KR20080007564A

KR20080007564A - 이동 단말에 장착된 ｓｉｍ 카드에 액세스하기 위한 방법및 장치

Info

Publication number: KR20080007564A
Application number: KR1020077024508A
Authority: KR
Inventors: 실비에 카머스; 데비드 피큐놋; 앤-소피 다곤
Original assignee: 프랑스 뗄레꽁(소시에떼 아노님)
Priority date: 2005-04-21
Filing date: 2006-04-05
Publication date: 2008-01-22
Also published as: EP1872507A2; JP2008538668A; CN101167298A; WO2006111626A2; US20080285755A1; WO2006111626A3

Abstract

본 발명은 암호화 장치(6)에 관한 것으로서, 무선 링크(5)를 통해 데이터를 주고받을 수 있는 단말(1) 및 이동 전화(2)를 포함하고, 다른 암호화 엔티티들(4,43)과 공개키 암호화 프로토콜을 사용하도록 구성되며, 상기 암호화 장치의 비밀키는 이동 전화(2)에는 저장되고, 단말에는 저장되지 않는다.

Description

이동 단말에 장착된 ＳＩＭ 카드에 액세스하기 위한 방법 및 장치{Method and device for accessing a SIM card housed in a mobile terminal}

본 발명은 보안 통신 분야에 관한 것이다. 보다 구체적으로, 본 발명은 공개키 시스템에 의해 보호되는 원격 서비스에 관한 것이다. 그러한 보안 서비스들은 예컨대, 인터넷 네트워크로부터의 사설 회사로의 VPN 연결, SSL 프로토콜에 따른 사설의 온라인 전자 서명 또는 인증을 포함한다.

공개키 알고리즘의 암호화 키는 공개부분과 사설 부분을 포함한다. 공개 부분은 일반적으로 다양한 사용자들에게 제한없이 배포된다. 인증의 유효성은 신원과 관련하여 공개키에 포함될 수 있는 신뢰성을 증명한다. 인터넷에서 사용되는 증명 표준은 X.590v3이다. 이 표준은 인증서를 정의하며, 상기 인증서는 구체적으로 다음을 포함한다.

- 인증될 공개키;

- 인증서를 가진 사람의 신원

- 키 유효 기간;

- 키의 사용권리를 정의하는 속성: 예컨대, 메시지 서명키 또는 보안 서버키; 및

- 인증서를 전송하는 인증권한의 사설키에 의한 데이터의 암호화 서명.

공개키 기반구조(PKI)는 인증서들을 관리하는데 사용된다. PKI 기반구조는 한편으로는 인증서들을 생성하는 역할을 하지만, 그 유효기간을 관리하는 역할(철회, 갱신 등)도 한다.

인터넷 타입의 공개 네트워크로부터 사설 회사 네트워크로의 보안 액세스를 생성하기 위해, VPN 기술은 사용자 단말과 회사 네트워크 사이의 암호화된 IP 채널을 설정한다. VPN 기술은 통상적으로 계산기에 의해 생성된 원타임 패스워드(OTP:one-time password) 인증 및 암호화 구조, 사용자 단말의 하드 디스크에 저장된 선명 알고리즘 및 인증서를 기반으로 한 PKI 기반구조, 사용자 단말에 연결된 카드 리더에 삽입된 스마트 카드, 또는 상기 사용자 단말의 USB 포트에 연결된 동글에 통합된 스마트 카드를 기반으로 한다.

이러한 다양한 선택사항들은 단점들을 갖는다. 원타임 패스워드 생성 계산기의 인간공학적으로 제한된다. 즉 사용자는 먼저 계산기 상의 코드를 읽고, 그리고 나서 그것을 단말에 입력해야 한다.

하드 디스크에 저장된 소프트웨어 인증서는 상대적으로 공격에 취약하다.

신용카드 포맷으로 카드 리더에 삽입되거나, USB 동글에 통합되는 스마트 카드는 사용자가 추가 스마트 카드를 가질 것을 요구하며, 추가 비용을 발생시키고 분실의 위험도 있다. 게다가, 신용 카드 포맷의 스마트 카드는 사용자가 카드 리더를 가질 것을 요구한다. 이동 전화용 SIM 카드는 인증서를 생성하는데 사용되기 위해 단말의 카드 리더로 전송되어야 한다. 이 전송 동작은 SIM 카드가 소형의 " 마이크로 SIM" 포맷인 한은 불편하다.

본 발명은 이러한 단점들을 극복하도록 의도된다. 본 발명은 또한 공개키 암호화 어플리케이션을 사용하도록 의도된다. 따라서, 본 발명은 무선 연결을 통해 데이터를 주고받을 수 있는 단말 및 이동 전화를 포함하는 암호화 장치에 관한 것이며, 상기 암호화 장치는 다른 암호화 엔티티로 공개키 암호화 프로토콜을 구현할 수 있고, 암호화 장치의 비밀키는 이동 전화에 저장되며, 단말에는 저장되지 않는다.

따라서, 단말의 도난 또는 이동 전화의 도난만으로는 도둑이 본 발명에 따른 암호화 장치의 신원을 침범할 수 없다는 장점을 갖는다.

일 실시예에 따라, 상기 단말은 다른 암호화 엔티티와의 유선 또는 무선 연결을 설정할 수 있고, 이 연결에 의해 상기 암호화 엔티티와 데이터를 주고받을 수 있다.

또다른 실시예에 따라, 상기 암호화 엔티티는 컴퓨터 네트워크에 액세스하기 위한 서버이고, 상기 데이터 교환은 상기 단말이 상기 서버에 인증될 수 있도록 해준다.

본 발명은 또한 공개키 암호화 동작을 구현하기 위한 방법에 관한 것으로서, 적어도 하나의 암호화 엔티티와, 비밀키를 저장하는 이동 단말을 포함하고 상기 비밀키를 저장하지 않는 단말을 포함하는 장치 사이에 공개키 암호화 프로토콜을 구현하는 단계를 포함하고, 상기 단말 및 상기 이동 전화는 무선 연결에 의해 데이터를 교환한다.

다른 실시예에 따라, 상기 암호화 엔티티 및 상기 장치 사이의 암호화 프로토콜의 데이터 교환은 상기 단말 및 상기 다른 암호화 엔티티 사이의 유선 또는 무선 연결에 의해 수행된다.

또 다른 실시예에 따라, 상기 암호화 엔티티는 컴퓨터 네트워크에 액세스하기 위한 서버이고, 상기 데이터 교환은 상기 서버에 상기 단말을 인증시키기 위한 교환이다.

본 발명의 다른 특징 및 장점들은 이하의 설명으로부터 명확해질 것이다. 이하의 설명은 제한적인 의도로 제공되는 것이 아니며, 첨부된 도면을 참조하여 설명된다.

도 1은 본 발명에 따라, VPN에서 사설 네트워크에 연결된 사용자의 로컬 머신를 나타낸다.

도 2는 본 발명에 따라, 상기 사용자의 로컬 머신에 구현된 다양한 소프트웨어 계층들을 나타낸다.

도 3은 다양한 PKCS#11 기능들의 구현을 나타낸다.

도 4는 서명된 문서 공개 서버에 연결된 사용자의 로컬 머신을 나타낸다.

본 발명은 이동 단말에 장착되고, 공개키 암호화 어플리케이션을 갖는 스마트 카드의 기능들의 사용을 제안한다. 스마트 카드는 PKI 기반 구조에서 암호화 계산 툴로서, 예컨대 인증, 암호화 또는 서명 기능을 구현하는데 사용된다. 네트워크에 연결된 단말은 이동 단말 및 암호화 기능 라이브러리와의 무선 연결을 갖는다. 라이브러리에 호출된 암호화 기능은 무선 연결에 의해 암호화 연산 명령을 상기 스마트 카드로 전송한다. 스마트 카드는 암호화 연산을 수행하고, 그 결과를 상기 단말로 전송한다.

