KR102201218B1 - Access control system and method to security engine of mobile terminal - Google Patents

Access control system and method to security engine of mobile terminal Download PDF

Info

Publication number
KR102201218B1
KR102201218B1 KR1020140036815A KR20140036815A KR102201218B1 KR 102201218 B1 KR102201218 B1 KR 102201218B1 KR 1020140036815 A KR1020140036815 A KR 1020140036815A KR 20140036815 A KR20140036815 A KR 20140036815A KR 102201218 B1 KR102201218 B1 KR 102201218B1
Authority
KR
South Korea
Prior art keywords
app
security engine
mobile terminal
access control
authentication
Prior art date
Application number
KR1020140036815A
Other languages
Korean (ko)
Other versions
KR20150043954A (en
Inventor
임재덕
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to US14/331,474 priority Critical patent/US20150106871A1/en
Publication of KR20150043954A publication Critical patent/KR20150043954A/en
Application granted granted Critical
Publication of KR102201218B1 publication Critical patent/KR102201218B1/en

Links

Images

Abstract

본 발명은 모바일 단말의 보안 엔진의 접근 제어 시스템 및 방법에 관한 것으로, 기본 운영체제부 및 보안 엔진부로 구성되는 모바일 단말의 보안 엔진의 접근 제어 시스템은, 상기 기본 운영체제부에 설치된 신뢰 앱이 실행되어 상기 보안 엔진부의 보안 기능을 이용하기 위하여 앱 ID 및 사용자 인증 정보를 상기 보안 엔진부로 전송하고, 상기 보안 엔진부는 상기 기본 운영체제부로부터 전송된 상기 앱 ID 및 상기 사용자 인증 정보를 바탕으로 신뢰 앱 인지 그리고 신뢰 앱을 실행한 사용자가 모바일 단말의 소유자인지에 대한 인증을 거쳐 보안 엔진부로의 접근을 허용하는 것이다. The present invention relates to an access control system and method of a security engine of a mobile terminal, wherein the access control system of a security engine of a mobile terminal comprising a basic operating system unit and a security engine unit executes a trust app installed in the basic operating system unit, In order to use the security function of the security engine unit, the app ID and user authentication information are transmitted to the security engine unit, and the security engine unit recognizes and trusts a trusted app based on the app ID and the user authentication information transmitted from the basic operating system unit. It authenticates whether the user running the app is the owner of the mobile terminal and allows access to the security engine unit.

Description

모바일 단말의 보안 엔진의 접근 제어 시스템 및 방법{Access control system and method to security engine of mobile terminal}Access control system and method to security engine of mobile terminal

본 발명은 모바일 단말의 보안 엔진의 접근 제어 시스템 및 방법에 관한 것으로, 상세하게는 기본 운영체제에서 보안 엔진에 어플리케이션(Application:이하 "앱"이라 칭한다) ID를 등록하고, 기본 운영체제에서 보안 엔진으로 접근할 때, 모바일에 설치된 앱과 모바일 단말 소유자의 인증 후 접근하도록 함으로써 모바일 단말의 보안성을 강화할 수 있는 모바일 단말의 보안 엔진의 접근 제어 시스템 및 방법에 관한 것이다.
The present invention relates to a system and method for access control of a security engine of a mobile terminal, and in detail, an application (Application: hereinafter referred to as "app") ID is registered in a security engine in a basic operating system and accessed from the basic operating system to the security engine. In this regard, the present invention relates to an access control system and method of a security engine of a mobile terminal capable of enhancing the security of a mobile terminal by allowing an app installed on the mobile to access after authentication of the mobile terminal owner.

모바일 단말은 인터넷 연결과 휴대의 편리성 등으로 인터넷 뱅킹 및 주식과 같은 금융 서비스뿐만 아니라, 스마트 워크(Smart Work)와 같은 업무에도 많이 활용되고 있는 추세이다.Mobile terminals are increasingly being used not only for Internet banking and financial services such as stocks, but also for tasks such as Smart Work due to Internet connection and convenience of portability.

모바일 단말을 통한 서비스가 많아짐에 따라, PC 중심의 악성코드들이 모바일 단말 중심으로 급속히 퍼져, 개인적 재산 피해는 물론 기업 정보 유출 등의 피해가 증가하고 있다.As services through mobile terminals increase, PC-centered malicious codes are rapidly spreading to mobile terminals, and damages such as personal property damage as well as corporate information leakage are increasing.

이에 모바일 운영체제들이 발표된 보안 취약점을 보완한 패치 및 업그레이드를 제공하고, 별도의 보안 업체들로부터 모바일용 보안 응용들이 제공되고 있지만, 날로 지능화되는 해킹 기법에 한계를 보이고 있다.Accordingly, mobile operating systems provide patches and upgrades that complement the announced security vulnerabilities, and mobile security applications are provided by separate security companies, but the hacking techniques that become increasingly intelligent are showing limitations.

기존의 플랫폼 수준의 보안 기술은 기본 운영체제 내의 접근 제어 기능을 강화하여, 운영체제가 업무용 앱과 개인용 앱을 구분할 수 있도록 하여, 개인용 앱이 업무용 앱의 데이터에 접근하지 못하도록 통제하는 기술과 가상화 기술을 통해 동일한 혹은 동일 수준의 운영체제를 완전히 격리하여 서로 운영 영역을 달리하여, 하나는 개인용으로 사용하고 하나는 업무용으로 사용하도록 하여 서로 간의 데이터 공유를 통제하는 것과 관련된다.The existing platform-level security technology reinforces the access control function within the basic operating system so that the operating system can distinguish between work and personal apps, and through virtualization technology and technology to control personal apps from accessing the data of business apps. It is related to controlling data sharing between each other by completely isolating operating systems of the same or the same level so that operating areas are different from each other, one for personal use and one for business use.

운영체제 수준에서 접근 제어를 통해 업무용 데이터의 접근을 통제하는 기술은 접근 통제가 운영체제 수준에서 이루어진다고 하지만, 악성 코드들이 보호되어야 하는 공간이 동시에 존재하여, 항상 보안 취약점이 잠재되어 있을 수 있으며, 보안 취약점이 발견되면 해당 취약점을 보완하는 패치를 개발해야 한다.The technology that controls access to business data through access control at the operating system level is said to be performed at the operating system level, but there is a space where malicious codes must be protected at the same time, so there may always be a potential security vulnerability. If found, it is necessary to develop a patch that fixes the vulnerability.

가상화 기술을 통해 분리된 운영영역을 가지는 구조에서는 개인용과 업무용 공간을 분리하여 개인용 영역의 보안 취약점을 통한 업무용 영역의 데이터 유출은 방지할 수 있어도, 업무용 영역 역시 개인용 영역과 동일 수준의 보안 강도를 가지고 있기 때문에, 개인용 영역으로부터의 침입이 아닌 업무용 영역의 보안 취약점에 의해 데이터가 유출될 수 있다.In a structure having a separate operating area through virtualization technology, data leakage in the work area can be prevented through the security vulnerability of the personal area by separating the personal and work space, but the business area also has the same level of security as the personal area. Therefore, data may be leaked due to a security vulnerability in the business area rather than an intrusion from the personal area.

이런 문제점을 근본적으로 해결하기 위한 구조로 최근 보안 기능을 수행하는 영역을 기본 운영체제 영역과 격리하는 구조에 대한 관심이 높아지고 있으며, 이에 대한 다양한 연구가 진행되고 있다.
As a structure to fundamentally solve this problem, interest in a structure in which the area performing the security function is isolated from the basic operating system area is increasing, and various studies on this are in progress.

