KR20180029932A - 암호화 보안 메시지 제공 방법 및 장치 - Google Patents

암호화 보안 메시지 제공 방법 및 장치 Download PDF

Info

Publication number
KR20180029932A
KR20180029932A KR1020170117281A KR20170117281A KR20180029932A KR 20180029932 A KR20180029932 A KR 20180029932A KR 1020170117281 A KR1020170117281 A KR 1020170117281A KR 20170117281 A KR20170117281 A KR 20170117281A KR 20180029932 A KR20180029932 A KR 20180029932A
Authority
KR
South Korea
Prior art keywords
user terminal
password
message
decryption key
validation data
Prior art date
Application number
KR1020170117281A
Other languages
English (en)
Inventor
김상민
김준구
Original Assignee
헬로에이아이(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 헬로에이아이(주) filed Critical 헬로에이아이(주)
Publication of KR20180029932A publication Critical patent/KR20180029932A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/325Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices using wireless networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L67/26
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

사용자 단말에게 보안 메시지를 제공하는 보안 메시지 제공 장치에 있어서, 암호화 키 및 복호화 키를 생성하고, 암호화 키를 기초로 로우(raw) 메시지를 암호화하여 보안 메시지를 생성하는 단계, 보안 메시지를 사용자 단말로 송신하는 단계, 사용자 단말로부터 비밀번호를 수신하여 확인하는 단계, 비밀번호가 확인된 경우, 사용자 단말로부터 복호화 키의 요청을 수신하는 단계, 및 사용자 단말로 복호화 키를 송신하는 단계를 포함하는 보안 메시지 제공 방법이 개시된다. 본 발명은 암호화 및 비밀번호를 함께 이용하는 하이브리드 방식을 통해 높은 보안성을 제공한다.

