KR102626319B1 - 디지털 키를 저장하기 위한 방법 및 전자 디바이스 - Google Patents

디지털 키를 저장하기 위한 방법 및 전자 디바이스 Download PDF

Info

Publication number
KR102626319B1
KR102626319B1 KR1020180058645A KR20180058645A KR102626319B1 KR 102626319 B1 KR102626319 B1 KR 102626319B1 KR 1020180058645 A KR1020180058645 A KR 1020180058645A KR 20180058645 A KR20180058645 A KR 20180058645A KR 102626319 B1 KR102626319 B1 KR 102626319B1
Authority
KR
South Korea
Prior art keywords
digital key
service provider
provider server
electronic device
dedicated
Prior art date
Application number
KR1020180058645A
Other languages
English (en)
Other versions
KR20190133558A (ko
Inventor
신인영
로케쉬 구람
이종효
정수연
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020180058645A priority Critical patent/KR102626319B1/ko
Priority to EP19808027.7A priority patent/EP3787221A4/en
Priority to PCT/KR2019/005979 priority patent/WO2019225921A1/ko
Priority to US17/057,995 priority patent/US20210203498A1/en
Publication of KR20190133558A publication Critical patent/KR20190133558A/ko
Application granted granted Critical
Publication of KR102626319B1 publication Critical patent/KR102626319B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/041Key generation or derivation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Abstract

본 개시는 디지털 키를 저장하기 위한 방법 및 전자 디바이스에 관한 것으로, 일 실시예에 따른 디지털 키를 저장하기 위한 전자 디바이스에 있어서, 통신부, 디지털 키를 저장하고, 상기 디지털 키와 관련된 인증을 수행하는 보안 요소(Secure Element, SE), 상기 디지털 키의 저장을 위한 프로그램 및 데이터를 저장하는 메모리 및 상기 메모리에 저장된 프로그램을 실행함으로써, 타겟 디바이스와 근거리 통신을 수행하여 상기 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하고, 상기 타겟 디바이스에 대한 상기 디지털 키를 생성하며, 상기 생성한 디지털 키를 상기 보안 요소의 일 영역에 저장하도록 제어하는 프로세서를 포함할 수 있다.