따라서, 본 발명은 상기한 문제점을 해결하기 위한 것으로, 본 발명의 목적은, 기본 운영체제에서 보안 엔진에 앱 ID를 등록하고, 기본 운영체제에서 보안 엔진으로 접근할 때, 모바일에 설치된 앱과 모바일 단말 소유자에 대한 인증을 수행한 후 접근하도록 함으로써 모바일 단말의 보안성을 강화할 수 있는 모바일 단말의 앱 ID 등록 시스템 및 방법, 그리고, 모바일 단말의 보안 엔진의 접근 제어 시스템 및 방법을 제공하는데 있다.
Accordingly, the present invention is to solve the above problem, and an object of the present invention is to register the app ID in the security engine in the basic operating system, and when accessing the security engine in the basic operating system, the app installed on the mobile and the mobile terminal owner It is to provide an app ID registration system and method of a mobile terminal that can enhance security of a mobile terminal by allowing access after performing authentication, and an access control system and method of a security engine of a mobile terminal.

상기와 같은 목적을 달성하기 위한 본 발명의 일 실시 예에 따른 모바일 단말의 보안 엔진 접근을 위한 모바일 단말의 보안 엔진의 접근 제어 시스템으로서, 다운로드된 앱에 대한 검증 과정을 통해 앱 인증을 실시하고 인증에 성공한 경우, 상기 다운로드된 앱의 앱 ID를 계산하는 기본 운영체제부 및 상기 기본 운영체제부에서 계산되어 전송된 상기 앱 ID를 저장하는 보안 엔진부를 포함하고, 상기 기본 운영체제부는 상기 다운로드된 앱에 대한 검증 과정을 통해 앱 인증을 실시하는 앱 인증 모듈, 상기 앱 인증 모듈에 의해 인증된 앱이 설치되는 앱 저장 모듈 및 상기 앱 인증 모듈에 의해 인증된 앱에 대한 상기 앱 ID를 계산하여 상기 보안 엔진부로 전송하는 보안 엔진 API(Application Programming Interface)를 포함하고, 상기 앱 저장 모듈은 상기 보안 엔진부의 보안 기능을 이용하기 위하여 상기 앱 ID 및 사용자 인증 정보를 상기 보안 엔진부로 전송하고, 상기 보안 엔진부는 상기 기본 운영체제부로부터 전송된 상기 앱 ID 및 상기 사용자 인증 정보를 바탕으로 신뢰 앱 인지여부 및 상기 신뢰 앱을 실행한 사용자가 상기 모바일 단말의 소유자인지에 대한 인증을 거쳐 상기 보안 엔진부으로의 접근을 허용한다.As an access control system of a security engine of a mobile terminal for accessing the security engine of a mobile terminal according to an embodiment of the present invention to achieve the above object, app authentication and authentication through a verification process for downloaded apps If successful, a basic operating system unit that calculates the app ID of the downloaded app and a security engine unit that stores the app ID calculated and transmitted by the basic operating system unit, and the basic operating system unit verifies the downloaded app An app authentication module that performs app authentication through a process, an app storage module in which the app authenticated by the app authentication module is installed, and the app ID for the app authenticated by the app authentication module are calculated and transmitted to the security engine unit. A security engine application programming interface (API), wherein the app storage module transmits the app ID and user authentication information to the security engine unit to use the security function of the security engine unit, and the security engine unit Based on the app ID and the user authentication information transmitted from the unit, access to the security engine unit is allowed through authentication as to whether a trusted app is recognized and whether the user who ran the trusted app is the owner of the mobile terminal.

상기 보안 엔진부는 신뢰 앱의 앱 ID를 저장하기 위한 접근 통제 정책 DB(Database) 및 상기 기본 운영체제부로부터 전송되는 앱 ID를 수신하여, 상기 접근 통제 정책 DB에 저장하는 접근 통제 모듈을 포함할 수 있다.The security engine unit may include an access control policy DB (Database) for storing the app ID of a trusted app and an access control module for receiving the app ID transmitted from the basic operating system unit and storing it in the access control policy DB. .

상기 기본 운영체제부는 상기 다운로드된 앱이 정상적인 경로를 통해 또는 정상적인 앱 스토어로부터 배포된 앱 인지를 검증하거나, 위/변조 여부를 검증하여 앱 인증을 실시할 수 있다.The basic operating system unit may verify whether the downloaded app is an app distributed through a normal path or from a normal app store, or verify whether the downloaded app is forged or altered to perform app authentication.

또한, 상기 기본 운영체제와 상기 보안 엔진을 격리시키며, 상기 기본 운영체제와 상기 보안 엔진 사이의 통신을 위한 통신 채널을 구비하는 하이퍼바이저(Hypervisor)를 더 포함한다. Further, it further includes a hypervisor that isolates the basic operating system and the security engine and has a communication channel for communication between the basic operating system and the security engine.

한편, 상기 기본 운영체제부는 상기 다운로드된 앱이 정상적인 경로를 통해 또는 정상적인 앱 스토어로부터 배포된 앱인지를 검증하거나, 위/변조 여부를 검증하여 앱 인증을 실시할 수 있다. 상기 접근 통제 정책 DB에 저장된 앱 ID는 상기 앱 인증 모듈에 의해 신뢰 앱으로 인증된 앱에 대해 상기 보안 엔진 API가 앱 ID를 계산한 후 상기 보안 엔진으로 전송하여 저장될 수 있다. 상기 보안 엔진 API는 상기 기본 운영체재부 내에서의 호출에만 응하여 상기 앱 ID를 계산한다.Meanwhile, the basic operating system unit may verify whether the downloaded app is an app distributed through a normal path or from a normal app store, or verify whether the downloaded app is forged or altered to perform app authentication. The app ID stored in the access control policy DB may be stored by transmitting to the security engine after the security engine API calculates the app ID for an app authenticated as a trusted app by the app authentication module. The security engine API calculates the app ID only in response to a call within the basic operating system unit.

상기와 같은 목적을 달성하기 위한 본 발명의 일 실시 예에 따른 모바일 단말의 보안 엔진 접근 제어를 위한 모바일 단말의 앱 ID 등록 방법은 기본 운영체제 및 보안 엔진으로 구성되는 모바일 단말을 통해 앱 스토어에 접속하여 앱을 다운로드하는 단계, 상기 기본 운영체제가 다운로드된 앱에 대한 검증 과정을 통해 앱 인증을 실시하는 단계, 인증에 성공한 경우, 상기 기본 운영체제가 다운로드된 앱에 대한 앱 ID를 계산하여, 상기 보안 엔진으로 전송하는 단계 및 상기 보안 엔진에서, 상기 기본 운영체제로부터 전송된 앱 ID를 저장하는 단계를 포함한다.In order to achieve the above object, an App ID registration method of a mobile terminal for controlling access to a security engine of a mobile terminal according to an embodiment of the present invention is performed by accessing an app store through a mobile terminal consisting of a basic operating system and a security engine. Downloading an app, performing app authentication through a verification process for the downloaded app by the basic operating system, and if authentication is successful, the basic operating system calculates the app ID for the downloaded app, and uses the security engine. And storing, in the security engine, the app ID transmitted from the basic operating system.