도 1은 본 발명에 따른 사용자의 로컬 머신(6)을 나타낸다. 상기 사용자의 로컬 머신(6)은 사설 네트워크(7)와의 VPN 연결을 위한 모듈(8)이 장착되고, 사용자가 사설 네트워크(7)에서 인증될 수 있도록 해주는 SIM 카드(3)를 포함하는 단말(1)을 포함한다. 단말기(1)의 사설 네트워크(7)로의 액세스는 VPN 게이트웨이(4)에 의해 관리된다. 서버(44)는 등록 기관 및 인증 기관과 같이 PKI 기반구조를 형성하도록 의도된 엘리먼트들을 갖는다.

단말(1)과 SIM 카드(3) 사이의 연결은 무선 연결(5), 예컨대 단말(1)과 이동 네트워크에서 이동 단말(2)의 인증을 위한 SIM 카드(3)를 장착한 이동 단말(2) 사이의 블루투스 타입에 의해 구현된다.

이런 방식으로, 사용자는 네트워크(7)에 액세스하기 위해 특정 SIM 카드를 가질 필요가 없고, 자신의 단말(1)에 연결된 또다른 리더기에 카드를 삽입하기 위해 자신의 이동 단말(2)의 SIM 카드를 조절할 필요도 없다.

블루투스 프로토콜의 관점에서, 이동 단말(2) 및 단말(1)은 완전히 투명한 방식으로 블루투스 연결(5)에 의해 단말에 장착된 SIM 카드에 액세스하기 위한 SAP(SIM Access Profile)이라 불리는 프로토콜 및 절차의 집합을 구현한다.

따라서, 도 2에서, 이동 단말(2)은 ISO 표준 7816-3에 따라 리더(21)에 의해 SIM 카드(3)와 메시지를 교환하고, 직렬 연결을 에뮬레이트하는 RFCOMM(Serial Cable Emulation Protocal)을 구현하는 계층(22)을 통해 블루투스 연결(5)과 메시지를 교환하는 SAP 서버 모듈 및 다른 단말과의 블루투스 무선 연결이 설정되도록 하는 로우 레벨 계층(23)을 포함한다.

SIM 카드(3)는 소정 수의 공개키 암호화 어플리케이션을 가지며, 구체적으로는 암호화 인증, 암호화 또는 서명 연산의 수행을 가능케 한다.

네트워크(7)로의 액세스와 관련하여 사용되는 암호화 툴(35)을 사용하는 어플리케이션은 통신 모듈(26) 및 SIM 카드와의 PC/SC 인터페이스 모듈(25)로의 액세스를 갖는 PKCS#11 모듈(24)을 호출한다. PKCS#11(24) 및 PC/SC(25) 모듈은 표준이다. 사용자 어플리케이션(35)이 공개키 암호화 연산이 이동 단말(21)에 내장된 스마트 카드(3)에서 수행되도록 요구하면, 모듈(24)은 공개키 암호화 연산의 라이브러리(40)를 호출한다. 모듈(24)은 또한 PC/SC 인터페이스 모듈(25)에 의해 수행되는 SIM 카드 액세스 및 명령 함수들을 호출한다.

사용자 어플리케이션(35)에 의해 그 프로그래밍 인터페이스를 통해 호출된 라이브러리(40)의 함수는 인터페이스 모듈(25)에 암호화 연산 명령을 인가한다. 인터페이스 모듈(25)은 이 명령을 메시지 형식으로 가상 파일럿(27)으로 전송한다. 가상 파일럿(27)은 이 메시지를 중계하여 SAP 모듈(31)에 적응되도록 한다. 라이브러리(40)는 리더(2)에 내장된 스마트 카드(3)에서 가용한 공개키 암호화 어플리케이션의 사용을 가능케하는데 필수적이다. 라이브러리(40)는 예컨대, PC 타입의 단말(1)에 인스톨된다.