Description

디지털 키를 저장하기 위한 방법 및 전자 디바이스{ELECTRONIC DEVICE AND METHOD FOR STORING DIGITAL KEY}
본 개시는 디지털 키를 저장하기 위한 방법 및 전자 디바이스에 관한 것이다.
스마트 폰, 태블릿 PC와 같은 개인화된 전자 디바이스가 보급됨에 따라, 디지털 키를 이용한 보안, 인증 등을 수행하기 위한 기술이 개발되고 있다. 이러한 디지털 키 관련 기술로, 디지털 키를 전자 디바이스, 예를 들어, 스마트 폰에 통합하는 형태의 기술이 개발되고 있다.
디지털화 된 가상의 키, 즉, 디지털 키를 전자 디바이스에 저장하고, 전자 디바이스의 사용자는 이러한 디지털 키를 이용함으로써 사용자는 문 개폐, 제어 및 액세스 등을 위해서 물리적인 별개의 키를 가지고 다닐 필요가 없게 된다. 예를 들어, 물리적인 자동차 키를 디지털 키로 대체할 수 있을 것이다.
이와 같이, 디지털 키의 사용은 사용자 편의 및 산업적 효과에 있어 큰 개선을 가져올 수 있는 반면, 보안에 대한 우려 역시 제기되고 있다. 즉, 디지털 키는 기본적으로 전자 디바이스와의 결합을 필요로 하므로, 전자 디바이스에 대한 해킹 등과 같은 악의적인 사용에 노출될 수 있다. 따라서, 디지털 키를 전자 디바이스에 안전하게 저장하기 위한 방법이 필요하다.
본 개시는 디지털 키를 저장하기 위한 방법 및 전자 디바이스를 제공하기 위한 것이다.
일 실시예에 따른 디지털 키를 저장하기 위한 전자 디바이스에 있어서, 통신부, 디지털 키를 저장하고, 상기 디지털 키와 관련된 인증을 수행하는 보안 요소(Secure Element, SE), 상기 디지털 키의 저장을 위한 프로그램 및 데이터를 저장하는 메모리 및 상기 메모리에 저장된 프로그램을 실행함으로써, 타겟 디바이스와 근거리 통신을 수행하여 상기 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하고, 상기 타겟 디바이스에 대한 상기 디지털 키를 생성하며, 상기 생성한 디지털 키를 상기 보안 요소의 일 영역에 저장하도록 제어하는 프로세서를 포함할 수 있다.
다른 일 실시예에 따른 디지털 키를 저장하기 위한 방법에 있어서, 타겟 디바이스와 근거리 통신을 수행하여 상기 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하는 단계, 상기 타겟 디바이스에 대한 상기 디지털 키를 생성하는 단계 및 상기 생성한 디지털 키를 상기 보안 요소의 일 영역에 저장하는 단계를 포함할 수 있다.
또다른 일 실시예에 따른 컴퓨터 프로그램 제품은 타겟 디바이스와 근거리 통신을 수행하여 상기 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하는 단계, 상기 타겟 디바이스에 대한 상기 디지털 키를 생성하는 단계 및 상기 생성한 디지털 키를 상기 보안 요소의 일 영역에 저장하는 단계를 수행하도록 하는 프로그램이 저장된 기록매체를 포함할 수 있다.
도 1은 디지털 키를 적용되는 환경을 설명하기 위한 도면이다.
도 2는 일 실시예가 적용되는 시스템을 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 설명하기 위한 도면이다.
도 4는 일 실시예에 따른 디지털 키를 저장하기 위한 전자 디바이스의 구성을 나타내는 도면이다.
도 5는 일 실시예에 따른 전자 디바이스의 시스템 아키텍처를 나타내는 도면이다.
도 6는 일 실시예에 따른 보안 요소의 시스템 아키텍처를 나타내는 도면이다.
도 7 및 도 8은 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 구체화하는 순서도이다.
도 9는 다른 일 실시예에 따른 보안 요소의 시스템 아키텍처를 나타내는 도면이다.
도 10 및 도 11은 다른 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 구체화하는 순서도이다.
도 12는 또다른 일 실시예에 따른 보안 요소의 시스템 아키텍처를 나타내는 도면이다.
도 13 및 도 14는 또다른 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 구체화하는 순서도이다.
아래에서는 첨부한 도면을 참조하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 개시의 실시예를 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 또한, 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
본 개시의 일부 실시예는 기능적인 블록 구성들 및 다양한 처리 단계들로 나타내어질 수 있다. 이러한 기능 블록들의 일부 또는 전부는, 특정 기능들을 실행하는 다양한 개수의 하드웨어 및/또는 소프트웨어 구성들로 구현될 수 있다. 예를 들어, 본 개시의 기능 블록들은 하나 이상의 마이크로 프로세서들에 의해 구현되거나, 소정의 기능을 위한 회로 구성들에 의해 구현될 수 있다. 또한, 예를 들어, 본 개시의 기능 블록들은 다양한 프로그래밍 또는 스크립팅 언어로 구현될 수 있다. 기능 블록들은 하나 이상의 프로세서들에서 실행되는 알고리즘으로 구현될 수 있다. 또한, 본 개시는 전자적인 환경 설정, 신호 처리, 및/또는 데이터 처리 등을 위하여 종래 기술을 채용할 수 있다.
또한, 도면에 도시된 구성 요소들 간의 연결 선 또는 연결 부재들은 기능적인 연결 및/또는 물리적 또는 회로적 연결들을 예시적으로 나타낸 것일 뿐이다. 실제 장치에서는 대체 가능하거나 추가된 다양한 기능적인 연결, 물리적인 연결, 또는 회로 연결들에 의해 구성 요소들 간의 연결이 나타내어질 수 있다.
또한, 본 명세서에 기재된 "...부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어 또는 소프트웨어로 구현되거나 하드웨어와 소프트웨어의 결합으로 구현될 수 있다. "부", "모듈"은 어드레싱될 수 있는 저장 매체에 저장되며 프로세서에 의해 실행될 수 있는 프로그램에 의해 구현될 수도 있다. 예를 들어, “부”, "모듈" 은 소프트웨어 구성 요소들, 객체 지향 소프트웨어 구성 요소들, 클래스 구성 요소들 및 태스크 구성 요소들과 같은 구성 요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들에 의해 구현될 수 있다.
도 1은 디지털 키를 적용되는 환경을 설명하기 위한 도면이다.
도 1을 참조하면, 전자 디바이스(100), 전자 디바이스(100)의 사용자(1) 및 전자 디바이스(100)에 탑재된 디지털 키를 이용하여 제어 및 액세스를 수행하기 위한 타겟 디바이스들(11, 12, …, 13)이 개시되어 있다.
전자 디바이스(100)는 개인화된 모바일 디바이스를 포함할 수 있으나 이에 한정되지 않고, 다양한 종류의 전자 디바이스를 포함할 수 있다. 예를 들어, 전자 디바이스(100)는 스마트폰, 태블릿 PC, PC, 카메라 및 웨어러블 장치 등을 포함할 수 있다. 일 실시예에서 전자 디바이스(100)는 위한 타겟 디바이스들(11, 12, ……, 13)을 제어하고 액세스하기 위한 디지털 키를 생성하고, 저장할 수 있다.
타겟 디바이스들(11, 12, …, 13)은 전자 디바이스(100)와 상호 작용하여 디지털 키의 생성을 위한 동작을 수행할 수 있고, 이러한 과정을 통해 생성되어 전자 디바이스(100)에 저장된 디지털 키를 이용하여 제어되고 액세스 될 수 있다. 일 실시예에서 타겟 디바이스들(11, 12, …, 13)은 일정 거리 내에 있는 전자 디바이스(100)와 근거리 통신을 통해 디지털 키의 생성을 위한 동작을 수행할 수 있다.
예를 들어, 타겟 디바이스가 자동차(11)인 경우, 사용자(1)는 전자 디바이스(100)를 통해 자동차(11)와 상호작용하여 디지털 키를 생성하고, 생성된 디지털 키를 전자 디바이스(100)에 저장할 수 있다. 사용자는 전자 디바이스(100)에 저장된 디지털 키를 이용하여, 자동차(11)의 다양한 동작을 제어할 수 있다. 예를 들어, 사용자는 전자 디바이스(100)에 저장된 디지털 키를 이용하여, 문을 개폐할 수 있고, 시동을 걸 수도 있으며, 자동차에 탑재된 다양한 전자 디바이스들을 제어할 수도 있다. 나아가, 자동 주차 시스템과 같은 자율주행과 관련한 동작을 제어할 수도 있다. 또한, 타겟 디바이스가 도어락(12)인 경우, 전자 디바이스(100)에 저장된 디지털 키를 통해 잠금 장치를 개폐할 수도 있고, 타겟 디바이스가 제어 시스템(13)인 경우, 디지털 키를 통해 사용자(1)를 인증하고, 인증된 사용자에 따라 다른 레벨의 권한을 부여할 수도 있다.
도 1에서 도시하고 있는 실시예들은 일 예에 불과할 뿐, 도 1에 도시된 내용에 의해 본 개시의 범위가 제한되는 것은 아니다. 예를 들어, 도 1에서 도시하고 있는 타겟 디바이스들(11, 12, …, 13)외에 다양한 타겟 디바이스가 존재할 수 있다.
도 2는 일 실시예가 적용되는 시스템을 설명하기 위한 도면이다.
도 2를 참조하면, 서비스 제공자 서버(210), 디지털 키 관리자 서버(220), 전자 디바이스(100) 및 타겟 디바이스(10)가 도시된다.
서비스 제공자(Service Provider) 서버(210)는 디지털 키 서비스를 사용자(1)에게 제공하고자 하는 서비스 제공자의 서버이다. 서비스 제공자는, 예를 들어, 자동차, 호텔, 집, 빌딩 등과 관련된 서비스를 제공하는 사업자를 지칭하며, 주된 서비스에 따른 부가 서비스로 사용자(1)에게 디지털 키 서비스를 제공할 수 있다. 예를 들어, 자동차 회사는 자동차를 판매하고, 호텔, 집, 빌딩 회사는 호텔, 집, 빌딩 관련 서비스를 제공한다. 이러한 서비스 제공자는 문 개폐, 시동, 제어 등과 같은 액세스 기능을 위해 디지털 키 서비스를 제공할 수 있다.
서비스 제공자 서버(210)는 사용자(1)의 ID, 패스워드 와 같은 사용자 계정 정보, 판매 상품 또는 서비스 정보와 같은 사용자 정보 데이터베이스를 포함할 수 있다. 예를 들어, 자동차 회사는 자동차를 판매하면 사용자(1)의 ID, 패스워드, 판매한 자동차 식별 번호, 디지털 키 서비스 사용 유무 등에 대한 정보를 저장할 수 있다.
디지털 키 관리자 서버(220)는 전자 디바이스(100)에 디지털 키를 안전하게 발급하고 저장할 수 있는 기술 및 서비스를 제공한다. 예를 들어, 사용자(1)가 자동차를 구매하고, 전자 디바이스(100)에 디지털 키를 저장하고자 할 때, 유효한 사용자인지, 유효한 자동차인지 여부 등을 확인한 후, 전자 디바이스(100)에서 디지털 키를 생성하고, 저장하며, 저장된 디지털 키를 관리할 수 있다.
타겟 디바이스(10)는 서비스 제공자가 사용자(1)에게 판매하는 상품 및 서비스에 상응하는 엔티티(entity)이다. 예를 들어, 타겟 디바이스(10)는 자동차, 호텔, 집, 빌딩 등의 게이트를 포함할 수 있다. 보다 구체적으로, 타겟 디바이스(10)는 자동차에서 차량 도어, 트렁크 게이트뿐 만 아니라 시동 및 차량 제어를 위한 액세스 게이트 등을 포함할 수 있다.
전자 디바이스(100)는 보안 요소(Secure Element)에서 디지털 키를 생성하고 저장할 수 있다. 또한, 서비스 제공자 서버(210)와 같은 외부 엔티티의 디지털 키에 대한 접근에 대해서 인증하고, 권한을 확인하여 디지털 키를 안전하게 관리할 수 있는 기능을 제공할 수 있다.
도 3은 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 설명하기 위한 도면이다.
도 3을 참조하면, 먼저, 310 단계에서, 전자 디바이스(100)는, 타겟 디바이스(10)와 근거리 통신을 수행하여 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행한다. 일 실시예에서, 전자 디바이스(100)는 타겟 디바이스(10)로부터 타겟 디바이스(10)의 인증서를 수신하여 저장하고 있는 인증서와 비교함으로써, 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행할 수 있다. 여기서, 인증서는 타겟 디바이스(10)의 루트 인증서(root certificate)를 포함할 수 있다. 또한, 전자 디바이스(100)는 디지털 키 관리자 서버(220)로부터 타겟 디바이스(10)의 인증서를 수신하여 저장하고 있다가, 타겟 디바이스(10)의 인증에 해당 인증서를 이용할 수 있다. 일 실시예에서, 타겟 디바이스(10)는 전자 디바이스(100)의 사용자에 대한 인증을 위하여 사용자 ID, 비밀번호(Password, PW), One Time Passcode(OTP), PIN(Personal Identification Number), 음성 명령, 생체 인식 정보, GPS 정보, 기존 소유 인증 정보 등을 획득하여 이용할 수 있다.