상기 앱 인증을 실시하는 단계는, 상기 다운로드된 앱이 정상적인 경로를 통해 또는 정상적인 앱 스토어로부터 배포된 앱 인지를 검증하거나, 위/변조 여부를 검증하여 앱 인증을 수행한다. In the performing of the app authentication, it is verified whether the downloaded app is an app distributed through a normal path or from a normal app store, or whether it is forged or altered to perform app authentication.

이때, 상기 검증은 인증서를 이용한 전자서명을 통해 이루어지거나, 앱 파일의 무결성 정보 인증을 통해 이루어질 수 있다.In this case, the verification may be performed through an electronic signature using a certificate or may be performed through authentication of the integrity information of the app file.

한편, 인증에 실패한 경우, 다운로드된 앱에 대한 설치 중단이 이루어지도록 할 수 있다.On the other hand, if authentication fails, the installation of the downloaded app can be stopped.

상기 다운로드된 앱에 대한 앱 ID 계산은 일방향 해시 알고리즘을 이용하여 이루어질 수 있다.
App ID calculation for the downloaded app may be performed using a one-way hash algorithm.

삭제delete

삭제delete

삭제delete

삭제delete

삭제delete

상기와 같은 목적을 달성하기 위한 본 발명의 일 실시 예에 따른 모바일 단말의 보안 엔진의 접근 제어 방법은, 모바일 단말에 설치된 앱이 실행되어, 보안 엔진 API를 호출하는 단계, 상기 보안 엔진 API가 자신을 호출한 앱의 앱 ID를 계산하고, 계산된 앱 ID를 보안 엔진의 접근 통제 모듈로 전송하여 보안 엔진 접근 허가를 요청하는 단계, 상기 접근 통제 모듈이, 상기 보안 엔진 API에서 전송된 앱 ID를 이용하여 보안 엔진에 접근하려는 앱이 신뢰 앱인지를 판단하는 단계, 상기 판단결과, 상기 보안 엔진에 접근하려는 앱이 신뢰 앱인 경우, 사용자 인증 정보를 요청하는 단계, 사용자에 의해 입력된 사용자 인증 정보를 바탕으로 상기 앱을 실행한 사용자가 모바일 단말 소유자인지를 확인하는 단계 및 상기 앱을 실행한 사용자가 모바일 단말 소유자인 경우 보안 엔진으로의 접근을 허용하는 단계를 포함한다.The access control method of a security engine of a mobile terminal according to an embodiment of the present invention for achieving the above object includes the steps of executing an app installed in the mobile terminal and calling a security engine API, wherein the security engine API is Calculating the app ID of the calling app, and transmitting the calculated app ID to the access control module of the security engine to request permission to access the security engine, the access control module, the app ID transmitted from the security engine API Determining whether the app to access the security engine by using is a trusted app, the determination result, if the app to access the security engine is a trusted app, requesting user authentication information, and user authentication information input by the user Based on this, it includes determining whether the user who ran the app is the owner of the mobile terminal, and allowing access to the security engine when the user who ran the app is the owner of the mobile terminal.

또한, 앱이 종료될 경우, 상기 채널 통신은 앱 종료와 동시에 종료되어 비활성화되도록 할 수 있다.In addition, when the app is terminated, the channel communication can be terminated and deactivated at the same time as the app is terminated.

이때, 상기 앱 ID를 계산하는 것은 운영체제에서 관리하는 앱 정보를 기반으로 이루어질 수 있다.In this case, calculating the app ID may be performed based on app information managed by the operating system.

한편, 상기 신뢰 앱인지를 판단하는 단계는, 상기 보안 엔진 API로부터 전송된 앱 ID가 상기 보안 엔진의 접근 통제 정책 DB에 등록되어 있는지를 판단하는 것일 수 있다.Meanwhile, the determining whether the app is the trusted app may be determining whether the app ID transmitted from the security engine API is registered in the access control policy DB of the security engine.

또한, 상기 신뢰 앱 인지를 판단하는 단계에서 신뢰 앱이 아니라고 판단되면, 상기 보안 엔진으로의 접근을 거부한다. In addition, if it is determined that the app is not trusted in the step of determining whether the app is trusted, access to the security engine is denied.

상기 모바일 단말 소유자인지를 확인하는 단계는, 상기 사용자에 의해 입력된 사용자 인증 정보가 상기 보안 엔진의 접근 통제 정책 DB에 미리 설정되어 있는지를 판단한다.
In the step of determining whether the mobile terminal is the owner, it is determined whether the user authentication information input by the user is preset in the access control policy DB of the security engine.

이와 같은 본 발명의 실시 예에 따르면, 모바일 단말 내에서 사용자에게 직접 제공되는 기본 운영체제와 격리된 보안 엔진을 가지는 단말 구조에서, 기본 운영체제에서 보안 엔진으로 접근을 하는 경우, 신뢰된 앱과 모바일 단말 소유자 인증을 기반으로 한 투-팩터(Two-Factor) 인증을 거치도록 함으로써, 보안 엔진을 가지는 모바일 단말의 보안성을 강화시킬 수 있다.According to this embodiment of the present invention, in a terminal structure having a security engine isolated from a basic operating system directly provided to a user within a mobile terminal, when accessing the security engine from the basic operating system, the trusted app and the mobile terminal owner By passing through two-factor authentication based on authentication, the security of a mobile terminal having a security engine can be enhanced.

따라서, 모바일 단말의 보안성 강화를 통해, 모바일 단말 내에서 운용되는 앱의 신뢰도를 증가시켜, 인터넷 뱅킹 및 주식 등의 금융 거래의 안전성을 강화할 수 있고, 모바일 단말의 보안성 문제로 활성화되지 못하고 있는 기업이나 공공기관 등의 스마트 워크 형태의 서비스도 활성화할 수 있다. 즉 단말의 신뢰성을 필요로 하는 모바일 단말 기반의 다양한 서비스의 활성화에 이용될 수 있다.
Therefore, by reinforcing the security of the mobile terminal, it is possible to increase the reliability of the apps operated in the mobile terminal, thereby reinforcing the safety of financial transactions such as internet banking and stocks. Smart work-type services such as companies and public institutions can also be activated. That is, it can be used to activate various services based on mobile terminals that require terminal reliability.

도 1은 모바일 단말에서의 격리된 보안 엔진에 대한 접근 제어 시스템을 도시한 구성도이다.
도 2는 신뢰앱 설치 및 등록 과정을 도시한 순서도이다.
도 3은 앱 운용 시 보안 엔진 접근 제어 과정을 도시한 순서도이다.1 is a block diagram illustrating an access control system for an isolated security engine in a mobile terminal.
Figure 2 is a flow chart showing the process of installing and registering a trust app.
3 is a flow chart showing a security engine access control process when operating an app.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 한편, 본 명세서에서 사용된 용어는 실시 예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.Advantages and features of the present invention, and a method of achieving them will become apparent with reference to the embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but will be implemented in a variety of different forms, only these embodiments are intended to complete the disclosure of the present invention, and those skilled in the art to which the present invention belongs. It is provided to fully inform the person of the scope of the invention, and the invention is only defined by the scope of the claims. Meanwhile, terms used in the present specification are for describing exemplary embodiments and are not intended to limit the present invention. In this specification, the singular form also includes the plural form unless specifically stated in the phrase.