단말(2)에 장착된 SIM 카드(3)는 공개키 암호화 어플리케이션(41)이 내장된다. 상기 카드에 의해 제안된 암호화 연산은 구체적으로 서명 생성 또는 검증, 데이터 암호화/복호화, 인증서 생성 또는 인증을 포함할 수 있다. 이러한 어플리케이션들(41)은 예컨대, SIM 카드에 인스톨된 Javacard applets(등록 상표) 또는 SIM 카드에 통합된 WIM("Wireless Identity Module") 모듈이다. WIM 모듈은 통상적으로 이동 단말에 배치된 WAP 네비게이터에 의해 사용된다.

카드의 공개키 암호화 어플리케이션(41)은 단말(1)이 VPN 또는 전자 서명과 같은 암호화 연산을 사용하여 어플리케이션을 사용할 수 있도록 하기 위해 사용될 수 있다.

라이브러리(40)의 프로그래밍 인터페이스는 CAPI 또는 PKCS#11 타입일 수 있다.

PKCS#11 프로그래밍 인터페이스 표준은 공개 또는 무료로 사용가능하다. 이 프로그래밍 인터페이스는 키, 전자 서명 또는 데이터의 암호화 및 복호화의 생성 및 저장과 같은 로우 레벨 암호화 함수들을 제안한다. 이 프로그래밍 인터페이스는 제3 제공자들에게 그 암호화 함수들을 열어주도록 설계된 소정수의 소프트웨어 프로그램에서 호출된다.

CAPI 프로그래밍 인터페이스는 윈도우 플랫폼에서만 배타적으로 가용하다. 이 프로그래밍 인터페이스는 어플리케이션 보안 함수들 및 서명 검증 및 신뢰 인증 체인 관리 함수를 제안한다. CAPI 프로그래밍 인터페이스는 다양한 사용자 어플리 케이션의 암호화 리소소들을 상호작용하게 한다. CSP(Crypto Service Provider)라 불리는 암호화 함수 라이브러리는 CAPI 하에서 보안 서비스를 제공하도록 인터페이스된다.

이하, 라이브러리(40)와 단말(2)에 장착된 SIM 카드(3)에 대해 설명한다. 이 예에서, SIM 카드(3)의 어플리케이션(41)은 애플릿의 형태로 구현되고, 라이브러리(40)는 PKCS#11 타입으로 구현된다. 따라서, 데이터는 ADPU("Application Protocol Data Unit) 형태로 교환된다.

메시지	코멘트
PKCS#11 00 A4 04 00 'Lg' 'Aid'	라이브러리는 그 보조 식별자에 의해 식별된 어플리케이션을 선택한다.
애플릿 90 00	애플릿은 상기 선택을 허용한다.
PKCS#11	데이터가 ADPU의 형태, 예컨대, 인증서의 복구, 관련된 공개키, RSA 서명 등의 형태로 교환된다.

도 3의 표는 다양한 PKCS#11 함수들 및 JavaCard 또는 Wim에 따른 그 구현예를 나타낸다. 상기 표는 또한 사설 가상 네트워크를 형성하도록 의도된 인증에 사용되는 함수들을 특정한다. 사용된 약어들은 다음과 같다.

RDQ : 참조 데이터 한정어, RD : 참조 데이터, VD : 검증 데이터, FP : 파일 경로, HO : 하이 오프셋, LO : 로우 오프셋, Lc : 데이터 필드의 길이.

이하에서는 단말(1)과 SIM 카드(3) 사이의 통신 메카니즘에 대해 설명한다.

단말(1)은 SAP 클라이언트 모듈(31)을 포함하고, SAP 클라이언트 모듈(31)은 RFCOMM 프로토콜을 구현하는 계층(32) 및 블루투스 무선 연결(5)을 설정하기 위한 로우 레벨 계층(33)을 통해 SAP 서버 모듈(20)과 통신한다. 이들 3개의 계층들은 블루투스 모듈(30)에서 결합된다.

SAP 서버(20) 및 클라이언트(31) 모듈은 SIM 카드(3)와 메시지를 교환할 뿐이며, 거기에 SIM 카드를 활성화/비활성화시키는 명령과 같은 명령어를 인가한다.

