a process of encrypting the signature data decrypted through the m-th communication company key through the n-th financial company key; And
And including the integrity authentication value in the signature data encrypted through the n-th financial company key.
KR1020130100276A 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module KR102149313B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130100276A KR102149313B1 (en) 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130100276A KR102149313B1 (en) 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module

Publications (2)

Publication Number Publication Date
KR20150023145A KR20150023145A (en) 2015-03-05
KR102149313B1 true KR102149313B1 (en) 2020-08-31

Family

ID=53020689

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130100276A KR102149313B1 (en) 2013-08-23 2013-08-23 Method for Processing Electronic Signature based on Universal Subscriber Identity Module

Country Status (1)

Country Link
KR (1) KR102149313B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11316683B2 (en) 2019-11-18 2022-04-26 Ciot Systems and methods for providing IoT security service using hardware security module

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070039372A (en) * 2005-10-07 2007-04-11 한국정보통신서비스 주식회사 System and method for processing security of card payment by using mobile internet communication network, devices for payment and recording medium
KR100843081B1 (en) * 2006-12-06 2008-07-02 삼성전자주식회사 System and method for providing security
KR100926153B1 (en) * 2007-08-16 2009-11-10 이태원 System For Wireless Public Certification Service Using Electronic Signature With Mobile Terminal and Method For Providing said Service
KR101087215B1 (en) * 2009-04-08 2011-11-29 신동현 USIM direct paying system in mobile phone, direct paying method and storage medium of its method
KR101138283B1 (en) * 2010-04-22 2012-04-24 비씨카드(주) Method and system of mobile payment

Also Published As

Publication number Publication date
KR20150023145A (en) 2015-03-05

Similar Documents

Publication Publication Date Title
US20200029215A1 (en) Secure short message service (sms) communications
JP5508428B2 (en) Key distribution method and system
CN101261675B (en) Secure method for loading service access data in an NFC chipset
CN112823335A (en) System and method for password authentication of contactless cards
US20160232523A1 (en) Method for securing over-the-air communication between a mobile application and a gateway
US8781131B2 (en) Key distribution method and system
CN101202621A (en) Method and system for security verification of data among non-contact equipments
KR20070110409A (en) Methods, system and mobile device capable of enabling credit card personalization using a wireless network
JP2012507900A (en) Remote user authentication using NFC
CN112602104A (en) System and method for password authentication of contactless cards
KR20140098872A (en) security system and method using trusted service manager and biometric for web service of mobile nfc device
KR101656458B1 (en) Authentication method and system for user confirmation and user authentication
Bolhuis Using an NFC-equipped mobile phone as a token in physical access control
KR102149313B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module
KR102078319B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Telegraph Operator
KR102076313B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module of Mobile Device
KR102193696B1 (en) Method for Providing Safety Login based on One Time Code by using User’s Card
KR20150004955A (en) Method for Providing Authentication Code by using End-To-End Authentication between USIM and Server
KR102149315B1 (en) Method for Processing Electronic Signature based on Universal Subscriber Identity Module at a Financial Institution
KR20150023144A (en) Method for Processing Electronic Signature by using Universal Subscriber Identity Module
KR102358598B1 (en) Method for Processing Two Channel Authentication by using Contactless Media
KR101505735B1 (en) Method for Authenticating Near Field Communication Card by using Time Verification
KR101639794B1 (en) Authentication method and system for user confirmation and user authentication
KR101628614B1 (en) Method for Processing Electronic Signature by using Secure Operating System
KR20150000081A (en) Method for Providing One Time Code by using End-To-End Authentication between Card and Server

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant