KR20090074680A - 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템 - Google Patents

통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템 Download PDF

Info

Publication number
KR20090074680A
KR20090074680A KR1020080078190A KR20080078190A KR20090074680A KR 20090074680 A KR20090074680 A KR 20090074680A KR 1020080078190 A KR1020080078190 A KR 1020080078190A KR 20080078190 A KR20080078190 A KR 20080078190A KR 20090074680 A KR20090074680 A KR 20090074680A
Authority
KR
South Korea
Prior art keywords
card
server
information
random number
terminal
Prior art date
Application number
KR1020080078190A
Other languages
English (en)
Other versions
KR101513430B1 (ko
Inventor
이성만
Original Assignee
이성만
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이성만 filed Critical 이성만
Priority to KR1020080078190A priority Critical patent/KR101513430B1/ko
Publication of KR20090074680A publication Critical patent/KR20090074680A/ko
Application granted granted Critical
Publication of KR101513430B1 publication Critical patent/KR101513430B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템에 관한 것으로서, IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 종단간 통신경로를 통해 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 상기 생성된 난수(Rs)를 사용자 공개키를 통해 암호화하여 상기 종단간 통신경로를 통해 상기 IC카드로 전송하는 서버와, 상기 종단간 통신경로를 통해 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K’)를 생성하고, 상기 생성된 세션키(K')로 상기 난수(Rs)를 암호화하여 카드 검증자(MAC’)를 생성하고, 상기 종단간 통신경로를 통해 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드를 구비하여 이루어지는 것을 특징으로 한다.
종단간보안채널, 보안채널운용