이하, 본 발명의 바람직한 실시 예를 첨부된 도면들을 참조하여 상세히 설명한다. 우선 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. First of all, in adding reference numerals to elements of each drawing, it should be noted that the same elements have the same numerals as possible even if they are indicated on different drawings. In addition, in describing the present invention, when it is determined that a detailed description of a related known configuration or function may obscure the subject matter of the present invention, a detailed description thereof will be omitted.

본 발명은 이와 같은 배경으로 제안되고 있는 격리된 보안 엔진에 대해 보안성이 강화된 사용환경을 제공하기 위하여, 기본 운영체제에서 실행되는 앱이 보안영역에 접근할 때, 실행되는 앱과, 앱을 실행한 사용자를 인증하는 투-팩터(Two-Factor) 접근 제어방법을 이용하여, 격리된 보안 엔진과 더불어 모바일 단말의 보안성을 강화하고자 하는 방안을 모색하고자 한다.
In order to provide a security-enhanced use environment for an isolated security engine proposed against such a background, the present invention executes an app and an app to be executed when an app running in the basic operating system accesses the security area. Using a two-factor access control method that authenticates one user, we seek to find a way to enhance the security of mobile terminals together with an isolated security engine.

도 1은 모바일 단말에서의 격리된 보안 엔진에 대한 접근 제어 시스템을 도시한 구성도이다.1 is a block diagram illustrating an access control system for an isolated security engine in a mobile terminal.

도 1을 참조하면, 모바일 단말은 기본 운영체제(10)와 보안 엔진(20)이 격리되어 이원화된 구조를 가지며, 기본 운영체제(10)와 보안 엔진(20)은 하이퍼바이저(Hypervisor)(30)에 의해 물리적으로 격리된다.Referring to FIG. 1, the mobile terminal has a binary structure in which the basic operating system 10 and the security engine 20 are isolated, and the basic operating system 10 and the security engine 20 are in a hypervisor 30. Physically isolated by

기본 운영체제(10)는 예를 들면 안드로이드 운영체제로서, 모바일 단말에서 기본적으로 사용자에게 제공되며, 보안 엔진(20)은 보안기능을 제공한다.The basic operating system 10 is, for example, an Android operating system, which is basically provided to a user in a mobile terminal, and the security engine 20 provides a security function.

기본 운영체제(10)는 격리된 보안 엔진(20)을 이용하기 위해 앱 인증 모듈(11), 앱 저장부(12) 및 보안 엔진 API(Application Programming Interface)(13)를 포함한다. The basic operating system 10 includes an app authentication module 11, an app storage unit 12, and a security engine API (Application Programming Interface) 13 to use the isolated security engine 20.

앱 인증 모듈(11)은 기본 운영체제에서 앱을 설치하는 모듈에 포함되거나 별도의 모듈로 제공될 수 있으며, 모바일 단말에 앱을 설치하기 전에 설치하고자 하는 앱을 배포하는 앱 스토어와 인증과정을 거쳐 설치되는 앱이 정상적인 앱 인지 확인하는 역할을 수행한다.The app authentication module 11 may be included in a module that installs an app in the basic operating system or may be provided as a separate module, and it is installed through an app store that distributes the app to be installed and an authentication process before installing the app on a mobile terminal. Plays the role of checking whether the app being used is a normal app.

인증 과정이 완료된 후, 해당 앱은 신뢰된 앱("신뢰 앱")으로써 모바일 단말에 설치되어, 앱 저장부(12)에 저장되고, 보안 엔진 API(13)를 통해 접근 통제 모듈(22)을 거쳐 접근 통제 정책 DB(21)에 신뢰 앱으로 등록된다.After the authentication process is completed, the app is installed on the mobile terminal as a trusted app ("trusted app"), stored in the app storage unit 12, and the access control module 22 is accessed through the security engine API 13. After that, it is registered as a trusted app in the access control policy DB (21).

한편, 인증 과정에 실패한 앱은 일반 앱으로 모바일 단말에 설치되어, 격리된 보안 엔진을 이용하지 못하도록 할 수 있다.On the other hand, an app that fails the authentication process can be installed on the mobile terminal as a general app, so that the isolated security engine cannot be used.

보안 엔진 API(13)는 기본 운영체제에서 동작하는 앱이 보안 엔진(20)의 보안 기능을 이용할 수 있도록 제공되는 인터페이스이다.The security engine API 13 is an interface provided so that an app running in the basic operating system can use the security function of the security engine 20.

기본 운영체제에서 실행되는 앱이 보안 엔진 API(130)를 통해 보안 엔진(20)으로 서비스를 요청할 때, 서비스 요청을 전달하기 위해 하이퍼바이저(30)에 서비스 요청을 전달하는 통신 채널(31)이 존재한다.When an app running in the basic operating system requests a service to the security engine 20 through the security engine API 130, there is a communication channel 31 that transmits a service request to the hypervisor 30 to deliver the service request. do.

보안 엔진(20)에는 기본 운영체제에서 실행되는 앱이 보안 기능 서비스를 요청할 때, 서비스를 요청한 앱과 사용자를 확인하여 보안 기능 서비스의 요청을 허용하거나 거부하는 접근 통제 모듈(22)이 존재한다.In the security engine 20, when an app running in the basic operating system requests a security function service, there is an access control module 22 that allows or denies a request for a security function service by checking the app and the user who requested the service.

접근 통제 모듈(22)이 요청된 서비스를 허가하거나 거부할 때는 신뢰 앱과 사용자 인증 정보가 저장되어 있는 접근 통제 정책 DB(Database)(21)로부터 확인한다.When the access control module 22 allows or denies the requested service, it checks from the access control policy DB (Database) 21 in which the trusted app and user authentication information are stored.

접근 통제 정책 DB(21)에는 기본 운영체제(10)에서 요청되는 서비스의 주체를 확인하기 위해 신뢰 앱의 정보(앱 ID)와 사용자가 미리 입력해둔 인증 정보 예를 들어, PIN(Personal Identity Number) 정보가 저장되어 있으며, 보안 엔진 API(13)를 통해 요청이 들어올 때 요청한 주체를 확인할 때 이용된다.
In the access control policy DB 21, information of a trusted app (app ID) and authentication information previously entered by the user, for example, PIN (Personal Identity Number) information, in order to identify the subject of the service requested from the basic operating system 10. Is stored, and is used to check the requesting subject when a request is received through the security engine API 13.

도 2는 신뢰 앱 설치 및 등록 과정을 도시한 순서도이다.2 is a flowchart illustrating a process of installing and registering a trusted app.

도 2를 참조하면, 모바일 사용자는 모바일 단말을 통해 앱 스토어에 접속하여 서비스에 필요한 앱을 다운로드한다(S10). Referring to FIG. 2, a mobile user accesses an app store through a mobile terminal and downloads an app required for a service (S10).

이때, 앱 스토어는 기업이나 특정 기관이 그들만의 고유한 서비스(예, 기업 전용 메일, 결재 서비스 등)를 안전하게 제공하기 위한 앱을 안전하게 배포하기 위해 별도로 운영 및 제공된다.At this time, the app store is separately operated and provided to safely distribute apps for companies or specific organizations to safely provide their own unique services (eg, corporate mail, payment service, etc.).

또한, 앱 다운로드는 모바일 단말의 앱 설치모듈이 사용자가 선택한 앱을 다운로드함으로써 이루어질 수 있다.In addition, the app download may be performed by the app installation module of the mobile terminal downloading an app selected by the user.