일 실시예에서, 전자 디바이스(100)는 근접 통신, 예를 들어, NFC(Near Field Communication)을 이용하여 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행할 수 있다. 또한, 일 실시예에서, 전자 디바이스(100)는 보안 요소(Secure Element, SE)에 인증서를 저장할 수 있다. 보안 요소(SE)와 같은 보안 영역은 전자 디바이스(100)의 일반 영역과 비교하여, 리소스(resource)나 저장 공간 측면에서 제약이 크다. 따라서, 다른 일 실시예에서, 전자 디바이스(100)는 인증서를 보안 요소(SE)에 저장된 키로 암호화 하여 보안 영역이 아닌 일반 영역에 저장할 수도 있다. 이 경우, 인증서 사용 시에는 보안 요소 내에서 인증서를 복호화 하여 사용할 수 있다. 일 실시예에 따르면, 인증서를 일반 영역에 저장하더라도 보안 요소(SE)에 저장된 키로 암호화 되어 있어, 탈취나 해킹으로부터 안전하게 저장할 수 있다. 또한, 보안 요소(SE) 내의 특정 서비스 관련된 키를 사용함으로써, 인증서를 특정 서비스와 바인딩하는 것도 가능하다.
그 후, 320 단계에서, 전자 디바이스(100)는, 타겟 디바이스(10)에 대한 디지털 키를 생성한다. 일 실시예에 따르면, 전자 디바이스(100)는 디지털 키를 이용하여 타겟 디바이스(10)에 엑세스하고, 타겟 디바이스(10)를 제어할 수 있다.
330 단계에서, 전자 디바이스(100)는, 생성한 디지털 키를 보안 요소의 일 영역에 저장한다.
일 실시예에서, 전자 디바이스(100)는, 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 보안 요소(SE)의 공용 저장 공간에 저장하고, 디지털 키에 대한 라우팅 테이블을 업데이트 할 수 있다. 여기서, 공용 저장 공간은 각 서비스 제공자 서버(210)가 공용 애플리케이션에 대한 요청을 통해 접근 가능한 공간으로, 각 서비스 제공자의 디지털 키는 구분되어 저장될 수 있다. 일 실시예에서, 전자 디바이스(100)는, 각 서비스 제공자의 디지털 키를 구분자로 구분하여 저장할 수 있으며, 여기서, 구분자는 인덱스(Index)일 수 있다. 이러한 인덱스 정보는 라우팅 테이블에 저장될 수 있다. 따라서, 디지털 키에 접근하기 위해서는 라우팅 테이블의 인덱스가 필요하다. 또한, 디지털 키가 새롭게 생성되거나, 디지털 키와 관련된 정보가 변경되는 경우, 라우팅 테이블의 업데이트를 수행할 수 있다. 일 실시예에서, 라우팅 테이블은, 디지털 키에 대한 인덱스, 상태 정보(예를 들어, 활성/비활성), 식별 정보(예를 들어, 서비스 제공자, 타겟 디바이스) 등을 포함할 수 있다.
나아가, 전자 디바이스(100)는, 디지털 키를 활성화 하고, 보안 요소 내의 공용 애플리케이션과 서비스 제공자 서버(210)를 연결하여 공용 애플리케이션과 서비스 제공자 서버(210) 간에 인증을 수행할 수 있다. 일 실시예에서, 전자 디바이스(100)는 서비스 제공자 서버(210) 및/또는 디지털 키 관리자 서버(220)에서 등록, 추가 인증 등을 통해서 디지털 키를 활성화 할 수 있다. 이 경우, 전자 디바이스(100)는 디지털 키의 상태 정보를 저장할 수 있으며, 활성화 과정이 필요한 경우, 디지털 키의 상태 정보를 비활성 상태(Inactive)로 저장할 수 있다. 일 실시예에서, 전자 디바이스(100)가 네트워크에 연결 가능한 지역, 즉, 통신 가능 지역에 위치하는 경우, 바로 네트워크 연결하여 활성화 단계를 수행한다. 하지만, 전자 디바이스(100)가 음영 지역에 위치하는 경우, 전자 디바이스(100)가 통신 가능한 지역으로 이동하였을 때, 활성화 단계를 수행할 수 있다. 이를 위해, 활성화가 필요한 디지털 키와 관련된 정보를 서비스 프레임워크(520)에 저장할 수 있다.
일 실시예에서, 전자 디바이스(100)는, 서비스 제공자 서버(210)로부터 디지털 키와 관련된 요청을 수신하는 경우, 라우팅 테이블을 기초로 서비스 제공자 서버(210)의 디지털 키의 저장 위치와 디지털 키에 대한 접근 권한을 확인할 수 있다. 전자 디바이스(100)는, 서비스 제공자 서버(20)가 접근 권한이 있는 경우, 디지털 키와 관련된 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)로 전송할 수 있다.
일 실시예에 따르면, 각 서비스 제공자 서버(210)의 디지털 키를 보안 영역인 보안 요소(SE) 내의 공용 저장 장치에 분할하여 저장할 수 있다. 각 서비스 제공자가 디지털 키에 접근하고자 할 때, 서비스 제공자임을 인증한 후 디지털 키 라우팅 테이블을 참고하여 권한을 확인한 후 접근을 허용함으로써, 디지털 키를 안전하게 저장할 수 있다.
다른 일 실시예에서, 전자 디바이스(100)는, 타겟 디바이스(10)에 대한 디지털 키를 생성하기 전에, 보안 요소의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)된 전용 저장 공간을 생성하고, 전용 저장 공간에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치할 수 있다. 이때, 전자 디바이스(100)는, 생성한 디지털 키를 보안 요소의 일 영역에 저장 시, 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 전용 저장 공간에 저장하고, 생성한 디지털 키에 대한 라우팅 테이블을 업데이트 할 수 있다.
나아가, 전자 디바이스(100)는, 디지털 키를 활성화 하고, 보안 요소 내의 공용 애플리케이션과 서비스 제공자 서버(210)를 연결하여 공용 애플리케이션과 서비스 제공자 서버(210) 간에 인증을 수행할 수 있다.
이 경우, 전자 디바이스(100)는, 타겟 디바이스(10)와 근거리 통신을 수행하여 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행하기 전에, 디지털 키 관리자 서버(220)로부터 서비스 제공자 서버(210)의 접근 권한 정보를 수신할 수 있다. 여기서, 접근 권한 정보는 서비스 제공자 서버(210)가 공용 애플리케이션에 접근하는 경우에 대한 접근 권한에 대한 것으로, 예를 들어, 접근 횟수, 접근 명령(command), 유효 기간 등을 포함할 수 있다. 또한, 전자 디바이스(100)는, 타겟 디바이스(10)에 대한 디지털 키를 생성하기 전에, 타겟 디바이스(10)로부터 검증 토큰(verification token)을 수신할 수 있다. 여기서, 검증 토큰은 서비스 제공자 서버(210)와의 통신을 검증하는데 사용될 수 있다. 일 실시예에서, 전자 디바이스(100)는, 서비스 제공자 서버(210)로부터 디지털 키와 관련된 요청을 수신하는 경우, 라우팅 테이블을 기초로 서비스 제공자 서버(210)의 디지털 키의 저장 위치와 디지털 키에 대한 접근 권한을 확인할 수 있다. 또한, 전자 디바이스(100)는, 서비스 제공자 서버(210)가 디지털 키에 대한 접근 권한이 있는 경우, 검증 토큰을 이용해 디지털 키와 관련된 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)로 전송할 수 있다.
보다 구체적으로, 서비스 제공자 서버(210)로부터 디지털 키와 관련된 요청에는 해당 서비스 제공자 서버(210)에 대응되는 전용 저장 공간에 접근하는 것인지 확인하기 위한 챌린지(challenge)가 함께 전송될 수 있다. 전자 디바이스(100)는 검증 토큰을 이용하여 챌린지에 대한 결과를 디지털 키와 관련된 요청에 대한 응답에 포함하여 서비스 제공자 서버(210)로 전송할 수 있다.
일 실시예에 따르면, 서비스 제공자들의 디지털 키를 안전하게 분리된 전용 저장 공간에 분할하여 저장할 수 있다. 각 서비스 제공자들이 디지털 키에 접근하고자 할 때, 서비스 제공자임을 인증하고, 디지털 키 라우팅 테이블을 참고하여 서비스 제공자의 권한을 확인한 후, 특정 전용 저장 공간에 접근을 허용함으로써 디지털 키를 안전하게 저장할 수 있다. 나아가, 서비스 제공자는 챌린지를 통해 자신의 서버인 서비스 제공자 서버(210)에서 전자 디바이스(100)로부터의 응답이 서비스 제공자에 대응되는 전용 저장 공간에 저장된 디지털 키에 대한 것인지 확인할 수도 있다.
또다른 일 실시예에서, 전자 디바이스(100)는, 타겟 디바이스(10)에 대한 디지털 키를 생성하기 전에, 보안 요소의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)되고, 사용 권한이 증명되면 접근 가능한 전용 보안 도메인을 생성하고, 전용 보안 도메인에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치할 수 있다. 이때, 전자 디바이스(100)는, 생성한 디지털 키를 보안 요소의 일 영역에 저장 시, 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 전용 보안 도메인에 저장할 수 있다.
나아가, 전자 디바이스(100)는, 디지털 키를 활성화 하고, 보안 요소 내의 전용 애플리케이션과 서비스 제공자 서버(210)를 연결하여 전용 애플리케이션과 서비스 제공자 서버(210) 간에 인증을 수행할 수 있다.
이 경우, 전자 디바이스(100)는, 디지털 키 관리자 서버(220)로 전용 보안 도메인에 접근하기 위한 검증 토큰을 전송하고, 서비스 제공자 서버(210)로부터 검증 토큰과 함께 디지털 키와 관련된 요청을 수신하는 경우, 검증 토큰에 대한 검증을 수행할 수 있다. 검증 토큰이 유효한 경우, 전자 디바이스(100)는, 디지털 키와 관련된 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)로 전송할 수 있다.
일 실시예에 따르면, 서비스 제공자들의 디지털 키를 안전하게 분리된 전용 보안 도메인에 분할하여 저장할 수 있다. 각 서비스 제공자들이 디지털 키에 접근하고자 할 때, 서비스 제공자임을 인증하고, 특정 전용 보안 도메인에 접근을 허용함으로써 디지털 키를 안전하게 저장할 수 있다. 나아가, 전자 디바이스(100)는 서비스 제공자 서버(210)에서 전자 디바이스(100)로부터 수신한 검증 토큰을 이용하여 서비스 제공자의 접근이 유효한 접근인지 여부를 확인할 수도 있다.
지금까지는 전자 디바이스의 동작에 대해서 설명하였다. 아래에서는 전자 디바이스의 구성에 대해서 설명하도록 한다. 이때, 전자 디바이스의 동작에서 설명한 내용과 중복되는 내용은 간략히 설명하도록 한다.
도 4는 일 실시예에 따른 디지털 키를 저장하기 위한 전자 디바이스의 구성을 나타내는 도면이다.
도 4를 참조하면, 전자 디바이스(100)는 통신부(110), 메모리(120), 보안 요소(130) 및 프로세서(140)를 포함할 수 있다.
통신부(110)는, 다른 디바이스 또는 네트워크와 유무선 통신을 수행할 수 있다. 이를 위해, 통신부(110)는 다양한 유무선 통신 방법 중 적어도 하나를 지원하는 통신 모듈을 포함할 수 있다. 예를 들어, 통신 모듈은 칩셋(chipset)의 형태일 수도 있고, 또는 통신에 필요한 정보를 포함하는 스티커/바코드(e.g. NFC tag를 포함하는 스티커)등일 수도 있다.
무선 통신은, 예를 들어, 셀룰러 통신, Wi-Fi(Wireless Fidelity), Wi-Fi Direct, 블루투스(Bluetooth), UWB(Ultra Wide Band) 또는 NFC(Near Field Communication) 중 적어도 하나를 포함할 수 있다. 유선 통신은, 예를 들어, USB 또는 HDMI(High Definition Multimedia Interface) 중 적어도 하나를 포함할 수 있다.
일 실시예에서 통신부(110)는 근거리 통신(short range communication)을 위한 통신 모듈을 포함할 수 있다. 예를 들어, 통신부(110)는 위에서 설명한 Wi-Fi, Wi-Fi Direct, 블루투스, NFC 외에 적외선 통신, MST(Magnetic Secure Transmission, 마그네틱 보안 통신과 같은 다양한 근거리 통신을 수행하기 위한 통신 모듈을 포함할 수 있다.
메모리(120)에는 애플리케이션과 같은 프로그램 및 파일 등과 같은 다양한 종류의 데이터가 설치 및 저장될 수 있다. 프로세서(140)는 메모리(120)에 저장된 데이터에 접근하여 이를 이용하거나, 또는 새로운 데이터를 메모리(120)에 저장할 수도 있다. 일 실시예에서, 메모리(120)에는 디지털 키의 저장을 위한 프로그램 및 데이터가 설치 및 저장될 수 있다.
보안 요소(130)는 인증된 애플리케이션만 접근 가능한 보안 영역이다. 보안 요소(130)는 다른 하드웨어 구성과 물리적으로 분리(isolate)되도록 구성될 수 있다. 일 실시예에서, 디지털 키의 저장을 위한 프로그램 및 데이터는 보안 요소(130)에 설치 및 저장될 수도 있다. 일 실시예에서, 보안 요소(130)는 embedded Secure Element(이하, eSE), Universal integrated Circuit Card(이하, UICC), Secure Digital Card(이하, SD Card) 등을 포함할 수 있다. 일 실시예에서, 보안 요소는 디지털 키를 저장하고, 디지털 키와 관련된 인증을 수행할 수 있다.
나아가, 도 3에서 보안 요소(130)는 프로세서(140)와 연결되는 것으로 도시되어 있으나, 이에 한정되지 않고, 통신부(110) 및/또는 메모리(120)와 연결되는 것도 가능하다.
프로세서(140)는 전자 디바이스(100)의 전체적인 동작을 제어하며, CPU, GPU 등과 같은 프로세서를 적어도 하나 이상 포함할 수 있다. 프로세서(140)는 디지털 키의 저장을 위한 동작을 수행하도록 전자 디바이스(100)에 포함된 다른 구성들을 제어할 수 있다. 예를 들어, 프로세서(140)는 메모리(120) 및 보안 요소(130)에 저장된 프로그램을 실행시키거나, 저장된 파일을 읽어오거나, 새로운 파일을 저장할 수도 있다. 나아가, 도 3에서 전자 디바이스의 프로세서(140)는 보안 요소(130) 밖에 위치하는 것으로 도시되어 있으나, 이에 한정되지 않고, 보안 요소(130) 내부에 위치하여 보안 요소(130)의 동작을 위한 프로세서가 포함될 수 있으며, 본 개시에서 프로세서(140)는 보안 요소(130) 내부에 위치한 프로세서일 수도 있다.
일 실시예에서, 프로세서(140)는 메모리(120) 및 보안 요소(130)에 저장된 프로그램을 실행함으로써, 타겟 디바이스(10)와 근거리 통신을 수행하여 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행하고, 타겟 디바이스(10)에 대한 디지털 키를 생성하며, 생성한 디지털 키를 보안 요소(130)의 일 영역에 저장하도록 제어할 수 있다.
일 실시예에서, 프로세서(140)는, 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 보안 요소(130)의 공용 저장 공간에 저장하고, 생성한 디지털 키에 대한 라우팅 테이블을 업데이트 하도록 제어할 수 있다. 또한, 프로세서(140))는, 디지털 키를 활성화 하고, 보안 요소(130) 내의 공용 애플리케이션과 서비스 제공자 서버(210)를 연결하여 공용 애플리케이션과 서비스 제공자 서버(210) 간에 인증을 수행하도록 제어할 수 있다. 나아가, 프로세서(140)는, 서비스 제공자 서버(210)로부터 디지털 키와 관련된 요청을 수신하는 경우, 라우팅 테이블을 기초로 서비스 제공자 서버(210)의 디지털 키의 저장 위치와 디지털 키에 대한 접근 권한을 확인하고, 서비스 제공자 서버(210)가 접근 권한이 있는 경우, 디지털 키와 관련된 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)로 전송하도록 공용 애플리케이션을 제어할 수 있다.
다른 일 실시예에서, 프로세서(140)는, 보안 요소(130)의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)된 전용 저장 공간을 생성하고, 전용 저장 공간에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치할 수 있다. 또한, 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 전용 저장 공간에 저장하고, 생성한 디지털 키에 대한 라우팅 테이블을 업데이트 하도록 제어할 수 있다. 또한, 프로세서(140)는, 디지털 키를 활성화 하고, 보안 요소(130) 내의 공용 애플리케이션과 서비스 제공자 서버(210)를 연결하여 공용 애플리케이션과 서비스 제공자 서버(210) 간에 인증을 수행하도록 제어할 수 있다. 나아가, 프로세서(140)는, 디지털 키 관리자 서버(220)로부터 서비스 제공자 서버(210)의 접근 권한 정보를 수신하고, 타겟 디바이스(10)로부터 검증 토큰(verification token)을 수신하도록 제어할 수 있다. 또한, 서비스 제공자 서버(210)로부터 디지털 키와 관련된 요청을 수신하는 경우, 라우팅 테이블을 기초로 서비스 제공자 서버(210)의 디지털 키의 저장 위치와 디지털 키에 대한 접근 권한을 확인하도록 공용 애플리케이션을 제어하고, 서비스 제공자 서버(210)가 디지털 키에 대한 접근 권한이 있는 경우, 검증 토큰을 이용해 디지털 키와 관련된 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)로 전송하도록 전용 애플리케이션을 제어할 수 있다.
또다른 일 실시예에서, 프로세서(140)는, 보안 요소(130)의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)되고, 사용 권한이 증명되면 접근 가능한 전용 보안 도메인을 생성하고, 전용 보안 도메인에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치할 수 있다. 또한, 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 전용 보안 도메인에 저장할 수 있다. 또한, 프로세서(140)는, 디지털 키를 활성화 하고, 보안 요소(130) 내의 전용 애플리케이션과 서비스 제공자 서버(210)를 연결하여 전용 애플리케이션과 서비스 제공자 서버(210) 간에 인증을 수행하도록 제어할 수 있다. 나아가, 프로세서(140)는, 디지털 키 관리자 서버(220)로 전용 보안 도메인에 접근하기 위한 검증 토근을 전송하도록 제어하고, 서비스 제공자 서버(210)로부터 검증 토큰과 디지털 키와 관련된 요청을 수신하는 경우, 검증 토큰에 대한 검증을 수행할 수 있다. 검증 토큰이 유효한 경우, 디지털 키와 관련된 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)로 전송하도록 전용 애플리케이션을 제어할 수 있다.
도 5는 일 실시예에 따른 전자 디바이스의 시스템 아키텍처를 나타내는 도면이다.
도 5를 참조하면, 일 실시예에 따른 전자 디바이스의 시스템 아키텍처는 사용자 애플리케이션(510), 서비스 프레임워크(520) 및 보안 요소(530)를 포함한다.
사용자 애플리케이션(510)은 전자 디바이스(100)의 일반 영역에 저장되고 설치되는 애플리케이션을 의미한다. 일 실시예에서, 사용자 애플리케이션(510)은 디지털 키를 저장하기 위해 서비스 제공자가 제공하는 애플리케이션, 디지털 키를 저장하기 위해 전자 디바이스(100)에 내장된 애플리케이션 등을 포함할 수 있다. 예를 들어, 사용자 애플리케이션(510)은 지갑(wallet) 형태의 애플리케이션을 포함할 수 있다.
서비스 프레임워크(520)는 사용자 애플리케이션(510), 외부 엔티티 등과 보안 요소(530) 간 게이트웨이 역할을 하는 서비스 애플리케이션이다. 일 실시예에서, 서비스 프레임워크(520)는 외부에서 보안 요소(530)에 접근할 수 있는 서비스 API를 제공하고, 보안 요소(530)에 접근할 때 엑세스 컨트롤 및 명령어 변환 등과 같은 기능을 제공할 수 있다.
보안 요소(530)는 인증된 애플리케이션만 접근 가능한 보안 영역이다. 보안 요소(130)는 다른 하드웨어 구성과 물리적으로 분리(isolate)되도록 구성될 수 있다. 일 실시예에서, 보안 요소(130)는 embedded Secure Element(이하, eSE), Universal integrated Circuit Card(이하, UICC), Secure Digital Card(이하, SD Card) 등을 포함할 수 있다. 또한, 보안 요소(530)는 적어도 하나 이상의 구성을 포함할 수 있다. 이에 대해서는 아래에서 보다 자세히 설명하도록 한다.
도 6는 일 실시예에 따른 보안 요소의 시스템 아키텍처를 나타내는 도면이다.
도 6을 참조하면, 보안 요소(530)는 보안 도메인(610)을 포함하고, 보안 도메인(security domain, 610)은 공용 애플리케이션(common application, 620), 공용 저장 공간(common storage space, 630), 권한 제어 도메인(controlling authority domain, 640) 등을 포함할 수 있다.
보안 도메인(610)은 보안 요소(530) 내에서도 완벽하게 분리된(isolated) 공간이며, 보안(security) 관련 동작을 수행한다.
공용 애플리케이션(620)은 보안 요소(530)에서 구동되는 경량화된 애플릿(applit) 또는 애플리케이션을 포함한다. 공용 애플리케이션(620)은 디지털 키와 관련된 서비스에서, 디지털 키의 생성, 관리와 같은 기능을 여러 서비스 제공자들에게 공용된 형태로 제공할 수 있다. 공용 애플리케이션(620)은 전자 디바이스(100)에 선 탑재되어 있거나, 추후 사용자 요청에 따라 로딩되거나 혹은 설치될 수 있다.
공용 저장 공간(630)은 공용 애플리케이션(620) 또는 보안 요소(530) 내에 위치하는 저장 공간이다. 도 6에서는 공용 저장 공간(630)이 공용 애플리케이션(620) 외부에 위치하는 것으로 도시되어 있으나, 이에 한정되지 않고, 공용 애플리케이션(620) 내부에 위치하는 것도 가능하다. 일 실시예에서, 공용 저장 공간(630)은 일반적인 파일 시스템(file system)을 포함할 수 있다. 또한, 공용 저장 공간(630)은 각 서비스 제공자 서버(210)가 공용 애플리케이션에 대한 요청을 통해 접근 가능한 공간으로, 각 서비스 제공자의 디지털 키는 구분되어 저장될 수 있다. 일 실시예에서, 공용 저장 공간(630)은, 각 서비스 제공자의 디지털 키를 구분자로 구분하여 저장할 수 있으며, 여기서, 구분자는 인덱스(Index)일 수 있다. 이러한 인덱스 정보는 라우팅 테이블에 저장될 수 있다. 일 실시예에서, 라우팅 테이블은 공용 애플리케이션(620)에 저장될 수 있다.
권한 제어 도메인(640)은 외부 엔티티와의 인증에 필요한 인증서를 저장할 수 있다.
도 7 및 도 8은 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 구체화하는 순서도이다.
도 7 및 도 8을 참조하면, 먼저, 702 단계에서, 서비스 제공자 서버(210)와 디지털 키 관리자 서버(220)가 서로 인증서를 교환한다. 특정한 서비스 제공자가 전자 디바이스(100)에 디지털 키를 저장하여 타겟 디바이스(10)에 디지털 키 서비스를 제공하고자 하는 경우, 서비스 제공자와 디지털 키 관리자 상호 간의 계약에 따라 인증서 교환이 이루어질 수 있다. 이때, 서비스 제공자 서버(210)는 타겟 디바이스를 제공하는 서비스 제공자가 운영하는 서버이며, 디지털 키 관리자 서버(220)는 디지털 키 관리 서비스를 제공하는 자가 운영하는 서버일 수 있다. 예를 들어, 디지털 키 관리 서비스를 제공하는 자는 전자 디바이스(100) 제조사 일 수 있다. 일 실시예에서, 인증서는 루트 인증서(root certificate)를 포함할 수 있다. 서비스 제공자 서버(210)는 서비스 제공자의 루트 인증서를 디지털 키 관리자 서버(220)에 전송하고, 디지털 키 관리자 서버(220)는 디지털 키 관리 서비스 제공자의 루트 인증서를 서비스 제공자 서버(210)에 전송할 수 있다. 즉, 서비스 제공자와 디지털 키 관리자가 서로의 루트 인증서를 교환할 수 있다.
