KR20070059891A - 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 - Google Patents

어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 Download PDF

Info

Publication number
KR20070059891A
KR20070059891A KR1020060068158A KR20060068158A KR20070059891A KR 20070059891 A KR20070059891 A KR 20070059891A KR 1020060068158 A KR1020060068158 A KR 1020060068158A KR 20060068158 A KR20060068158 A KR 20060068158A KR 20070059891 A KR20070059891 A KR 20070059891A
Authority
KR
South Korea
Prior art keywords
application
authentication
signature
terminal
digest
Prior art date
Application number
KR1020060068158A
Other languages
English (en)
Inventor
박영수
전성익
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20070059891A publication Critical patent/KR20070059891A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명에 의한 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법은 단말기와 접속하여 상기 단말기가 실행하는 어플리케이션을 인증하는 인증모듈로서, 상기 어플리케이션과 인증에 필요한 정보를 저장하는 저장부; 상기 정보와 상기 단말기가 제공하는 정보를 기초로 어플리케이션의 인증을 수행하는 인증처리부; 및 상기 어플리케이션의 프라이버시 보호와 키 생성을 위한 암호처리 그리고 무결성을 확인하는 암호처리부;를 포함하는 것을 특징으로 하며, 단말과 인증 모듈을 조합하여 단말 내에서 동작하는 어플리케이션을 인증 모듈이 구비한 정보를 이용하여 무결성 확인과 함께 인증함으로써 부적절한 어플리케이션이 단말 내에서 실행되는 것을 방지할 수 있다.
단말, 인증, 어플리케이션, 내템퍼, 암호화, 복호, 무결성