Description

통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템{System for Operating End-to-End Security Channel between Server and IC Card}
도 1은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템을 도시한 도면이다.
도 2는 본 발명의 실시 방법에 따라 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 구성을 도시한 도면이다.
도 3은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.
도 4는 본 발명의 다른 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.
도 5는 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.
도 6은 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.
<도면의 주요부분에 대한 설명>
100 : 카드발급 서버 105 : 인터페이스부
110 : 인터페이스 제공부 115 : 정보 수신부
120 : 유효성 인증부 125 : 정보 생성부
130 : 카드 발급부 135 : 정보 저장부
140 : 카드발급 장치 145 : 저장매체
150 : 카드발급 단말
본 발명은 IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 종단간 통신경로를 통해 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 상기 생성된 난수(Rs)를 사용자 공개키를 통해 암호화하여 상기 종단간 통신경로를 통해 상기 IC카드로 전송하는 서버와, 상기 종단간 통신경로를 통해 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K’)를 생성하고, 상기 생성된 세션키(K')로 상기 난수(Rs)를 암호화하여 카드 검증자(MAC’)를 생성하고, 상기 종단간 통신경로를 통해 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하 는 IC카드를 구비하는 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템에 관한 것이다.
정보통신 기술과 현대사회의 발전은 다양한 금융거래 서비스 이용을 위해 인터넷 뱅킹 등의 다양한 비대면 채널을 통한 금융거래 서비스를 제공하고 있다.
그러나, 현재 제공되고 있는 공인인증서를 이용하는 모델의 경우, 금융사 서버(또는 인증기관 서버)와 연계하여 보안채널을 형성하는 과정에 컴퓨터 등의 단말을 이용하고 있으나, 컴퓨터의 경우 금융거래 서비스 이외에 다양한 인터넷 서비스를 이용하고 있으므로 인하여, 해킹의 위험에 항상 노출되어 있는 문제가 있다.
이를 해결하기 위하여, 보안프로그램을 설치하고, 이를 이용하여 보안을 강화하고는 있으나, 이 부분 역시 빠른 정보통신 기술의 발전으로 인하여 많은 해커들이 개발된 보안프로그램을 무력화 시키고, 무력화된 보안프로그램을 이용하여 금융거래 서비스를 해킹하는 문제는 여전히 존재하고 있다.
상기 문제점을 해결하기 위한 본 발명의 목적은, IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 종단간 통신경로를 통해 상기 IC카 드로 전송하기 위한 난수(Rs)를 생성하고, 상기 생성된 난수(Rs)를 사용자 공개키를 통해 암호화하여 상기 종단간 통신경로를 통해 상기 IC카드로 전송하는 서버와, 상기 종단간 통신경로를 통해 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K’)를 생성하고, 상기 생성된 세션키(K')로 상기 난수(Rs)를 암호화하여 카드 검증자(MAC’)를 생성하고, 상기 종단간 통신경로를 통해 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드를 구비하는 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템을 제공함에 있다.
본 발명에 따른 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템은, IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서, 상기 종단간 통신경로를 통해 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 상기 생성된 난수(Rs)를 사용자 공개키를 통해 암호화하여 상기 종단간 통신경로를 통해 상기 IC카드로 전송하는 서버와, 상기 종단간 통신경로를 통해 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K’)를 생성하고, 상기 생성된 세션 키(K')로 상기 난수(Rs)를 암호화하여 카드 검증자(MAC’)를 생성하고, 상기 종단간 통신경로를 통해 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드를 구비하여 이루어지는 것을 특징으로 한다.
또한, 상기 IC카드 리더를 구비한 단말과 연결되고, 상기 IC카드와 서버 간 통신경로를 제공하고, 상기 서버로 전송할 데이터를 상기 단말로 전달하여 상기 IC카드와 서버 사이의 종단간 보안채널을 통해 상기 서버로 전송되도록 처리하는 고객단말을 더 포함하여 이루어지는 것을 특징으로 한다.
본 발명에 따르면, 상기 서버는, 상기 IC카드에 생성한 난수(Rc)와 카드 검증자(MAC')- IC카드에서 생성된 세션키를 검증하기 위한 카드 검증자-를 상기 종단간 통신경로를 통해 수신하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K)를 생성하고, 상기 생성된 세션키(K')로 상기 난수(Rs)를 암호화하여 카드 검증자(MAC)를 생성하고, 상기 카드 검증자(MAC')와 카드 검증자(MAC)-IC카드에서 생성한 카드 검증자와 상호 매칭여부를 확인하여 세션키의 유효성을 확인하기 위한 카드 검증자-을 비교하여 상기 세션키(K')를 인증하고, 상기 세션키(K') 인증시, 상기 세션키(K)로 상기 난수(Rc)를 암호화하여 서버 검증자(MAC)를 생성하고, 상기 종단간 통신경로를 통해 상기 IC카드로 상기 서버 검증자(MAC)를 전송하는 것을 특징으로 한다.
본 발명에 따르면, 상기 IC카드는, 상기 서버 검증자(MAC)를 상기 종단간 통신경로를 통해 수신하고, 상기 세션키(K’)를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC’)를 생성하고, 상기 서버 검증자(MAC')와 서버 검증자(MAC)을 비교하여 상기 세션키(K)를 인증하고, 상기 세션키(K) 인증시, 상기 서버와 종단간 보안채널을 연결된 것으로 처리하는 것을 특징으로 한다.
이하 첨부된 도면과 설명을 참조하여 본 발명의 바람직한 실시예에 대한 동작 원리를 상세히 설명한다. 다만, 하기에 도시되는 도면과 후술되는 설명은 본 발명의 특징을 효과적으로 설명하기 위한 여러 가지 방법 중에서 바람직한 실시 방법에 대한 것이며, 본 발명이 하기의 도면과 설명만으로 한정되는 것은 아니다. 또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 발명에서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
*또한, 이하 실시되는 본 발명의 바람직한 실시예는 본 발명을 이루는 기술적 구성요소를 효율적으로 설명하기 위해 각각의 시스템 기능구성에 기 구비되어 있거나, 또는 본 발명이 속하는 기술분야에서 통상적으로 구비되는 시스템 기능구성은 가능한 생략하고, 본 발명을 위해 추가적으로 구비되어야 하는 기능구성을 위주로 설명한다. 만약 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 하기에 도시하지 않고 생략된 기능구성 중에서 종래에 기 사용되고 있는 구성요소의 기능을 용이하게 이해할 수 있을 것이며, 또한 상기와 같이 생략된 구성요소와 본 발명을 위해 추가된 구성요소 사이의 관계도 명백하게 이해할 수 있을 것이다.
또한, 이하 실시예는 본 발명의 핵심적인 기술적 특징을 효율적으로 설명하기 위해 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 명백하게 이해할 수 있도록 용어를 적절하게 변형하여 사용할 것이나, 이에 의해 본 발명이 한정되는 것은 결코 아니다.
결과적으로, 본 발명의 기술적 사상은 청구범위에 의해 결정되며, 이하 실시예는 진보적인 본 발명의 기술적 사상을 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 일 수단일 뿐이다.
도면1은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템을 도시한 도면이다.
보다 상세하게 본 도면1은 소정의 고객이 소정의 카드발급 인터페이스를 통해 금융시스템으로 소정의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 발급신청 정보를 제공하면, 상기 금융시스템에서 상기 제공된 IC카드 발급신청 정보를 기반으로 상기 고객에게 IC(Integrated Circuit)카드 형태의 IC카드를 발급하는 시스템 구성에 대한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여 상기 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하며, 본 도면1에 도시된 실시 방법만으로 한정되지 아니한다.
예컨대, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여, 상기 금융시스템과 종단간 보안채널을 연결하기 위한 카드발급 시스템 이외에 통신망 상의 특정 서버와 종단간 보안채널을 연결하기 위한 카드발급 시스템의 구성을 유추할 수 있을 것이나, 이에 의해 본 발명이 한정되지 아니한다.
또한, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여, 상기 발급되는 IC카드가 금융거래를 위한 정보를 구비하지 않을 수도 있으며, 이에 의해 본 발명이 한정되지 아니한다.
또한, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 본 도면1을 참조 및/또는 변형하여, 본 도면1에 도시된 실시 방법의 효율적인 설명을 위해 금융시스템과 연계하여 처리하는 부분을 기준으로 도시하지만, 이에 의해 본 발명이 한정되지 아니한다.
이하, 본 도면1에 도시된 카드발급 시스템 상에서 소정의 카드발급 인터페이스를 통해 상기 고객으로부터 제공되는 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 소정의 IC카드를 발급하는 적어도 하나 이상의 수단 및/또는 기능구성에 대응하는 구성요소를 편의상 "카드발급 서버(100)"라고 한다.
여기서, 상기 카드발급 서버(100) 상에 구비되는 적어도 하나 이상의 수단 및/또는 기능구성을 적어도 하나 이상의 서버에 구비할 수도 있으며, 이에 의해 본 발명이 한정되지 아니한다.
본 발명의 실시 방법을 따르는 본 도면1을 참조하면, 상기 금융시스템과 종단간 보안채널 연결을 위한 카드발급 시스템은, 적어도 하나 이상의 카드발급기관(또는 금융기관)에 구비되는 카드발급 담당 직원이 이용하는 직원단말을 포함하여 이루어지는 것을 특징으로 하며, 및/또는 상기 카드발급 시스템이 비대면 방식의 카드발급 신청을 지원하는 경우, 상기 고객이 이용하는 유선단말 및/또는 무선단말을 적어도 하나 이상의 포함하는 클라이언트 단말 포함하여 이루어지는 것을 특징 으로 하며, 상기 직원단말 및/또는 클라이언트 단말은 소정의 네트워크 수단을 통해 상기 금융시스템 상에 구비된 카드발급 서버(100)와 통신채널이 연결된다.
본 발명의 일 실시 방법에 따르면, 상기 고객은 상기 금융시스템과 종단간 보안채널 연결을 위해 상기 카드발급기관(또는 금융기관)에 방문하여 상기 카드발급기관(또는 금융기관)에 구비된 창구를 통해(또는 카드발급 담당 직원을 통해) 상기 금융시스템과 종단간 보안채널 연결을 위한 소정의 카드발급 신청서(예컨대, 상기 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 정보항목을 기입하기 위한 서식이 구비된 서류)를 작성하고(또는 상기 카드발급 담당 직원이 상기 고객에게 방문하여 상기 고객으로 하여금 상기 금융시스템과 종단간 보안채널 연결을 위한 소정의 카드발급 신청서를 작성하도록 하고), 상기 작성된 카드발급 신청서를 카드발급 담당 직원에게 제출하면, 상기 카드발급 담당 직원은 소정의 직원단말을 통해 상기 카드발급 신청서에 기입된 정보를 입력(또는 선택)하고, 상기 직원단말은 상기 입력(또는 선택)된 정보를 상기 네트워크 수단을 통해 상기 금융시스템 상에 구비된 카드발급 서버(100)로 전송하는 것이 바람직하다.
여기서, 상기 직원단말은 상기 카드발급기관(또는 금융기관)에 구비된 카드발급 담당 직원이 이용하는 직원단말을 포함하여 이루어지는 것이 바람직하며, 상기 직원단말과 연결되는 카드발급 서버(100)는 상기 카드발급기관(또는 금융기관, 또는 상기 카드발급기관과 제휴된 카드발급 제휴기관) 상에 구비된 서버를 포함하 여 이루어지는 것이 바람직하며, 상기 직원단말과 카드발급 서버(100)를 연결하는 상기 네트워크 수단은 상기 직원단말과 카드발급 서버(100) 간 통신채널을 연결하는 통신망을 포함하여 이루어지는 것이 바람직하다.
상기와 같은 카드발급 시스템에 있어서, 상기 고객이 작성하는 카드발급 신청서와, 상기 카드발급 담당 직원이 이용하는 직원단말 및 상기 직원단말과 상기 카드발급 서버(100)를 연결하는 금융망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하다.
본 발명의 다른 일 실시 방법에 따르면, 상기 카드발급 시스템이 비대면 방식의 카드발급 신청을 지원하는 경우, 상기 고객은 소정의 유선 통신망에 연결된 유선단말 및/또는 소정의 무선 통신망에 연결된 무선단말 중 적어도 하나 이상의 클라이언트 단말을 통해 상기 카드발급 서버(100)에 접속하고, 상기 카드발급 서버(100)가 제공하는 적어도 하나 이상의 사용자 인터페이스를 통해 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드 발급신청 정보를 입력(또는 선택)하면, 상기 클라이언트 단말에서 소정의 네트워크 수단을 통해 상기 금융시스템 상에 구비된 카드발급 서버(100)로 전송하는 것이 바람직하다.
여기서, 상기 유선 통신망에 연결된 유선단말은 TCP/IP(Transmission Control Protocol/Internet Protocol) 기반의 통신망에 연결된 모든 단말장치의 총칭으로서, 상기 TCP/IP 기반 통신망에 연결된 데스크탑(Desktop) 컴퓨터 및/또는 노트북(Notebook), 또는 상기 TCP/IP 기반 통신망에 연결된 가전단말(예컨대, 셋탑박스(Set-Top-Box) 등), 또는 TCP/IP 기반 통신망에 연결된 키오스크(KIOSK) 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 무선 통신망에 연결된 무선단말은 CDMA(Code Division Multiple Access) 기반의 이동 통신망에 연결된 모든 단말장치, 및/또는 HSDPA(High Speed Downlink Packet Access) 기반의 무선 통신망에 연결된 모든 단말장치, 및/또는 IEEE 802.16x 기반의 휴대 인터넷에 연결된 모든 단말장치, 및/또는 Motorola사의 DataTAC 방식 및/또는 Erricson사의 Mobitex 방식의 무선 데이터 통신망에 연결된 모든 단말장치의 총칭으로서, 상기 CDMA 기반 이동통신망에 연결된 개인 통신 단말기(Personal Communication System; PCS) 및/또는 GSM(Global System for Mobile communications) 단말기 및/또는 개인 디지털 셀룰러 단말기(Personal Digital Cellular; PDC) 및/또는 PHS(Personal Handyphone System) 단말기 및/또는 개인 정보 단말기(Personal Digital Assistant; PDA) 및/또는 스마트폰(Smart Phone) 및/또는 텔레매틱스(Telematics), 또는 HSDPA(High Speed Downlink Packet Access) 기반의 무선 통신망에 연결된 무선통신 단말, 또는 상기 IEEE 802.16x 기반 휴대 인터넷에 연결된 휴대 인터넷 단말, 또는 상기 DataTAC/Mobitex 기반 무선 데이터 통신망에 연결된 무선 데이터 통신 단말 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 클라이언트 단말은 상기 카드발급 서버(100)에서 제공하는 적어도 하나 이상의 사용자 인터페이스를 출력하고, 상기 사용자 인터페이스를 통해 적어도 하나 이상의 정보를 입력 및/또는 선택하여 상기 카드발급 서버(100)로 전송하기 위한 기능 구성(예컨대, 브라우져 프로그램과 통신 기능, 또는 상기 카드발급 서버(100)와 통신하는 소정의 통신 프로그램과 통신 기능 등)이 구비되어 있는 것이 바람직하다.
본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 적어도 하나 이상의 유선단말 및/또는 무선단말에 대응하는 상기 클라이언트 단말의 특징을 용이하게 유추할 수 있을 것이므로, 이에 대한 상세한 설명은 편의상 생략한다.
상기와 같은 카드발급 시스템에 있어서, 상기 고객이 이용하는 유선단말 및/또는 무선단말을 적어도 하나 이상 포함하는 클라이언트 단말과, 상기 클라이언트 단말과 상기 카드발급 서버(100)를 연결하는 적어도 하나 이상의 유선 통신망 및/또는 무선 통신망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하다.