그 후, 704 단계에서, 서비스 제공자 서버(210)는 702 단계에서 수신한 디지털 키 관리 서비스 제공자의 루트 인증서를 타겟 디바이스(10)로 전송하고, 이를 수신한 타겟 디바이스(10)는 708 단계에서 수신한 디지털 키 관리 서비스 제공자의 루트 인증서를 저장할 수 있다. 706 단계에서, 디지털 키 관리자 서버(220)는 702 단계에서 수신한 서비스 제공자의 루트 인증서를 전자 디바이스(100)로 전송하고, 이를 수신한 전자 디바이스(100)는 706 단계에서 수신한 서비스 제공자의 루트 인증서를 저장할 수 있다. 여기서, 전자 디바이스(100)는 공용 애플리케이션(620)에 수신한 서비스 제공자의 루트 인증서를 저장할 수 있다. 다만, 보안 요소(SE)와 같은 보안 영역은 전자 디바이스(100)의 일반 영역과 비교하여, 리소스(resource)나 저장 공간 측면에서 제약이 크다. 따라서, 다른 일 실시예에서, 전자 디바이스(100)는 인증서를 보안 요소(SE)에 저장된 키로 암호화 하여 보안 영역이 아닌 일반 영역에 저장할 수도 있다. 이 경우, 인증서 사용 시에는 보안 요소 내에서 인증서를 복호화 하여 사용할 수 있다. 일 실시예에 따르면, 인증서를 일반 영역에 저장하더라도 보안 요소(SE)에 저장된 키로 암호화 되어 있어, 탈취나 해킹으로부터 안전하게 저장할 수 있다. 또한, 보안 요소(SE) 내의 특정 서비스 관련된 키를 사용함으로써, 인증서를 특정 서비스와 바인딩하는 것도 가능하다.
712 단계에서, 타겟 디바이스(10)와 전자 디바이스(100)를 근거리 통신이 가능한 거리에 위치시킨다. 예를 들어, 타겟 디바이스(10)의 NFC 리더(Reader)에 전자 디바이스(100)를 위치시킬 수 있다. 이때, 타겟 디바이스(10)와 전자 디바이스(100)의 공용 애플리케이션(620)이 연결되고, 714 단계에서, 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행할 수 있다. 여기서, 타겟 디바이스(10)에 대한 인증은 인증서 기반 상호 검증을 수행할 수 있다. 인증서 기반 상호 검증은 각 디바이스 또는 각 애플리케이션이 상대방 기기를 인증하는 것으로, 일 실시예에서는 저장하고 있는 상대방의 인증서(또는 루트 인증서)를 이용할 수 있다. 일 실시예에서, 서비스 제공자 서버(210)와 디지털 키 관리자 서버(220)는 자신의 루트 서명을 서로에게 전달하고, 서로 저장하고 있는 상대방의 인증서로 이를 검증할 수 있다. 이를 통해 상대가 자신이 알고 있는, 예를 들어, 자신과 계약을 맺은 상대방인지 검증할 수 있다. 또는, 자신의 서명과 루트 인증서로 서명된 인증서를 함께 전달하면, 상대방은 루트 인증서를 확인한 뒤 인증서로 서명을 검증할 수 있다. . 일 실시예에서, 전자 디바이스(100)는 타겟 디바이스(10)에서 전자 디바이스(100)의 사용자에 대한 인증을 위하여 사용자 ID, 비밀번호(Password, PW), One Time Passcode(OTP), PIN(Personal Identification Number), 음성 명령, 생체 인식 정보, GPS 정보, 기존 소유 인증 정보 등을 획득하여 타겟 디바이스(10)에 제공할 수 있다. 타겟 디바이스(10)는 이러한 정보에 기초하여 전자 디바이스(100)에 디지털 키를 저장하려는 사용자가 의도한 사용자인지 여부를 확인할 수 있다.
714 단계에서, 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증이 완료되면, 716 단계에서, 공용 애플리케이션(620)은 디지털 키를 생성하고, 718 단계에서, 공용 저장 공간(630)에 디지털 키의 저장을 요청한다. 720 단계에서, 공용 저장 공간(630)은 생성된 디지털 키를 저장할 수 있다. 일 실시예에서, 디지털 키가 저장된 공용 저장 공간(630)의 일 영역과 디지털 키는 각각 디지털 키 관리자 서버(220) 또는 서비스 제공자 서버(210)에서 등록 및/또는 추가 인증을 통해서 활성화 시킬 수 있다. 이를 위해 디지털 키가 저장된 공용 저장 공간(630)에 디지털 키의 상태 정보를 저장할 수 있다. 디지털 키의 활성화 과정이 필요한 경우 초기 상태 정보를 비활성화 상태(INACTIVE)로 저장한다.
그 후, 722단계에서 공용 애플리케이션(620)은 디지털 키 라우팅 테이블을 업데이트 한다. 일 실시예에서, 전자 디바이스(100)는, 각 서비스 제공자의 디지털 키를 구분자로 구분하여 저장할 수 있으며, 여기서, 구분자는 인덱스(Index)일 수 있다. 이러한 인덱스 정보는 라우팅 테이블에 저장될 수 있다. 따라서, 디지털 키에 접근하기 위해서는 라우팅 테이블의 인덱스가 필요하다. 또한, 디지털 키가 새롭게 생성되거나, 디지털 키와 관련된 정보가 변경되는 경우, 라우팅 테이블의 업데이트를 수행할 수 있다. 일 실시예에서, 라우팅 테이블은, 디지털 키에 대한 인덱스, 상태 정보(활성/비활성), 식별 정보 등을 포함할 수 있다.
일 실시예에서, 전자 디바이스(100)가 네트워크에 연결 가능한 지역, 즉, 통신 가능 지역에 위치하는 경우, 바로 네트워크 연결하여 활성화 단계를 수행한다. 하지만, 전자 디바이스(100)가 음영 지역에 위치하는 경우, 전자 디바이스(100)가 통신 가능한 지역으로 이동하였을 때, 활성화 단계를 수행할 수 있다. 이를 위해, 724 단계에서, 활성화가 필요한 디지털 키와 관련된 정보를 서비스 프레임워크(520)에 저장할 수 있다.
726 단계에서 전자 디바이스(100)가 네트워크에 연결 가능한 지역, 즉, 통신 가능 지역으로 진입한 경우, 서비스 프레임워크(520)는 자동 또는 수동으로 활성화가 필요하다는 것을 트리거링 할 수 있다. 예를 들어, 사용자가 비활성화 디지털 키 리스트를 확인하여 활성화 요청 명령을 내리거나, 서비스 프레임워크(520)에서 네트워크 정보를 모니터링하다가 네트워크에 연결 가능한 지역, 즉, 통신 가능 지역으로 진입한 것으로 확인하면, 자동으로 활성화 트리거링을 시작할 수 있다.
728 단계는 디지털 키 서비스를 위한 보안 요소의 사용 등록 및 검증 과정이다. 726 단계에서 서비스 프레임워크(520)의 활성화 트리거링을 시작하면, 공용 애플리케이션(620)과 디지털 키 관리자 서버(220)을 연결하여 활성화를 수행할 수 있다. 예를 들어, 디지털 키 관리자의 정책에 따라 서버 기반으로 활성화를 수행할 수도 있고, 또는 전자 디바이스(100) 내에서 자체적으로 활성화를 수행할 수도 있다.
730 단계에서는 서비스 제공자 서버(210)를 기반으로 활성화를 수행하기 위해서 공용 저장 공간(630)에 저장된 서비스 제공자 서버(210)의 주소를 확인할 수 있다. 그 후, 732 단계에서 전자 디바이스(100)와 서비스 제공자 서버(210)가 네트워크를 통해 연결되면, 734 단계에서, 서비스 프레임워크(520)가 메시지 전달자 역할을 수행하여, 서비스 제공자 서버(210)와 공용 애플리케이션(620) 간의 상호 인증을 수행한다. 서비스 제공자 서버(210)와 공용 애플리케이션(620) 간의 상호 인증이 완료되면, 서비스 제공자 서버(210)와 공용 애플리케이션(620)은 논리적으로 연결되어 양 단 간 메시지 교환이 이루어질 수 있다.
736 단계에서는 서비스 제공자 서버(210)는 메시지를 통해 디지털 키와 관련된 서비스를 요청하고, 공용 애플리케이션(620)은 디지털 키 라우팅 테이블을 참조하여, 공용 저장 공간에 저장된 디지털 키의 저장 위치와 디지털 키에 대한 접근 권한을 확인한 후, 서비스 제공자 서버(210)의 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)에 전달한다.
일 실시예에 따르면, 각 서비스 제공자 서버(210)의 디지털 키를 보안 영역인 보안 요소(SE) 내의 공용 저장 장치에 분할하여 저장할 수 있다. 각 서비스 제공자가 디지털 키에 접근하고자 할 때, 서비스 제공자임을 인증한 후 디지털 키 라우팅 테이블을 참고하여 권한을 확인한 후 접근을 허용함으로써, 디지털 키를 안전하게 저장할 수 있다.
도 9는 다른 일 실시예에 따른 보안 요소의 시스템 아키텍처를 나타내는 도면이다.
도 9를 참조하면, 보안 요소(530)는 보안 도메인(910)을 포함하고, 보안 도메인(910)은 공용 애플리케이션(920), 전용 저장 공간(dedicated storage space, 930), 권한 제어 도메인(940) 등을 포함할 수 있다. 또한, 전용 저장 공간(930)에는 전용 애플리케이션(931)이 설치될 수 있다.
도 9에서 보안 도메인(910), 공용 애플리케이션(920), 권한 제어 도메인(940)의 기본적인 동작은 도 6의 보안 도메인(610), 공용 애플리케이션(620), 권한 제어 도메인(640)과 동일하거나 유사한 구성이다.
보안 도메인(910)은 보안 요소(530) 내에서도 완벽하게 분리된(isolated) 공간이며, 보안(security) 관련 동작을 수행한다.
공용 애플리케이션(920)은 보안 요소(530)에서 구동되는 경량화된 애플릿(applit) 또는 애플리케이션을 포함한다. 공용 애플리케이션(920)은 디지털 키와 관련된 서비스에서, 디지털 키의 생성, 관리와 같은 기능을 여러 서비스 제공자들에게 공용된 형태로 제공할 수 있다. 공용 애플리케이션(920)은 전자 디바이스(100)에 선 탑재되어 있거나, 추후 사용자 요청에 따라 로딩되거나 혹은 설치될 수 있다. 공용 애플리케이션(920)은 외부 엔티티에서 보안 요소(530)에 대한 요청이 있는 경우, 라우팅 기능을 제공할 수 있다. 예를 들어, 어떤 전용 저장 공간(930)으로 명령어를 보낼 것인지 결정할 수 있다.
전용 저장 공간(930)은 보안 도메인(910) 내에 위치하는 저장 공간으로, 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)된 공간이다. 일 실시예에서, 전용 저장 공간(930)을 타겟 디바이스 패키지라 할 수 있다. 또한, 전용 저장 공간(930)에는 전용 저장 공간에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션(931)이 설치될 수 있다. 전용 애플리케이션(931)은 타겟 디바이스 별 또는 서비스 제공자 별로 디지털 키를 저장할 수 있는 공간 및 해당 기능을 포함할 수 있다.
도 10 및 도 11은 다른 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 구체화하는 순서도이다.
도 10 및 도 11에서 도 7 및 도 8과 중복되는 내용은 간략히 설명하도록 한다.
도 10 및 도 11을 참조하면, 먼저, 1002 단계에서, 서비스 제공자 서버(210)와 디지털 키 관리자 서버(220)가 서로 인증서를 교환한다. 그 후, 1004 단계에서, 서비스 제공자 서버(210)는 1002 단계에서 수신한 디지털 키 관리 서비스 제공자의 인증서를 타겟 디바이스(10)로 전송하고, 이를 수신한 타겟 디바이스(10)는 1008 단계에서 수신한 디지털 키 관리 서비스 제공자의 인증서를 저장할 수 있다. 1006 단계에서, 디지털 키 관리자 서버(220)는 1002 단계에서 수신한 서비스 제공자의 인증서를 전자 디바이스(100)로 전송한다. 이때, 디지털 키 관리자 서버(220)는 인증서와 함께 접근 권한 정보를 함게 전송할 수 있다. 여기서, 접근 권한 정보는 서비스 제공자 서버(210)가 공용 애플리케이션에 접근하는 경우에 대한 접근 권한에 대한 것으로, 예를 들어, 접근 횟수, 접근 명령(command), 유효 기간 등을 포함할 수 있다. 이를 수신한 전자 디바이스(100)는 1010 단계에서 수신한 서비스 제공자의 인증서와 접근 권한 정보를 저장할 수 있다.
1012 단계에서 서비스 제공자 서버(210)는 타겟 디바이스(10)로 검증 토큰(verification token)을 전송할 수 있다. 여기서, 검증 토큰은 서비스 제공자 서버(210)와 서비스 제공자 서버에 대응되는 전용 저장 공간(930)과의 통신을 검증하는데 사용될 수 있다. 도 10에서는 검증 토큰이 1012 단계에서 전송되는 것으로 도시하였으나, 이에 한정되지 않고, 검증 토큰은 디지털 키 생성 단계(1022 단계) 이전에 어떤 단계에서도 타겟 디바이스(10)로 전송될 수 있다.
1014 단계에서, 타겟 디바이스(10)와 전자 디바이스(100)를 근거리 통신이 가능한 거리에 위치시켜, 1016 단계에서, 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행할 수 있다. 그 후, 1018 단계에서, 전용 저장 공간(930)을 생성하고, 전용 저장 공간(930)에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션(931)을 설치할 수 있다. 이후, 전용 저장 공간(930)과의 통신은 곧 전용 애플리케이션(931)과의 통신이라고 이해할 수 있다.
그 후, 1020 단계에서, 전용 애플리케이션(931)은 디지털 키를 생성하고, 1022 단계에서, 타겟 디바이스(10)는 전용 애플리케이션(931)으로 검증 토큰(verification token)을 전달할 수 있다. 1024 단계에서, 전용 저장 공간(930)에 생성된 디지털 키를 저장할 수 있다.