Description

어플리케이션 인증 보안 시스템 및 그 인증 보안 방법{Application authentication security system and method thereof}
도 1은 본 발명에 의한 어플리케이션 인증 보안 시스템에 적용하는 인증 모듈의 구성을 보여주는 블록도이다.
도 2는 본 발명에 의한 어플리케이션 인증 보안 시스템의 구성을 보여주는 블록도이다.
도 3은 본 발명에 의한 어플리케이션 인증 보안 시스템의 일 실시예를 도시한 도면이다.
도 4는 본 발명에 의한 어플리케이션 인증 실행을 위한 단말의 동작을 설명하는 순서도이다.
도 5는 본 발명에 의한 인증 모듈의 인증 동작을 설명하는 순서도이다.
도 6은 본 발명에 의한 인증 모듈에서의 무결성 확인 및 암호처리 동작을 설명하는 순서도이다.
도 7은 본 발명에 의한 인증 모듈의 저장 공간 확장을 위한 외부 메모리와의 구성을 도시한 도면이다.
* 도면 부호에 대한 간단한 설명 *
100: 인증 모듈 101: 연결부
102: 제어부 103: 저장부
105: 재구성 레지스터부 107: 암호처리부
200: 단말기
201: 어플리케이션 다운로딩부 203: 인증모듈 액세스부
300: 어플리케이션 제공회사
710: 확장 메모리
본 발명은 이동기기 등의 단말과 인증 모듈을 구비하는 시스템에 있어서, 단말에서 동작하는 어플리케이션을 인증하고 아울러 무결성 확인과 프라이버시 보호 및 키를 생성하기 위한 장치가 구비된 시스템 및 그 방법에 관한 것이다.
스마트카드를 포함하는 인증모듈을 장착한 단말과 서버와의 통신으로 어플리케이션 등을 처리하는 시스템에 있어서, 이들 어플리케이션의 인증 처리를 위하여 단말에 내템퍼성(tamper resistant) 기능의 모듈을 내장할 수 없기 때문에, 서버의 어플리케이션 프로그램을 단말에 장착된 스마트카드를 이용하여 인증하고, 단말은 서버와 스마트카드간의 통신을 중계한다.
또한, 단말은 휴대 전화와 같은 이동기기 등과 같이 서버로부터 어플리케이션을 다운로딩하여 실행시키는 것이 가능하나, 다운로딩된 어플리케이션이 부정한 동작을 수행할 수 있기 때문에 동작되는 어플리케이션의 데이터 기록 금지, 인터페 이스 사용 금지 등의 로컬 리소스를 사용하는 동작을 제한한다. 이는 다운로딩된 어플리케이션의 정품 여부, 데이터에 대한 액세스 권한 여부, 부정한 동작 수행 여부 등을 검증할 수 없기 때문이다.
이러한 제한 사항들은 장래 다양한 어플리케이션의 등장과 응용에 큰 저해 요인으로, 이러한 제약을 없애기 위하여 단말에 다운로딩된 어플리케이션이 장착된 스마트카드로부터 인증 수행에 필요한 정보를 제공받아 인증을 수행할 수 있지만, 악의의 단말이 필요한 정보를 생성하여 제공할 염려가 있기 때문에 스마트카드의 장착만으로 안전한 인증을 수행할 수 없다. 또한 다운로딩된 어플리케이션이 스마트카드의 데이터를 엑세스할 수 있기 위해서는 스마트카드가 인증을 위한 처리를 수행하고, 액세스를 허가해야 한다. 따라서 스마트카드 등과 같은 인증 수단은 어플리케이션의 인증에 필요한 정보를 가지고 있는지를 판단하여 처리하는 보안 기능과 함께 내템퍼성 기능의 저장 모듈에 있는 중요 키 정보에 대하여 외부에서 탐침 등의 방법으로 추출의 가능성이 있기 때문에 키 생성 기능을 가져야 한다. 한편 단말은 비밀정보를 안전하게 보관하기 위한 내템퍼성 기능이 없기 때문에 다운로딩된 어플리케이션으로 인한 비밀 정보의 누설 가능성의 존재와 함께 스마트카드 등과 같은 보안 장치가 단말에 다운로딩된 어플리케이션에 대한 무결성 확인 및 인증, 그리고 프라이버시를 보호할 수 없다는 문제점이 있다.
본 발명이 이루고자 하는 기술적 과제는 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 스마트카드 등과 같은 인증 모듈에 무결성 확인 및 인증, 프라이버시 보호, 그리고 키 생성을 위한 정보와 장치를 구비시켜, 단말에 다운로딩된 어플리케이션이 제시한 정보에 대하여 무결성 확인 및 인증을 수행하게 함으로써, 인증된 어플리케이션이 스마트카드 내에 데이터를 기록할 수 있게 하고, 단말의 외부 인터페이스 이용을 허가하는 장치 및 그 방법을 제공하는 것이다.