SAP 클라이언트 모듈(31)은 블루투스 연결을 통해 SAP 서버 모듈(20)과의 연결 절차 및 연결해제 절차를 수행하도록 설계된다. 연결이 설정되면, SAP 서버 모듈(20)은 SIM 카드 리더(21) 및 리더(21)에 의해 판독될 수 있는 SIM 카드에 신호를 보내고, SAP 클라이언트 모듈(31)에 리더(21)의 상태, 리더(21)에 SIM 카드의 존재여부, 및 SIM 카드(3)의 상태에 대한 정보를 전송하도록 설계된다.

SAP 클라이언트 모듈(31)은, 구체적으로 활성화/비활성화, 초기화 및 APDU(Application Protocol Data Unit)을 포함하는 명령을 위해, SIM 카드(3)용으로 의도된 명령들을 전송하도록 설계되고, SAP 서버 모듈은 이들 명령을 중계하여 리더(21)를 통해 SIM 카드에 인가할 수 있도록 한다. SAP 서버 모듈은 또한 SAP 클라이언트 모듈(31)에 리더(21)에 장착된 SIM 카드의 상태에 대한 임의의 변화, 예컨대 사용자의 삽입 행위 또는 리더기에서 카드를 제거하거나 삽입하는 행위에 기인한 변화를 통보하도록 설계된다.

PC/SC 인터페이스 모듈(25)은 리더에 맞게 구성된 드라이버들(38)을 통해 다수의 스마트 카드 리더(39)(메모리 또는 마이크로프로세서 카드) 또는 SIM 카드(42)와 통신하도록 설계된다.

가상 드라이버(27)는 인터페이스 모듈(25) 및 SAP 모듈(31) 사이에 교환된 메시지들을 중계 및 적응시키도록 설계되며, 상기 메시지들은 SIM 카드(3)와 교환된 정보를 포함한다. 가상 드라이버(27) 및 SAP 클라이언트(31) 간의 메시지 교환 은 예컨대, 전송될 메시지가 삽입된 교환 또는 통신 메모리(28)로 수행된다. 가상 드라이버(27)는 드라이버(38)로서 설계된다. 구체적으로, 가상 드라이버는 사용자가 이동 단말을 선택하거나, 그 단말(1)과 페어링시키기 위해 이동 단말을 추가하는 것을 가능케 해준다.

다수의 드라이버들(27,38)과 통신하기 위해, PC/SC 인터페이스 모듈은 리소스 관리 모듈(37) 및 서비스 제공자 모듈(36)을 포함한다. 리소스 관리 모듈(37)은 액세스 가능한 스마트 카드를 검출하고, 이 정보를 사용자 어플리케이션(35)과 같은 다수의 어플리케이션들에 가용케 하도록 설계된다. 이 모듈(37)은 또한 어플리케이션에 의해 전송된 스마트 카드로의 액세스 요구를 관리하고, 스마트 카드에 명령을 내리도록 설계된다.

서비스 제공자 모듈(36)은 제공된 정보를 액세스 또는 프로세싱하는 단일 함수를 수행하기 위해, 어플리케이션에 하이 레벨 함수들을 제안하고 스마트 카드에 인가된 다수의 명령어들을 연결(concatenate)한다. 상기 함수들은 구체적으로 암호화 또는 인증 함수들을 포함한다.

도 4는 본 발명을 문서의 서명 및 그 공개에 적용한 예를 나타낸다. 단말(1)의 사용자에 의해 문서가 선택된다. 단말(1)의 적용은 라이브러리가 SIM 카드(3)에 대한 암호화 서명 명령을 생성할 것을 요구한다. 이 명령 및 문서는 전술한 메카니즘에 따라 이동 단말(2) 및 SIM 카드(3)로 전송된다. SIM 카드(3)는 상기 명령을 처리하고, 암호화 서명에 저장하고 있는 암호화 어플리케이션을 제공한다. SIM 카드(3)는 서명된 문서를 단말(1)로 전송한다. 그리고 나서, 단말(1)은 서명된 문서의 공개를 위해 서명된 문서를 서버(43)로 전송한다.