그 후, 1026단계에서 전용 애플리케이션(931)은 디지털 키 라우팅 테이블을 업데이트 한다. 1028 단계에서는 활성화가 필요한 디지털 키와 관련된 정보를 서비스 프레임워크(520)에 저장하고, 1030 단계에서 전자 디바이스(100)가 네트워크에 연결 가능한 지역, 즉, 통신 가능 지역으로 진입한 경우, 서비스 프레임워크(520)는 자동 또는 수동으로 활성화가 필요하다는 것을 트리거링 할 수 있다. 1032 단계는 디지털 키 서비스를 위한 보안 요소의 사용 등록 및 검증 과정이다. 1034 단계에서는 서비스 제공자 서버(210)를 기반으로 활성화를 수행하기 위해서 서비스 제공자 서버(210)의 주소를 확인할 수 있다. 그 후, 1036 단계에서 전자 디바이스(100)와 서비스 제공자 서버(210)가 네트워크를 통해 연결되면, 1038 단계에서, 서비스 프레임워크(520)가 메시지 전달자 역할을 수행하여, 서비스 제공자 서버(210)와 공용 애플리케이션(620) 간의 상호 인증을 수행한다.
1040 단계에서는 서비스 제공자 서버(210)는 메시지를 통해 디지털 키와 관련된 서비스를 요청할 수 있다. 이때, 해당 서비스 제공자 서버(210)에 대응되는 전용 저장 공간에 접근하는 것인지 확인하기 위한 챌린지(challenge)가 함께 전송될 수 있다. 1042 단계에서, 공용 애플리케이션(920)은 디지털 키 라우팅 테이블을 참조하여, 공용 저장 공간에 저장된 디지털 키의 저장 위치와 디지털 키에 대한 접근 권한을 확인한 후, 서비스 제공자 서버(210)에 대응되는 전용 저장 공간(930)을 선택한다. 그 후, 1044 단계에서, 전용 애플리케이션(931)에 디지털 키와 관련된 서비스 요청 및 챌린지를 전달하고, 1046 단계에서 전용 애플리케이션(931)은 검증 토큰을 이용해 디지털 키와 관련된 요청에 대한 응답을 생성하여, 1048 단계에서 서비스 제공자 서버(210)로 전송할 수 있다. 보다 구체적으로, 전용 애플리케이션(931)은 검증 토큰을 이용하여 챌린지에 대한 결과를 디지털 키와 관련된 요청에 대한 응답에 포함하여 서비스 제공자 서버(210)로 전송할 수 있다. 이를 수신한 서비스 제공자 서버(210)는 챌린지에 대한 결과를 바탕으로, 응답이 서비스 제공자 서버(210)에 대응되는 전용 저장 공간에 저장된 디지털 키를 바탕으로 이루어진 것인지 검증할 수 있다.
일 실시예에 따르면, 서비스 제공자들의 디지털 키를 안전하게 분리된 전용 저장 공간(930)에 분할하여 저장할 수 있다. 각 서비스 제공자들이 디지털 키에 접근하고자 할 때, 서비스 제공자임을 인증하고, 디지털 키 라우팅 테이블을 참고하여 서비스 제공자의 권한을 확인한 후, 특정 전용 저장 공간에 접근을 허용함으로써 디지털 키를 안전하게 저장할 수 있다. 나아가, 서비스 제공자는 챌린지를 통해 자신의 서버인 서비스 제공자 서버(210)에서 전자 디바이스(100)로부터의 응답이 서비스 제공자에 대응되는 전용 저장 공간(930)에 저장된 디지털 키에 대한 것인지 확인할 수도 있다.
도 12는 또다른 일 실시예에 따른 보안 요소의 시스템 아키텍처를 나타내는 도면이다.
도 12를 참조하면, 보안 요소(530)는 보안 도메인(1210)을 포함하고, 보안 도메인(1210)은 공용 애플리케이션(1220), 전용 보안 도메인(dedicated security domain, 1230), 토큰 확인용 보안 도메인(1240), 영수증 생성용 보안 도메인(1250) 및 권한 제어 도메인(1260) 등을 포함할 수 있다. 또한, 전용 보안 도메인(1230)에는 전용 애플리케이션(1231)이 설치될 수 있다.
도 12에서 보안 도메인(1210), 공용 애플리케이션(1220), 권한 제어 도메인(1260)의 기본적인 동작은 도 6 및 도 9의 보안 도메인(610, 910), 공용 애플리케이션(620, 920), 권한 제어 도메인(640, 940)과 동일하거나 유사한 구성이다.
보안 도메인(1210)은 보안 요소(530) 내에서도 완벽하게 분리된(isolated) 공간이며, 보안(security) 관련 동작을 수행한다.
공용 애플리케이션(1220)은 보안 요소(530)에서 구동되는 경량화된 애플릿(applit) 또는 애플리케이션을 포함한다. 공용 애플리케이션(1220)은 디지털 키와 관련된 서비스에서, 디지털 키의 생성, 관리와 같은 기능을 여러 서비스 제공자들에게 공용된 형태로 제공할 수 있다. 공용 애플리케이션(1220)은 전자 디바이스(100)에 선 탑재되어 있거나, 추후 사용자 요청에 따라 로딩되거나 혹은 설치될 수 있다. 공용 애플리케이션(1220)은 외부 엔티티에서 보안 요소(530)에 대한 요청이 있는 경우, 라우팅 기능을 제공할 수 있다. 예를 들어, 어떤 전용 보안 도메인(1230)으로 명령어를 보낼 것인지 결정할 수 있다.
전용 보안 도메인(1230)은 기능적으로 분리(isolate)되고, 보안 도메인(1210)의 하위에 존재하는 보안 도메인이며, Delegated Management Privilege를 가지고 있다. 보안 도메인(1210)이 관리하는 외부 엔티티가 아니더라도, 사용 권한을 증명하면 전용 보안 도메인(1230)에 접근할 수 있다. 즉, 전용 보안 도메인(1230)은 일종의 대리인 역할을 수행하며, 어떤 엔티티라도 접근 권한을 증명하면 전용 보안 도메인(1230)의 서비스를 이용할 수 있다.
토큰 확인용 보안 도메인(1240)은 전용 보안 도메인(1230)에 외부 엔티티가 접근할 때, 접근 권한을 검증하는 역할을 수행하고, 영수증 생성용 보안 도메인(1250)은 접근 후 사용 내용을 외부 엔티티에 알려주는 역할을 수행한다.
공용 애플리케이션(1220) 또는 보안 요소(530) 내에 위치하는 저장 공간으로, 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)된 공간이다. 일 실시예에서, 전용 보안 도메인(1230)을 타겟 디바이스 패키지라 할 수 있다. 또한, 전용 보안 도메인(1230)에는 전용 보안 도메인(1230)에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션(1231)이 설치될 수 있다. 전용 애플리케이션(1231)은 타겟 디바이스 별 또는 서비스 제공자 별로 디지털 키를 저장할 수 있는 공간 및 해당 기능을 포함할 수 있다.
도 13 및 도 14는 또다른 일 실시예에 따른 디지털 키를 저장하기 위한 방법을 구체화하는 순서도이다.
도 13 및 도 14에서 도 7 및 도 8, 도 10 및 11과 중복되는 내용은 간략히 설명하도록 한다.
도 13 및 도 14을 참조하면, 먼저, 1302 단계에서, 서비스 제공자 서버(210)와 디지털 키 관리자 서버(220)가 서로 인증서를 교환한다. 그 후, 1304 단계에서, 서비스 제공자 서버(210)는 1302 단계에서 수신한 디지털 키 관리 서비스 제공자의 인증서를 타겟 디바이스(10)로 전송하고, 이를 수신한 타겟 디바이스(10)는 1308 단계에서 수신한 디지털 키 관리 서비스 제공자의 인증서를 저장할 수 있다. 1306 단계에서, 디지털 키 관리자 서버(220)는 1002 단계에서 수신한 서비스 제공자의 인증서를 전자 디바이스(100)로 전송한다. 이를 수신한 전자 디바이스(100)는 1310 단계에서 수신한 서비스 제공자의 인증서와 접근 권한 정보를 저장할 수 있다.
1312 단계에서, 타겟 디바이스(10)와 전자 디바이스(100)를 근거리 통신이 가능한 거리에 위치시켜, 1314 단계에서, 전자 디바이스(100)의 사용자와 타겟 디바이스(10)에 대한 인증을 수행할 수 있다. 그 후, 1316 단계에서, 전용 보안 도메인(1230)을 생성하고, 전용 보안 도메인(1230)에 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션(1231)을 설치할 수 있다. 이후, 전용 보안 도메인(1230)과의 통신은 곧 전용 애플리케이션(1231)과의 통신이라고 이해할 수 있다.
그 후, 1318 단계에서, 전용 애플리케이션(1231)은 디지털 키를 생성하고, 1320 단계에서, 전용 보안 도메인(1230)에 생성된 디지털 키를 저장할 수 있다.
그 후, 1322단계에서 활성화가 필요한 디지털 키와 관련된 정보를 서비스 프레임워크(520)에 저장하고, 1324 단계에서 전자 디바이스(100)가 네트워크에 연결 가능한 지역, 즉, 통신 가능 지역으로 진입한 경우, 서비스 프레임워크(520)는 자동 또는 수동으로 활성화가 필요하다는 것을 트리거링 할 수 있다. 1326 단계는 디지털 키 서비스를 위한 보안 요소의 사용 등록 및 검증 과정이다. 1328 단계에서는 서비스 제공자 서버(210)를 기반으로 활성화를 수행하기 위해서 서비스 제공자 서버(210)의 주소를 확인할 수 있다. 그 후, 1330 단계에서 전자 디바이스(100)와 서비스 제공자 서버(210)가 네트워크를 통해 연결되면, 1332 단계에서, 서비스 프레임워크(520)가 메시지 전달자 역할을 수행하여, 서비스 제공자 서버(210)와 전용 애플리케이션(1230) 간의 상호 인증을 수행한다.
1334 단계에서는 전용 애플리케이션(1230)에서 생성한 검증 토큰을 서비스 제공자 서버(210)으로 전달한다. 이때, 디지털 키 관리자 서버(220)를 통해 전달하거나, 서비스 제공자 서버(210)로 직접 전달할 수도 있으며, 이 경우, 검증 토큰을 1306 단계에서 수신한 인증서로 암호화하여 전송할 수도 있다.
1336 단계에서, 서비스 제공자 서버(210)는 메시지를 통해 디지털 키와 관련된 서비스를 요청할 수 있다. 이때, 해당 서비스 제공자 서버(210)에 대응되는 전용 보안 도메인(1230)에 접근하는 것인지 확인하기 위하여 검증 토큰을 함께 전송할 수 있다. 1338 단계에서, 수신한 검증 토큰은 토큰 확인용 보안 도메인(1240)에서 검증할 수 있다. 검증 토큰이 유효한 경우, 1340 단계에서, 전용 애플리케이션(1231)은, 디지털 키와 관련된 요청에 대한 응답을 생성하여 서비스 제공자 서버(210)로 전송할 수 있다. 그 후, 1342 단계에서, 영수증 생성용 보안 도메인(1250)은 디지털 키 관리자 서버(220)로 검증 결과를 전송한다.
일 실시예에 따르면, 서비스 제공자들의 디지털 키를 안전하게 분리된 전용 보안 도메인(1230)에 분할하여 저장할 수 있다. 각 서비스 제공자들이 디지털 키에 접근하고자 할 때, 서비스 제공자임을 인증하고, 특정 전용 보안 도메인(1230)에 접근을 허용함으로써 디지털 키를 안전하게 저장할 수 있다. 나아가, 전자 디바이스(100)는 서비스 제공자 서버(210)에서 전자 디바이스(100)로부터 수신한 검증 토큰을 이용하여 서비스 제공자의 접근이 유효한 접근인지 여부를 확인할 수도 있다.
한편, 상술한 실시예는, 컴퓨터에서 실행될 수 있는 프로그램으로 작성 가능하고, 컴퓨터에 의해 판독 가능한 매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 또한, 상술한 실시예에서 사용된 데이터의 구조는 컴퓨터 판독 가능 매체에 여러 수단을 통하여 기록될 수 있다. 또한, 상술한 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행 가능한 명령어를 포함하는 기록 매체를 포함하는 컴퓨터 프로그램 제품의 형태로 구현될 수 있다. 예를 들어, 소프트웨어 모듈 또는 알고리즘으로 구현되는 방법들은 컴퓨터가 읽고 실행할 수 있는 코드들 또는 프로그램 명령들로서 컴퓨터가 읽을 수 있는 기록 매체에 저장될 수 있다.
컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 기록 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 포함할 수 있다. 컴퓨터 판독 가능 매체는 마그네틱 저장매체, 예를 들면, 롬, 플로피 디스크, 하드 디스크 등을 포함하고, 광학적 판독 매체, 예를 들면, 시디롬, DVD 등과 같은 저장 매체를 포함할 수 있으나, 이에 제한되지 않는다. 또한, 컴퓨터 판독 가능 매체는 컴퓨터 저장 매체 및 통신 매체를 포함할 수 있다.
또한, 컴퓨터가 읽을 수 있는 복수의 기록 매체가 네트워크로 연결된 컴퓨터 시스템들에 분산되어 있을 수 있으며, 분산된 기록 매체들에 저장된 데이터, 예를 들면 프로그램 명령어 및 코드가 적어도 하나의 컴퓨터에 의해 실행될 수 있다.
이상과 첨부된 도면을 참조하여 본 개시의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.