본 발명이 이루고자 하는 다른 기술적 과제는 다운로딩된 어플리케이션 등의 정보(데이터) 이용에 대한 프라이버시의 보호와 외부 탐침 등의 공격에 대비한 키 생성 수단을 제공하는 것이다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 인증 모듈은 단말기와 접속하여 상기 단말기가 실행하는 어플리케이션을 인증하는 인증모듈로서, 상기 어플리케이션과 인증에 필요한 정보를 저장하는 저장부; 상기 정보와 상기 단말기가 제공하는 정보를 기초로 어플리케이션의 인증을 수행하는 인증처리부; 및 상기 어플리케이션의 프라이버시 보호와 키 생성을 위한 암호처리 그리고 무결성을 확인하는 암호처리부;를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 인증처리부는 상기 저장부로부터 상기 어플리케이션의 서명과 다이제스트 생성정보를 입력받아 서명용 다이제스트를 생성하는 서명용 다이제스트생성부; 및 상기 서명용 다이제스트와 상기 단말기로부터 어플리케이션의 서명과 서명인증용 다이제스트정보를 입력받아 양자의 일치여부로 상기 어플리케이션을 인증하는 인증부;를 포함하는 것을 특징으로 한다.
바람직하게는, 상기 암호처리부는 상기 인증모듈로 입력되는 데이터의 해쉬 값의 일치여부로 무결성 여부를 결정하는 무결성처리부; 넌스(nounce), 공개키쌍 그리고 비밀키를 생성하는 키생성부; 무결성이 확인된 데이터에 대하여 복호키를 이용하여 복호화를 수행하여 원데이터를 출력하는 복호화부;를 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 보안 인증 시스템은 어플리케이션을 다운받아 실행하고, 상기 어플리케이션에서 서명과 서명인증용 다이제스트를 추출하여 서명인증용정보로 제공하는 단말기; 및 상기 서명인증용정보를 기초로 상기 응용 프로그램을 인증하고, 상기 어플리케이션이 데이터 접근시 프라이버시 보호 및 외부 공격을 방지하는 인증모듈;을 포함하는 것을 특징으로 한다.
바람직하게는, 상기 인증모듈은 데이터의 저장 및 처리가 가능하고 상기 어플리케이션의 실행이 가능한 메모리카드, USB 메모리, 또는 스마트카드를 포함하는 것을 특징으로 한다.
보다 바람직하게는, 상기 인증모듈은 상기 인증모듈의 저장 공간을 확장하는 메모리가 부가되고, 상기 메모리로 데이터를 저장하는 경우에는 그 데이터의 무결성확인과 암호화를 수행하고, 상기 메모리가 저장하고 있는 데이터를 읽을 경우에는 무결성확인과 복호화를 수행하는 확장부;를 더 포함하는 것을 특징으로 한다.
보다 바람직하게는, 상기 인증모듈은 상기 단말기의 특성 또는 어플리케이션에 따라 상기 인증모듈의 동작 조건을 변경할 수 있는 재구성레지스터부;를 더 포함하는 것을 특징으로 한다.
상기의 기술적 과제를 이루기 위하여 본 발명에 의한 어플리케이션 인증 보 안 방법은 단말기와 접속하여 상기 단말기가 실행하는 어플리케이션을 액세스하는 인증모듈을 포함하는 어플리케이션 인증 보안 시스템에서 인증모듈이 인증 보안을 수행하는 방법에 있어서, 상기 단말기가 다운 받은 어플리케이션에서 서명과 서명인증용 다이제스트를 추출하여 생성한 서명인증용정보를 입력받는 단계; 상기 어플리케이션의 서명과 서명용 다이제스트 생성 정보, 그리고 상기 서명인증용정보를 기초로 상기 어플리케이션을 인증하는 단계; 및 상기 어플리케이션이 이용하는 데이터에 대한 무결성을 확인하고 복호하는 단계;를 포함하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예를 설명하기에 앞서 단말과 인증모듈에 대하여 간략히 설명한다. 본 발명에서 언급하는 단말은 다운로딩된 어플리케이션이 동작하는 것이 가능한 전자기기로 산술 연산, 로컬 인터페이스 이용, 서버 액세스 및 외부 장치(메모리, 인증 모듈 등) 액세스 등의 동작을 수행한다. 인증 모듈은 SD 메모리 카드, USB 메모리, 스마트카드 등과 같이 데이터의 저장과 처리가 가능하고 어플리케이션의 동작 실행이 가능하다. 또한 다운로딩되는 어플리케이션 등의 정보(데이터) 이용에 대한 무결성 확인, 프라이버시 보호 동작과 키 생성이 가능하다. 단말에 인증 모듈을 장착함으로써 전기적 회로가 형성되며 서로간에 정보의 교환이 더욱더 안전하게 된다. 그리고 인증 모듈은 단말 내부에 집적될 수 도 있다.
이하 첨부한 도면을 참조하여 본 발명의 바람직한 일 실시예를 설명한다. 도 1은 본 발명에 의한 어플리케이션 인증 보안 시스템에 적용하는 인증 모듈의 구성을 보여주는 블록도이고, 도 2는 본 발명에 의한 어플리케이션 인증 보안 시스템의 구성을 보여주는 블록도이다. 한편 도 3은 본 발명에 의한 어플리케이션 인증 보안 시스템의 일 실시예를 도시한 도면이다. 그리고 도 4는 본 발명에 의한 어플리케이션 인증 실행을 위한 단말의 동작을 설명하는 순서도이며, 도 5는 본 발명에 의한 인증 모듈의 인증 동작을 설명하는 순서도이고, 도 6은 본 발명에 의한 인증 모듈에서의 무결성 확인 및 암호처리 동작을 설명하는 순서도이다. 마지막으로 도 7은 본 발명에 의한 인증 모듈의 저장 공간 확장을 위한 외부 메모리와의 구성을 도시한 도면이다.
먼저, 도 1을 참조하면, 인증모듈의 구성을 볼 수 있다.
인증 모듈(100)은 STPM부(Secure Trusted Platform Module)를 포함한다. 여기서 STPM부는 인증모듈(100)에 직접 표현은 되지 않았지만, 인증모듈과 동일시할 수 있는 구성 명칭이며, 본원발명의 일 실시예의 설명에서 인증모듈은 스마트카드와 같은 전형적인 기술구성을 포함한다. 즉 본원발명의 일 실시예의 설명에서 인증모듈은 스마트카드와 같은 전형적인 인증모듈에 청구범위상의 인증모듈을 포함하는 것으로 해석하는 것이 바람직하다. STPM부는 다운로딩된 어플리케이션이 보증된 정품인지 여부와 신뢰할 수 있는 사람에게서 발행되었는지 여부와 발행된 이후 정정 여부 등의 확인을 위하여 어플리케이션 인증 처리를 위한 정보와 기능 블록을 구비하고 이를 확인하기 위한 기능 즉, 무결성 검증과 인증을 수행한다.
이제, 본 발명에 의한 인증모듈의 바람직한 일 실시예의 구성을 보면, 연결부(101), 제어부(102), 저장부(103), 재구성 레지스터부(105) 및 암호처리부(107)로 구성된다.
연결부(101)는 인증 모듈(100)과 단말(200)과 같은 외부 장치와의 통신을 담 당하고, 저장부(103)에 대한 메모리 용량 확장을 위한 외부 메모리와의 연결을 담당한다.
저장부(103)는 인증 모듈(100)의 키, 다운로드된 어플리케이션, 그리고 인증에 필요한 정보(데이터, 키 등) 등을 저장하여 어플리케이션의 인증에 사용하며, 여기에서 키는 복호키로 공개키 암호화 방식에서는 공개키가 해당한다.
암호처리부(107)는 무결성 확인, 인증 처리와 프라이버시 보호를 위한 암호 처리, 그리고 키 생성 등에 필요한 암호처리 기능을 제공한다. 여기에서 무결성은 해쉬값을 비교하여 확인하며, 인증처리는 단말이 요구하는 키의 입력이나 구비된 암복호기능과 키를 이용하여 주고 받는 데이터가 자체적으로 계산한 값과 동일한가로 확인한다.
재구성 레지스터(105)는 사용자 또는 제조자 등에 의하여 인증 모듈(100)이 동작을 수행할 수 있는 환경을 설정하기 위한 값을 저장하며, 이 값을 이용하여 다른 동일 종류의 시스템에서 사용자가 사용한 동일한 환경의 재구성이 가능하다.
제어부(102)는 외부와의 통신, 어플리케이션 실행 및 환경 제공, 키 및 데이터 저장부(103) 제어, 무결성 확인, 인증 처리, 프라이버시 보호, 그리고 키 생성을 위한 암호 연산을 수행하는 암호처리부(107) 제어와 재구성 레지스터부(105)에 따른 제어와 실행을 담당한다.
도 2는, 본 발명의 어플리케이션 인증 보안 시스템의 구성으로서, 단말(200)과 위에서 설명한 인증 모듈(100)로 구성된다.
단말(200)은 내부에서 실행할 수 있도록 어플리케이션을 다운로딩하는 어플 리케이션 다운로딩부(201)와 장착되거나 연결된 인증 모듈을 액세스하는 인증 모듈 액세스부(203)를 구비한다.