다음으로, 앱 인증 모듈(11)이 다운로드된 앱이 정상적인 경로를 통해 혹은 정상적인 앱 스토어로부터 배포된 앱인지, 그리고 악성코드 포함 등의 위/변조가 발생하지 않았는지를 검증하는 과정을 통해 앱 인증을 실시한다(S20).Next, the app authentication module 11 performs app authentication through a process of verifying whether the downloaded app is an app distributed through a normal path or from a normal app store, and whether forgery/modification such as including malicious code has occurred. It performs (S20).

정상적인 경로로 배포되었는지에 대한 검증은 주로 인증서를 이용한 전자서명을 통해 이루어지고, 위/변조 여부는 앱 파일의 무결성 정보 인증을 통해 이루어진다.Verification of whether it is distributed through a normal path is mainly performed through an electronic signature using a certificate, and whether forgery or alteration is performed through the integrity information authentication of the app file.

만약, 인증에 실패한 경우(S20-No), 해당 앱이 비정상적인 경로로 배포되었거나 위/변조되었을 가능성이 있는 것으로 간주하여, 앱의 설치를 중단하고(S30) 종료한다. 이때, 인증에 실패한 앱을 보안 엔진을 이용하지 못하도록 일반 앱으로 설치할 수 있다.If the authentication fails (S20-No), it is regarded that the app has been distributed in an abnormal path or may have been forged/modified, and the installation of the app is stopped (S30) and terminated. At this time, an app that has failed authentication can be installed as a general app so that the security engine cannot be used.

한편, 인증에 성공한 경우(S20-Yes), 보안 엔진 API(13)는 설치될 앱에 대한 앱 ID를 계산하며, 계산된 앱 ID는 보안 엔진(20)으로 전달된다(S40).On the other hand, when the authentication is successful (S20-Yes), the security engine API 13 calculates the app ID for the app to be installed, and the calculated app ID is transmitted to the security engine 20 (S40).

이때, 앱 ID는 앱을 구분하는 고유의 값을 의미하며, 서로 다른 앱이 같은 값을 가지지 않고 추측을 어렵게 하기 위해 일방향 해쉬(Hash) 알고리즘으로 안전하게 계산한다.At this time, the app ID means a unique value that distinguishes the app, and is safely calculated with a one-way hash algorithm in order to make it difficult for different apps to have the same value and to make guesswork.

보안 엔진(20)으로 전달된 앱 ID는 접근 통제 정책 DB(21)에 저장하고 앱이 설치 운영되어 보안 엔진(20)을 이용하고자 할 때 사용된다. The app ID transmitted to the security engine 20 is stored in the access control policy DB 21 and is used when the app is installed and operated to use the security engine 20.

앱 ID를 접근 통제 정책 DB(21)에 저장한 후, 다운로드된 앱을 정상적으로 설치하며(S50), 설치된 앱은 앱 저장부(12)에 저장된다.After storing the app ID in the access control policy DB 21, the downloaded app is normally installed (S50), and the installed app is stored in the app storage unit 12.

상기의 신뢰 앱 설치 및 등록 과정은 특정 업무를 위해 특정 앱 스토어에 접근하여 신뢰 앱을 설치할 경우에 적용될 수 있는 것으로, 일반적으로 사용하는 앱의 경우 공개된 앱 스토어에 접근하여 필요한 앱을 설치하게 된다. 이 경우에는 앱 인증이 어려울 수 있으며, 이후에는 앱 설치를 중단하거나 일반적인 앱으로 설치하게 하여, 격리된 보안 엔진으로는 접근할 수 없도록 하는 것이 바람직하다.
The above process of installing and registering a trusted app can be applied when installing a trusted app by accessing a specific app store for a specific task. In the case of an app that is generally used, the app is installed by accessing the public app store. . In this case, it may be difficult to authenticate the app, and after that, it is desirable to stop installing the app or install it as a general app so that it cannot be accessed by an isolated security engine.

도 3은 앱 운용 시 보안 엔진 접근 제어 과정을 도시한 순서도이다.3 is a flow chart showing a security engine access control process when operating an app.

도 3을 참조하면, 모바일 단말에 설치된 앱이 실행되어, 보안 엔진 API(13)를 호출한다(S110). 이때, 앱은 도 2에서와 같은 설치 및 등록 과정을 거쳐 모바일 단말에 설치된 신뢰 앱이다. Referring to Figure 3, the app installed in the mobile terminal is executed, and calls the security engine API (13) (S110). In this case, the app is a trusted app installed on the mobile terminal through the installation and registration process as in FIG. 2.

다음으로, 보안 엔진 API(13)는 보안 엔진 API(13)를 호출한 앱의 앱 ID를 계산하고, 계산된 앱 ID를 접근 통제 모듈(22)로 전송하여 보안 엔진(20) 접근 허가를 요청한다(S120). 이때, 보안 엔진 API(13)는 응용 레벨(사용자 수준)에서 별도의 앱 정보를 입력받지 않고, 시스템 레벨(운영체제 수준)에서 관리하는 앱 정보(프로세스 정보)를 기반으로 하여 앱 ID를 계산한다.Next, the security engine API 13 calculates the app ID of the app that called the security engine API 13 and sends the calculated app ID to the access control module 22 to request access permission from the security engine 20 Do (S120). At this time, the security engine API 13 calculates the app ID based on app information (process information) managed at the system level (operating system level) without receiving separate app information at the application level (user level).

실행되는 앱 정보를 사용자 응용 레벨(사용자 수준)에서 입력받아 계산할 경우, 보통은 실행되는 앱 정보를 입력하는 것이 정상이나, 악의적인 목적을 가지고 접근통제정책 DB(21)에 등록된 신뢰앱 정보를 입력하여 앱 ID를 도용할 수 있는데, 이와 같은 방법으로 앱 ID를 계산하면, 앱 ID 도용 가능성을 방지할 수 있다.When calculating the running app information at the user application level (user level), it is usually normal to enter the running app information, but the trusted app information registered in the access control policy DB (21) for malicious purposes The app ID can be stolen by entering it. If the app ID is calculated in this way, the possibility of app ID theft can be prevented.

또한, 악의적인 의도를 가진 앱 개발자가 임의로 특정 앱 정보를 접근 통제 정책 DB(21)에 저장하거나 접근 통제 정책 DB(21)에서 삭제할 위험을 방지하기 위하여, 상기 보안 엔진 API(13)는 앱 개발자에게 공개되지 않고, 상기 기본 운영체재(10) 내의 호출에 의해서만 응하여 앱 ID를 계산하는 것이 바람직하다.In addition, in order to prevent the risk that an app developer with malicious intent will arbitrarily store specific app information in the access control policy DB 21 or delete it from the access control policy DB 21, the security engine API 13 It is not disclosed to, and it is preferable to calculate the app ID in response only by a call within the basic operating system 10.

접근 통제 모듈(22)은 전송된 앱 ID를 이용하여 보안엔진에 접근하려는 앱이 신뢰 앱 인지를 판단하며, 이때, 접근 통제 정책 DB(21)에 등록된 앱 ID를 검색하여, 등록 여부를 판단함으로써 신뢰 앱 인지를 판단한다(S130).The access control module 22 determines whether or not the app trying to access the security engine is a trusted app using the transmitted app ID, and at this time, it searches for the app ID registered in the access control policy DB 21 to determine whether to register. By doing so, it is determined whether it is a trusted app (S130).