본 발명의 또다른 일 실시 방법에 따르면, 상기 카드발급 시스템이 비대면 방식의 카드발급 신청을 지원하는 경우, 상기 카드발급 단말(150)은 상기 직원단말 및/또는 클라이언트 단말 이외에, 소정의 금융망(예컨대, 금융공동망)에 연결된 현금 자동 입출금기(Automatic Teller Machine; ATM), 현금 자동 지급기(Cash Dispenser; CD)를 포함하는 금융자동화기기(도시생략)를 더 포함하여 이루어지거나, 및/또는 소정의 공중전화망(Public Switched Telephone Network; PSTN), VoIP(Voice over IP)망과 같은 유선전화망에 연결된 소정의 통화단말(도시생략)을 더 포함하여 이루어지거나, 및/또는 이동통신망, 무선 VoIP망과 같은 무선전화망에 연결된 소정의 통화단말(도시생략)을 더 포함하여 이루어지거나, 및/또는 상기 카드발급기관(또는 금융기관)과 제휴된 적어도 하나 이상의 기관에 구비된 단말(및/또는 서버)(도시생략)를 더 포함할 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
상기와 같이 비대면 방식의 카드발급 신청을 지원하는 경우에 있어서, 상기 카드발급 단말(150)이 상기 금융자동화기기(도시생략)인 경우, 상기 금융자동화기기(도시생략) 및 상기 금융자동화기기(도시생략)와 상기 카드발급 서버(100)를 연결하는 금융망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하며, 및/또는 상기 카드발급 단말(150)이 상기 통화단말(도시생략)인 경우, 상기 통화단말(도시생략) 및 상기 통화단말(도시생략)과 상기 카드발급 서버(100)를 연결하는 유선전화망 및/또는 무선전화망은 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하며, 및/또는 상기 카드발급 단말(150)이 상기 카드발급기관(또는 금융기관)과 제휴된 기관에 구비된 단말(및/또는 서버)(도시생략)인 경우, 상기 단말(및/또는 서버)(도시생략) 및 상기 단말(및/또는 서버)(도시생략)과 상기 카드발급 서버(100)를 연결하는 네트워크는 상기 고객이 상기 금융시스템과 종단간 보안채널 연결을 위해 IC카드 발급신청 정보를 등록하기 위한 카드발급 인터페이스의 기능을 수행하다.
본 발명에 따른 금융시스템 상에 구비되는 상기 저장매체(145)는 상기 카드발급 단말(150)로부터 제공되는 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 소정의 IC카드를 발급한 후, 상기 IC카드 발급에 따른 IC카드 발급정보를 저장하는 것을 특징으로 하며, 상기 저장매체(145)에 저장된 상기 IC카드 발급정보는 금융시스템 상에서 상기 금융시스템과 종단간 보안채널 연결을 위해 이용된다.
본 발명의 일 실시 방법에 따르면, 상기 저장매체(145)는 상기 금융시스템 상에 구비되는(또는 상기 금융시스템과 연계되는) 소정의 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체(145)는 상기 금융시스템 상의 DBMS에 구비되는 원장 D/B가거나, 및/또는 상기 원장 D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
본 발명에 따른 금융시스템 상에 구비되는 상기 카드발급 서버(100)는 상기 카드발급 단말(150)과 소정의 네트워크 수단을 통해 연결되는 상기 금융시스템 측 구성요소의 총칭으로서, 적어도 하나 이상의 서버(또는 장치)를 포함하여 구현되거나, 및/또는 소정의 서버(또는 장치)에 구비된 기록매체에 기록되는 적어도 하나 이상의 프로그램으로 구현될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
본 발명의 실시 방법에 따르면, 상기 카드발급 서버(100)는 상기 네트워크 수단을 통해 상기 카드발급 단말(150)로 소정의 카드발급 인터페이스를 제공하는 인터페이스부(105)(또는 인터페이스 수단)를 구비하여 이루어지는 것을 특징으로 한다.
본 발명의 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 금융망에 연결되는 직원단말 인 경우, 상기 인터페이스부(105)는 상기 금융망에 정의된 프로토콜 스택을 기반으로 상기 직원단말과 소정의 통신채널을 연결하고, 상기 직원단말에 구비된 카드발급 신청 프로그램에 정의된 통신 프로토콜을 이용하여 적어도 하나 이상의 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공하는 것이 바람직하다.
본 발명의 다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 유선 통신망에 연결되는 유선단말을 포함하는 클라이언트 단말인 경우, 상기 인터페 이스부(105)는 상기 유선 통신망에 정의된 프로토콜 스택을 기반으로 상기 클라이언트 단말과 소정의 통신 채널을 연결하고, 상기 클라이언트 단말에 구비된 통신 프로그램에 정의된 통신 프로토콜을 이용하여 적어도 하나 이상의 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공하는 것이 바람직하다.
예컨대, 상기 클라이언트 단말에 HTTP(Hyper-Text Transfer Protocol) 프로토콜에 대응하는 브라우져 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 TCP/IP 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 브라우져 프로그램에 정의된 HTPP 프로토콜을 이용하여 웹페이지(예컨대, HTML(Hyper-Text Markup Language) 호환 웹페이지) 및/또는 정보 송수신을 위한 통신 인터페이스를 제공한다.
또는, 상기 클라이언트 단말에 상기 카드발급 서버(100)에서 제공한 소정의 카드발급 신청 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 TCP/IP 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 통신 프로그램에 정의된 통신 프로토콜을 이용하여 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공한다.
본 발명의 또다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 무선 통신망에 연결되는 무선단말을 포함하는 클라이언트 단말인 경우, 상기 인터 페이스부(105)는 상기 무선 통신망에 정의된 프로토콜 스택을 기반으로 상기 클라이언트 단말과 소정의 통신 채널을 연결하고, 상기 클라이언트 단말에 구비된 통신 프로그램에 정의된 통신 프로토콜을 이용하여 적어도 하나 이상의 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공하는 것이 바람직하다.
예컨대, 상기 클라이언트 단말에 WAP(Wireless Application Protocol) 및/또는 ME(Mobile Explorer) 프로토콜에 대응하는 브라우져 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 CDMA 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 브라우져 프로그램에 정의된 WAP/ME 프로토콜을 이용하여 웹페이지(예컨대, WML(Wireless Markup Language) 호환 웹페이지, 또는 HTML 호환 웹페이지) 및/또는 정보 송수신을 위한 통신 인터페이스를 제공한다.
또는, 상기 클라이언트 단말에 상기 카드발급 서버(100)에서 제공한 카드발급 신청 프로그램이 구비된 경우, 상기 인터페이스부(105)는 상기 CDMA 프로토콜을 기반으로 상기 클라이언트 단말과 통신채널을 연결하고, 상기 통신 프로그램에 정의된 통신 프로토콜을 이용하여 정보(또는 데이터) 송수신을 위한 통신 인터페이스를 제공한다.
도면1을 참조하면, 상기 카드발급 서버(100)는 소정의 카드발급 단말(150)이 상기 인터페이스부(105)를 통해 상기 카드발급 서버(100)에 접속시, 상기 인터페이 스부(105)와 연동하여 상기 카드발급 단말(150)에서 소정의 IC카드 발급신청 정보를 입력(또는 선택)하여 전송하도록 하는 소정의 사용자 인터페이스를 생성(또는 추출)하여 상기 카드발급 단말(150)로 제공하는 인터페이스 제공부(110)(또는 인터페이스 제공수단)와, 상기 인터페이스부(105)와 연동하여 상기 카드발급 단말(150)에서 상기 사용자 인터페이스를 통해 입력(또는 선택)하여 전송하는 소정의 IC카드 발급신청 정보를 수신하는 정보 수신부(115)(또는 정보 수신수단)와, 상기 수신된 IC카드 발급신청 정보를 기반으로 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성을 확인하는 유효성 인증부(120)(또는 유효성 인증수단)와, 상기 수신된 IC카드 발급신청 정보를 기반으로 상기 고객에게 발급할 IC카드에 대응하는 소정의 IC카드 저장정보를 생성(또는 추출)하는 정보 생성부(125)(또는 정보 생성수단)와, 소정의 카드발급 장치(140)를 통해 상기 IC카드 저장정보를 포함하는 소정의 IC카드를 발급하는 카드 발급부(130)(카드 발급수단)와, 상기 고객에게 발급된 IC카드에 대응하는 IC카드 발급정보를 상기 저장매체(145)에 저장하는 정보 저장부(135)(또는 정보 저장수단)를 구비하여 이루어지는 것을 특징으로 한다.
상기 인터페이스 제공부(110)는 소정의 카드발급 단말(150)이 상기 인터페이스부(105)를 통해 상기 카드발급 서버(100)에 접속시, 상기 카드발급 단말(150)에 구비된 기능구성에 대응하여 상기 IC카드 발급신청 정보를 입력(또는 선택)하여 상기 네트워크 수단을 통해 상기 카드발급 서버(100)로 전송할 수 있는 소정의 사용자 인터페이스를 생성하거나, 및/또는 소정의 데이터베이스(도시생략)로부터 추출 하고, 상기 인터페이스부(105)와 연동하여 상기 생성(또는 추출)된 사용자 인터페이스를 상기 네트워크 수단을 통해 상기 카드발급 단말(150)로 제공하는 것을 특징으로 한다.
이후, 상기 카드발급 단말(150)은 상기 사용자 인터페이스를 기반으로 상기 IC카드 발급신청 정보를 입력(또는 선택)하며, 상기 입력(또는 선택)된 IC카드 발급신청 정보를 상기 네트워크 수단을 통해 상기 카드발급 서버(100)로 전송한다.
본 발명의 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 금융망에 연결되는 직원단말인 경우, 상기 인터페이스 제공부(110)는 상기 직원단말에 구비된 카드발급 신청 프로그램으로 제공 가능한 소정의 사용자 인터페이스를 생성(또는 추출)하고, 상기 인터페이스부(105)를 통해 상기 생성(또는 추출)된 사용자 인터페이스를 상기 직원단말로 제공하는 것이 바람직하다.
본 발명의 다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 유선 통신망에 연결되는 유선 단말을 포함하는 클라이언트 단말인 경우, 상기 인터페이스 제공부(110)는 상기 클라이언트 단말에 구비된 브라우져 프로그램 및/또는 통신 프로그램으로 제공 가능한 소정의 사용자 인터페이스를 생성(또는 추출)하고, 상기 인터페이스부(105)를 통해 상기 생성(또는 추출)된 사용자 인터페이스를 상기 클라이언트 단말로 제공하는 것이 바람직하다.
본 발명의 또다른 일 실시 방법에 따라 상기 카드발급 단말(150)이 소정의 무선 통신망에 연결되는 무선단말을 포함하는 클라이언트 단말인 경우, 상기 인터페이스 제공부(110)는 상기 클라이언트 단말에 구비된 브라우져 프로그램 및/또는 통신 프로그램으로 제공 가능한 소정의 사용자 인터페이스를 생성(또는 추출)하고, 상기 인터페이스부(105)를 통해 상기 생성(또는 추출)된 사용자 인터페이스를 상기 클라이언트 단말로 제공하는 것이 바람직하다.
상기 정보 수신부(115)는 상기 카드발급 단말(150)에서 상기 사용자 인터페이스를 통해 소정의 IC카드 발급신청 정보를 입력(또는 선택)하여 상기 네트워크 수단을 통해 전송하면, 상기 인터페이스부(105)와 연동하여 상기 IC카드 발급신청 정보를 수신하는 것을 특징으로 하며, 상기 수신된 IC카드 발급신청 정보를 상기 유효성 인증부(120) 또는 정보 생성부(125)로 제공한다.
본 발명의 실시 방법에 따르면, 상기 IC카드 발급신청 정보는 상기 카드발급 고객의 고객정보와, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보를 적어도 하나 이상 포함하여 이루어진다.
여기서, 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성 명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버(100)에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보는 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드에 구비되는 사용자 인증서 정보를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 IC카드를 이용한 이용내역 정보를 더 저장할 수도 있다.
상기 정보 생성부(125)는 상기 정보 수신부(115)를 통해 수신된 상기 IC카드 발급신청 정보를 근거로 상기 고객에게 상기 IC카드에 구비될 소정의 IC카드 저장정보를 생성(또는 추출)하는 것을 특징으로 하며, 상기 IC카드 저장정보는 상기 IC카드에 대응하는 카드번호(예컨대, 16자리 카드번호)와 유효기간 정보(일부 생략가능)와 카드발급기관 정보(또는 코드)를 적어도 하나 이상 포함하여 이루어진다.
예컨대, 상기 카드번호는(일부 예외는 존재하지만) 4자리의 카드발급기관 번호와 2자리의 카드종류 번호와 9자리의 일련번호 및 하나의 체크디지트를 포함하여 이루어지는 것이 바람직하다.
상기 유효기간 정보는 상기 IC카드를 사용할 수 있는 기간(또는 만료일시)를 포함하여 이루어지는 것이 바람직하며, 상기 IC카드에 유효기간이 존재하지 않는 경우 생략될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
상기 카드발급기관 정보(또는 코드)는 상기 고객에게 상기 IC카드를 발급하는 카드발급기관(또는 금융사)에 할당된 고유번호(또는 고유코드)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
상기 정보 생성부(125)에 의해 상기 IC카드에 구비된 소정의 IC카드 저장정보가 생성되면, 상기 카드 발급부(130)는 소정의 카드발급 장치(140)를 통해 상기 IC카드 저장정보를 포함하는 IC카드를 제작(또는 상기 IC카드에 상기 IC카드 저장정보를 구비)하는 것을 특징으로 하며, 상기 IC카드는 상기 고객에게 제공(또는 배송)된다.
여기서, 상기 카드발급 장치(140)는 상기 IC카드의 IC칩에 구비된 메모리에 상기 IC카드 저장정보를 기록하는 장치를 포함하여 이루어지며, 이 때 상기 정보 생성부(125)는 상기 IC칩에 구비된 COS(Chip Operating System)를 통해 동작 가능한 파일 구조로 상기 IC카드 저장정보를 생성(또는 추출)하고, 상기 카드 발급부(130)는 상기 카드발급 장치(140)를 통해 상기 IC카드 저장정보를 상기 IC칩의 메모리에 기록함으로써, 상기 고객에게 발급할 소정의 IC카드를 발급한다.
상기와 같이 제작된 IC카드는 상기 고객에게 제공되거나, 및/또는 소정의 카드 제공 절차에 따라 상기 고객에게 배송되며, 이 후 상기 고객은 본 발명에 따른 금융시스템을 통해 상기 IC카드를 사용하게 된다.
이후, 상기 정보 저장부(135)는 상기 정보 수신부(115)를 통해 상기 고객으로부터 수신된 상기 IC카드 발급신청 정보에 포함된 고객정보와 상기 생성된 IC카드 저장정보와 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 인증서 정보(예컨대, 사용자 인증서 정보 등)를 포함하는 IC카드 발급정보를 상기 저장매체(145)에 저장하는 것을 특징으로 한다.
상기 IC카드 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버(100)에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
상기 IC카드 발급정보에 포함되는 인증서 정보는, 상기 IC카드와 금융시스템과 종단간 보안채널 연결을 위해, 사용자 인증서 정보를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
여기서, 상기 사용자 인증서 정보는 상기 금융시스템과 종단간 보안채널 연결을 위해, 상기 금융시스템에서 생성되는 난수(Rs)를 암호화 하기 위한 공개키 정보를 포함하여 이루어지는 것이 바람직하다.
도면2는 본 발명의 실시 방법에 따라 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 구성을 도시한 도면이다.
보다 상세하게 본 도면2는 상기 도면1에 도시된 카드발급 시스템을 통해 발급되는 IC카드에 구비된 IC칩 상의 메모리에 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)를 구비한 IC카드 기능 구성에 대한 것으로서, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자라면, 본 도면2를 참조 및/또는 변형하여 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 IC카드 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하여 이루어지며, 본 도면2에 도시된 실시 방법만으로 그 기술적 특징이 한정되지 아니한다.
도면2를 참조하면, 상기 IC카드에 구비되는 IC칩은 데이터의 입출력을 하는 적어도 하나 이상의 입출력 인터페이스(200)와, 소정의 카드정보 및 카드 애플리케이션 코드를 저장하는 메모리부(210) 및 상기 애플리케이션을 실행하는 프로세서부(205)를 구비하여 이루어지는 것을 특징으로 한다.
IC카드의 IC칩은 ISO/IEC 7816 규격을 참조하면, 전원 공급(VCC), 리셋 신호(RST), 클럭 신호(CLK), 접지(GND), 프로그래밍 전원 공급(VPP), 및/또는 입출력(I/O) 등과 같은 접촉점을 통해 접촉식으로 카드단말과 연결하고, 상기 카드단말을 통해 상기 금융시스템과 통신(예컨대, 명령 또는 데이터 교환 등)하는 입출력 인터페이스(200)를 구비하여 이루어지는 것을 특징으로 하며, ISO/IEC 14443 규격을 참조하면, 두개의 안테나 연결 접촉점(도시생략)를 통해 비접촉식으로 카드단말을 통해 상기 금융시스템과 통신(예컨대, 명령 또는 데이터 교환 등)하는 입출력 인터페이스(200)를 구비하여 이루어지는 것을 특징으로 한다.
또한, 상기 프로세서부(205)는 CPU(Central Process Unit), MPU(Micro Process Unit), 및/또는 코프로세서(Coprocessor) 등을 포함하는 적어도 하나 이상의 연산 소자로 이루어지는 것을 특징으로 하며, 상기 메모리부(210)에 저장된 카드 애플리케이션 코드를 실행하는 것을 특징으로 한다.
또한, 상기 메모리부(210)는 ROM(Read Only Memory), EEPROM(Electrically Erasable and Programmable Read Only Memory), FM(Flash Memory) 등을 포함하는 적어도 하나 이상 포함하는 비휘발성 메모리와, RAM(Random Access Memory)과 같은 휘발성 메모리(또는 실행 메모리)를 적어도 하나 이상 포함하여 이루어지는 것을 특징으로 하며, 소정의 카드정보와 상기 카드정보를 기반으로 동작하는 카드 애플 리케이션 코드를 저장하는 것을 특징으로 한다.
특히, 상기 메모리부(210) 중 일부 메모리(예컨대, ROM 등)에는 IC카드 내부 자원을 관리하고 운영하는 칩 운영 체제(Chip Operating System; COS)에 대응하는 프로그램 코드가 저장되는데, 상기 입출력 인터페이스(200)의 전원 공급(VCC) 접촉점을 통해 카드단말을 통해 상기 금융시스템으로부터 소정의 전원이 공급되는 경우 상기 메모리부(210)에 저장된 COS가 소정의 실행 메모리로 로딩되어 상기 IC칩의 전반적인 동작을 제어하고, 상기 클럭 신호(CLK) 접촉점의 클럭주파수(예컨대, 3.57MHz 또는 4.9MHz)를 기반으로 APDU(Application Protocol Data Unit)를 통해 상기 IC칩과 카드단말을 통해 상기 금융시스템 사이의 정보 또는 데이터 교환을 제어한다.
도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210)에는 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 사용자 인증서 정보(215)가 저장되는 것을 특징으로 하며, 상기 사용자 인증서 정보(215) 역시 상기 카드 저장정보와 마찬가지로 상기 사용자 인증서 정보(215)에 대응하는 개인키 정보를 저장하는 저장부(225)와 상기 사용자 인증서 정보(215)에 대응하여 상기 IC칩에 구비되는 카드 애플리케이션 코드에 대응하는 처리부(220)를 구비하여 이루어지는 것을 특징으로 한다.
본 발명의 실시 방법에 따르면, 상기 개인키 정보(즉, 사용자 개인키 정보)는, 상기 통신망 상의 금융시스템에서 생성한 난수(Rs)를 암호화하여 전송한 E(Rs)를 수신하여 복호화 하기 위한 정보를 포함하여 이루어지는 것이 바람직하다.
도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210)에는 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위해, 금융시스템으로부터 수신하여 복호화한 난수(Rs)와, 상기 IC카드에서 생성한 난수(Rc)를 통해 세션키(K’)를 생성하는 생성부(230)와, 상기 생성된 세션키(K’)를 이용하여 상기 난수(Rs)를 암호화한 카드 검증자(MAC’)을 생성하고, 상기 생성된 카드 검증자(MAC’)을 상기 카드 검증자(MAC’)을 상기 통신망 상의 금융시스템으로 전송하도록 처리하거나, 또는, 상기 IC카드에서 생성한 난수(Rc)를 상기 금융시스템으로 전송하도록 처리하거나, 또는 상기 금융시스템으로부터 수신한 서버 검증자(MAC)을 수신하고, 상기 세션키(K’)을 통해 상기 IC카드에서 생성한 난수(Rc)를 암호화한 카드 검증자(MAC’)을 생성 및 비교하여, 세션키(K’)을 인증하는 처리부(235)를 구비하여 이루어지는 것을 특징으로 한다.
또한, 상기 처리부(235)는 상기 세션키(K’)에 대한 인증이 완료되면, 상기 IC카드에서 상기 금융시스템과 종단간 보안채널이 연결된 것으로 처리하는 기능을 더 포함하여 이루어지는 것이 바람직하다.
또한, 상기 처리부(235)는 상기 세션키(K’)에 대한 인증이 완료되면 상기 보안채널을 통해 상기 금융시스템으로 전송할 데이터(Data’)을 생성하고, 상기 생성한 데이터(Data’)을 상기 세션키(K’)로 암호화한 E(Data’)을 생성한 후, 상기 생성된 E(Data’)을 상기 보안채널을 통해 상기 금융시스템으로 전송하는 기능을 더 포함하여 이루어지는 것이 바람직하다.
또한, 상기 처리부(235)는 상기 통신망을 통해 상기 금융시스템으로부터 E(Data)를 수신하면, 상기 수신된 E(Data)를 상기 생성한 세션키(K’)로 복호화하는 기능을 더 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 복호화된 데이터(Data)를 IC카드 리더가 구비된 단말(또는 상기 IC카드 리더가 구비된 단말과 연결된 단말)로 제공하는 것이 바람직하다.
또한, 상기 처리부(235)는 상기 IC카드 리더가 구비된 단말에서 입력된 정보(또는 APDU 프로토콜에 따라 수신되는 정보)를 상기 입출력 인터페이스(200)와 연계하여 수신하는 기능을 더 포함하여 이루어지는 것이 바람직하다.
본 발명의 실시 방법에 따르면, 상기 세션키(K’)는, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위 영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 세션키(K’)은, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.
여기서, 상기 비밀키는 상기 IC카드 상에 별도 저장되어 있는 마스터키인 것이 바람직하다.
본 발명의 실시 방법에 따르면, 상기 카드 검증자(MAC’)는, 상기 생성한 세션키(K’)을 통해 상기 금융시스템으로부터 수신한 난수(Rs)를 암호화한 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 카드 검증자(MAC’)는, 상기 생성한 세션키(K’)을 통해 상기 IC카드에서 생성한 난수(Rc)를 암호화한 것이 바람직하다.
본 발명의 실시 방법에 따르면, 상기 IC칩의 메모리부(210)는 ISO/IEC 10202에 기반하는 보안구조를 포함하여 이루어지는데, 이에 따르면 상기 메모리부(210)는 CSN(Chip Serial Number)와 같은 비밀정보가 저장되는 보호영역과, COS 제어 영역, 사용자 애플리케이션 영역, 읽기/쓰기 접근 영역, 애플리케이션 프로그램 영역, 및 FAT(File Allocation Table) 관리 영역 등으로 이루어지며, 상기 카드 저장정보와 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)는 상기 보호영역과 COS 제어 영역을 제외한 영역에 저장되는 것이 바람직하다.
또한, ISO/IEC 7816 및/또는 ISO/IEC 14443 ICC 규격에 따르면, 상기 메모리부(210)는 루트 파일(Root File)에 해당하는 하나의 마스터 파일(Master File; MF)과, 상기 마스터 파일 하위에 적어도 하나 이상의 저장정보에 대한 기능 정보를 포 함하는 ATR(Answer To Reset)과, 각각의 ICC 저장 정보에 대응하는 적어도 하나 이상의 전용 파일(Dedicate File; DF)과, 그리고 상기 전용 파일 하위에 배치되며 스마트 카드 서비스를 위한 실질적인 정보 및/또는 데이터가 포함된 요소 파일(Element File; EF)로 이루어진 파일 구조를 포함하고 있는데, 상기 카드 저장정보와 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)도 상기와 같은 파일 구조를 포함하여 이루어진다.
본 발명의 실시 방법에 따르면, 상기 카드 저장정보 또는 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 소정의 사용자 인증서 정보(215)는 상기 마스터 파일의 하위에 배치되며, 상기 카드 저장정보 또는 사용자 인증서 정보(215)에 대한 고유한 식별 정보 내지 특성 정보를 포함하는 전용파일과, 상기 전용파일 하위에 배치되며 파일 제어정보(File Control Information; FCI)를 저장하는 요소파일 및 상기 카드정보에 대응하는 적어도 하나 이상의 요소파일을 포함하여 이루어지는 것이 바람직하다.
여기서, 상기 파일 제어정보를 저장하는 요소파일은 카드단말을 통해 상기 금융시스템에 구비된 단말프로그램이 상기 IC카드로 전송하는 SELECT FILE 명령에 대한 응답에 해당하는 데이터 바이트를 저장하는 요소파일로서, ISO/IEC 7816-4의 TABLE 2에 정의된 BER-TLV(Basic Encoding Rules-Tag, Length, Value) 데이터 객체 FCP(File Control Parameter)를 전달하는 FCP 탬플릿 및/또는 ISO/IEC 7816-4의 TABLE 2에 정의된 BER-TLV 데이터 객체 FMD(File Management Data)를 전달하는 FMD 탬플릿 및/또는 FCP와 FMD를 전달하는 FCI 탬플릿 등이 있으며, 상기 탬플릿은 SELECT FILE 명령의 선택사항에 따라 검색된다. 일반적으로 FCP 또는 FMD 선택이 정해지면 그에 상응하는 탬플릿은 필수 사항이며, FCI 선택이 정해지면 FCI 탬플릿의 사용은 선택사항이다.
본 발명의 바람직한 실시 방법에 따르면, 상기 IC카드에 구비된 다수의 저장정보 중에서 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 방법은, 파일 식별자에 의한 선택방법, 경로에 의한 선택방법, 및 EF 식별자에 의한 선택방법 등이 있는데, 파일 식별자에 의한 선택방법은 각 파일에 할당된 2바이트 식별자를 이용하는 방법으로서 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215) 전용파일에 할당된 식별자를 통해 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 것이고, 경로에 의한 선택방법은 “3FFF” 식별자를 사용하여 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 것이고, EF 식별자에 의한 선택방법은 각 요소파일에 할당된 ‘0’에서 ‘30’ 사이의 5비트 식별자를 통해 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)를 선택하는 것이다. 일반적으로 파일 식별자에 의한 선택방법 및 경로에 의한 선택방법을 사용하는 경우, SELECT FILE 명령을 통해 상기 카드 저장정보 또는 상기 사용자 인증서 정보(215)에 접근할 수 있으며, 본 발명의 다른 실시 방법으로서 파일 식별자에 의한 선택방법을 사용하지 않는다면 카드 저장정보 또는 상기 사용자 인증서 정보(215)의 전용파일이 생략되어도 무방하다.
도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210) 상에 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 상기 사용자 인증서 정보(215)에 구비된 상기 저장부에 저장되는 개인키 정보(즉, 사용자 개인키 정보)는, 상기 통신망 상의 금융시스템에서 생성한 난수(Rs)를 암호화하여 전송한 E(Rs)를 수신하여 복호화 하기 위한 정보를 적어도 하나 이상 포함하여 이루어지는 것을 특징으로 하며, 여기서 상기 개인키 정보에 대한 파일구조는 국내외 관련 표준안을 따르는 것이 바람직하다.
본 발명의 실시 방법에 따르면, 상기 개인키 정보(즉, 사용자 개인키 정보)는, 상기 통신망 상의 금융시스템에서 생성한 난수(Rs)를 암호화하여 전송한 E(Rs)를 수신하여 복호화 하기 위한 정보를 포함하여 이루어지는 것이 바람직하다.
도면2를 참조하면, 상기 IC카드에 구비된 상기 IC칩의 메모리부(210) 상에 상기 통신망 상의 금융시스템과 종단간 보안채널 연결을 위한 상기 사용자 인증서 정보(215)에 구비된 상기 저장부에 저장되는 공개키 정보(즉, 서버 공개키)는, 상기 금융시스템으로 전송할 난수(Rc)를 암호화 하여 생성한 E(Rc)를 생성하기 위한 정보를 적어도 하나 이상 포함하여 이루어지는 것을 특징으로 하며, 여기서 상기 공개키 정보에 대한 파일구조는 국내외 관련 표준안을 따르는 것이 바람직하다.
본 발명의 실시 방법에 따르면, 상기 공개키 정보(즉, 서버 공개키)는, 상기 금융시스템으로 전송할 난수(Rc)를 생성하고, 상기 공개키 정보를 통해 상기 난수(Rc)를 암호화하여 E(Rc)를 생성하기 위한 정보를 포함하여 이루어지는 것이 바람직하다.
도면3은 본 발명의 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.
보다 상세하게 본 도면3은 상기 도면1에 도시된 카드발급 시스템에서 소정의 고객이 대면 방식의 카드발급 인터페이스(예컨대, 상기 카드발급 신청서와 직원단말과 네트워크 수단)를 통해 소정의 카드발급 신청서를 작성하여 카드발급 담당 직원에게 제출하면, 상기 카드발급 담당 직원이 소정의 카드발급 단말을 통해 상기 카드발급 신청서에 대응하는 IC카드 발급신청 정보를 입력(또는 선택)하여 상기 카드발급 서버로 전송하면, 상기 카드발급 서버에서 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드를 발급하는 과정을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면3을 참조 및/또는 변형하여 상기 금융시스템과 종단간 보안채널 연결을 위해 상기 IC카드를 발급하는 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 실시 방법을 모두 포함하며, 본 도면3에 도시된 실시 방법으로 한정되지 아니한다.
예컨대, 본 도면3은 상기 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한 후, 상기 저장매체에 상기 IC카드 발급정보를 저장하는 것으로 도시하여 설명하지만, 당업자의 의도에 따라 상기 저장매체에 소정의 IC카드 발급정보를 저장하는 과정은 상기 IC카드를 제작하기 전, 또는 상기 IC카드가 제작된 후 상기 고객에게 제공(또는 배송)되기 전에 수행되어도 무방하며, 이에 의해 본 발명이 한정되지 아니한다.
이하, 본 도면3에서 상기 도면1에 도시된 카드발급 단말을 편의상 "단말"이라고 하고, 상기 카드발급 서버를 편의상 "서버"라고 한다.
도면3을 참조하면, 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급 받기 위해 상기 고객이 대면 방식의 카드발급 인터페이스(예컨대, 상기 카드발급 신청서와 직원단말과 네트워크 수단)를 통해 소정의 카드발급 신청서(예컨대, 상기 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 정보항목을 기입하기 위한 서식이 구비된 서류)를 작성하여 카드발급 담당 직원에게 제출하면, 상기 카드발급 담당 직원에 의해 상기 단말은 소정의 사용자 인터페이스를 통해 상기 고객이 작성한 카드발급 신청서에 대응하는 IC카드 발급신청 정보를 입력(또는 선택)받고(300), 상기 네트워크 수단을 통해 상기 IC카드 발급신청 정보 를 상기 서버로 전송한다(305).
본 발명의 실시 방법에 따르면, 상기 IC카드 발급신청 정보는 상기 카드발급 고객의 고객정보와, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보를 적어도 하나 이상 포함하여 이루어진다.
여기서, 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보는
이후, 상기 서버는 상기 네트워크 수단을 통해 상기 단말로부터 상기 IC카드 발급신청 정보를 수신 및 판독하여 상기 IC카드 발급신청 정보에 포함된 고객정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급하는 것에 대한 카드발급 유효성을 확인한다(310).
*본 발명의 실시 방법에 따르면, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보에 포함된 고객 성명과 주민등록번호를 기반으로 소정의 통신수단을 통해 소정의 실명확인 서버(도시생략)와 연계하여 상기 고객의 실명을 확인하는 것을 포함하여 이루어지는 것이 바람직하다.
또한, 상기 IC카드가 신용카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 소정의 신용평가 서버와 연계하여 상기 고객의 신용도 정보를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.
또한, 상기 IC카드가 체크카드/직불카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 상기 체크카드/직불카드와 연계된 고객계좌가 개설된 금융사 서버와 연계하여 상기 고객계좌의 개설 및 정상 운용 여부를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.
만약 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되지 않으면(315), 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객에게 카드발급 오류 정보를 제공하고(320), 상기 고객에게 상 기 IC카드를 발급하는 것을 중지한다.
반면 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되면(315), 상기 서버는 IC카드 발급신청 정보를 기반으로 상기 고객에게 발급할 IC카드에 대응하는 소정의 IC카드 저장정보를 생성(또는 추출)하며(325), 상기 IC카드 저장정보는 상기 IC카드에 대응하는 카드번호(예컨대, 16자리 카드번호)와 유효기간 정보(일부 생략가능)와 카드발급기관 정보(또는 코드)를 적어도 하나 이상 포함하여 이루어진다.
예컨대, 상기 카드번호는(일부 예외는 존재하지만) 4자리의 카드발급기관 번호와 2자리의 카드종류 번호와 9자리의 일련번호 및 하나의 체크디지트를 포함하여 이루어지는 것이 바람직하다.
상기 유효기간 정보는 상기 IC카드를 사용할 수 있는 기간(또는 만료일시)를 포함하여 이루어지는 것이 바람직하며, 상기 IC카드에 유효기간이 존재하지 않는 경우 생략될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
상기 카드발급기관 정보(또는 코드)는 상기 고객에게 상기 IC카드를 발급하는 카드발급기관(또는 금융사)에 할당된 고유번호(또는 고유코드)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
여기서, 상기 생성된 IC카드 저장정보는 상기 IC칩에 구비된 COS(Chip Operating System)를 통해 동작 가능한 파일 구조를 포함하여 이루어지는 것이 바람직하다.
이후, 상기 서버는 소정의 카드발급 장치를 통해 상기 IC카드 저장정보를 구비한 소정의 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한다(330).
여기서, 상기 카드발급 장치는 상기 IC카드의 IC칩에 구비된 메모리에 상기 IC카드 저장정보를 기록하는 장치를 포함하여 이루어지는 것이 바람직하다.
이후, 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객으로부터 제공된 상기 IC카드 발급신청 정보에 포함된 고객정보와 상기 생성된 IC카드 저장정보와 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 인증서 정보(예컨대, 사용자 인증서 정보(215) 등)를 적어도 하나 이상 포함하는 IC카드 발급정보를 상기 저장매체에 저장한다(335).
여기서, 상기 IC카드 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예 컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위해, 상기 IC카드 발급정보에 포함되는 IC카드 정보는 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드에 구비되는 공인 인증서 정보를 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 IC카드를 이용한 이용내역 정보를 더 저장할 수도 있다.
본 발명의 일 실시 방법에 따르면, 상기 저장매체는 상기 금융시스템 상에 구비되는(또는 상기 금융시스템과 연계되는) 소정의 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체는 상기 금융시스템 상의 DBMS에 구비되는 원장 D/B가거나, 및/또는 상기 원장 D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
도면4는 본 발명의 다른 일 실시 방법에 따른 금융시스템과 종단간 보안채널 연결을 위한 카드발급 과정을 도시한 도면이다.
보다 상세하게 본 도면4는 상기 도면1에 도시된 카드발급 시스템에서 소정의 고객이 비대면 방식의 카드발급 인터페이스(예컨대, 유선단말 및/또는 무선단말을 적어도 하나 이상 포함하는 클라이언트 단말과 네트워크 수단)를 통해 상기 카드발 급 서버에 접속하여 소정의 IC카드 발급신청 정보를 입력(또는 선택)하여 전송하면, 상기 카드발급 서버에서 상기 IC카드 발급신청 정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드를 발급하는 과정을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면4를 참조 및/또는 변형하여 상기 금융시스템과 종단간 보안채널 연결을 위해 상기 IC카드를 발급하는 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 실시 방법을 모두 포함하며, 본 도면4에 도시된 실시 방법으로 한정되지 아니한다.
예컨대, 본 도면4는 상기 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한 후, 상기 저장매체에 상기 IC카드 발급정보를 저장하는 것으로 도시하여 설명하지만, 당업자의 의도에 따라 상기 저장매체에 소정의 IC카드 발급정보를 저장하는 과정은 상기 IC카드를 제작하기 전, 또는 상기 IC카드가 제작된 후 상기 고객에게 제공(또는 배송)되기 전에 수행되어도 무방하며, 이에 의해 본 발명이 한정되지 아니한다.
이하, 본 도면4에서 상기 도면1에 도시된 카드발급 단말을 편의상 "단말"이라고 하고, 상기 카드발급 서버를 편의상 "서버"라고 한다.
도면4를 참조하면, 상기 고객은 소정의 단말을 통해 상기 서버에 접속하여 카드발급 신청을 위한 통신채널을 연결하고, 상기 통신채널을 통해 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급을 신청하고(400), 이에 대응하여 상기 서버는 상기 IC카드 발급을 위한 사용자 인터페이스를 생성(또는 추출)하여 상기 통신채널을 통해 상기 단말로 제공한다(405).
이후, 상기 단말은 상기 사용자 인터페이스를 통해 상기 IC카드 발급신청 정보를 입력(또는 선택)받아 상기 통신채널을 통해 상기 입력(또는 선택)된 상기 IC카드 발급신청 정보를 상기 서버로 전송한다(410).
본 발명의 실시 방법에 따르면, 상기 IC카드 발급신청 정보는 상기 카드발급 고객의 고객정보와, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보를 적어도 하나 이상 포함하여 이루어진다.
여기서, 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보 안채널 연결을 위한 IC카드임을 확인하기 위한 IC카드 정보는
이후, 상기 서버는 상기 네트워크 수단을 통해 상기 단말로부터 상기 IC카드 발급신청 정보를 수신 및 판독하여 상기 IC카드 발급신청 정보에 포함된 고객정보를 기반으로 상기 고객에게 상기 금융시스템과 종단간 보안채널 연결을 위한 상기 IC카드를 발급하는 것에 대한 카드발급 유효성을 확인한다(415).
본 발명의 실시 방법에 따르면, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보에 포함된 고객 성명과 주민등록번호를 기반으로 소정의 통신수단을 통해 소정의 실명확인 서버(도시생략)와 연계하여 상기 고객의 실명을 확인하는 것을 포함하여 이루어지는 것이 바람직하다.
또한, 상기 IC카드가 신용카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 소정의 신용평가 서버와 연계하여 상기 고객의 신용도 정보를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.
또한, 상기 IC카드가 체크카드/직불카드를 포함하여 이루어지는 경우, 상기 고객에게 상기 IC카드를 발급하는 것에 대한 유효성 확인은, 상기 고객정보를 기반으로 소정의 통신수단을 통해 상기 체크카드/직불카드와 연계된 고객계좌가 개설된 금융사 서버와 연계하여 상기 고객계좌의 개설 및 정상 운용 여부를 확인하는 것을 포함하여 이루어지는 것이 바람직하다.
만약 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되지 않으면(420), 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객에게 카드발급 오류 정보를 제공하고(425), 상기 고객에게 상기 IC카드를 발급하는 것을 중지한다.
반면 상기 IC카드 발급신청 정보를 통해 상기 고객에게 상기 IC카드를 발급할 수 있는 유효성이 인증되면(420), 상기 서버는 IC카드 발급신청 정보를 기반으로 상기 고객에게 발급할 IC카드에 대응하는 소정의 IC카드 저장정보를 생성(또는 추출)하며(430), 상기 IC카드 저장정보는 상기 IC카드에 대응하는 카드번호(예컨대, 16자리 카드번호)와 유효기간 정보(일부 생략가능)와 카드발급기관 정보(또는 코드)를 적어도 하나 이상 포함하여 이루어진다.
예컨대, 상기 카드번호는(일부 예외는 존재하지만) 4자리의 카드발급기관 번호와 2자리의 카드종류 번호와 9자리의 일련번호 및 하나의 체크디지트를 포함하여 이루어지는 것이 바람직하다.
상기 유효기간 정보는 상기 IC카드를 사용할 수 있는 기간(또는 만료일시)를 포함하여 이루어지는 것이 바람직하며, 상기 IC카드에 유효기간이 존재하지 않는 경우 생략될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
상기 카드발급기관 정보(또는 코드)는 상기 고객에게 상기 IC카드를 발급하는 카드발급기관(또는 금융사)에 할당된 고유번호(또는 고유코드)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
여기서, 상기 생성된 IC카드 저장정보는 상기 IC칩에 구비된 COS(Chip Operating System)를 통해 동작 가능한 파일 구조를 포함하여 이루어지는 것이 바람직하다.
이후, 상기 서버는 소정의 카드발급 장치를 통해 상기 IC카드 저장정보를 구비한 소정의 IC카드를 제작하여 상기 고객에게 제공(또는 배송)한다(435).
여기서, 상기 카드발급 장치는 상기 IC카드의 IC칩에 구비된 메모리에 상기 IC카드 저장정보를 기록하는 장치를 포함하여 이루어지는 것이 바람직하다.
이후, 상기 서버는 상기 카드발급 인터페이스를 통해 상기 고객으로부터 제공된 상기 IC카드 발급신청 정보에 포함된 고객정보와 상기 생성된 IC카드 저장정보와 금융시스템과 종단간 보안채널 연결을 위한 적어도 하나 이상의 인증서 정보 (예컨대, 사용자 인증서 정보(215) 등)를 적어도 하나 이상 포함하는 IC카드 발급정보를 상기 저장매체에 저장한다(440).
여기서, 상기 IC카드 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 고객에게 발급되는 IC카드가 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드임을 확인하기 위해, 상기 IC카드 발급정보에 포함되는 IC카드 정보는 상기 금융시스템과 종단간 보안채널 연결을 위한 IC카드에 구비되는 공인 인증서 정보를 포함하여 이루어지는 것이 바람직하며, 당업자의 의도 및 목적에 따라 상기 IC카드를 이용한 이용내역 정보를 더 저장할 수도 있다.
본 발명의 일 실시 방법에 따르면, 상기 저장매체는 상기 금융시스템 상에 구비되는(또는 상기 금융시스템과 연계되는) 소정의 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체는 상기 금융시스템 상의 DBMS에 구비되는 원장 D/B가거나, 및/또는 상기 원장 D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
도면5는 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.
보다 상세하게 본 도면5는 금융거래 서비스를 이용하고자 하는 고객이 소정의 금융거래 인터페이스를 통해 뱅킹 시스템으로 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 고객이 소지한 IC카드(550)를 통해 상기 뱅킹 시스템 상의 서버에 접속하여 통신채널을 연결한 후, 보안채널을 생성하기 위한 뱅킹 시스템의 구성을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면5를 참조 및/또는 변형하여 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하며, 본 도면5에 도시된 실시 방법만으로 한정되지 아니한다.
본 발명의 실시 방법을 따르는 본 도면5를 참조하면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템은, 고객이 이용하는 유선 단말 및/또는 무선 단말을 적어도 하나 이상의 포함하는 클라이언트 단말 등을 적어도 하나 이상 포함하는 고객단말(540)을 포함하여 이루어지는 것을 특징으로 하며, 상기 고객단말(540)은 소정의 네트워크 수단을 통해 상기 뱅킹 시스템 상에 구비된 뱅킹서버(500)와 통신채널이 연결된다.
본 발명의 일 실시 방법에 따르면, 상기 고객은 소정의 유선 통신망에 연결된 유선 단말 및/또는 소정의 무선 통신망에 연결된 무선 단말 중 적어도 하나 이상의 클라이언트 단말을 통해 상기 뱅킹서버(500)에 접속을 요청하면, 이에 대응하여 상기 뱅킹서버(500)는 상기 고객단말(540)과 연결된 단말장치(545)를 통해 PIN 입력을 요청하고, IC카드(550)에서 PIN인증이 완료되면, 이에 대응하여 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 적어도 하나 이상의 정보를 송수신하여 보안채널을 연결하는 것이 바람직하다.
여기서, 상기 고객단말(540)과 연결된 단말장치(545)는 IC카드(550) 리더기능을 포함하는 모든 단말장치(545)의 총칭으로서, 상기 IC카드(550) 리더기능 탑재가 가능한 모든 단말을 포함하여 이루어지는 것이 바람직하다.
또한, 상기 유선 통신망에 연결된 유선 단말은 TCP/IP(Transmission Control Protocol/Internet Protocol) 기반의 통신망에 연결된 모든 단말장치(545)의 총칭으로서, 상기 TCP/IP 기반 통신망에 연결된 데스크탑(Desktop) 컴퓨터 및/또는 노트북(Notebook), 또는 상기 TCP/IP 기반 통신망에 연결된 가전단말(예컨대, 셋탑박스(Set-Top-Box) 등), 또는 TCP/IP 기반 통신망에 연결된 키오스크(KIOSK) 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 무선 통신망에 연결된 무선 단말은 CDMA(Code Division Multiple Access) 기반의 이동통신망에 연결된 모든 단말장치(545), 및/또는 IEEE 802.16x 기반의 휴대 인터넷에 연결된 모든 단말장치(545), 및/또는 Motorola사의 DataTAC 방식 및/또는 Erricson사의 Mobitex 방식의 무선 데이터 통신망에 연결된 모든 단말장치(545)의 총칭으로서, 상기 CDMA 기반 이동통신망에 연결된 개인 통신 단말기(Personal Communication System; PCS) 및/또는 GSM(Global System for Mobile communications) 단말기 및/또는 개인 디지털 셀룰러 단말기(Personal Digital Cellular; PDC) 및/또는 PHS(Personal Handyphone System) 단말기 및/또는 개인 정보 단말기(Personal Digital Assistant; PDA) 및/또는 스마트폰(Smart Phone) 및/또는 텔레매틱스(Telematics), 또는 상기 IEEE 802.16x 기반 휴대 인터넷에 연결된 휴대 인터넷 단말, 또는 상기 DataTAC/ Mobitex 기반 무선 데이터 통신망에 연결된 무선 데이터 통신 단말 등을 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
또한, 상기 클라이언트 단말과 연결되는 뱅킹서버(500)는 상기 클라이언트 단말의 특성과 네트워크 수단에 따라 인터넷 뱅킹 서버 및/또는 무선 뱅킹 서버 및/또는 텔레 뱅킹 서버 및/또는 TV 뱅킹 서버 중 어느 하나 이거나, 및/또는 상기 정보등록을 위한 별도의 웹서버를 포함하여 이루어지는 것이 바람직하다.
또한, 상기 클라이언트 단말과 뱅킹서버(500)를 연결하는 상기 네트워크 수단은 상기 클라이언트 단말이 접속한 무선 통신망 종류에 따라 CDMA 기반의 이동통 신망 및/또는 IEEE 802.16x 기반의 휴대 인터넷 및/또는 DataTAC/Mobitex 기반의 무선 데이터 통신망 중 어느 하나 이거나, 및/또는 소정의 무선 구간을 포함하여 향 후 제안되는 모든 종류의 무선 통신망을 포함하여 이루어지는 것이 바람직하다.
또한, 상기 클라이언트 단말은 상기 뱅킹서버(500)에서 제공하는 적어도 하나 이상의 사용자 인터페이스를 출력하고, 상기 사용자 인터페이스를 통해 적어도 하나 이상의 정보를 입력 및/또는 선택하여 상기 뱅킹서버(500)로 전송하기 위한 기능 구성(예컨대, 브라우져 프로그램과 통신 기능, 또는 상기 뱅킹서버(500)와 통신하는 소정의 통신 프로그램과 통신 기능 등)이 구비되어 있는 것이 바람직하다.
본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 적어도 하나 이상의 유선 단말 및/또는 무선 단말에 대응하는 상기 클라이언트 단말의 특징을 용이하게 유추할 수 있을 것이므로, 이에 대한 상세한 설명은 편의상 생략한다.
본 발명에 따른 뱅킹 시스템 상에 구비되는 상기 저장매체(535)는 상기 카드발급 서버를 통해 발급된 IC카드(550)에 대한 고객정보, IC카드(550) 저장정보, 적어도 하나 이상의 인증서 정보를 포함하는 IC카드(550) 발급정보를 저장하는 것을 특징으로 한다.