단말과 인증모듈간의 인증 처리 방법으로는, 통상 SHA-1(Secure Hash Standard-1)이나 해쉬함수 등을 이용하며 단말(200)이 다운로딩된 어플리케이션의 해쉬값을 구하고, 그 해쉬 값과 함께 서명을 인증 모듈(100)에 제시하고, 인증 모듈(200)은 그 해쉬값과 서명을 복호화하여 얻을 수 있는 해쉬값과 일치하는지 여부를 조사함으로써 수행된다.
이러한 구성은 어플리케이션 인증 보안 시스템에 의해, 단말의 다운로딩부(201)로 다운로딩된 어플리케이션을, 인증 모듈(100)에 구비된 정보와 장치에 의해 인증할 수 있기 때문에 부정한 어플리케이션이 다운로딩되어 단말(200) 또는 인증 모듈(100)에서 실행되거나 데이터 기록 등이 되는 것을 방지할 수 있다.
도 3은, 어플리케이션 인증 보안 시스템의 실시예를 나타낸다. 본 예에 있어서 어플리케이션(322)이 저장된 상태로 인증 모듈(100)을 어플리케이션 제공회사(300)가 배포한다(320). 어플리케이션을 이용할 목적으로 인증 모듈(100)을 구입한 사람이 단말(200)에 인증 모듈(100)을 장착하면, 인증 모듈(100)로부터 단말(200)의 어플리케이션 다운로딩부(201)로 어플리케이션(312)이 다운로딩된다(330). 다운로딩된 어플리케이션(312)이 인증 모듈(100)내에 저장된 정보에 의해 인증이 되면, 다운로딩된 어플리케이션(312)이 단말(200)내에서 동작을 하며, 이로써 어플리케이션 제공회사(300)로부터 서비스 제공을 받는다.
또한 어플리케이션 제공회사(300)가 직접 배포하여(310), 단말(200)로 직접 다운로딩된 어플리케이션(312)은 상기 도 1에서 전술한 인증 모듈(100)에서 해쉬값과 서명을 복호하여 비교하는 인증 절차를 거쳐서 동작하게 할 수 있다.
도 4는 어플리케이션 인증 실행을 위한 단말(200)의 동작을 설명하는 순서도이다. 다운로딩된 어플리케이션(312)을 인증 모듈(100)에 의하여 인증하기 위해서, 먼저 어플리케이션이 어플리케이션 다운로딩부(201)에 다운로딩한다(410). 다음 단계로서, 다운로딩된 어플리케이션으로부터 서명 인증용 다이제스트를 생성하고(420), 생성된 서명 인증용 다이제스트와 다운로딩된 어플리케이션에 부가된 서명을 포함하는 서명 인증 정보를 인증 모듈 액세스부(203)을 통하여 인증 모듈(100)로 출력한다(430). 마지막으로 인증 모듈(100)이 출력하는 인증 결과를 확인한 후에 단말(200)의 인증 실행 동작은 종료된다(430).
도 5는 인증 모듈(100)에서의 인증 동작을 설명하는 순서도이다. 단말(200)에서의 인증 요청에 따라서 인증모듈(100)이 인증 동작을 수행하기 위해서, 먼저 상기 도 4의 430 단계에서 생성된 서명 인증 정보를 입력받는다(510). 다음으로 어플리케이션의 서명과 서명용 다이제스트 생성 정보를 취득한다(520). 서명이 어플리케이션 자체의 해쉬값을 암호화한 것이면, 서명용 다이제스트 생성 정보는 암호화한 것을 복호하는 복호키이다. 암호화 방식으로 공개키 암호 방식이 사용된 경우에는, 어플리케이션 자체의 해쉬값을 암호화하기 위하여 사용된 비밀키에 대응하는 공개키가 서명용 다이제스트 생성 정보가 된다. 이 공개키는 인증 모듈(100)에 저장되거나, 단말(200)을 경유하여 서버로부터 취득할 수 있으며, 또한 인증 모듈(100)의 암호생성부(107)에서의 키 생성 기능을 이용하여 생성할 수도 있다. 다 음으로 취득된 서명과 서명용 다이제스트 생성 정보를 이용하여, 암호처리부(107)에서 복호화과정을 통하여 서명용 다이제스트를 생성한다(530). 생성된 서명용 다이제스트와 단계 510에서 입력된 서명 인증 정보 중의 서명 인증용 다이제스트를 이용하여 해쉬값을 비교하는 인증을 수행(540)을 하는데, 이 경우 암호처리부(107)에서 서명인증용 다이제스트 즉 복호키를 이용하여 해쉬값을 복호하고 이 값을 서명 인증 정보를 이용하여 자체적으로 계산한 해쉬값과 비교하여 인증을 수행한다. 그리고, 마지막으로 단말(200)로 인증 결과를 출력한 후 인증 과정을 종료한다(550).