Description

암호화 보안 메시지 제공 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING ENCRYPTION SECURITY MESSAGE}
본 발명은 암호화 보안 메시지를 제공하는 방법 및 장치에 관한 것으로, 더욱 상세하게는 모바일 스마트 기기에 암호화 및 비밀번호를 이용하여 보안 메시지를 제공하는 방법 및 장치에 관한 것이다.
최근 인터넷 발달 및 모바일 기기의 보급화로 인해 모바일 시장이 확대되고 있다. 이러한 모바일 시장의 확대로 인해 모바일의 장점인 접근성 및 편리성을 활용하는 스마트 뱅킹 서비스가 대두되고 있으며, 이와 관련하여 기본적인 입출금 서비스 외에 새로운 금융 서비스 또한 점점 증가하고 있다.
이러한 금융 서비스는 스마트 폰 등의 모바일에서 이루어지므로, 대부분 모바일 메시지를 기반으로 수행되고 있다. 다만, 모바일 메시지는 보안에 취약한 특징이 있으므로, 금융 거래시에 나타나는 개인 정보 및 중요한 금융 거래 정보 등이 유출될 수 있는 문제점이 있다. 이에 따라, 개인 정보 및 중요한 금융 거래 정보를 보호할 수 있는 보안이 강화된 모바일 메시지 서비스가 요구되고 있는 실정이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 암호화 및 비밀번호를 이용하여 보안 메시지를 제공하는 방법을 제공하는 데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 암호화 및 비밀번호를 이용하여 보안 메시지를 확인하는 방법을 제공하는 데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은 암호화 및 비밀번호를 이용하여 보안 메시지를 제공하는 장치를 제공하는 데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은 암호화 및 비밀번호를 이용하여 보안 메시지를 확인하는 사용자 단말을 제공하는 데 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 사용자 단말에게 보안 메시지를 제공하는 보안 메시지 제공 장치의 보안 메시지 제공 방법은, 암호화 키 및 복호화 키를 생성하고, 암호화 키를 기초로 로우(raw) 메시지를 암호화하여 보안 메시지를 생성하는 단계, 보안 메시지를 사용자 단말로 송신하는 단계, 사용자 단말로부터 비밀번호를 수신하여 확인하는 단계, 비밀번호가 확인된 경우, 사용자 단말로부터 복호화 키의 요청을 수신하는 단계, 및 사용자 단말로 복호화 키를 송신하는 단계를 포함할 수 있다.
여기서, 사용자 단말로부터 사용자 단말의 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 수신하여 저장하는 단계를 더 포함할 수 있다.
여기서, 보안 메시지를 사용자 단말로 송신하는 단계는, 제1 유효성 검증 데이터를 생성하는 단계, 로우 메시지에 대한 정보 및 제1 유효성 검증 데이터를 사용자 단말로 송신하는 단계, 사용자 단말로부터 제1 유효성 검증 데이터에 해시 함수를 적용한 값 및 보안 메시지의 요청 신호를 수신하는 단계, 제1 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 사용자 단말의 유효성을 검증하는 단계, 및 검증이 완료된 경우, 제2 유효성 검증 데이터를 생성하고, 사용자 단말로 제2 유효성 검증 데이터 및 보안 메시지를 송신하는 단계를 포함할 수 있다.
여기서, 사용자 단말로부터 비밀번호를 수신하여 확인하는 단계는, 사용자 단말로부터 제2 유효성 검증 데이터에 해시 함수를 적용한 값 및 비밀번호를 수신하는 단계, 및 제2 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 사용자 단말의 유효성을 검증하는 단계, 및 검증이 완료된 경우, 저장한 사용자 단말의 비밀번호를 기초로 수신한 비밀번호를 확인하는 단계를 포함할 수 있다.
여기서, 비밀번호가 확인된 경우, 사용자 단말로부터 복호화 키의 요청을 수신하는 단계는, 제3 유효성 검증 데이터를 생성하는 단계, 제3 유효성 검증 데이터 및 수신한 비밀번호의 확인 결과를 사용자 단말로 송신하는 단계, 및 사용자 단말로부터 제3 유효성 검증 데이터에 해시 함수를 적용한 값 및 복호화 키의 요청 신호를 수신하는 단계를 포함할 수 있다.
여기서, 사용자 단말로 복호화 키를 송신하는 단계는, 제3 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 사용자 단말의 유효성을 검증하는 단계, 및 검증이 완료된 경우, 사용자 단말로 복호화 키를 송신하는 단계를 포함할 수 있다.
여기서, 복호화 키는, 복호화 키가 위치한 일회성 URL(uniform resource locator) 주소일 수 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 보안 메시지 제공 장치로부터 수신한 보안 메시지를 확인하는 사용자 단말의 보안 메시지 확인 방법은, 보안 메시지 제공 장치로부터 보안 메시지를 수신하는 단계, 보안 메시지 제공 장치로 비밀번호를 송신하는 단계, 비밀번호가 확인된 경우, 보안 메시지 제공 장치로 복호화 키를 요청하는 단계, 및 복호화 키를 수신하여 보안 메시지를 복호화하는 단계를 포함할 수 있다.
여기서, 보안 메시지 제공 장치로 사용자 단말의 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 송신하여 등록하는 단계를 더 포함할 수 있다.
여기서, 보안 메시지 제공 장치로부터 보안 메시지를 수신하는 단계는, 보안 메시지 제공 장치로부터 로우(raw) 메시지에 대한 정보 및 제1 유효성 검증 데이터를 수신하는 단계, 제1 유효성 검증 데이터에 해시 함수를 적용하는 단계, 보안 메시지 제공 장치로 제1 유효성 검증 데이터에 해시 함수를 적용한 값 및 보안 메시지의 요청 신호를 송신하는 단계, 및 송신한 제1 유효성 검증 데이터에 해시 함수를 적용한 값이 검증된 경우, 보안 메시지 제공 장치로부터 제2 유효성 검증 데이터 및 보안 메시지를 수신하는 단계를 포함할 수 있다.
여기서, 보안 메시지 제공 장치로 비밀번호를 송신하는 단계는, 제2 유효성 검증 데이터에 해시 함수를 적용하는 단계, 사용자로부터 비밀번호를 수신하는 단계, 및 보안 메시지 제공 장치로 제2 유효성 검증 데이터에 해시 함수를 적용한 값 및 비밀번호를 송신하는 단계를 포함할 수 있다.
여기서, 비밀번호가 확인된 경우, 보안 메시지 제공 장치로 복호화 키를 요청하는 단계는, 송신한 제2 유효성 검증 데이터에 해시 함수를 적용한 값이 검증된 경우, 보안 메시지 제공 장치로부터 제3 유효성 검증 데이터 및 비밀번호의 확인 결과를 수신하는 단계, 제3 유효성 검증 데이터에 해시 함수를 적용하는 단계, 및 보안 메시지 제공 장치로 제3 유효성 검증 데이터에 해시 함수를 적용한 값 및 복호화 키의 요청 신호를 송신하는 단계를 포함할 수 있다.
여기서, 복호화 키는, 복호화 키가 위치한 일회성 URL(uniform resource locator) 주소일 수 있다.
상기 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 보안 메시지 제공 장치는, 암호화 키 및 복호화 키를 생성하고 저장하는 키 관리부, 암호화 키를 기초로 로우(raw) 메시지를 암호화하여 보안 메시지를 생성하는 암호화부, 로우 메시지에 대한 정보를 사용자 단말로 송신하는 통지부, 유효성 검증 데이터를 생성하여 사용자 단말로 송신하고, 사용자 단말로부터 유효성 검증 데이터에 해시 함수를 적용한 값을 검증하는 검증부, 및 사용자 단말로부터 비밀번호를 수신하여 확인하고, 사용자 단말로 보안 메시지 및 복호화 키를 송신하는 제어부를 포함할 수 있다.
여기서, 제어부는, 사용자 단말로부터 사용자 단말의 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 수신하여 저장할 수 있다.
여기서, 제어부는, 검증부가 사용자 단말로부터 수신한 유효성 검증 데이터에 해시 함수를 적용한 값을 검증한 후, 저장한 비밀번호를 기초로 사용자 단말로부터 수신한 비밀번호를 확인할 수 있다.
여기서, 제어부는, 검증부가 사용자 단말로부터 수신한 유효성 검증 데이터에 해시 함수를 적용한 값을 검증한 후, 사용자 단말로 보안 메시지 또는 복호화 키를 송신할 수 있다.
여기서, 복호화 키는, 복호화 키가 위치한 일회성 URL(uniform resource locator) 주소일 수 있다.
상기 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 사용자 단말은, 복호화 키를 기초로 보안 메시지를 복호화하는 복호화부, 보안 메시지 제공 장치로부터 유효성 검증 데이터를 수신하여, 유효성 검증 데이터에 해시 함수를 적용하고, 유효성 검증 데이터에 해시 함수를 적용한 값을 보안 메시지 제공 장치로 송신하는 연산부, 사용자로부터 사용자 단말을 검증하는 비밀번호를 수신하는 수신부, 및 보안 메시지 제공 장치로 비밀번호를 송신하고, 보안 메시지 제공 장치로부터 보안 메시지 및 복호화 키를 수신하는 제어부를 포함할 수 있다.
여기서, 제어부는, 보안 메시지 제공 장치로 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 송신하여 등록할 수 있다.
본 발명에 따르면, 암호화 및 비밀번호를 함께 이용하는 하이브리드 방식을 통해 메시지 보안을 강화하여, 해킹 또는 모바일 기기 분실 시에도 메시지를 안전하게 보호할 수 있다.
본 발명에 따르면, 메시지에서 개인 정보 및 중요 금융 거래 정보를 선택적으로 암호처리하여 메시지의 가독성 및 보안성을 함께 제공할 수 있다.
본 발명에 따르면, 기존 금융기관의 메시지 서비스와 호환이 가능하여 범용적으로 적용할 수 있다.
도 1은 본 발명의 일 실시예에 따른 보안 메시지 제공 방법의 개념도이다.
도 2는 본 발명의 일 실시예에 따른 보안 메시지 제공 장치의 블록 구성도이다.
도 3은 본 발명의 일 실시예에 따른 사용자 단말의 블록 구성도이다.
도 4는 본 발명의 일 실시예에 따른 보안 메시지 제공 방법의 5단계를 설명하는 순서도이다.
도 5는 본 발명의 일 실시예에 따른 보안 메시지 제공 방법을 설명하는 플로우 차트이다.
도 6은 본 발명의 일 실시예에 따른 보안 메시지 제공 장치에 사용자 단말을 등록하는 방법을 설명하는 플로우 차트이다.
도 7은 본 발명의 일 실시예에 따른 보안 메시지 제공 방법의 동작을 순서대로 설명한 도면이다.
도 8은 본 발명의 일 실시예에 따른 사용자 단말에서 애플리케이션의 가입 화면을 나타낸 도면이다.
도 9는 본 발명의 일 실시예에 따른 사용자 단말에서 애플리케이션을 통해 송금 정보를 확인하는 화면을 나타낸 도면이다.
도 10은 본 발명의 일 실시예에 따른 사용자 단말의 보안 메시지를 확인하는 화면을 나타낸 도면이다.
도 11은 본 발명의 일 실시예에 따른 세션 제어 방식을 설명하는 플로우 차트이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
본 발명의 일 실시예에 따른 보안 메시지 제공 방법은 기존 금융사의 인터넷 뱅킹 또는 모바일(앱) 뱅킹 서비스와 연동할 수 있으며, 송금 및 입금 등의 거래 당사자에게 실시간으로 전달하는 금융 거래 확인 내용 중 개인 정보 및/또는 중요 금용 거래 정보를 선택적으로 암호 처리할 수 있고, 데이터 푸쉬(data push)를 통해 거래 당사자에게 실시간으로 보안메시지를 제공할 수 있다. 보안 메시지를 받은 거래 당사자는 미리 등록하였던 비밀번호를 이용하여 암호를 해제할 수 있으며, 메시지에서 연막 처리와 같이 블록된 내용을 확인할 수 있다. 또한, 본 발명의 일 실시예에 따른 보안 메시지 제공 방법은 당사자의 메시지 열람 확인을 금융사 인터넷 뱅킹 또는 모바일 뱅킹 시스템으로 전달할 수 있다.
본 발명의 일 실시예에 따른 보안 메시지 제공 방법의 특징은 금융사의 인터넷 뱅킹 또는 모바일 뱅킹 시스템과 연동이 가능하므로, 사용자가 별도 애플리케이션의 설치 요구하지 않을 수 있으며, 기존 금용사의 애플리케이션을 통해 보안 메시지를 수신할 수 있다. 또한, 본 발명의 일 실시예에 따른 보안 메시지 제공 방법은 보안 처리된 모바일 데이터 푸쉬(data push) 서비스를 제공할 수 있으며, 두 단계로 이루어지는 하이브리드 방식의 보안이 이용될 수 있다. 여기서, 제1 단계는 비밀번호 또는 생체 인증 등과 같은 미리 설정한 인증 보안키를 요구할 수 있고, 제2 단계는 보안 메시지가 암호화되어 있으므로, 복호화 키를 획득을 통해 보안 메시지의 복호화 처리를 요구할 수 있다. 본 발명의 일 실시예에 따른 보안 메시지 제공 방법은 스마트 기기 내에 암호화 키 또는 복호화 키를 저장하지 않으므로 안전하게 보안 키를 관리할 수 있고, 이에 따라 보안성을 향상시킬 수 있다.
본 발명의 일 실시예에서 데이터 푸쉬는 사용자 단말로 보안 메시지에 대한 정보를 통지하는 것을 의미할 수 있다. 다시 말해, 데이터 푸쉬는 사용자가 애플리케이션을 실행하는 것과 같은 데이터를 획득하기 위한 일련의 동작이 요구되지 않으며, 본 발명의 보안 메시지 제공 장치가 일방적으로 사용자 단말로 데이터를 송신하는 것을 의미할 수 있다. 사용자 단말은 데이터 푸쉬로 데이터를 수신한 경우 알림과 같은 방법을 통해 인지할 수 있다. 다만, 데이터 푸쉬 방법 및 푸쉬된 데이터 확인 방법은 이에 한정하지 않으며, 통상의 데이터 푸쉬 방법이 이용될 수 있다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다. 이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 보안 메시지 제공 방법의 개념도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 보안 메시지 제공 방법은 보안 메시지 연동 장치(100), 보안 메시지 제공 장치(200) 및 사용자 단말(300) 간의 정보 전달에 의해 수행될 수 있다. 여기서, 각 구성은 명칭에 한정되지 않으며, 기능에 의해 정의될 수 있다. 또한, 복수의 기능을 하나의 구성이 수행할 수 있으며, 하나의 기능을 복수의 구성이 수행할 수 있다.
보안 메시지 연동 장치(100)는 보안 메시지 연동 모듈(Interlocking Module, IM) 또는 금융 기관 서버를 의미할 수 있다. 보안 메시지 연동 장치(100)는 사용자에게 전달할 메시지가 존재하는 경우, 후술하는 보안 메시지 제공 장치(200)와 메시지를 연동하여, 보안 메시지 전달을 요청할 수 있다. 여기서, 보안 메시지 전달 요청에는 암호화하기 위한 메시지를 제공하는 역할을 담당하는 IM-MGR 인터페이스가 이용될 수 있다. 다만, 이용되는 인터페이스는 이에 한정되지 않는다.
보안 메시지 연동 장치(100)는 보안 메시지 제공 장치(200)와의 전송 구간 암호화를 위해 TLS(transport layer security) 보안 처리를 수행할 수 있으며, 예를 들어, TLS v1.2가 이용될 수 있다.
보안 메시지 제공 장치(200)는 보안 메시지 매니저(Manager, MGR) 또는 메시지 서버를 의미할 수 있다. 보안 메시지 제공 장치(200)는 사용자 단말(300)로부터 UUID(universally unique identifier) 및 비밀번호를 수신하여 사용자 단말 정보를 저장할 수 있다. 또한, 보안 메시지 제공 장치(200)는 메시지를 암호화 및 복호화하기 위한 암호화 키 및 복호화 키를 생성할 수 있으며, 메시지를 암호화할 수 있고, 사용자 단말(300)로 메시지에 대한 정보를 푸쉬할 수 있다. 이후, 보안 메시지 제공 장치(200)는 사용자 단말(300)로부터 보안 메시지 요청 신호를 수신한 경우, 후술하는 검증을 수행한 후, 사용자 단말(300)로 보안 메시지를 송신할 수 있으며, 사용자 단말(300)로부터 비밀번호를 수신한 경우, 후술하는 검증을 수행한 후, 저장되어 있는 비밀번호와 수신한 비밀번호의 일치 여부를 확인할 수 있다. 또한, 보안 메시지 제공 장치(200)는 사용자 단말(300)로부터 복호화 키 요청 신호를 수신한 경우, 후술하는 검증을 수행한 후, 사용자 단말(300)로 저장하고 있는 복호화 키를 송신할 수 있다. 보다 상세한 설명은 후술하겠다.
여기서, 메시지에 대한 정보의 푸쉬에는 푸쉬 기능을 제공하는 SM-PUSH 인터페이스가 이용될 수 있으며, 보안 메시지 제공 장치(200)와 사용자 단말(300) 간의 데이터 전송을 담당하기 위해 SM-DATA 인터페이스가 이용될 수 있다. 다만, 이용되는 인터페이스는 이에 한정되지 않는다.
보안 메시지 제공 장치(200)는 보안 메시지 연동 장치(100)와의 전송 구간 암호화 및 사용자 단말(300)과의 전송 구간 암호화를 위해 TLS 보안 처리를 수행할 수 있으며, 예를 들어, TLS v1.2가 이용될 수 있다. 또한, 사용자 단말(300)과의 보안 접속을 위한 세션 관리 기능을 위해 전송 계층 보안을 수행할 수 있다.
사용자 단말(300)은 보안 메시지 에이전트(agent, AGT), 스마트 기기에서 동작하는 애플리케이션 또는 애플리케이션을 동작할 수 있는 스마트 기기 자체를 의미할 수 있다. 사용자 단말(300)은 보안 메시지 제공 장치(200)로 UUID 및 비밀번호를 송신하여 사용자 단말(300)을 등록할 수 있다. 여기서, 비밀번호는 사용자에 의해 미리 정해진 비밀번호를 의미할 수 있다. 사용자 단말(300)은 보안 메시지 제공 장치(200)로부터 메시지에 대한 정보의 푸쉬를 수신한 경우, 후술하는 검증을 위한 연산을 수행한 후, 연산 값 및 보안 메시지 요청을 보안 메시지 제공 장치(200)로 송신할 수 있으며, 보안 메시지 제공 장치(200)로부터 보안 메시지를 수신한 경우, 후술하는 검증을 위한 연산을 수행한 후, 연산 값 및 비밀번호를 보안 메시지 제공 장치(200)로 송신할 수 있다. 또한, 사용자 단말(300)은 보안 메시지 제공 장치(200)로부터 비밀번호가 확인되었다는 결과를 수신한 경우, 후술하는 검증을 위한 연산을 수행한 후, 복호화 키 요청을 보안 메시지 제공 장치(200)로 송신할 수 있으며, 이후, 보안 메시지 제공 장치(200)로부터 복호화 키를 수신하여 보안 메시지를 복호화할 수 있다.
여기서, 비밀번호의 송신 및 비밀번호 확인 결과의 수신에는 인증 처리를 담당하는 SM-MGR 인터페이스가 이용될 수 있으며, 사용자 단말(300)과 보안 메시지 제공 장치(200) 간의 데이터 전송을 담당하기 위해 SM-DATA 인터페이스가 이용될 수 있다. 다만, 이용되는 인터페이스는 이에 한정되지 않는다.
사용자 단말(300)은 보안 메시지 제공 장치(200)와의 전송 구간 암호화를 위해 TLS 보안 처리를 수행할 수 있으며, 예를 들어, TLS v1.2가 이용될 수 있다. 또한, 보안 메시지 제공 장치(200)와의 보안 접속을 위한 세션 관리 기능을 위해 전송 계층 보안을 수행할 수 있다.
도 2는 본 발명의 일 실시예에 따른 보안 메시지 제공 장치의 블록 구성도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 보안 메시지 제공 장치(200)는 키 관리부(210), 암호화부(220), 통지부(230), 검증부(240) 및 제어부(250)를 포함할 수 있다. 여기서, 보안 메시지 제공 장치(200)의 구성은 명칭에 한정되지 않으며, 기능에 의해 정의될 수 있다. 또한, 복수의 기능을 하나의 구성이 수행할 수 있으며, 하나의 기능을 복수의 구성이 수행할 수 있다.
키 관리부(210)는 메시지를 암호화 및 복호화하기 위한 암호화 키 및 복호화 키를 생성할 수 있다. 구체적으로는, RSA-2048을 이용하여 개인 키 및 공용 키의 키 쌍을 생성할 수 있다. 여기서, RSA는 비대칭 암호화 알고리즘의 하나를 의미할 수 있으며, 2048는 2048 비트를 이용하는 것을 의미할 수 있다. 또한, 여기서 개인 키는 메시지를 암호화하는 암호화 키를 의미할 수 있으며, 공용 키는 암호화된 메시지를 복호화하는 복호화 키를 의미할 수 있다.
암호화부(220)는 보안 메시지 연동 장치(100)로부터 획득한 메시지에 키 관리부(210)가 생성한 개인 키(암호화 키)를 통해 암호화하여 보안 메시지를 생성할 수 있다.
통지부(230)는 메시지에 대한 정보를 사용자 단말(300)로 통지(푸쉬)할 수 있다. 여기서, 메시지에 대한 정보는 메시지의 일부 정보를 포함할 수 있을 수 있으며, 보안 메시지와 마찬가지로 중요 거래 정보 및 개인 정보는 연막과 같이 블록되거나 생략되어 있어 확인할 수 없는 상태일 수 있다.
검증부(240)는 사용자 단말(300)의 유효성을 검증하기 위해 유효성 검증 데이터를 생성할 수 있으며, 통지부(230)가 사용자 단말(300)로 메시지에 대한 정보를 푸쉬하는 경우 함께 유효성 검증 데이터를 송신할 수 있고, 후술하는 제어부(250)가 보안 메시지 또는 비밀번호 일치 여부를 송신하는 경우에도 함께 유효성 검증 데이터를 송신할 수 있다. 또한, 검증부(240)는 후술하는 제어부(250)가 사용자 단말(300)로부터 보안 메시지 요청, 비밀번호 또는 복호화 키 요청과 같은 신호를 수신하는 경우, 함께 수신하는 유효성 검증 데이터에 해시 함수를 적용한 값을 이용하여 사용자 단말(300)의 유효성을 검증할 수 있다. 여기서, 유효성 검증 데이터에 해시 함수를 적용한 값은 사용자 단말(300)에서 유효성 검증 데이터를 기초로 처리되는 값이며, 상세하게는 도 3과 함께 후술하겠다.
제어부(250)는 사용자 단말(300)로부터 보안 메시지 요청을 수신하는 경우, 검증부(240)에 의해 사용자 단말(300)의 유효성이 검증된 후, 암호화부(220)가 생성한 보안 메시지를 사용자 단말(300)로 송신할 수 있다. 또한, 제어부(250)는 사용자 단말(300)로부터 비밀번호를 수신하는 경우, 검증부(240)에 의해 사용자 단말(300)의 유효성이 검증된 후, 미리 등록 또는 저장한 사용자 단말(300)의 비밀번호를 기초로 수신한 비밀번호를 확인할 수 있다. 여기서, 수신한 비밀번호의 확인은 저장한 비밀번호와의 일치 여부를 확인할 수 있으며, 미리 정해진 연산을 통해 수신한 비밀번호와 저장한 비밀번호의 관계를 확인할 수도 있으나, 이에 한정되지 않는다. 제어부(250)는 수신한 비밀번호를 확인한 후, 비밀번호 확인 결과를 사용자 단말(300)로 송신할 수 있다. 또한, 제어부(250)는 사용자 단말(300)로부터 복호화 키 요청을 수신한 경우, 검증부(240)에 의해 사용자 단말(300)의 유효성이 검증된 후, 키 관리부(210)가 생성한 복호화 키 또는 공용 키를 사용자 단말(300)로 송신할 수 있다.
여기서, 제어부(250)는 복호화 키를 송신하기 위해 일회성 URL(uniform resource locator)를 생성할 수 있으며, 복호화 키를 획득할 수 있는 일회성 URL 주소를 사용자 단말(300)로 송신할 수 있다.
본 발명의 일 실시예에 따른 보안 메시지 제공 장치(200)는 적어도 하나의 프로세서 및 프로세서를 통해 상술한 동작이 실행되는 적어도 하나의 명령을 저장하고 있는 메모리를 포함할 수 있다. 여기서, 프로세서는 메모리에 저장된 프로그램 명령(program command)을 실행할 수 있고, 중앙 처리 장치(Central Processing Unit, CPU), 그래픽 처리 장치(Graphics Processing Unit, GPU) 또는 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있고, 읽기 전용 메모리(Read Only Memory, ROM) 및/또는 랜덤 액세스 메모리(Random Access Memory, RAM)로 구성될 수 있다.
도 3은 본 발명의 일 실시예에 따른 사용자 단말의 블록 구성도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 사용자 단말(300)은 수신부(310), 연산부(320), 제어부(330) 및 복호화부(340)를 포함할 수 있다. 여기서, 사용자 단말(300)의 구성은 명칭에 한정되지 않으며, 기능에 의해 정의될 수 있다. 또한, 복수의 기능을 하나의 구성이 수행할 수 있으며, 하나의 기능을 복수의 구성이 수행할 수 있다.
수신부(310)는 사용자로부터 비밀번호를 수신할 수 있다. 다시 말해, 수신부(310)는 사용자 단말(300)에서 구동되는 애플리케이션 상에서 사용자의 입력에 의해 비밀번호를 수신할 수 있으나, 비밀번호의 수신, 획득 또는 입력 방법은 이에 한정하지 않으며, 통상의 비밀번호 입력 방법이 이용될 수 있다.
연산부(320)는 보안 메시지 제공 장치(200)로부터 유효성 검증 데이터를 수신할 수 있으며, 수신한 유효성 검증 데이터를 기초로 해시 함수를 적용하는 연산을 수행할 수 있다. 또한, 연산부(320)는 후술하는 제어부(330)가 보안 메시지 제공 장치(200)로 보안 메시지 요청, 비밀번호 또는 복호화 키 요청과 같은 신호를 송신하는 경우 유효성 검증 데이터에 해시 함수를 적용한 값을 함께 송신할 수 있다.
제어부(330)는 보안 메시지 제공 장치(200)로부터 메시지에 대한 정보를 푸쉬 방식에 의해 수신한 경우, 연산부(320)의 연산 결과 값과 함께 보안 메시지 요청 신호를 보안 메시지 제공 장치(200)로 송신할 수 있다. 또한, 제어부(330)는 보안 메시지 제공 장치(200)로부터 보안 메시지를 수신한 경우, 연산부(320)의 연산 결과 값 및 수신부(310)가 수신한 비밀번호를 함께 보안 메시지 제공 장치(200)로 송신할 수 있다. 제어부(330)는 보안 메시지 제공 장치(200)로부터 비밀번호 확인 결과를 수신한 경우, 연산부(320)의 연산 결과 값과 함께 복호화 키 요청 신호를 송신할 수 있고, 이후, 제어부(330)는 보안 메시지 제공 장치(200)로부터 복호화 키 또는 공용 키를 수신할 수 있다.
여기서, 제어부(330)는 보안 메시지 제공 장치(200)로부터 복호화 키를 획득할 수 있는 일회성 URL 주소를 수신할 수 있으며, 수신한 URL 주소에 접속하여 복호화 키를 획득할 수 있다.
복호화부(340)는 제어부(330)가 수신한 보안 메시지 및 복호화 키를 이용하여 보안 메시지를 복호화할 수 있으며, 사용자에게 복호화된 보안 메시지를 제공할 수 있다.
본 발명의 일 실시예에 따른 사용자 단말(300)은 적어도 하나의 프로세서 및 프로세서를 통해 상술한 동작이 실행되는 적어도 하나의 명령을 저장하고 있는 메모리를 포함할 수 있다. 여기서, 프로세서는 메모리에 저장된 프로그램 명령(program command)을 실행할 수 있고, 중앙 처리 장치(Central Processing Unit, CPU), 그래픽 처리 장치(Graphics Processing Unit, GPU) 또는 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있고, 읽기 전용 메모리(Read Only Memory, ROM) 및/또는 랜덤 액세스 메모리(Random Access Memory, RAM)로 구성될 수 있다.
도 4는 본 발명의 일 실시예에 따른 보안 메시지 제공 방법의 5단계를 설명하는 순서도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 보안 메시지 제공 방법은 거시적으로 5단계로 나누어질 수 있다.
제1 단계는 보안 메시지를 생성하는 단계(S410)로, 보안 메시지 연동 장치(100)가 보안 메시지 제공 자치(200)로 보안 메시지 전달 요청을 할 수 있고, 보안 메시지 제공 장치(200)는 보안 메시지 연동 장치(100)로부터 연동되어 획득한 메시지를 암호화할 수 있다.
제2 단계는 보안 메시지를 전달하는 단계(S420)로, 보안 메시지 제공 장치(200)는 사용자 단말(300)로 보안 메시지를 전달할 수 있다. 제2 단계는 보안 메시지 제공 장치(200)가 사용자 단말(300)로 메시지에 대한 정보를 푸쉬하는 단계 및 사용자 단말(300)이 보안 메시지 제공 장치(200)로 보안 메시지를 요청하는 단계 등을 포함할 수 있다.
제3 단계는 비밀번호를 확인하는 단계(S430)로, 사용자 단말(300)이 보안 메시지 제공 장치(200)로 비밀번호를 송신하고, 보안 메시지 제공 장치(200)가 미리 저장한 비밀번호를 기초로 수신한 비밀번호를 확인할 수 있다. 제3 단계는 보안 메시제 제공 장치(200)가 사용자 단말(300)로 비밀번호 확인 결과를 송신하는 단계를 포함할 수 있다.
제4 단계는 복호화 키를 전달하는 단계(S440)로, 사용자 단말(300)이 보안 메시지 제공 장치(200)로 복호화 키 요청 신호를 송신하고, 보안 메시지 제공 장치(200)는 사용자 단말(300)로 복호화 키를 송신할 수 있다. 여기서, 복호화 키는 복호화 키를 획득할 수 있는 일회성 URL 주소를 포함할 수 있다.
제5 단계는 보안 메시지를 복호화하는 단계(S450)로, 사용자 단말(300)은 보안 메시지 제공 장치(200)로부터 수신한 복호화 키를 이용하여 보안 메시지를 복호화할 수 있다.
도 5는 본 발명의 일 실시예에 따른 보안 메시지 제공 방법을 설명하는 플로우 차트이다.
도 5를 참조하여 본 발명의 일 실시예에 따른 보안 메시지 제공 방법을 구체적으로 설명하면, 우선, 보안 메시지 연동 장치(100)가 보안 메시지 제공 장치(200)로 보안 메시지 전달을 요청할 수 있다(S505). 여기서, 보안 메시지 제공 장치(200)는 보안 메시지 연동 장치(100)와 연동하여 메시지를 획득할 수 있다. 보안 메시지 제공 장치(200)는 메시지의 암호화 및 복호화에 이용되는 암호화 키 및 복호화 키를 생성할 수 있으며(S510), 암호화 키를 이용하여 메시지를 암호화할 수 있고, 사용자 단말(300)의 유효성을 검증하기 위한 제1 유효성 검증 데이터를 생성할 수 있다(S515). 보안 메시지 제공 장치(200)는 사용자 단말(300)로 메시지에 대한 정보를 푸쉬할 수 있으며, 제1 유효성 검증 데이터를 함께 송신할 수 있다(S520). 사용자 단말(300)은 수신한 제1 유효성 검증 데이터에 해시 함수를 적용하고, 보안 메시지 요청 및 제1 유효성 검증 데이터에 해시 함수를 적용한 값을 함께 보안 메시지 제공 장치(200)로 송신할 수 있다(S525). 보안 메시지 제공 장치(200)는 수신한 제1 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 사용자 단말(300)의 유효성을 검증할 수 있고, 검증된 경우, 제2 유효성 검증 데이터를 생성할 수 있다(S530). 이후, 보안 메시지 제공 장치(200)는 보안 메시지와 제2 유효성 검증 데이터를 사용자 단말(300)로 송신할 수 있다(S535). 사용자 단말(300)은 사용자로부터 비밀번호를 수신할 수 있고(S540), 수신한 제2 유효성 검증 데이터에 해시 함수를 적용하고, 비밀번호 및 제2 유효성 검증 데이터에 해시 함수를 적용한 값을 보안 메시지 제공 장치(200)로 송신할 수 있다(S545). 보안 메시지 제공 장치(200)는 제2 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 사용자 단말(300)의 유효성을 검증할 수 있고, 검증된 경우, 제3 유효성 검증 데이터를 생성할 수 있으며, 미리 저장한 비밀번호를 기초로 사용자 단말(300)로부터 수신한 비밀번호를 확인할 수 있다(S550). 보안 메시지 제공 장치(200)는 비밀번호 확인 결과 및 제3 유효성 검증 데이터를 사용자 단말(300)로 송신할 수 있으며(S555). 사용자 단말(300)은 제3 유효성 검증 데이터에 해시 함수를 적용하고, 복호화 키 요청 신호 및 제3 유효성 검증 데이터에 해시 함수를 적용한 값을 함께 보안 메시지 제공 장치(200)로 송신할 있다(S560). 보안 메시지 제공 장치(200)는 수신한 제3 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 사용자 단말(300)의 유효성을 검증할 수 있고, 검증된 경우, 복호화 키를 사용자 단말(300)로 송신할 수 있다(S565). 사용자 단말(300)은 수신한 복호화 키를 이용하여 보안 메시지를 복호화할 수 있으며(S570), 보안 메시지 제공 장치(200)는 보안 메시지 전달 결과를 보안 메시지 연동 장치(100)로 송신할 수 있다(S575).
도 6은 본 발명의 일 실시예에 따른 보안 메시지 제공 장치에 사용자 단말을 등록하는 방법을 설명하는 플로우 차트이다.
본 발명의 일 실시예에 따른 보안 메시지 제공 장치에 의해 실시간으로 암호화된 보안 메시지를 전달 발기 위해 보안 메시지 제공 장치(200)에 사용자 단말(300)의 등록이 선행될 수 있다. 사용자 단말(300)은 등록을 위해 UUID 및 비밀번호를 보안 메시지 제공 장치(200)로 송신할 수 있으며, UUID 및 비밀번호는 보안 메시지 제공 장치(200)에 저장될 수 있다.