상기 IC카드(550) 발급정보에 포함되는 상기 고객정보는 상기 카드발급 고객 의 개인정보(예컨대, 고객 성명, 주민등록번호, 주소, 무선단말정보(또는 휴대폰번호), 메일주소 등)와, 상기 고객이 상기 카드발급 서버에 가입한 회원정보(예컨대, 회원 ID 정보)를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
*상기 IC카드(550) 발급정보에 포함되는 인증서 정보는, 상기 IC카드(550)와 금융시스템과 종단간 보안채널 연결을 위해, 사용자 인증서 정보를 적어도 하나 이상 포함하여 이루어지는 것이 바람직하다.
여기서, 상기 사용자 인증서 정보는 상기 금융시스템과 종단간 보안채널 연결을 위해, 상기 금융시스템에서 생성되는 난수(Rs)를 암호화 하기 위한 공개키 정보를 포함하여 이루어지는 것이 바람직하다.
또한, 상기 사용자 인증서 정보를 포함하는 인증서 정보 관리를 위해 상기 인증서 정보에 대응하는 인증서 관리정보를 더 포함하여 이루어질 수도 있으며, 이에 의해 본 발명이 한정되지 아니한다.
본 발명의 일 실시 방법에 따르면, 상기 저장매체(535)는 상기 뱅킹 시스템 상에 구비되는(또는 상기 뱅킹 시스템과 연계되는) 금융시스템 상의 DBMS에 구비되는 것이 바람직하며, 이 때 상기 저장매체(535)는 상기 금융시스템 상의 DBMS에 구 비되는 원장D/B가거나, 및/또는 상기 원장D/B와 연계된 소정의 데이터베이스일 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
본 발명의 다른 일 실시 방법에 따르면, 상기 저장매체(535)는 상기 뱅킹 시스템 상에 구비되는(또는 연계되는) 인터넷 뱅킹 시스템, 및/또는 무선 뱅킹 시스템, 및/또는 TV 뱅킹 시스템 중 적어도 하나 이상의 뱅킹 시스템 상의 DBMS에 구비되는 것이 가능하며, 이에 의해 본 발명이 한정되지 아니한다.
본 발명에 따른 뱅킹 시스템 상에 구비되는 상기 뱅킹서버(500)는 상기 고객단말(540)과 단말장치(545)를 포함하는 통신망을 통해 상기 IC카드(550)와 연결되는 뱅킹 시스템 측 구성요소의 총칭으로서, 적어도 하나 이상의 서버(또는 장치)를 포함하여 구현되거나, 및/또는 소정의 서버(또는 장치)에 구비된 기록매체에 기록되는 적어도 하나 이상의 프로그램으로 구현될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
도면5를 참조하면, 상기 뱅킹서버(500)는 상기 IC카드(550)와 통신채널이 연결되면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 IC카드(550)로 전송할 난수(Rs)를 생성하는 난수 생성부(510)(또는 난수 생성수단)와, 상기 생성된 난수(Rs)를 상기 IC카드(550)에 구비된 사용자 인증서 정보에 대응하는 공개키를 통해 암호화한 E(Rs)를 생성하는 암호화 처리부(520)(또 는 암호화 처리수단)와, 상기 생성된 E(Rs)를 상기 통신망을 통해 IC카드(550)로 전송되도록 처리하는 정보 전송부(530)(또는 정보 전송수단)을 구비하여 이루어지는 것을 특징으로 한다.
상기 난수 생성부(510)는 상기 IC카드(550)와 통신채널이 연결되면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 IC카드(550)로 전송할 난수(Rs)를 생성하는 것을 특징으로 하며, 상기 생성된 난수(Rs)는 상기 암호화 처리부(520)로 제공된다.
여기서, 본 발명이 속한 기술분야에서 통상의 기술지식을 가진 자라면, 상기 난수를 생성하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.
상기 암호화 처리부(520)는 상기 난수 생성부(510)를 통해 생성된 난수(Rs)를 상기 IC카드(550)에 구비된 사용자 인증서 정보에 대응하는 공개키를 통해 암호화한 E(Rs)를 생성하는 것을 특징으로 하며, 상기 생성된 E(Rs)는 상기 정보 전송부(530)로 제공된다.
여기서, 본 발명이 속한 기술분야에서 통상의 기술지식을 가진 자라면, 상기 공개키를 이용하여 암호화 하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.
상기 정보 전송부(530)는 상기 생성된 E(Rs)를 상기 통신망을 통해 상기 IC카드(550)로 전송되도록 처리하는 것을 특징으로 한다.
본 발명의 실시 방법에 따르면, 상기 생성된 E(Rs)를 상기 IC카드(550)로 전송하는 방법은 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 전송하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 생성된 E(Rs)를 상기 IC카드(550)로 전송하는 방법은 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로 전송하는 것이 바람직하다.
도면5를 참조하면, 상기 뱅킹서버(500)는 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 IC카드(550)에서 생성한 카드 검증자(MAC’)를 수신하는 정보 수신부(505)(또는 정보 수신수단)와, 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 이용하여 세션키(K)를 생성하는 세션키 처리부(515)(또는 세션키 처리수단)와, 상기 생성된 세션키(K)로 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 암호화하여 서버 검증자(MAC)을 생성하는 암호화 처리부(520)(또는 암호화 처리수단)와, 상기 생성된 서버 검증자(MAC)를 상기 통신망을 통해 상기 IC카드(550)로 전송하는 정보 전송부(530)(또는 정보 전송수단)을 구비하여 이루어지는 것을 특징으로 한다.
또한, 상기 뱅킹 서버는 상기 암호화 처리부(520)에서 생성된 서버 검증자(MAC)와, 상기 IC카드(550)로부터 수신된 카드 검증자(MAC’)을 비교하여 서버에서 생성된 세션키를 검증하는 세션키 처리부(515)(또는 세션키 처리수단)을 더 구비하여 이루어지는 것을 특징으로 한다.
상기 정보 수신부(505)는 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 IC카드(550)에서 생성한 카드 검증자(MAC’)를 수신하는 것을 특징으로 하며, 상기 수신된 난수(Rc)와, 카드 검증자(MAC’)는 세션키 처리부(515)로 제공한다.
본 발명의 실시 방법에 따르면, 상기 IC카드(550)로부터 난수(Rc), 카드 검증자(MAC’)을 수신하는 방법은, 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 수신하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 IC카드(550)로부터 난수(Rc), 카드 검증자(MAC’)을 수신하는 방법은, 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로부터 직접 수신하는 것이 바람직하다.
상기 세션키 처리부(515)는 상기 IC카드(550)에서 생성한 난수(Rc)와, 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 이용하여 세션키(K)를 생성하는 것을 특징으로 한다.
*또한, 상기 세션키 처리부(515)는 상기 암호화 처리부(520)에서 생성된 서버 검증자(MAC)와, 상기 IC카드(550)로부터 수신된 카드 검증자(MAC’)을 비교하여 서버에서 생성된 세션키를 검증하는 기능을 더 구비하는 것을 특징으로 한다.
본 발명의 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영 역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.
상기 암호화 처리부(520)는 상기 생성된 세션키(K)로 상기 뱅킹서버(500)에서 생성한 난수(Rs)를 암호화하여 서버 검증자(MAC)을 생성하는 것을 특징으로 하며, 상기 생성된 서버 검증자(MAC)는 상기 정보 전송부(530)로 제공된다.
상기 정보 전송부(530)는 상기 생성된 서버 검증자(MAC)를 상기 통신망을 통해 상기 IC카드(550)로 전송되도록 처리하는 것을 특징으로 한다.
본 발명의 실시 방법에 따르면, 상기 생성된 서버 검증자(MAC)를 상기 IC카드(550)로 전송하는 방법은 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 전송하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 생성된 서버 검증자(MAC)를 상기 IC카드(550)로 전송하는 방법은 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로 전송하는 것이 바람직하다.
도면5를 참조하면, 상기 뱅킹서버(500)는 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 정보 수신부(505)(또는 정보 수신수단)와, 상기 수신된 암호화된 데이터(E(Data’))를 상기 생성된 세션키(K)를 통해 복호화하는 복호화 처리부(525)(또는 복호화 처리수단)와, 상기 통신망을 통해 상기 IC카드(550)로 전송할 데이터(Data)가 있는 경우, 상기 IC카드(550)로 전송할 데이터(Data)를 상기 세션키(K)로 암호화한 E(Data)를 생성하는 암호화 처리부(520)(또는 암호화 처리수단)와, 상기 생성된 E(Data)를 상기 통신망을 통해 상기 IC카드(550)로 전송하는 정보 전송부(530)(또는 정보 전송수단)을 구비하여 이루어지는 것을 특징으로 한다.
상기 정보 수신부(505)는 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 것을 특징으로 하며, 상기 수신된 암호화된 데이터(E(Data’))은 상기 복호화 처리부(525)로 제공된다.
본 발명의 실시 방법에 따르면, 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 방법은, 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 수신하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 IC카드(550)로부터 암호화된 데이터(E(Data’))을 수신하는 방법은, 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로부터 직접 수신하는 것이 바람직하다.
상기 복호화 처리부(525)는 상기 수신된 암호화된 데이터(E(Data’))를 상기 생성된 세션키(K)를 통해 복호화하는 것을 특징으로 하며, 상기 복호화된 데이터(Data’)은 상기 데이터에 대응하는 금융거래 서비스를 제공하는 것이 바람직하며, 상기 금융거래 서비스 제공을 위한 과정은 편의상 생략한다.
여기서, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기 IC카드(550)에서 세션키(K’)를 통해 암호화된 데이터(E(Data’))을 복호화하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.
상기 암호화 처리부(520)는 상기 통신망을 통해 상기 IC카드(550)로 전송할 데이터(Data)가 있는 경우, 상기 IC카드(550)로 전송할 데이터(Data)를 상기 세션키(K)로 암호화한 E(Data)를 생성하는 것을 특징으로 하며, 상기 생성된 암호화된 E(Data)는 상기 정보 전송부(530)로 제공된다.
여기서, 본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기 IC카드(550)로 전송할 데이터(Data)를 세션키(K)를 통해 암호화하는 방법 및 과정에 대한 기술적 특징을 기 숙지하고 있을 것이므로, 상세한 설명은 편의상 생략한다.
상기 정보 전송부(530)는 상기 생성된 E(Data)를 상기 통신망을 통해 상기 IC카드(550)로 전송하는 것을 특징으로 한다.
본 발명의 실시 방법에 따르면, 상기 생성된 E(Data)를 상기 IC카드(550)로 전송하는 방법은 상기 고객단말(540) 및 상기 고객단말(540)과 연결된 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 전송하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 생성된 E(Data)를 상기 IC카드(550)로 전송하는 방법은 상기 IC카드(550) 리더기능을 구비한 단말장치(545)를 통해 상기 IC카드(550)로 전송하는 것이 바람직하다.
도면6은 본 발명의 실시 방법에 따라 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템을 도시한 도면이다.
보다 상세하게 본 도면6은 금융거래 서비스를 이용하고자 하는 고객이 소정의 금융거래 인터페이스를 통해 뱅킹 시스템으로 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 고객이 소지한 IC카드(550)를 통해 상기 뱅킹 시스템 상의 서버에 접속하여 통신채널을 연결한 후, 보안채널을 생성하기 위한 뱅킹 시스템의 구성을 도시한 것으로서, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자라면, 본 도면6을 참조 및/또는 변형하여 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위한 뱅킹 시스템 구성에 대한 다양한 실시 방법을 유추할 수 있을 것이나, 본 발명은 상기 유추되는 모든 실시 방법을 포함하며, 본 도면6에 도시된 실시 방법만으로 한정되지 아니한다.
이하, 본 도면6에서는 상기 도면5에 도시된 IC카드(550)를 편의상 “카드”라 하고, 상기 도면5에 도시된 뱅킹서버(500)를 편의상 “서버”라 한다.
도면6을 참조하면, 상기 IC카드(550)와 통신채널이 연결되면, 상기 통신망 상의 서버와 IC카드(550) 사이의 종단간 보안채널 운용을 위해 상기 IC카드(550)로 전송할 난수(Rs)를 생성하고, 상기 생성한 난수(Rs)를 상기 IC카드(550)에 구비된 사용자 인증서 정보에 대응하는 공개키를 통해 암호화한 E(Rs)를 생성한 후(600), 상기 생성된 E(Rs)를 상기 카드로 전송한다(605).
이후, 상기 단말은 상기 수신된 E(Rs)를 사용자 개인키로 복호화하여 난수(Rs)를 추출하고(610), 상기 난수(Rs)와, 난수(Rc)를 이용하여 세션키(K’)을 생성한다(615).
*본 발명의 실시 방법에 따르면, 상기 세션키(K’)는, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 세션키(K’)은, 상기 금융시스템으로부터 수신한 암호화된 E(Rs)를 복호화하여 획득한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 비밀키로 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.
이후, 상기 카드는 상기 생성된 세션키(K’)을 통해 상기 난수(Rs)를 암호화한 카드 검증자(MAC’)을 생성한 후(620), 상기 생성된 카드 검증자(MAC’)과, 상기 난수(Rc)를 상기 서버로 전송한다(625).
본 발명의 실시 방법에 따르면, 상기 카드 검증자(MAC’)는, 상기 생성한 세션키(K’)을 통해 상기 금융시스템으로부터 수신한 난수(Rs)를 암호화한 것이 바람직하다.
상기 서버는 상기 난수(Rc)와 난수(Rs)를 이용하여 세션키(K)를 생성한다(630).
본 발명의 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rc_L XOR Rs_H)과, 하위 SEED값(Rc_H XOR Rs_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명의 다른 실시 방법에 따르면, 상기 세션키(K)는, 상기 뱅킹서버(500)에서 생성한 난수(Rs)와, 상기 IC카드(550)에서 생성한 난수(Rc)를 상위와 하위 영역으로 분류하고, 상기 난수(Rs)의 상위영역(Rs_H)과, 하위영역(Rs_L)을 상기 IC카드(550)에서 생성한 난수(Rc)의 상위영역(Rc_H)과, 하위영역(Rc_L)을 XOR(Exclusive OR) 연산하여 상위 SEED값(Rs_L XOR Rc_H)과, 하위 SEED값(Rs_H XOR Rc_L)을 생성하고, 상기 생성된 SEED값을 암호화하여 세션키를 생성하는 것이 바람직하다.
본 발명이 속하는 기술분야에서 통상의 기술지식을 가진 자라면, 상기의 세션키를 생성하는 방법 이외에, IC카드에서 생성한 난수(Rc)와, 상기 금융시스템에서 생성한 난수(Rs)를 이용한 다양한 세션키 생성 방법을 쉽게 유추할 수 있을 것이며, 이에 의해 본 발명이 한정되지 아니한다.
이후, 상기 서버는 상기 생성된 세션키(K)로 상기 난수(Rs)를 암호화한 서버 검증자(MAC)을 생성하고(635), 상기 생성된 서버 검증자(MAC)과, 상기 수신된 카드 검증자(MAC’)을 비교 검증하고(640), 상기 생성된 세션키(K)로 상기 난수(Rc)를 암호화한 서버 검증자(MAC)을 생성하고(645), 상기 생성된 서버 검증자(MAC)을 상기 카드로 전송한다(650).
여기서, 비교 검증결과, 서로 다른 경우 상기 보안채널을 해제하거나, 또는 금융거래 채널을 재설정할 수도 있다.
이후, 상기 카드는 상기 서버 검증자(MAC)와, 카드 검증자(MAC’)을 비교 검증한다(655).
본 발명에 따르면, 해킹의 위험에 노출되어있는 공인인증서를 IC카드에 탑재함으로써, 공인인증서를 해킹할 수 있는 위험을 방지할 수 있는 장점이 있다.
본 발명에 다르면, 통신망을 통해 기존의 서버와 단말간 통신채널을 연결하는 방법 이외에 종단간(즉, 서버와 IC카드간) 통신채널에 대한 보안을 제공함으로써, 보다 강력한 보안 기능을 제공할 수 있는 장점이 있다.