도 6은 인증 모듈(100)에서의 무결성 확인 및 암호처리 동작을 설명하는 순서도이다. 다운로딩된 데이터나 정보를 안전하게 저장하기 위하여 인증모듈(100)내에 저장부(103)를 두고 있으며, 과정은 단계 610에서와 같이 정보(데이터)가 입력되면, 암호처리부(107)에서 무결성을 확인한다(620). 무결성이 확인된 정보(데이터)에 대하여 복호화 과정을 통하여 생성된 정보(데이터)를 이용하고 종료한다(630). 이때 암복호에 필요한 암호 알고리즘은 단말과 인증 모듈이 동일하게 구비하고 인증 모듈의 암호처리부가 이를 담당한다. 따라서 해쉬값의 일치로 보내온 데이터의 무결성이 확인되므로 서명용 다이제스트, 즉 복호키를 이용하여 복호한다. 그리고 외부 메모리로의 정보(데이터) 저장을 위해서는 전술한 과정을 역으로 수행하여 출력함으로써 안전하게 저장할 수 있다(640). 이러한 동작으로 무결성 확인과 함께 정보(데이터)에 대한 프라이버시 보호가 가능하다.
한편, 용량이 큰 데이터의 저장에는 연결부(101)에 연결된 외부 메모리를 이 용하여야 하며, 이 경우 인증모듈(100)에서는 외부 메모리의 정보(데이터)는 전술한 단계와 동일한 과정을 통하여 안전하게 이용할 수 있다.
도 7은 인증 모듈(100)의 저장 공간 확장을 위한 외부 메모리 이용 실시예를 도시한 도면이다. 용량이 큰 데이터를 저장할 목적으로 STPM부, 외부 메모리(710)와 그 연결(720)로써 구성하며, 이로 인하여 인증 모듈(100)의 저장 공간을 확장시킬 수 있다. 또한 데이터의 저장과 저장된 데이터의 이용은 상기 도 6에서 설명한 무결성 확인과 프라이버시 보호를 위한 암복호처리 과정을 거쳐 이루어지므로 안전하다.
또한, 본 발명에 따른 어플리케이션 인증 보안 방법은 이에 대응하는 프로그램으로 구현되어 기록 매체로 저장될 수 있으며, 기록 매체에 저장된 프로그램은 본 발명의 장치에 대응하는 하드웨어 또는 범용 하드웨어에서 실행될 수 있다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플라피 디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
이상 도면과 명세서에서 최적 실시예들이 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의 미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다.
그러므로 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
이상에서 설명한 바와 같이, 본 발명에 의한 어플리케이션 인증 보안 시스템 및 그 방법은 단말과 인증 모듈을 조합하여 단말 내에서 동작하는 어플리케이션을 인증 모듈이 구비한 정보를 이용하여 무결성 확인과 함께 인증함으로써 부적절한 어플리케이션이 단말 내에서 실행되는 것을 방지할 수 있다.
또한 단말 내에서 동작하는 어플리케이션이 인증함으로써, 어플리케이션의 출처가 보증되고, 어플리케이션이 단말이나 인증 모듈의 로컬 리소스에 대한 액세스를 제어할 수 있다.
단말의 인증 모듈 액세스부를 통하여 인증 모듈의 어플리케이션의 인증 처리로 고도 보안이 요구되는 어플리케이션의 실행이 가능하다. 인증모듈이 포함하는 STPM부는 키 생성 기능을 구비하여 정보 저장 영역에 대한 외부 탐침에 대한 키 보호 수단을 제공하기 때문에 고도의 보안 기능을 제공한다. 내템퍼 영역은 인증 모듈에 있음으로써, 단말 내에 설치할 필요가 없어지기 때문에 단말 제조 비용 감소와 안전한 휴대 등의 장점이 있다. 저장 공간을 증가시키기 위한 외부 메모리의 사 용에도 무결성 확인과 암호처리 과정을 통하여 저장 또는 이용 데이터의 무결성 보장 및 프라이버시 보호가 가능하다.
그리고 서버가 인증 모듈의 STPM부를 인증함으로써 단말 인증이나 단말 내에서 동작하는 어플리케이션 인증이 가능하기 때문에 기밀성이 높은 정보를 단말 내에서 동작하는 어플리케이션과 교환할 수 있어서 서버, 단말, 인증 모듈 사이에서의 안전한 처리가 가능하다.