도 6을 참조하여 본 발명의 일 실시예에 따른 보안 메시지 제공 장치에 사용자 단말을 등록하는 방법을 구체적으로 설명하면, 사용자는 사용자 단말(300)에서 보안 메시지 애플리케이션을 설치 및 실행할 수 있으며(S610), 사용자는 보안 메시지 애플리케이션을 통해 비밀번호를 입력할 수 있다. 다시 말해, 사용자 단말(300)은 사용자로부터 비밀번호를 수신할 수 있으며, 사용자 단말의 UUID를 생성할 수 있다(S620). 이후, 사용자 단말(300)은 수신한 비밀번호 및 생성한 UUID를 보안 메시지 제공 장치(200)로 송신할 수 있으며(S630), 보안 메시지 제공 장치(200)는 수신한 비밀번호 및 UUID를 저장하고, 사용자 단말(300)을 등록할 수 있다(S640). 보안 메시지 제공 장치(200)는 사용자 단말(300)이 등록되었다는 응답을 사용자 단말(300)로 송신할 수 있다(S650).
도 7은 본 발명의 일 실시예에 따른 보안 메시지 제공 방법의 동작을 순서대로 설명한 도면이다.
본 발명의 일 실시예에 따른 보안 메시지 제공 방법에 있어서, 도 7을 참조하여 보안 메시지 연동 장치(100), 보안 메시지 제공 장치(200) 및 사용자 단말(300) 간의 동작을 순서대로 나열하면 다음과 같다.
1. 보안 메시지 전달 요청
2. 메시지 접수
3. 메시지에 대한 정보 푸쉬(PUSH)
4. 애플리케이션 실행
5. 보안 메시지 제공 장치(MGR)의 서버 접속
6. 메시지 암호화
7. 보안 메시지 전송
8. 보안 메시지 확인
9. 비밀번호 입력
10. 비밀번호 전달
11. 비밀번호 검증
12. 복호화 키 전달
13. 연막 제거(복호화)
14. 메시지 전송 결과 전달
15. 메시지 전송 결과 확인
도 8은 본 발명의 일 실시예에 따른 사용자 단말에서 애플리케이션의 가입 화면을 나타낸 도면이다.
도 8을 참조하면, 본 발명의 일 실시예에 따른 보안 메시지 제공 방법을 수행하는 서비스에 있어서, 초기에 사용자는 보안 메시지 제공 장치에 사용자 단말을 등록하기 위해 애플리케이션에서 회원 가입을 수행할 수 있다.
여기서, 사용자는 이름, 생년월일, 성별 및 내국인 여부를 입력할 수 있으며, 통신사 및 전화번호를 입력하여 휴대전화의 인증을 수행할 수 있다. 또한, 보안 메시지 제공 장치로 송신하여 저장시켜둘 비밀번호 또는 히든 코드를 입력할 수 있다.
도 9는 본 발명의 일 실시예에 따른 사용자 단말에서 애플리케이션을 통해 송금 정보를 확인하는 화면을 나타낸 도면이다.
도 9를 참조하면, 본 발명의 일 실시예에 따른 보안 메시지 제공 방법을 수행하는 서비스에 있어서, 사용자는 송금 정보가 포함되어 있는 보안 메시지를 획득할 수 있으며, 획득한 보안 메시지에서 출금 계좌 및 휴대폰 번호와 같은 중요 정보는 연막과 같이 블록되어 확인이 불가한 상태일 수 있다. 여기서, 사용자는 회원 가입 시 입력하였던 히든 코드를 입력하여 확인이 불가능했던 정보를 확인할 수 있다. 확인이 불가한 정보는 출금 계좌 및 휴대폰 번호에 한정되지 않으며, 보안 메시지 제공 방법을 수행하는 서비스의 관리자 또는 사용자에 의해 수정될 수 있다.
도 10은 본 발명의 일 실시예에 따른 사용자 단말의 보안 메시지를 확인하는 화면을 나타낸 도면이다.
본 발명의 일 실시예에 따른 보안 메시지 제공 방법을 수행하는 서비스에 있어서, 사용자는 문자 메시지 형식으로 메시지에 대한 정보를 푸쉬받을 수 있고, 보안 메시지를 수신할 수도 있다.
도 10을 참조하면, 문자 메시지의 보안 메시지에도 중요 정보는 연막과 같이 블록되어 확인이 불가능한 상태일 수 있으며, 사용자가 회원 가입 시 입력하였던 히든 코드 또는 비밀번호를 입력하면, 확인이 불가능했던 정보를 확인할 수 있다.
도 11은 본 발명의 일 실시예에 따른 세션 제어 방식을 설명하는 플로우 차트이다.
본 발명의 일 실시예에 따른 보안 메시지 제공 방법은 사용자 단말(300)의 각 요청에 대한 무결성 또는 유효성 검증을 수행할 수 있다. 요청의 무결성 또는 유효성이 보장되는 경우, 보안 메시지 제공 장치(200)는 해당 요청을 처리하고 다음 세션의 무결성 또는 유효성 검증에 사용될 값을 사용자 단말(300)로 전달할 수 있다. 다만, 요청의 무결성 또는 유효성이 깨진 경우, 보안 메시지 제공 장치(200)는 해당 요청을 무시할 수 있다.
여기서, 무결성 검증에 사용될 값은 유효성 검증 데이터를 의미할 수 있으며, Token 및 Nonce를 의미할 수 있다. 여기서, Token의 길이는 64 바이트(bytes)일 수 있으며, 유효 시간은 보안 메시지 제공 방법을 서비스하는 관리자에 의해 설정될 수 있다. 또한, Nonce는 랜덤하게 생성되는 값이며, 길이는 64 바이트일 수 있다. 이하, 무결성 또는 유효성은 무결성으로 통일하여 표현한다. 다시 말해, 보안 메시지 제공 장치(200)는 무결성 검증을 위해 Token 및 Nonce를 생성하여 사용자 단말(300)로 송신할 수 있다. 사용자 단말(300)은 수신한 Token 및 Nonce에 사용자 단말의 UUID를 포함시킬 수 있고, UUID, Token 및 Nonce에 SHA-512 해시 연산을 수행하여 세션 제어 값을 생성할 수 있다. 사용자 단말(300)은 생성한 세션 제어 값을 보안 메시지 제공 장치(200)로 송신할 수 있으며, 보안 메시지 제공 장치(200)는 세션 제어 값을 통해 무결성을 검증할 수 있다.
도 11을 참조하여, 본 발명의 일 실시예에 따른 보안 메시지 제공 방법을 다시 설명하면, 우선, 보안 메시지 제공 장치(200)는 Token 및 Nonce를 생성할 수 있고(S1110), 생성한 Token 및 Nonce와 메시지에 대한 정보를 사용자 단말(300)로 푸쉬할 수 있다(S1115). 사용자 단말(300)은 자신의 UUID와 수신한 Token 및 Nonce를 기초로 SHA-512 알고리즘을 수행하여 세션 제어 값을 생성할 수 있다(S1120). 이후, 사용자 단말(300)은 세션 제어 값 및 보안 메시지 요청을 보안 메시지 제공 장치(200)로 송신할 수 있으며(S1125), 보안 메시지 제공 장치(200)는 수신한 세션 제어 값을 기초로 무결성을 검증할 수 있고, 무결성이 검증된 경우, 새로운 Token 및 Nonce를 생성할 수 있다(S1130). 보안 메시지 제공 장치(200)는 생성한 새로운 Token 및 Nonce와 보안 메시지를 사용자 단말(300)로 송신할 수 있으며(S1135), 사용자 단말(300)은 자신의 UUID 및 수신한 새로운 Token 및 Nonce를 기초로 SHA-512 알고리즘을 수행하여 새로운 세션 제어 값을 생성할 수 있다(S1140). 사용자 단말(300)은 새로운 세션 제어 값 및 비밀번호를 보안 메시지 제공 장치(200)로 송신할 수 있으며, 보안 메시지 제공 장치(200)는 수신한 새로운 세션 제어 값을 기초로 무결성을 검증할 수 있고, 무결성이 검증된 경우, 이전과 다른 새로운 Token 및 Nonce를 생성할 수 있다(S1150). 다시 말해, 무결성을 검증하기 위한 Token 및 Nonce는 일회성을 가지며, 각 세션마다 보안 메시지 제공 장치(200)에 의해 새롭게 생성될 수 있다. 보안 메시지 제공 장치(200)는 이전과 다른 새로운 Token 및 Nonce와 비밀번호 확인 결과를 사용자 단말(300)로 송신할 수 있으며(S1155), 사용자 단말(300)은 사진의 UUID 및 수신한 이전과 다른 새로운 Token 및 Nonce를 기초로 SHA-512 알고리즘을 수행하여 이전과 다른 새로운 세션 제어 값을 생성할 수 있다(S1160). 사용자 단말(300)은 이전과 다른 새로운 세션 제어 값 및 복호화 키 요청을 보안 메시지 제공 장치(200)로 송신할 수 있으며, 보안 메시지 제공 장치(200)는 수신한 이전과 다른 새로운 세션 제어 값을 기초로 무결성을 검증할 수 있고, 무결성이 검증된 경우, 복호화 키를 사용자 단말(300)로 송신할 수 있다.
본 발명의 일 실시예에 따른 보안 메시지 제공 방법에 있어서, 정보 송수신 구간에 따라 정보를 보호하는 방법은 표 1과 같이 정리될 수 있다.
Figure pat00001
본 발명의 실시예에 따른 보안 메시지 제공 방법의 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.
또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다.
실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
100: 보안 메시지 연동 장치 200: 보안 메시지 제공 장치
300: 사용자 단말