Claims (4)

  1. IC카드 리더를 구비한 단말을 IC카드와 서버 사이의 종단간 통신경로로 사용하는 IC카드와 서버 사이의 종단간 보안채널을 연결하는 시스템에 있어서,
    상기 종단간 통신경로를 통해 상기 IC카드로 전송하기 위한 난수(Rs)를 생성하고, 상기 생성된 난수(Rs)를 사용자 공개키를 통해 암호화하여 상기 종단간 통신경로를 통해 상기 IC카드로 전송하는 서버;
    상기 종단간 통신경로를 통해 상기 서버에서 생성한 난수(Rs)를 암호화한 E(Rs)를 수신하고, 사용자 개인키를 통해 상기 E(Rs)를 복호화하고, 상기 종단간 통신경로를 통해 상기 서버로 전송할 난수(Rc)를 생성하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K’)를 생성하고, 상기 생성된 세션키(K')로 상기 난수(Rs)를 암호화하여 카드 검증자(MAC’)를 생성하고, 상기 종단간 통신경로를 통해 상기 난수(Rc)와 카드 검증자(MAC')를 상기 서버로 전송하는 IC카드;를 구비하여 이루어지는 것을 특징으로 하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템.
  2. 제 1항에 있어서,
    상기 IC카드 리더를 구비한 단말과 연결되고, 상기 IC카드와 서버 간 통신경로를 제공하고, 상기 서버로 전송할 데이터를 상기 단말로 전달하여 상기 IC카드와 서버 사이의 종단간 보안채널을 통해 상기 서버로 전송되도록 처리하는 고객단말을 더 포함하여 이루어지는 것을 특징으로 하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템.
  3. 제 1항에 있어서, 상기 서버는,
    상기 IC카드에 생성한 난수(Rc)와 카드 검증자(MAC')- IC카드에서 생성된 세션키를 검증하기 위한 카드 검증자-를 상기 종단간 통신경로를 통해 수신하고, 상기 난수(Rs)와 난수(Rc)를 통해 세션키(K)를 생성하고, 상기 생성된 세션키(K')로 상기 난수(Rs)를 암호화하여 카드 검증자(MAC)를 생성하고, 상기 카드 검증자(MAC')와 카드 검증자(MAC)-IC카드에서 생성한 카드 검증자와 상호 매칭여부를 확인하여 세션키의 유효성을 확인하기 위한 카드 검증자-을 비교하여 상기 세션키(K')를 인증하고, 상기 세션키(K') 인증시, 상기 세션키(K)로 상기 난수(Rc)를 암호화하여 서버 검증자(MAC)를 생성하고, 상기 종단간 통신경로를 통해 상기 IC카드로 상기 서버 검증자(MAC)를 전송하는 것을 특징으로 하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템.
  4. 제 1항에 있어서, 상기 IC카드는,
    상기 서버 검증자(MAC)를 상기 종단간 통신경로를 통해 수신하고, 상기 세션 키(K’)를 통해 상기 난수(Rc)를 암호화하여 서버 검증자(MAC’)를 생성하고, 상기 서버 검증자(MAC')와 서버 검증자(MAC)을 비교하여 상기 세션키(K)를 인증하고, 상기 세션키(K) 인증시, 상기 서버와 종단간 보안채널을 연결된 것으로 처리하는 것을 특징으로 하는 통신망 상의 서버와 IC카드 사이의 종단간 보안채널 운용 시스템.
KR1020080078190A 2008-08-08 2008-08-08 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템 KR101513430B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080078190A KR101513430B1 (ko) 2008-08-08 2008-08-08 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080078190A KR101513430B1 (ko) 2008-08-08 2008-08-08 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020080000186A Division KR100946114B1 (ko) 2008-01-02 2008-01-02 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 방법