Claims (17)

  1. 단말기와 접속하여 상기 단말기가 실행하는 어플리케이션을 인증하는 인증모듈에 있어서,
    상기 어플리케이션과 인증에 필요한 정보를 저장하는 저장부;
    상기 정보와 상기 단말기가 제공하는 정보를 기초로 어플리케이션의 인증을 수행하는 인증처리부; 및
    상기 어플리케이션의 프라이버시 보호와 키 생성을 위한 암호처리 그리고 무결성을 확인하는 암호처리부;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템의 인증 모듈.
  2. 제1항에 있어서, 상기 인증처리부는
    상기 저장부로부터 상기 어플리케이션의 서명과 다이제스트 생성정보를 입력받아 서명용 다이제스트를 생성하는 서명용 다이제스트생성부;
    상기 서명용 다이제스트와 상기 단말기로부터 어플리케이션의 서명과 서명인증용 다이제스트정보를 입력받아 양자의 일치여부로 상기 어플리케이션을 인증하는 인증부;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템의 인증 모듈.
  3. 제1항에 있어서, 상기 암호처리부는
    상기 인증모듈로 입력되는 데이터의 해쉬값의 일치여부로 무결성 여부를 결정하는 무결성처리부;
    넌스(nounce), 공개키쌍 그리고 비밀키를 생성하는 키생성부;
    무결성이 확인된 데이터에 대하여 복호키를 이용하여 복호화를 수행하여 원데이터를 출력하는 복호화부;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템의 인증 모듈.
  4. 어플리케이션을 다운받아 실행하고, 상기 어플리케이션에서 서명과 서명인증용 다이제스트를 추출하여 서명인증용정보로 제공하는 단말기;및
    상기 서명인증용정보를 기초로 상기 응용 프로그램을 인증하고, 상기 어플리케이션이 데이터 접근시 프로이버시 보호 및 외부 공격을 방지하는 인증모듈;을 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템.
  5. 제4항에 있어서, 상기 인증모듈은
    상기 어플리케이션과 인증에 필요한 정보를 저장하는 저장부;
    상기 정보와 상기 서명인증용정보를 기초로 어플리케이션의 인증을 수행하는 인증처리부; 및
    상기 어플리케이션의 프라이버시 보호와 키 생성을 위한 암호처리 그리고 무결성을 확인하는 암호처리부;를 포함하는 STMP부를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템.
  6. 제5항에 있어서, 상기 인증처리부는
    상기 저장부로부터 상기 어플리케이션의 서명과 다이제스트 생성정보를 입력받아 서명용 다이제스트를 생성하는 서명용 다이제스트생성부;
    상기 서명용 다이제스트와 상기 단말기로부터 어플리케이션의 서명과 서명인증용 다이제스트정보를 입력받아 양자의 일치여부로 상기 어플리케이션을 인증하는 인증부;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템.
  7. 제5항에 있어서, 상기 암호처리부는
    상기 인증모듈로 입력되는 데이터의 해쉬값의 일치여부로 무결성 여부를 결정하는 무결성처리부;
    넌스(nounce), 공개키쌍 그리고 비밀키를 생성하는 키생성부;
    무결성이 확인된 데이터에 대하여 복호키를 이용하여 복호화를 수행하여 원데이터를 출력하는 복호화부;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템.
  8. 제1항 또는 제4항에 있어서, 상기 인증모듈은
    데이터의 저장 및 처리가 가능하고 상기 어플리케이션의 실행이 가능한 메모리카드, USB 메모리, 또는 스마트카드를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템.
  9. 제1항 또는 제4항에 있어서, 상기 인증모듈은
    상기 인증모듈의 저장 공간을 확장하는 메모리가 부가되고,
    상기 메모리로 데이터를 저장하는 경우에는 그 데이터의 무결성확인과 암호화를 수행하고,
    상기 메모리가 저장하고 있는 데이터를 읽을 경우에는 무결성확인과 복호화를 수행하는 확장부;를 더 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템.
  10. 제1항 또는 제4항에 있어서, 상기 인증모듈은
    상기 단말기의 특성 또는 어플리케이션에 따라 상기 인증모듈의 동작 조건을 변경할 수 있는 재구성레지스터부;를 더 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 시스템.
  11. 단말기와 접속하여 상기 단말기가 실행하는 어플리케이션을 액세스하는 인증모듈을 포함하는 어플리케이션 인증 보안 시스템에서 인증모듈이 인증 보안을 수행하는 방법에 있어서,
    (a) 상기 단말기가 다운 받은 어플리케이션에서 서명과 서명인증용 다이제스트를 추출하여 생성한 서명인증용정보를 입력받는 단계;
    (b) 상기 어플리케이션의 서명과 서명용 다이제스트 생성 정보, 그리고 상기 서명인증용정보를 기초로 상기 어플리케이션을 인증하는 단계; 및
    (c) 상기 어플리케이션이 이용하는 데이터에 대한 무결성을 확인하고 복호하는 단계;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 방법.
  12. 제11항에 있어서, 상기 (b)단계는
    (b1) 상기 어플리케이션의 서명과 서명용 다이제스트 생성 정보로부터 서명용 다이제스트를 생성하는 단계; 및
    (b2) 상기 서명용 다이제스트와 상기 서명인증용 다이제스트를 비교하여 인증을 수행하는 단계;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 방법.
  13. 제12항에 있어서,
    상기 서명이 어플리케이션 자체의 해쉬값을 암호화한 것이면, 상기 서명용 다이제스트 생성 정보는 복호하기 위한 복호키인 것을 특징으로 하는 어플리케이션 인증 보안 방법.
  14. 제12항에 있어서,
    상기 단말기와 응용모듈간의 암호화방식이 공개키 암호 방식이면, 상기 서명용 다이제스트 생성 정보는 상기 공개키인 것을 특징으로 하는 어플리케이션 인증 보안 방법.
  15. 제11항에 있어서, 상기 (c)단계는
    (c1) 상기 단말기로부터 데이터를 입력받아 해쉬값을 비교하는 단계; 및
    (c2) 상기 해쉬값이 일치하여 무결성이 확인된 상기 데이터에 대하여 복호화하여 원데이터를 복원하는 단계;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 방법.
  16. 제15항에 있어서, 상기 (c)단계는
    상기 인증모듈이 외부 메모리 모듈을 억세스하는 경우에, 상기 (c1) 내지 (c2) 단계를 상기 외부 메모리 모듈내의 데이터에 대하여 역으로 수행하는 단계;를 포함하는 것을 특징으로 하는 어플리케이션 인증 보안 방법.
  17. 제11항의 어플리케이션 인증 보안 방법을 기록한 컴퓨터에서 실행시킬 수 있는 프로그램을 기록한 컴퓨터가 읽을 수 있는 기록매체.
KR1020060068158A 2005-12-07 2006-07-20 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법 KR20070059891A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20050118947 2005-12-07
KR1020050118947 2005-12-07