전술한 예에서는 이동 단말과 단말(1) 사이의 무선 블루투스 연결을 예로 들어 설명하였으나, 본 발명은 다른 타입의 무선 연결에도 적용될 수 있다. 당업자는 구체적으로 IrDA(적외선) 타입 또는 무접촉 NFC 타입(ISO 표준 14443)과 같은 근거리 무선 연결 등을 생각해낼 수 있을 것이다. 이동 단말에 SIM 카드에 액세스할 수 있도록 IrDA 또는 무접촉 포트들을 폴링(polling)하기 위한 소프트웨어 모듈을 제공하는 것으로 충분하고, 경우에 따라서는, 단말(1)에 상기 폴링 소프트웨어 모듈과의 통신을 위한 특정 PC/SC 인터페이스(25)를 제공하는 것으로 충분하다. 무선 NFC 연결에 대해서, 카드 에뮬레이션 모드에서 상기 타입의 이동 단말(2)은 무접촉 카드로 통과할 수 있다. SIM 카드(3)가 그 무접촉 통신 모듈에 연결되면, 단말(1)의 모듈(25)은 SIM 카드의 암호화 어플리케이션에 액세스할 수 있다.

또한, 본 발명을 VPN의 형성 또는 서명된 문서의 공개와 관련하여 설명하였으나, 본 발명은 다른 어플리케이션들, 구체적으로 사용자가 임의의 네트워크, 예컨대 인터넷과 같은 IP 네트워크에 연결할 때 사용자의 인증에 적용될 수 있다.

Claims

무선 연결(5)을 통해서 데이터를 교환할 수 있는 단말(1) 및 이동 단말(2)을 포함하는 암호화 장치(6)에 있어서,

상기 암호화 장치는 다른 암호화 엔티티들(4,43)과의 공개키 암호화 프로토콜을 구현할 수 있고, 상기 암호화 장치의 비밀키는 상기 이동 전화에 저장되고, 상기 단말에는 저장되지 않는 것을 특징으로 하는 암호화 장치.
제1항에 있어서,

상기 단말(1)은 또다른 암호화 엔티티(4,43)와의 유선 또는 무선 연결을 설정할 수 있고, 상기 연결을 통해 상기 암호화 엔티티와 데이터를 교환할 수 있는 것을 특징으로 하는 암호화 장치.
제2항에 있어서,

상기 다른 암호화 엔티티는 컴퓨터 네트워크(7)에 액세스하기 위한 서버(4)이고, 상기 데이터 교환은 상기 단말(1)이 상기 서버에 인증될 수 있도록 하는 것을 특징으로 하는 암호화 장치.
공개키 암호화 연산을 구현하는 방법에 있어서,

적어도 하나의 암호화 엔티티(4,43)와 비밀키를 저장하는 이동 전화(2) 및 상기 비밀키를 저장하지 않는 단말(1)을 포함하는 장치(6) 사이의 공개키 암호화 프로토콜을 구현하는 단계를 포함하고,

상기 단말 및 상기 이동 전화를 무선 연결에 의해 데이터를 교환하는 것을 특징으로 하는 공개키 암호화 구현 방법.
제4항에 있어서,

상기 암호화 엔티티(4,43) 및 상기 장치(6) 사이의 데이터 교환은 상기 단말(1)과 상기 다른 암호화 엔티티(4,43) 사이의 유선 또는 무선 연결에 의해 수행되는 것을 특징으로 하는 공개키 암호화 구현 방법.
제5항에 있어서,

상기 암호화 엔티티는 컴퓨터 네트워크(7)에 액세스하기 위한 서버(4)이고, 상기 데이터 교환은 상기 서버에 상기 단말을 인증시키기 위한 인증인 것을 특징으로 하는 공개키 암호화 구현 방법.