Publications (2)

Publication Number Publication Date
KR20090074680A true KR20090074680A (ko) 2009-07-07
KR101513430B1 KR101513430B1 (ko) 2015-04-22

Family

ID=41331941

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080078190A KR101513430B1 (ko) 2008-08-08 2008-08-08 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템

Country Status (1)

Country Link
KR (1) KR101513430B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101384702B1 (ko) * 2012-06-07 2014-04-14 주식회사 텔큐온 스마트 카드를 이용한 금융 서비스 제공 방법
KR101440421B1 (ko) * 2012-06-07 2014-09-15 농협은행(주) 금융 거래시 데이터 암복호화를 위한 세션키 생성 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101384702B1 (ko) * 2012-06-07 2014-04-14 주식회사 텔큐온 스마트 카드를 이용한 금융 서비스 제공 방법
KR101440421B1 (ko) * 2012-06-07 2014-09-15 농협은행(주) 금융 거래시 데이터 암복호화를 위한 세션키 생성 방법

Also Published As

Publication number Publication date
KR101513430B1 (ko) 2015-04-22

Similar Documents

Publication Publication Date Title
US8447982B2 (en) System and method for operating end-to-end security channel between server and IC card
KR101125088B1 (ko) 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체
KR100946112B1 (ko) 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 방법
KR101281734B1 (ko) 통합 금융 서비스를 위한 아이씨 카드 단말 및 기록매체
KR101513430B1 (ko) 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템
KR20110029032A (ko) 공인 인증서 발급처리 방법 및 시스템과 이를 위한 단말 및 기록매체
KR200458538Y1 (ko) 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 시스템
KR101171235B1 (ko) 인증서 운영 방법
KR100946114B1 (ko) 통신망 상의 서버와 아이씨카드 사이의 종단간 보안채널 운용 방법
KR100924941B1 (ko) 통신망 상의 서버와 아이씨 카드간 종단간 보안 통신채널 운용 시스템
KR101128583B1 (ko) 인증서 처리용 아이씨카드
KR20090074675A (ko) 통신망 상의 서버와 종단간 보안채널을 연결하는 아이씨카드
KR100928412B1 (ko) 가상 가맹점 망을 이용한 결제처리 시스템
KR100902777B1 (ko) 통합 금융 아이씨 카드를 이용한 통합 금융 서비스 제공방법 및 시스템과 이를 위한 기록매체
KR101041121B1 (ko) 브이오아이피 단말을 통한 거래조회 방법 및 시스템과 이를위한 브이오아이피 단말 및 기록매체
KR101083210B1 (ko) 불법사용 방지 기능을 제공하는 공인 인증서 운용방법 및 시스템과 이를 위한 기록매체
KR100963920B1 (ko) 학생증 보안 출력 방법 및 이를 위한 기록매체
KR20110029038A (ko) 공인 인증서 유효기간 운용방법 및 시스템과 이를 위한 기록매체
KR100924758B1 (ko) 다목적 금융 아이씨 카드 발급 방법
KR20090073063A (ko) 제휴 아이씨 카드를 이용한 비대면 금융거래 시스템
KR20090002006A (ko) 제휴 아이씨 카드를 이용한 비대면 금융거래 방법 및시스템과 이를 위한 기록매체
KR101065424B1 (ko) 브이오아이피 단말을 이용한 지불결제 제공 방법 및 시스템
KR101041120B1 (ko) 브이오아이피 단말을 통한 조회납부 방법 및 시스템과 이를위한 브이오아이피 단말 및 기록매체
KR20090004788A (ko) 다목적 금융 아이씨 카드 발급 시스템
KR20090075785A (ko) 아이씨 카드를 이용한 지불결제용 단말장치

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
FPAY Annual fee payment

Payment date: 20180913

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190403

Year of fee payment: 5