Publications (1)

Publication Number Publication Date
KR20070059891A true KR20070059891A (ko) 2007-06-12

Family

ID=38356145

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060068158A KR20070059891A (ko) 2005-12-07 2006-07-20 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법

Country Status (1)

Country Link
KR (1) KR20070059891A (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100806186B1 (ko) * 2007-01-08 2008-02-22 에스케이 텔레콤주식회사 스마트 카드에서 시큐리티 도메인의 키를 초기화하는 방법및 이동통신 단말기
KR100947910B1 (ko) * 2007-08-03 2010-03-17 김태봉 보안 통신 제공 장치 및 방법 및 그 프로그램을 기록한기록 매체
US8601599B2 (en) 2009-09-16 2013-12-03 Pantech Co., Ltd. Platform security apparatus and method thereof
KR101415786B1 (ko) * 2013-01-18 2014-08-06 건국대학교 산학협력단 온라인 실행 코드 기술과 암호화 기반 불법 복제 방지 시스템 및 그 방법
KR20140110540A (ko) 2013-03-08 2014-09-17 에스케이플래닛 주식회사 어플리케이션 간의 신뢰관계 획득 방법, 이를 위한 시스템 및 장치
KR20170073547A (ko) * 2015-11-23 2017-06-28 시아오미 아이엔씨. 결제 검증 시스템, 방법 및 장치
KR20200060338A (ko) 2020-05-25 2020-05-29 에스케이플래닛 주식회사 대표 어플리케이션을 이용한 통합 인증 장치

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100806186B1 (ko) * 2007-01-08 2008-02-22 에스케이 텔레콤주식회사 스마트 카드에서 시큐리티 도메인의 키를 초기화하는 방법및 이동통신 단말기
KR100947910B1 (ko) * 2007-08-03 2010-03-17 김태봉 보안 통신 제공 장치 및 방법 및 그 프로그램을 기록한기록 매체
US8601599B2 (en) 2009-09-16 2013-12-03 Pantech Co., Ltd. Platform security apparatus and method thereof
KR101415786B1 (ko) * 2013-01-18 2014-08-06 건국대학교 산학협력단 온라인 실행 코드 기술과 암호화 기반 불법 복제 방지 시스템 및 그 방법
KR20140110540A (ko) 2013-03-08 2014-09-17 에스케이플래닛 주식회사 어플리케이션 간의 신뢰관계 획득 방법, 이를 위한 시스템 및 장치
KR20170073547A (ko) * 2015-11-23 2017-06-28 시아오미 아이엔씨. 결제 검증 시스템, 방법 및 장치
KR20200060338A (ko) 2020-05-25 2020-05-29 에스케이플래닛 주식회사 대표 어플리케이션을 이용한 통합 인증 장치

Similar Documents

Publication Publication Date Title
JP4912879B2 (ja) プロセッサの保護された資源へのアクセスに対するセキュリティ保護方法
US7886355B2 (en) Subsidy lock enabled handset device with asymmetric verification unlocking control and method thereof
JP4145118B2 (ja) アプリケーション認証システム
KR101795457B1 (ko) 보안 기능이 강화된 디바이스의 초기화 방법 및 디바이스의 펌웨어 업데이트 방법
EP2204008B1 (en) Credential provisioning
CN107004083B (zh) 设备密钥保护
US8281132B2 (en) Method and apparatus for security over multiple interfaces
JP4816975B2 (ja) アプリケーション認証システム
US9559737B2 (en) Telecommunications chip card
CN108768963B (zh) 可信应用与安全元件的通信方法和系统
JPH10247905A (ja) アクセス資格認証装置および方法
EP1346511A1 (en) A platform and method for securely transmitting authorization data
JP2004538584A (ja) 電子装置における情報の処理方法、システム、電子装置及び処理ブロック
CN110868291B (zh) 一种数据加密传输方法、装置、系统及存储介质
KR102013983B1 (ko) 애플리케이션 무결성 인증 방법 및 인증 서버
CN111401901B (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
KR20070059891A (ko) 어플리케이션 인증 보안 시스템 및 그 인증 보안 방법
KR20130008939A (ko) 휴대 단말기에서 단말 고유 정보의 복제를 방지하는 장치 및 방법
US20240113898A1 (en) Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity
CN107862209B (zh) 一种文件加解密方法、移动终端和具有存储功能的装置
CN114329522A (zh) 一种私钥保护方法、装置、系统及存储介质
CN108985079B (zh) 数据验证方法和验证系统
JP6779702B2 (ja) プログラムを保護する方法
CN109474624B (zh) 一种应用程序认证系统及方法
KR100480377B1 (ko) 스마트 카드를 이용한 네트워크 전용장치의 환경설정 및인증방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application