이때, 등록되어 있지 않은 앱 ID이면, 신뢰 앱이 아니라고 판단하여(S130-No), 보안 엔진으로의 접근을 거부한다(S140).In this case, if the app ID is not registered, it is determined that it is not a trusted app (S130-No), and access to the security engine is denied (S140).

한편, 등록되어 있는 앱 ID이면, 신뢰 앱이라고 판단하여(S130-Yes), 사용자 인증 정보를 요청한다(S150). 이때, 접근 통제 모듈(22)은 PIN(Personal Identification Number) 입력을 요청할 수 있으며, 이를 바탕으로 앱을 실행한 사용자가 모바일 단말 소유자인지를 인증할 수 있다.On the other hand, if it is a registered app ID, it is determined that it is a trusted app (S130-Yes), and user authentication information is requested (S150). In this case, the access control module 22 may request a PIN (Personal Identification Number) input, and based on this, may authenticate whether the user who ran the app is the owner of the mobile terminal.

입력된 인증을 위해 입력된 PIN 정보를 바탕으로, 접근 통제 모듈(22)은 입력된 PIN 정보가 접근 통제 정책 DB(21)에 미리 설정되어 있는 PIN 정보와 일치하는지를 확인한다(S150).Based on the input PIN information for the input authentication, the access control module 22 checks whether the input PIN information matches the PIN information preset in the access control policy DB 21 (S150).

이때, 입력된 PIN 정보와 접근 통제 정책 DB(21)에 미리 등록된 PIN 정보가 일치하지 않으면(S160-No), 앱을 실행한 사용자는 모바일 단말의 소유자가 아니라고 판단하여 보안 엔진으로의 접근을 거부한다(S140).At this time, if the entered PIN information and the PIN information previously registered in the access control policy DB 21 do not match (S160-No), the user who ran the app determines that he is not the owner of the mobile terminal and accesses the security engine. Reject (S140).

만약, 입력된 PIN 정보와 등록된 PIN 정보가 일치하면(S160-Yes), 앱을 실행한 사용자는 모바일 단말의 소유자라고 판단하여, 보안 엔진으로의 접근을 허용한다(S170).If the input PIN information and the registered PIN information match (S160-Yes), it is determined that the user who ran the app is the owner of the mobile terminal and allows access to the security engine (S170).

보안 엔진으로의 접근이 허용되면(S170), 앱이 실행되는 동안 반복되는 인증 과정없이 보안 엔진의 기능을 이용할 수 있도록, 보안 엔진 API의 메시지를 전달하는 하이퍼바이저(30)의 채널 통신(31)을 인증된 상태로 유지한다(S180).When access to the security engine is allowed (S170), channel communication 31 of the hypervisor 30 that delivers a message of the security engine API so that the function of the security engine can be used without repetitive authentication process while the app is running. Is maintained in an authenticated state (S180).

이후, 인증된 하이퍼바이저(30)의 채널 통신(31)은 앱이 종료될 경우, 도용 및 오용을 방지하기 위해 앱 종료와 동시에 종료되어 비활성화되도록 한다.
Thereafter, when the app is terminated, the channel communication 31 of the authenticated hypervisor 30 is terminated and deactivated at the same time as the app is terminated to prevent theft and misuse.

이와 같은 본 발명의 실시 예에 따르면, 모바일 단말 내에서 사용자에게 직접 제공되는 기본 운영체제와 격리된 보안 엔진을 가지는 단말 구조에서, 기본 운영체제에서 보안 엔진으로 접근을 하는 경우, 신뢰된 앱과 모바일 단말 소유자 인증을 기반으로 한 투-팩터(Two-Factor) 인증을 거치도록 함으로써, 보안 엔진을 가지는 모바일 단말의 보안성을 강화시킬 수 있다.According to this embodiment of the present invention, in a terminal structure having a security engine isolated from a basic operating system directly provided to a user within a mobile terminal, when accessing the security engine from the basic operating system, the trusted app and the mobile terminal owner By passing through two-factor authentication based on authentication, the security of a mobile terminal having a security engine can be enhanced.

따라서, 모바일 단말의 보안성 강화를 통해, 모바일 단말 내에서 운용되는 앱의 신뢰도를 증가시켜, 인터넷 뱅킹 및 주식 등의 금융 거래의 안전성을 강화할 수 있고, 모바일 단말의 보안성 문제로 활성화되지 못하고 있는 기업이나 공공기관 등의 스마트 워크 형태의 서비스도 활성화할 수 있다. 즉 단말의 신뢰성을 필요로 하는 모바일 단말 기반의 다양한 서비스의 활성화에 이용될 수 있다.
Therefore, by reinforcing the security of the mobile terminal, it is possible to increase the reliability of the apps operated in the mobile terminal, thereby reinforcing the safety of financial transactions such as internet banking and stocks. Smart work-type services such as companies and public institutions can also be activated. That is, it can be used to activate various services based on mobile terminals that require terminal reliability.

한편, 본 발명에 따른 모바일 단말의 앱 ID 등록 시스템 및 방법, 모바일 단말의 보안 엔진의 접근 제어 시스템 및 방법을 실시 예에 따라 설명하였지만, 본 발명의 범위는 특정 실시 예에 한정되는 것은 아니며, 본 발명과 관련하여 통상의 지식을 가진 자에게 자명한 범위 내에서 여러 가지의 대안, 수정 및 변경하여 실시할 수 있다.
Meanwhile, the App ID registration system and method of the mobile terminal and the access control system and method of the security engine of the mobile terminal according to the present invention have been described according to embodiments, but the scope of the present invention is not limited to specific embodiments, and the present invention In connection with the invention, it can be implemented with various alternatives, modifications and changes within the range that is obvious to those of ordinary skill in the art.

따라서, 본 발명에 기재된 실시 예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시 예 및 첨부된 도면에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리 범위에 포함되는 것으로 해석되어야 할 것이다.
Accordingly, the embodiments described in the present invention and the accompanying drawings are not intended to limit the technical idea of the present invention, but to explain, and the scope of the technical idea of the present invention is not limited by these embodiments and the accompanying drawings. . The scope of protection of the present invention should be interpreted by the claims, and all technical ideas within the scope equivalent thereto should be construed as being included in the scope of the present invention.

10 : 기본 운영체제
11 : 앱 인증 모듈
12 : 앱 저장부
13 : 보안 엔진 API
20 : 보안 엔진
21 : 접근 통제 정책 DB
22 : 접근 통제 모듈
30 : 하이퍼바이저
31 : 채널 통신10: Basic operating system
11: App authentication module
12: App storage
13: Security Engine API
20: security engine
21: Access control policy DB
22: access control module
30: hypervisor
31: channel communication

Claims (20)