Claims (21)

  1. 디지털 키를 저장하기 위한 전자 디바이스에 있어서,
    통신부;
    보안 요소(Secure Element, SE);
    메모리; 및
    프로세서를 포함하며,
    상기 보안요소는
    타겟 디바이스와 근거리 통신을 수행하여 상기 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하고,
    상기 타겟 디바이스에 대한 디지털 키를 생성하고,
    상기 생성한 디지털 키를 각 서비스 제공자 별로 구분된 인덱스에 따라서 상기 보안 요소의 공용 저장 공간에 저장하며,
    상기 생성한 디지털 키에 대한 라우팅 테이블을 업데이트 하도록 제어하는, , 전자 디바이스.
  2. 삭제
  3. 제1항에 있어서,
    상기 보안요소는,
    상기 디지털 키를 활성화 하고, 상기 보안 요소 내의 공용 애플리케이션과 서비스 제공자 서버를 연결하여 상기 공용 애플리케이션과 상기 서비스 제공자 서버 간에 인증을 수행하도록 제어하는, 전자 디바이스.
  4. 제3항에 있어서,
    상기 보안요소는,
    상기 서비스 제공자 서버로부터 상기 디지털 키와 관련된 요청을 수신하는 경우, 상기 라우팅 테이블을 기초로 서비스 제공자 서버의 상기 디지털 키의 저장 위치와 상기 디지털 키에 대한 접근 권한을 확인하고, 상기 서비스 제공자 서버가 상기 접근 권한이 있는 경우, 상기 디지털 키와 관련된 요청에 대한 응답을 생성하여 상기 서비스 제공자 서버로 전송하도록 상기 공용 애플리케이션을 제어하는, 전자 디바이스.
  5. 제1항에 있어서,
    상기 보안요소는,
    상기 보안 요소의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 상기 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)된 전용 저장 공간을 생성하고, 상기 전용 저장 공간에 상기 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치하며, 상기 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 상기 전용 저장 공간에 저장하고, 상기 생성한 디지털 키에 대한 라우팅 테이블을 업데이트 하도록 제어하는, 전자 디바이스.
  6. 제5항에 있어서,
    상기 보안요소는,
    상기 디지털 키를 활성화 하고, 상기 보안 요소 내의 공용 애플리케이션과 서비스 제공자 서버를 연결하여 상기 공용 애플리케이션과 상기 서비스 제공자 서버 간에 인증을 수행하도록 제어하는, 전자 디바이스.
  7. 제6항에 있어서,
    상기 보안요소는,
    디지털 키 관리자 서버로부터 상기 서비스 제공자 서버의 접근 권한 정보를 수신하고, 상기 타겟 디바이스로부터 검증 토큰(verification token)을 수신하도록 제어하며,
    상기 서비스 제공자 서버로부터 상기 디지털 키와 관련된 요청을 수신하는 경우, 상기 라우팅 테이블을 기초로 서비스 제공자 서버의 상기 디지털 키의 저장 위치와 상기 디지털 키에 대한 접근 권한을 확인하도록 상기 공용 애플리케이션을 제어하고,
    상기 서비스 제공자 서버가 상기 디지털 키에 대한 접근 권한이 있는 경우, 상기 검증 토큰을 이용해 상기 디지털 키와 관련된 요청에 대한 응답을 생성하여 상기 서비스 제공자 서버로 전송하도록 상기 전용 애플리케이션을 제어하는, 전자 디바이스.
  8. 제1항에 있어서,
    상기 보안요소는,
    상기 보안 요소의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 상기 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)되고, 사용 권한이 증명되면 접근 가능한 전용 보안 도메인을 생성하고, 상기 전용 보안 도메인에 상기 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치하며, 상기 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 상기 전용 보안 도메인에 저장하는, 전자 디바이스.
  9. 제8항에 있어서,
    상기 보안요소는,
    상기 디지털 키를 활성화 하고, 상기 보안 요소 내의 상기 전용 애플리케이션과 서비스 제공자 서버를 연결하여 상기 전용 애플리케이션과 상기 서비스 제공자 서버 간에 인증을 수행하도록 제어하는, 전자 디바이스.
  10. 제9항에 있어서,
    상기 보안요소는,
    디지털 키 관리자 서버로 상기 전용 보안 도메인에 접근하기 위한 검증 토큰을 전송하도록 제어하고,
    상기 서비스 제공자 서버로부터 상기 검증 토큰과 상기 디지털 키와 관련된 요청을 수신하는 경우, 상기 검증 토큰에 대한 검증을 수행하고, 상기 검증 토큰이 유효한 경우, 상기 디지털 키와 관련된 요청에 대한 응답을 생성하여 상기 서비스 제공자 서버로 전송하도록 상기 전용 애플리케이션을 제어하는, 전자 디바이스.
  11. 전자 디바이스의 디지털 키 저장 방법에 있어서,
    타겟 디바이스와 근거리 통신을 수행하여 상기 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하는 단계;
    상기 타겟 디바이스에 대한 디지털 키를 생성하는 단계;
    상기 생성한 디지털 키를 각 서비스 제공자 별로 구분된 인덱스에 따라서 보안 요소의 공용 저장 공간에 저장하는 단계; 및
    상기 생성한 디지털 키에 대한 라우팅 테이블을 업데이트하는 단계를 포함하는, 방법.
  12. 삭제
  13. 제11항에 있어서,
    상기 디지털 키를 활성화 하는 단계; 및
    상기 보안 요소 내의 공용 애플리케이션과 서비스 제공자 서버를 연결하여 상기 공용 애플리케이션과 상기 서비스 제공자 서버 간에 인증을 수행하는 단계를 더 포함하는, 방법.
  14. 제13항에 있어서,
    상기 서비스 제공자 서버로부터 상기 디지털 키와 관련된 요청을 수신하는 경우, 상기 라우팅 테이블을 기초로 서비스 제공자 서버의 상기 디지털 키의 저장 위치와 상기 디지털 키에 대한 접근 권한을 확인하는 단계; 및
    상기 서비스 제공자 서버가 상기 접근 권한이 있는 경우, 상기 디지털 키와 관련된 요청에 대한 응답을 생성하여 상기 서비스 제공자 서버로 전송하는 단계를 더 포함하는, 방법.
  15. 제11항에 있어서,
    상기 타겟 디바이스에 대한 상기 디지털 키를 생성하는 단계 이전에, 상기 보안 요소의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 상기 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)된 전용 저장 공간을 생성하는 단계; 및
    상기 전용 저장 공간에 상기 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치하는 단계를 더 포함하고,
    상기 생성한 디지털 키를 상기 보안 요소의 일 영역에 저장하는 단계는,
    상기 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 상기 전용 저장 공간에 저장하는 단계; 및
    상기 생성한 디지털 키에 대한 라우팅 테이블을 업데이트 하는 단계를 더 포함하는, 방법.
  16. 제15항에 있어서,
    상기 디지털 키를 활성화 하는 단계; 및
    상기 보안 요소 내의 공용 애플리케이션과 서비스 제공자 서버를 연결하여 상기 공용 애플리케이션과 상기 서비스 제공자 서버 간에 인증을 수행하는 단계를 더 포함하는, 방법.
  17. 제16항에 있어서,
    타겟 디바이스와 근거리 통신을 수행하여 상기 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하는 단계 이전에, 디지털 키 관리자 서버로부터 상기 서비스 제공자 서버의 접근 권한 정보를 수신하는 단계; 및
    상기 타겟 디바이스에 대한 상기 디지털 키를 생성하는 단계 이전에, 상기 타겟 디바이스로부터 검증 토큰(verification token)을 수신하는 단계를 더 포함하고,
    상기 서비스 제공자 서버로부터 상기 디지털 키와 관련된 요청을 수신하는 경우, 상기 라우팅 테이블을 기초로 서비스 제공자 서버의 상기 디지털 키의 저장 위치와 상기 디지털 키에 대한 접근 권한을 확인하는 단계; 및
    상기 서비스 제공자 서버가 상기 디지털 키에 대한 접근 권한이 있는 경우, 상기 검증 토큰을 이용해 상기 디지털 키와 관련된 요청에 대한 응답을 생성하여 상기 서비스 제공자 서버로 전송하는 단계를 더 포함하는, 방법.
  18. 제11항에 있어서,
    상기 타겟 디바이스에 대한 상기 디지털 키를 생성하는 단계 이전에, 상기 보안 요소의 일 영역에 각 서비스 제공자 별 또는 각 타겟 디바이스 별로 상기 디지털 키를 저장하기 위하여 기능적으로 분리(isolate)되고, 사용 권한이 증명되면 접근 가능한 전용 보안 도메인을 생성하는 단계; 및
    상기 전용 보안 도메인에 상기 디지털 키에 대한 서비스를 제공하기 위한 전용 애플리케이션을 설치하는 단계를 더 포함하고,
    상기 생성한 디지털 키를 상기 보안 요소의 일 영역에 저장하는 단계는,
    상기 생성한 디지털 키를 각 서비스 제공자 별로 구분하여 상기 전용 보안 도메인에 저장하는 단계를 포함하는, 방법.
  19. 제18항에 있어서,
    상기 디지털 키를 활성화 하는 단계; 및
    상기 보안 요소 내의 상기 전용 애플리케이션과 서비스 제공자 서버를 연결하여 상기 전용 애플리케이션과 상기 서비스 제공자 서버 간에 인증을 수행하는 단계를 더 포함하는, 방법.
  20. 제19항에 있어서,
    디지털 키 관리자 서버로 상기 전용 보안 도메인에 접근하기 위한 검증 토큰을 전송하는 단계;
    상기 서비스 제공자 서버로부터 상기 검증 토큰과 상기 디지털 키와 관련된 요청을 수신하는 경우, 상기 검증 토큰에 대한 검증을 수행하는 단계; 및
    상기 검증 토큰이 유효한 경우, 상기 디지털 키와 관련된 요청에 대한 응답을 생성하여 상기 서비스 제공자 서버로 전송하는 단계를 더 포함하는, 방법.
  21. 타겟 디바이스와 근거리 통신을 수행하여 전자 디바이스의 사용자와 상기 타겟 디바이스에 대한 인증을 수행하는 단계;
    상기 타겟 디바이스에 대한 디지털 키를 생성하는 단계;
    상기 생성한 디지털 키를 각 서비스 제공자 별로 구분된 인덱스에 따라서 보안 요소의 공용 저장 공간에 저장하는 단계; 및
    상기 생성한 디지털 키에 대한 라우팅 테이블을 업데이트하는 단계를 수행하도록 하는 프로그램이 저장된 기록매체.
KR1020180058645A 2018-05-23 2018-05-23 디지털 키를 저장하기 위한 방법 및 전자 디바이스 KR102626319B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020180058645A KR102626319B1 (ko) 2018-05-23 2018-05-23 디지털 키를 저장하기 위한 방법 및 전자 디바이스
EP19808027.7A EP3787221A4 (en) 2018-05-23 2019-05-20 DIGITAL KEY STORAGE PROCESS, AND ELECTRONIC DEVICE
PCT/KR2019/005979 WO2019225921A1 (ko) 2018-05-23 2019-05-20 디지털 키를 저장하기 위한 방법 및 전자 디바이스
US17/057,995 US20210203498A1 (en) 2018-05-23 2019-05-20 Method for storing digital key and electronic device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180058645A KR102626319B1 (ko) 2018-05-23 2018-05-23 디지털 키를 저장하기 위한 방법 및 전자 디바이스