Claims (20)

  1. 사용자 단말에게 보안 메시지를 제공하는 보안 메시지 제공 장치에 있어서,
    암호화 키 및 복호화 키를 생성하고, 상기 암호화 키를 기초로 로우(raw) 메시지를 암호화하여 보안 메시지를 생성하는 단계;
    상기 보안 메시지를 상기 사용자 단말로 송신하는 단계;
    상기 사용자 단말로부터 비밀번호를 수신하여 확인하는 단계;
    상기 비밀번호가 확인된 경우, 상기 사용자 단말로부터 상기 복호화 키의 요청을 수신하는 단계; 및
    상기 사용자 단말로 상기 복호화 키를 송신하는 단계를 포함하는, 보안 메시지 제공 방법.
  2. 청구항 1에 있어서,
    상기 사용자 단말로부터 상기 사용자 단말의 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 수신하여 저장하는 단계를 더 포함하는, 보안 메시지 제공 방법.
  3. 청구항 2에 있어서,
    상기 보안 메시지를 사용자 단말로 송신하는 단계는,
    제1 유효성 검증 데이터를 생성하는 단계;
    상기 로우 메시지에 대한 정보 및 상기 제1 유효성 검증 데이터를 상기 사용자 단말로 송신하는 단계;
    상기 사용자 단말로부터 상기 제1 유효성 검증 데이터에 해시 함수를 적용한 값 및 보안 메시지의 요청 신호를 수신하는 단계;
    상기 제1 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 상기 사용자 단말의 유효성을 검증하는 단계; 및
    상기 검증이 완료된 경우, 제2 유효성 검증 데이터를 생성하고, 상기 사용자 단말로 상기 제2 유효성 검증 데이터 및 상기 보안 메시지를 송신하는 단계를 포함하는, 보안 메시지 제공 방법.
  4. 청구항 3에 있어서,
    상기 사용자 단말로부터 비밀번호를 수신하여 확인하는 단계는,
    상기 사용자 단말로부터 상기 제2 유효성 검증 데이터에 해시 함수를 적용한 값 및 비밀번호를 수신하는 단계;
    상기 제2 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 상기 사용자 단말의 유효성을 검증하는 단계; 및
    상기 검증이 완료된 경우, 상기 저장한 사용자 단말의 비밀번호를 기초로 상기 수신한 비밀번호를 확인하는 단계를 포함하는, 보안 메시지 제공 방법.
  5. 청구항 4에 있어서,
    상기 비밀번호가 확인된 경우, 상기 사용자 단말로부터 상기 복호화 키의 요청을 수신하는 단계는,
    제3 유효성 검증 데이터를 생성하는 단계;
    상기 제3 유효성 검증 데이터 및 상기 수신한 비밀번호의 확인 결과를 상기 사용자 단말로 송신하는 단계; 및
    상기 사용자 단말로부터 상기 제3 유효성 검증 데이터에 해시 함수를 적용한 값 및 상기 복호화 키의 요청 신호를 수신하는 단계를 포함하는, 보안 메시지 제공 방법.
  6. 청구항 5에 있어서,
    상기 사용자 단말로 상기 복호화 키를 송신하는 단계는,
    상기 제3 유효성 검증 데이터에 해시 함수를 적용한 값을 기초로 상기 사용자 단말의 유효성을 검증하는 단계; 및
    상기 검증이 완료된 경우, 상기 사용자 단말로 상기 복호화 키를 송신하는 단계를 포함하는, 보안 메시지 제공 방법.
  7. 청구항 1에 있어서,
    상기 복호화 키는,
    상기 복호화 키가 위치한 일회성 URL(uniform resource locator) 주소인, 보안 메시지 제공 방법.
  8. 보안 메시지 제공 장치로부터 수신한 보안 메시지를 확인하는 사용자 단말에 있어서,
    상기 보안 메시지 제공 장치로부터 보안 메시지를 수신하는 단계;
    상기 보안 메시지 제공 장치로 비밀번호를 송신하는 단계;
    상기 비밀번호가 확인된 경우, 상기 보안 메시지 제공 장치로 복호화 키를 요청하는 단계; 및
    상기 복호화 키를 수신하여 상기 보안 메시지를 복호화하는 단계를 포함하는, 보안 메시지 확인 방법.
  9. 청구항 8에 있어서,
    상기 보안 메시지 제공 장치로 상기 사용자 단말의 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 송신하여 등록하는 단계를 더 포함하는, 보안 메시지 확인 방법.
  10. 청구항 9에 있어서,
    상기 보안 메시지 제공 장치로부터 보안 메시지를 수신하는 단계는,
    상기 보안 메시지 제공 장치로부터 로우(raw) 메시지에 대한 정보 및 제1 유효성 검증 데이터를 수신하는 단계;
    상기 제1 유효성 검증 데이터에 해시 함수를 적용하는 단계;
    상기 보안 메시지 제공 장치로 상기 제1 유효성 검증 데이터에 해시 함수를 적용한 값 및 보안 메시지의 요청 신호를 송신하는 단계; 및
    상기 송신한 제1 유효성 검증 데이터에 해시 함수를 적용한 값이 검증된 경우, 상기 보안 메시지 제공 장치로부터 제2 유효성 검증 데이터 및 상기 보안 메시지를 수신하는 단계를 포함하는, 보안 메시지 확인 방법.
  11. 청구항 10에 있어서,
    상기 보안 메시지 제공 장치로 비밀번호를 송신하는 단계는,
    상기 제2 유효성 검증 데이터에 해시 함수를 적용하는 단계;
    사용자로부터 비밀번호를 수신하는 단계; 및
    상기 보안 메시지 제공 장치로 상기 제2 유효성 검증 데이터에 해시 함수를 적용한 값 및 비밀번호를 송신하는 단계를 포함하는, 보안 메시지 확인 방법.
  12. 청구항 11에 있어서,
    상기 비밀번호가 확인된 경우, 상기 보안 메시지 제공 장치로 복호화 키를 요청하는 단계는,
    상기 송신한 제2 유효성 검증 데이터에 해시 함수를 적용한 값이 검증된 경우, 상기 보안 메시지 제공 장치로부터 제3 유효성 검증 데이터 및 상기 비밀번호의 확인 결과를 수신하는 단계;
    상기 제3 유효성 검증 데이터에 해시 함수를 적용하는 단계; 및
    상기 보안 메시지 제공 장치로 상기 제3 유효성 검증 데이터에 해시 함수를 적용한 값 및 상기 복호화 키의 요청 신호를 송신하는 단계를 포함하는, 보안 메시지 확인 방법.
  13. 청구항 8에 있어서,
    상기 복호화 키는,
    상기 복호화 키가 위치한 일회성 URL(uniform resource locator) 주소인, 보안 메시지 확인 방법.
  14. 암호화 키 및 복호화 키를 생성하고 저장하는 키 관리부;
    상기 암호화 키를 기초로 로우(raw) 메시지를 암호화하여 보안 메시지를 생성하는 암호화부;
    상기 로우 메시지에 대한 정보를 사용자 단말로 송신하는 통지부;
    유효성 검증 데이터를 생성하여 상기 사용자 단말로 송신하고, 상기 사용자 단말로부터 상기 유효성 검증 데이터에 해시 함수를 적용한 값을 검증하는 검증부; 및
    상기 사용자 단말로부터 비밀번호를 수신하여 확인하고, 상기 사용자 단말로 상기 보안 메시지 및 상기 복호화 키를 송신하는 제어부를 포함하는, 보안 메시지 제공 장치.
  15. 청구항 14에 있어서,
    상기 제어부는,
    상기 사용자 단말로부터 상기 사용자 단말의 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 수신하여 저장하는, 보안 메시지 제공 장치.
  16. 청구항 15에 있어서,
    상기 제어부는,
    상기 검증부가 상기 사용자 단말로부터 수신한 상기 유효성 검증 데이터에 해시 함수를 적용한 값을 검증한 후, 상기 저장한 비밀번호를 기초로 상기 사용자 단말로부터 수신한 비밀번호를 확인하는, 보안 메시지 제공 장치.
  17. 청구항 14에 있어서,
    상기 제어부는,
    상기 검증부가 상기 사용자 단말로부터 수신한 상기 유효성 검증 데이터에 해시 함수를 적용한 값을 검증한 후, 상기 사용자 단말로 상기 보안 메시지 또는 상기 복호화 키를 송신하는, 보안 메시지 제공 장치.
  18. 청구항 14에 있어서,
    상기 복호화 키는,
    상기 복호화 키가 위치한 일회성 URL(uniform resource locator) 주소인, 보안 메시지 제공 장치.
  19. 복호화 키를 기초로 보안 메시지를 복호화하는 복호화부;
    보안 메시지 제공 장치로부터 유효성 검증 데이터를 수신하여, 상기 유효성 검증 데이터에 해시 함수를 적용하고, 상기 유효성 검증 데이터에 해시 함수를 적용한 값을 상기 보안 메시지 제공 장치로 송신하는 연산부;
    사용자로부터 사용자 단말을 검증하는 비밀번호를 수신하는 수신부; 및
    상기 보안 메시지 제공 장치로 상기 비밀번호를 송신하고, 상기 보안 메시지 제공 장치로부터 상기 보안 메시지 및 상기 복호화 키를 수신하는 제어부를 포함하는, 사용자 단말.
  20. 청구항 19에 있어서,
    상기 제어부는,
    상기 보안 메시지 제공 장치로 UUID(universally unique identifier) 및 미리 정해진 비밀번호를 송신하여 등록하는, 사용자 단말.
KR1020170117281A 2016-09-13 2017-09-13 암호화 보안 메시지 제공 방법 및 장치 KR20180029932A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160118366 2016-09-13
KR1020160118366 2016-09-13

Publications (1)

Publication Number Publication Date
KR20180029932A true KR20180029932A (ko) 2018-03-21

Family

ID=61900935

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170117281A KR20180029932A (ko) 2016-09-13 2017-09-13 암호화 보안 메시지 제공 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20180029932A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200050157A (ko) * 2018-11-01 2020-05-11 주식회사 한글과컴퓨터 스프레드시트에 입력된 메모에 대한 조건부 보안 설정 처리가 가능한 전자 단말 장치 및 그 동작 방법
KR20200062963A (ko) * 2018-11-27 2020-06-04 주식회사 카카오 상담 서비스를 제공하는 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200050157A (ko) * 2018-11-01 2020-05-11 주식회사 한글과컴퓨터 스프레드시트에 입력된 메모에 대한 조건부 보안 설정 처리가 가능한 전자 단말 장치 및 그 동작 방법
KR20200062963A (ko) * 2018-11-27 2020-06-04 주식회사 카카오 상담 서비스를 제공하는 방법

Similar Documents

Publication Publication Date Title
CN110324143B (zh) 数据传输方法、电子设备及存储介质
US11265319B2 (en) Method and system for associating a unique device identifier with a potential security threat
US9838205B2 (en) Network authentication method for secure electronic transactions
US9231925B1 (en) Network authentication method for secure electronic transactions
US8112787B2 (en) System and method for securing a credential via user and server verification
CN112425114B (zh) 受公钥-私钥对保护的密码管理器
KR101381789B1 (ko) 웹 서비스 사용자 인증 방법
US10147092B2 (en) System and method for signing and authenticating secure transactions through a communications network
EP2961094A1 (en) System and method for generating a random number
WO2018083604A1 (en) Verifying an association between a communication device and a user
US8397281B2 (en) Service assisted secret provisioning
CN112565265B (zh) 物联网终端设备间的认证方法、认证系统及通讯方法
KR20120108599A (ko) 온라인 신용카드 결제 단말기를 활용한 신용카드 결제 서비스
CN101335754B (zh) 一种利用远程服务器进行信息验证的方法
CN102075327A (zh) 一种实现电子钥匙解锁的方法、装置及系统
WO2012034339A1 (zh) 一种实现网络支付的方法及移动终端
TWI715833B (zh) 一種空中發卡方法、裝置、計算設備、電腦可讀存儲介質及電腦程式產品
CN102468962A (zh) 利用个人密码装置的个人身份验证方法及个人密码装置
US20100005519A1 (en) System and method for authenticating one-time virtual secret information
CN112507296A (zh) 一种基于区块链的用户登录验证方法及系统
KR20180029932A (ko) 암호화 보안 메시지 제공 방법 및 장치
CN104901967A (zh) 信任设备的注册方法
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
KR20090022493A (ko) 디바이스 인증 방법, 장치 및 그 방법을 실행하는프로그램이 기록된 기록매체
US20220278974A1 (en) System, device and methods for secure exchange of text messages

Legal Events

Date Code Title Description
N231 Notification of change of applicant
N231 Notification of change of applicant
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application