모바일 단말의 보안 엔진의 접근 제어 시스템으로서,
다운로드된 앱에 대한 검증 과정을 통해 앱 인증을 실시하고 인증에 성공한 경우, 상기 다운로드된 앱의 앱 ID를 계산하는 기본 운영체제부; 및
상기 기본 운영체제부에서 계산되어 전송된 상기 앱 ID를 저장하는 보안 엔진부를 포함하고,
상기 기본 운영체제부는
상기 다운로드된 앱에 대한 검증 과정을 통해 앱 인증을 실시하는 앱 인증 모듈;
상기 앱 인증 모듈에 의해 인증된 앱이 설치되는 앱 저장 모듈; 및
상기 앱 인증 모듈에 의해 인증된 앱에 대한 상기 앱 ID를 계산하여 상기 보안 엔진부로 전송하는 보안 엔진 API(Application Programming Interface)를 포함하고,
상기 앱 저장 모듈은 상기 보안 엔진부의 보안 기능을 이용하기 위하여 상기 앱 ID 및 사용자 인증 정보를 상기 보안 엔진부로 전송하고,
상기 보안 엔진부는 상기 기본 운영체제부로부터 전송된 상기 앱 ID 및 상기 사용자 인증 정보를 바탕으로 신뢰 앱 인지여부 및 상기 신뢰 앱을 실행한 사용자가 상기 모바일 단말의 소유자인지에 대한 인증을 거쳐 상기 보안 엔진부으로의 접근을 허용하는 것인 모바일 단말의 보안 엔진의 접근 제어 시스템.
As an access control system of a security engine of a mobile terminal,
A basic operating system unit that performs app authentication through a verification process for the downloaded app, and calculates an app ID of the downloaded app when the authentication is successful; And
Includes a security engine unit for storing the app ID calculated and transmitted by the basic operating system,
The basic operating system unit
An app authentication module that performs app authentication through a verification process for the downloaded app;
An app storage module in which an app authenticated by the app authentication module is installed; And
Includes a security engine API (Application Programming Interface) for calculating the app ID for the app authenticated by the app authentication module and transmitting it to the security engine unit,
The app storage module transmits the app ID and user authentication information to the security engine unit in order to use the security function of the security engine unit,
The security engine unit authenticates whether or not a trusted app is recognized based on the app ID and the user authentication information transmitted from the basic operating system unit and whether the user executing the trusted app is the owner of the mobile terminal, and the security engine unit Access control system of the security engine of the mobile terminal to allow access to.
 삭제delete 제 1 항에 있어서,
상기 보안 엔진부는,
신뢰 앱의 앱 ID를 저장하기 위한 접근 통제 정책 DB(Database); 및
상기 기본 운영체제부로부터 전송되는 앱 ID를 수신하여, 상기 접근 통제 정책 DB에 저장하는 접근 통제 모듈을 포함하는 것인 모바일 단말의 보안 엔진의 접근 제어 시스템.
The method of claim 1,
The security engine unit,
Access control policy DB (Database) for storing the app ID of trusted apps; And
And an access control module for receiving the app ID transmitted from the basic operating system unit and storing it in the access control policy DB.
 제 1 항에 있어서,
상기 기본 운영체제부는 상기 다운로드된 앱이 정상적인 경로를 통해 또는 정상적인 앱 스토어로부터 배포된 앱 인지를 검증하거나, 위/변조 여부를 검증하여 앱 인증을 실시하는 것인 모바일 단말의 보안 엔진의 접근 제어 시스템.
The method of claim 1,
The basic operating system unit verifies whether the downloaded app is an app distributed through a normal path or from a normal app store, or verifies whether forgery or alteration is used to perform app authentication.
 제 3 항에 있어서,
상기 접근 통제 정책 DB에 저장된 앱 ID는 상기 앱 인증 모듈에 의해 신뢰 앱으로 인증된 앱에 대해 상기 보안 엔진 API가 앱 ID를 계산한 후 상기 보안 엔진부로 전송하여 저장된 것인 모바일 단말의 보안 엔진의 접근 제어 시스템.
The method of claim 3,
The app ID stored in the access control policy DB is stored by calculating the app ID by the security engine API for the app authenticated as a trusted app by the app authentication module and then transmitting it to the security engine unit. Access control system.
 제 1 항에 있어서
상기 보안 엔진 API는 상기 기본 운영체제부 내에서의 호출에만 응하여 상기 앱 ID를 계산하는 것인 모바일 단말의 보안 엔진의 접근 제어 시스템.
The method of claim 1
The security engine API calculates the app ID in response only to a call within the basic operating system unit.
 기본 운영체제 및 보안 엔진으로 구성되는 모바일 단말을 통해 앱 스토어에 접속하여 앱을 다운로드하는 단계;
상기 기본 운영체제가 다운로드된 앱에 대한 검증 과정을 통해 앱 인증을 실시하는 단계;
인증에 성공한 경우, 상기 기본 운영체제가 다운로드된 앱에 대한 앱 ID를 계산하여, 상기 보안 엔진으로 전송하는 단계; 및
상기 보안 엔진에서, 상기 기본 운영체제로부터 전송된 앱 ID를 저장하는 단계;
를 포함하는 모바일 단말의 앱 ID 등록 방법.
Downloading an app by accessing the app store through a mobile terminal consisting of a basic operating system and a security engine;
Performing app authentication through a verification process for the downloaded app by the basic operating system;
If authentication is successful, the basic operating system calculates an app ID for the downloaded app and transmits it to the security engine; And
Storing the app ID transmitted from the basic operating system in the security engine;
App ID registration method of a mobile terminal comprising a.
 제 7 항에 있어서,
상기 앱 인증을 실시하는 단계는,
상기 다운로드된 앱이 정상적인 경로를 통해 또는 정상적인 앱 스토어로부터 배포된 앱 인지를 검증하거나, 위/변조 여부를 검증하여 앱 인증을 수행하는 것인 모바일 단말의 앱 ID 등록 방법.
The method of claim 7,
The step of performing the app authentication,
App ID registration method of a mobile terminal to verify whether the downloaded app is an app distributed through a normal path or from a normal app store, or to verify whether the app is forged or altered to perform app authentication.
 제 8 항에 있어서,
상기 검증은 인증서를 이용한 전자서명을 통해 이루어지거나, 앱 파일의 무결성 정보 인증을 통해 이루어지는 것인 모바일 단말의 앱 ID 등록 방법.
The method of claim 8,
The verification is performed through an electronic signature using a certificate, or through the integrity information authentication of the app file to register the app ID of the mobile terminal.
 제 7 항에 있어서,
인증에 실패한 경우, 다운로드된 앱에 대한 설치를 중단하거나 일반 앱으로 설치하는 것인 모바일 단말의 앱 ID 등록 방법.
The method of claim 7,
If authentication fails, the method of registering the app ID of the mobile terminal is to stop the installation of the downloaded app or install it as a general app.
 제 7 항에 있어서,
상기 다운로드된 앱에 대한 앱 ID 계산은 일방향 해시 알고리즘을 이용하여 이루어지는 것인 모바일 단말의 앱 ID 등록 방법.
The method of claim 7,
App ID registration method of a mobile terminal that the app ID calculation for the downloaded app is performed using a one-way hash algorithm.
 모바일 단말에 설치된 앱이 실행되어, 보안 엔진 API를 호출하는 단계;
상기 보안 엔진 API가 자신을 호출한 앱의 앱 ID를 계산하고, 계산된 앱 ID를 보안 엔진의 접근 통제 모듈로 전송하여 보안 엔진 접근 허가를 요청하는 단계;
상기 접근 통제 모듈이, 상기 보안 엔진 API에서 전송된 앱 ID를 이용하여 보안 엔진에 접근하려는 앱이 신뢰 앱인지를 판단하는 단계;
상기 판단결과, 상기 보안 엔진에 접근하려는 앱이 신뢰 앱인 경우, 사용자 인증 정보를 요청하는 단계;
사용자에 의해 입력된 사용자 인증 정보를 바탕으로 상기 앱을 실행한 사용자가 모바일 단말 소유자인지를 확인하는 단계; 및
상기 앱을 실행한 사용자가 모바일 단말 소유자인 경우 보안 엔진으로의 접근을 허용하는 단계;
를 포함하는 모바일 단말의 보안 엔진의 접근 제어방법.
Executing an app installed in the mobile terminal and calling a security engine API;
Calculating the app ID of the app that called the security engine API and transmitting the calculated app ID to the access control module of the security engine to request permission to access the security engine;
Determining, by the access control module, whether an app to access the security engine is a trusted app using the app ID transmitted from the security engine API;
As a result of the determination, if the app to access the security engine is a trusted app, requesting user authentication information;
Confirming whether the user who ran the app is the owner of the mobile terminal based on user authentication information input by the user; And
Allowing access to the security engine when the user executing the app is a mobile terminal owner;
Access control method of the security engine of the mobile terminal comprising a.
 제 12 항에 있어서,
보안 엔진으로의 접근을 허용한 후, 상기 보안 엔진 API와 상기 보안 엔진 사이의 채널 통신을 인증된 상태로 유지하고, 앱이 종료될 경우, 상기 채널 통신은 앱 종료와 동시에 종료되어 비활성화되는 것인 모바일 단말의 보안 엔진의 접근 제어 방법.
The method of claim 12,
After allowing access to the security engine, channel communication between the security engine API and the security engine is maintained in an authenticated state, and when the app is terminated, the channel communication is terminated and deactivated at the same time as the app is terminated. Access control method of security engine of mobile terminal.
 제 12 항에 있어서,
상기 앱 ID를 계산하는 것은 운영체제에서 관리하는 앱 정보를 기반으로 이루어지는 것인 모바일 단말의 보안 엔진의 접근 제어 방법.
The method of claim 12,
The method for controlling access of the security engine of the mobile terminal to calculate the app ID is performed based on app information managed by an operating system.
 제 12 항에 있어서,
상기 신뢰 앱인지를 판단하는 단계는,
상기 보안 엔진 API로부터 전송된 앱 ID가 상기 보안 엔진의 접근 통제 정책 DB에 등록되어 있는지를 판단하는 것인 모바일 단말의 보안 엔진의 접근 제어 방법.
The method of claim 12,
The step of determining whether the app is trusted,
The access control method of the security engine of the mobile terminal to determine whether the app ID transmitted from the security engine API is registered in the access control policy DB of the security engine.
 제 12 항에 있어서,
상기 신뢰 앱인지를 판단하는 단계에서, 신뢰 앱이 아니라고 판단되면, 상기 보안 엔진으로의 접근을 거부하는 것인 모바일 단말의 보안 엔진의 접근 제어 방법.
The method of claim 12,
In the step of determining whether the app is trusted, if it is determined that the app is not trusted, the access control method of the security engine of the mobile terminal is denied access to the security engine.
 제 12 항에 있어서,
상기 모바일 단말 소유자인지를 확인하는 단계는,
상기 사용자에 의해 입력된 사용자 인증 정보가 상기 보안 엔진의 접근 통제 정책 DB에 미리 설정되어 있는지를 판단하는 것인 모바일 단말의 보안 엔진의 접근 제어 방법.
The method of claim 12,
The step of determining whether the mobile terminal is the owner,
The access control method of the security engine of the mobile terminal to determine whether the user authentication information input by the user is preset in the access control policy DB of the security engine.
 삭제delete 삭제delete 삭제delete
KR1020140036815A 2013-10-15 2014-03-28 Access control system and method to security engine of mobile terminal KR102201218B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
US14/331,474 US20150106871A1 (en) 2013-10-15 2014-07-15 System and method for controlling access to security engine of mobile terminal