Publications (2)

Publication Number Publication Date
KR20190133558A KR20190133558A (ko) 2019-12-03
KR102626319B1 true KR102626319B1 (ko) 2024-01-17

Family

ID=68617146

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180058645A KR102626319B1 (ko) 2018-05-23 2018-05-23 디지털 키를 저장하기 위한 방법 및 전자 디바이스

Country Status (4)

Country Link
US (1) US20210203498A1 (ko)
EP (1) EP3787221A4 (ko)
KR (1) KR102626319B1 (ko)
WO (1) WO2019225921A1 (ko)

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021112603A1 (en) * 2019-12-06 2021-06-10 Samsung Electronics Co., Ltd. Method and electronic device for managing digital keys
US11184160B2 (en) 2020-02-26 2021-11-23 International Business Machines Corporation Channel key loading in a computing environment
US11502834B2 (en) 2020-02-26 2022-11-15 International Business Machines Corporation Refreshing keys in a computing environment that provides secure data transfer
US11405215B2 (en) 2020-02-26 2022-08-02 International Business Machines Corporation Generation of a secure key exchange authentication response in a computing environment
US11489821B2 (en) * 2020-02-26 2022-11-01 International Business Machines Corporation Processing a request to initiate a secure data transfer in a computing environment
US11652616B2 (en) * 2020-02-26 2023-05-16 International Business Machines Corporation Initializing a local key manager for providing secure data transfer in a computing environment
US11546137B2 (en) 2020-02-26 2023-01-03 International Business Machines Corporation Generation of a request to initiate a secure data transfer in a computing environment
KR102512260B1 (ko) * 2021-04-08 2023-03-21 유비벨록스(주) 도어락 시스템 및 이를 이용한 도어락 출입여부 판단방법
KR102385467B1 (ko) * 2021-09-23 2022-04-14 (주)케이스마텍 디지털 키 통합 서비스 제공 시스템 및 그 방법
CN116566594A (zh) * 2022-01-30 2023-08-08 华为技术有限公司 一种设备控制方法、设备和分布式数字钥匙系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014099718A (ja) * 2012-11-13 2014-05-29 Nec Casio Mobile Communications Ltd 携帯端末装置および携帯端末装置を用いた近距離探索方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101324194B1 (ko) * 2011-07-14 2013-11-06 아이테크 도쿄 코포레이션 컨텐츠 송수신 모바일 단말, 컨텐츠 송수신 시스템 및 컨텐츠 송수신 방법
JP2015092652A (ja) * 2013-10-03 2015-05-14 キヤノン株式会社 通信装置およびその制御方法
GB2528034B (en) * 2014-06-24 2017-12-20 Samsung Electronics Co Ltd Apparatus and method for device configuration
KR101778554B1 (ko) * 2014-10-20 2017-09-26 에스케이텔레콤 주식회사 정보 접근 방법
KR102294118B1 (ko) * 2014-10-21 2021-08-26 삼성전자주식회사 보안 연결 장치 및 방법
EP3262859B1 (de) * 2015-02-23 2020-04-01 Bayerische Motoren Werke Aktiengesellschaft System zur verwendung mobiler endgeräte als schlüssel für fahrzeuge
US10708236B2 (en) * 2015-10-26 2020-07-07 Secturion Systems, Inc. Multi-independent level secure (MILS) storage encryption

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014099718A (ja) * 2012-11-13 2014-05-29 Nec Casio Mobile Communications Ltd 携帯端末装置および携帯端末装置を用いた近距離探索方法

Also Published As

Publication number Publication date
KR20190133558A (ko) 2019-12-03
WO2019225921A1 (ko) 2019-11-28
US20210203498A1 (en) 2021-07-01
EP3787221A1 (en) 2021-03-03
EP3787221A4 (en) 2021-05-26

Similar Documents

Publication Publication Date Title
KR102626319B1 (ko) 디지털 키를 저장하기 위한 방법 및 전자 디바이스
KR102511778B1 (ko) 전자 디바이스 및 전자 디바이스의 디지털 키 프로비저닝 수행 방법
US11968525B2 (en) Vehicle digital key sharing service method and system
TWI640893B (zh) 授權將於目標計算裝置上執行之操作的方法
KR102426930B1 (ko) 차량 공유를 위한 이동통신 단말의 디지털 키를 관리하는 방법 및 이를 이용한 키 서버
KR102553145B1 (ko) 디지털 키를 처리 및 인증하는 보안 요소 및 그 동작 방법
WO2019195957A1 (zh) 一种移动终端的访问控制方法、装置、终端及存储介质
JP2019517229A (ja) ポータブル電子デバイスと関連したデジタルシークレットの生成、格納、管理および使用のためのシステムおよび方法
KR101873828B1 (ko) 신뢰된 실행 환경 기반의 사용자 단말을 이용한 무선 도어키 공유 서비스 방법 및 시스템
US20220014353A1 (en) Method by which device shares digital key
US11722307B2 (en) Electronic device for processing digital key, and operation method therefor
US11949779B2 (en) Method and apparatus for registering shared key
CN107396361B (zh) 一种用于对用户设备进行无线连接预授权的方法与设备
KR20150081387A (ko) 사용자 인증 시스템 및 방법
US20220216987A1 (en) Device and method for managing shared digital key
US11870888B2 (en) Immobilizer token management system
US11184354B2 (en) Network-based authorization for disconnected devices
KR20200059106A (ko) 디바이스가 디지털 키를 공유하는 방법
KR20200090490A (ko) 디지털 키 공유 시스템에서 이모빌라이저 토큰을 업데이트하는 장치 및 방법
KR101502800B1 (ko) 권리자 식별정보가 기록된 디지털 시스템, 응용 시스템, 및 서비스 시스템
KR20150134298A (ko) 사용자 인증 방법
KR20140083935A (ko) 권리자 식별정보가 기록된 디지털 시스템, 응용 시스템, 및 서비스 시스템
KR20120074721A (ko) 보호된 네트워크의 인증 자원을 이용한 외부망으로의 접속 인증 시스템 및 그 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right