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20130122941 2013-10-15
KR1020130122941 2013-10-15

Publications (2)

Publication Number Publication Date
KR20150043954A KR20150043954A (en) 2015-04-23
KR102201218B1 true KR102201218B1 (en) 2021-01-12

Family

ID=53036347

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140036815A KR102201218B1 (en) 2013-10-15 2014-03-28 Access control system and method to security engine of mobile terminal

Country Status (1)

Country Link
KR (1) KR102201218B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023085599A1 (en) * 2021-11-15 2023-05-19 삼성전자 주식회사 Electronic device and application package management method

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102088297B1 (en) * 2016-02-03 2020-03-12 한국전자통신연구원 Apparatus for access control of secure domain and method using the same

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050131835A1 (en) * 2003-12-12 2005-06-16 Howell James A.Jr. System for pre-trusting of applications for firewall implementations
US20060259828A1 (en) * 2005-05-16 2006-11-16 Texas Instruments Incorporated Systems and methods for controlling access to secure debugging and profiling features of a computer system
US20070198834A1 (en) * 2003-11-27 2007-08-23 Rached Ksontini Method For The Authentication Of Applications

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5414852A (en) * 1992-10-30 1995-05-09 International Business Machines Corporation Method for protecting data in a computer system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070198834A1 (en) * 2003-11-27 2007-08-23 Rached Ksontini Method For The Authentication Of Applications
US20050131835A1 (en) * 2003-12-12 2005-06-16 Howell James A.Jr. System for pre-trusting of applications for firewall implementations
US20060259828A1 (en) * 2005-05-16 2006-11-16 Texas Instruments Incorporated Systems and methods for controlling access to secure debugging and profiling features of a computer system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023085599A1 (en) * 2021-11-15 2023-05-19 삼성전자 주식회사 Electronic device and application package management method

Also Published As

Publication number Publication date
KR20150043954A (en) 2015-04-23

Similar Documents

Publication Publication Date Title
US10244578B2 (en) Mobile communication device and method of operating thereof
EP3039604B1 (en) Method of authorizing an operation to be performed on a targeted computing device
US9497221B2 (en) Mobile communication device and method of operating thereof
US20130055335A1 (en) Security enhancement methods and systems
US20050125661A1 (en) Operator root cetificates
KR20150106937A (en) Context based switching to a secure operating system environment
CN106295350B (en) identity verification method and device of trusted execution environment and terminal
WO2019195957A1 (en) Mobile terminal access control method, device, terminal and storage medium
US20150106871A1 (en) System and method for controlling access to security engine of mobile terminal
CN105308610A (en) Method and system for platform and user application security on a device
CN112446033A (en) Software trusted starting method and device, electronic equipment and storage medium
US20170201528A1 (en) Method for providing trusted service based on secure area and apparatus using the same
WO2017016231A1 (en) Policy management method, system and computer storage medium
KR101561167B1 (en) System and Method for Controlling Application Permission on the Android Mobile Platform
CN105243311A (en) Fingerprint information safe calling method, fingerprint information safe calling device and mobile terminal
KR102201218B1 (en) Access control system and method to security engine of mobile terminal
JP6343928B2 (en) Portable terminal, authentication system, authentication method, and authentication program
CN111209561B (en) Application calling method and device of terminal equipment and terminal equipment
EP4290441A1 (en) Portable electronic device for cryptocurrency transactions
US20240129736A1 (en) Mitigating against spurious deliveries in device onboarding
KR100907824B1 (en) Method and device for improving network and service security using security module
KR101502800B1 (en) Digital system having rights identification information, application system, and service system
CN116009890A (en) Orchestration deployment method, orchestration deployment device, and readable storage medium
KR20160071711A (en) System and method for authenticating safely
KR20140112242A (en) User authentication system and method thereof, and apparatus applied to the same

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant