KR20180118934A - Apparatus for authentificating terminal and method for using the same - Google Patents

Apparatus for authentificating terminal and method for using the same Download PDF

Info

Publication number
KR20180118934A
KR20180118934A KR1020170052242A KR20170052242A KR20180118934A KR 20180118934 A KR20180118934 A KR 20180118934A KR 1020170052242 A KR1020170052242 A KR 1020170052242A KR 20170052242 A KR20170052242 A KR 20170052242A KR 20180118934 A KR20180118934 A KR 20180118934A
Authority
KR
South Korea
Prior art keywords
terminal
secure
terminal device
key
security
Prior art date
Application number
KR1020170052242A
Other languages
Korean (ko)
Inventor
박수완
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170052242A priority Critical patent/KR20180118934A/en
Publication of KR20180118934A publication Critical patent/KR20180118934A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/08Access point devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Disclosed are an apparatus and a method for authenticating a terminal to provide an interconnection between domain separation-based mobile terminals. According to an embodiment of the present invention, the method for authenticating a terminal comprises the following steps: allowing a first terminal apparatus to request terminal verification through an access point apparatus to perform security communication with a second terminal apparatus; allowing the terminal authentication apparatus to transmit, to the first terminal apparatus, a first encryption key encrypting a key generated by a terminal verification result to correspond to a data management region of the first terminal apparatus; allowing the first terminal apparatus to transmit, to the second terminal apparatus, data encrypted by using a key decrypting the first encryption key; allowing the second terminal apparatus to request terminal verification through the access point apparatus to decrypt the encrypted data; allowing the terminal authentication apparatus to transmit, to the second terminal apparatus, a second encryption key encrypting the key generated by the terminal verification result to correspond to a data management region of the second terminal apparatus; and allowing the second terminal apparatus to decrypt the encrypted data by using a key generated by decrypting the second encryption key.

Description

단말 인증 장치 및 방법 {APPARATUS FOR AUTHENTIFICATING TERMINAL AND METHOD FOR USING THE SAME}[0001] APPARATUS FOR AUTHENTIFICATION TERMINAL AND METHOD FOR USING THE SAME [0002]

본 발명은 모바일 단말 보안 기술에 관한 것으로, 보다 상세하게는 모바일 단말의 상이한 도메인 간 상호 연결 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a mobile terminal security technology, and more particularly, to a different inter-domain interconnect technology of a mobile terminal.

현재 출시되고 있는 모바일 단말 보안 기술들은 단말 보안 관리 (ex. MDM, MAM) 또는 단말 보안 플랫폼 (모바일 가상화 솔루션) 등 단말 내 데이터를 보호하는데 집중하고 있을 뿐, 모바일 단말 보안 기술을 위해 주로 사용되고 있는 가상화 기반의 도메인 간 데이터 연결 및 운영에 관한 방안은 마련되어 있지 않다. Currently, mobile terminal security technologies are focused on protecting data in the terminal such as terminal security management (eg MDM, MAM) or terminal security platform (mobile virtualization solution). However, Based inter-domain data connection and operation.

이는 향후 모바일 단말 내의 도메인이 분리되어 서비스가 진행되는 경우, 보안 도메인이 포함된 모바일 디바이스와 일반 도메인만을 제공하는 모바일 디바이스간의 연결성을 제한시킬 수 있어 새로운 서비스 확장으로의 한계를 가진다. 또한 이기종 기기에서 서로 다른 통신방식으로 Inter-connectivity를 제시하고 있으나, 서로 다른 모바일 기기에서 내부의 연결을 위해서는 통신방식에서의 연결과 함께 도메인 간 연결(일반/보안 도메인)을 위한 인증, 인가가 새롭게 구성되어야 한다. In the future, when the domain is divided into the mobile terminal and the service proceeds, the connectivity between the mobile device including the secure domain and the mobile device providing only the common domain can be restricted, which limits the new service extension. In addition, inter-connectivity is proposed by different communication methods in heterogeneous devices. However, in order to connect internally in different mobile devices, authentication and authorization for inter-domain connection (general / security domain) .

또한, 모바일 단말에서 일반적인 데이터를 관리하는 일반 도메인과 보안 데이터를 관리하는 보안 도메인을 분리하여 관리하는 경우, 각 도메인간 분리는 데이터의 기밀성, 무결성 등을 위해 중요하다. 그러나 모바일 단말의 제약으로 인해 일반 도메인만을 제공하는 경우도 발생할 수 있다. 이러한 경우 도메인을 분리하여 제공하는 모바일 디바이스와의 데이터 공유가 어려운 문제점이 있다.In addition, when a general domain for managing general data and a security domain for managing security data are separately managed in a mobile terminal, separation between the respective domains is important for data confidentiality and integrity. However, due to the limitation of the mobile terminal, only the general domain may be provided. In this case, there is a problem that it is difficult to share data with a mobile device that provides domains separately.

한편, 한국공개특허 제 10-2013-0017762 호“도메인 분리 기반 안전 실행 환경 제공 방법 및 장치”는 모바일 단말에서 안전한 소프트웨어 실행 환경을 제공하기 위한 방법 및 장치에 있어서, 가상화 기반의 도메인 분리를 통해서 독립적인 두 개의 실행환경을 구성하고, 분리된 도메인 간 보안 서비스 채널을 통해 안전 서비스를 제공하는 실행 환경 제공 방법 및 장치에 관하여 개시하고 있다.Korean Patent Publication No. 10-2013-0017762 entitled " Method and apparatus for providing a safe execution environment based on domain separation " is a method and apparatus for providing a safe software execution environment in a mobile terminal, , And a method and apparatus for providing an execution environment for providing a security service through a separate inter-domain security service channel.

본 발명은 도메인 분리 기반의 모바일 단말 간 상호 연결을 제공하는 것을 목적으로 한다.It is an object of the present invention to provide a mutual connection between mobile terminals based on domain separation.

또한, 본 발명은 도메인 분리가 이뤄지지 않는 모바일 단발에 대해서 보안 데이터를 획득할 수 있는 인증 방법 및 보안 데이터의 공유 방법을 제공하는 것을 목적으로 한다.It is another object of the present invention to provide an authentication method and security data sharing method capable of acquiring security data for a mobile terminal without domain separation.

또한, 본 발명은 동일 지역뿐만 아니라 상이한 지역적 공간에서의 단말 인증을 제공하는 것을 목적으로 한다.It is another object of the present invention to provide terminal authentication in not only the same area but also different regional spaces.

또한, 본 발명은 기존의 가상화 기반 단말 보안 플랫폼이 가지는 데이터 분리에 의한 안전성과 단말/도메인 간 연결에서도 안전성을 보장받는 것으로 기존 기술과의 접목을 통한 강도 높은 보안을 실현하는 것을 목적으로 한다.In addition, the present invention aims at realizing high security by combining security with existing technology and ensuring safety in connection between security and terminal / domain by data separation of existing virtualization-based terminal security platform.

상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 단말 인증 방법은 단말 인증 장치를 이용하는 방법에 있어서, 제1 단말 장치가, 제2 단말 장치와의 보안 통신을 위하여 액세스 포인트 장치를 통해 단말 검증을 요청하는 단계; 상기 단말 인증 장치가, 단말 검증 결과에 따라 생성된 키를 상기 제1 단말장치의 데이터 관리 영역에 상응하도록 암호화한 제1 암호화 키를 상기 제1 단말 장치에게 전송하는 단계; 상기 제1 단말 장치가, 상기 제1 암호화 키를 복호화한 상기 생성된 키를 이용하여 암호화된 데이터를 상기 제2 단말 장치에게 전송하는 단계; 상기 제2 단말 장치가, 상기 암호화된 데이터의 복호화를 위하여 상기 액세스 포인트 장치를 통해 단말 검증을 요청하는 단계; 상기 단말 인증 장치가, 단말 검증 결과에 따라 상기 생성된 키를 상기 제2 단말장치의 데이터 관리 영역에 상응하도록 암호화한 제2 암호화 키를 상기 제2 단말 장치에 전송하는 단계 및 상기 제2 단말 장치가, 상기 제2 암호화 키를 복호화한 상기 생성된 키를 이용하여 상기 암호화된 데이터를 복호화하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method of using a terminal authentication device, the method comprising: a first terminal device for performing secure communication with a second terminal device, Requesting verification; Transmitting the first encryption key obtained by encrypting the key generated according to the terminal verification result to the first terminal device so as to correspond to the data management area of the first terminal device; The first terminal device transmitting encrypted data using the generated key decrypting the first encryption key to the second terminal device; The second terminal device requesting terminal verification through the access point device to decrypt the encrypted data; The terminal authentication device transmitting to the second terminal device a second encryption key obtained by encrypting the generated key so as to correspond to the data management area of the second terminal device in accordance with the terminal verification result, Decrypting the encrypted data using the generated key decrypting the second encryption key.

본 발명은 도메인 분리 기반의 모바일 단말 간 상호 연결을 제공할 수 있다.The present invention can provide inter-connection between mobile terminals based on domain separation.

또한, 본 발명은 도메인 분리가 이뤄지지 않는 모바일 단발에 대해서 보안 데이터를 획득할 수 있는 인증 방법 및 보안 데이터의 공유 방법을 제공할 수 있다.In addition, the present invention can provide an authentication method and security data sharing method for acquiring security data for a mobile terminal without domain separation.

또한, 본 발명은 동일 지역뿐만 아니라 상이한 지역적 공간에서의 단말 인증을 제공할 수 있다.In addition, the present invention can provide terminal authentication in the same area as well as in different regional spaces.

또한, 본 발명은 기존의 가상화 기반 단말 보안 플랫폼이 가지는 데이터 분리에 의한 안전성과 단말/도메인 간 연결에서도 안전성을 보장받는 것으로 기존 기술과의 접목을 통한 강도 높은 보안을 실현할 수 있다.In addition, the present invention can secure the security by the data separation of the existing virtualization-based terminal security platform and the connection between the terminal and the domain, thereby realizing high security by combining with the existing technology.

도 1은 본 발명의 일실시예에 따른 지역적 공간(Space)를 고려한 단말 내 영역 간 연결을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 분리 도메인 기반 단말 인증 시스템을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 단말 장치의 일반 영역을 세부적으로 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 단말 장치의 보안 영역을 세부적으로 나타낸 블록도이다.
도 5는 본 발명의 일실시예에 따른 액세스 포인트 장치를 세부적으로 나타낸 블록도이다.
도 6은 본 발명의 일실시예에 따른 단말 인증 장치를 세부적으로 나타낸 블록도이다.
도 7 및 도 8은 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법을 나타낸 시퀀스 다이어그램이다.
도 9는 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법을 나타낸 시퀀스 다이어그램이다. 1 is a diagram illustrating a connection between areas in a terminal considering a local space according to an embodiment of the present invention.
2 is a block diagram illustrating a separation domain based terminal authentication system according to an embodiment of the present invention.
3 is a detailed block diagram illustrating a general area of a terminal according to an embodiment of the present invention.
4 is a detailed block diagram illustrating a security area of a terminal according to an exemplary embodiment of the present invention.
5 is a detailed block diagram illustrating an access point according to an embodiment of the present invention.
6 is a detailed block diagram illustrating a terminal authentication apparatus according to an embodiment of the present invention.
FIG. 7 and FIG. 8 are sequence diagrams illustrating a terminal authentication method in different regional spaces according to an exemplary embodiment of the present invention.
FIG. 9 is a sequence diagram illustrating a method of authenticating a terminal in the same regional space according to an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 지역적 공간(Space)를 고려한 단말 내 영역 간 연결을 나타낸 도면이다.1 is a diagram illustrating a connection between areas in a terminal considering a local space according to an embodiment of the present invention.

도 1을 참조하면, 본 발명에서는 모바일 디바이스 내의 도메인 분리(일반/보안 영역)와 함께, 이를 통한 지역적인 도메인 연결(예를 들어, 일반 도메인 간 연결, 보안 도메인간의 연결, 일반 도메인과 보안 도메인간의 연결, 보안 도메인과 일반 도메인간의 연결)을 제공하기 위해 다음과 같이 MoD(Mobile Device, 일반 단말 장치), SeD(Secure Device, 보안 단말 장치), AP(Access Point, 액세스 포인트) 장치 그리고 DAC(Device Authentication Center, 단말 인증 장치)로 구성될 수 있다.Referring to FIG. 1, in the present invention, a domain separation (general / security domain) in a mobile device, a domain domain connection (for example, a normal domain connection, a connection between security domains, (SSD), Access Point (AP), and Access Point (DAC) devices, as well as DADs (Device Access Points) An authentication center, and a terminal authentication apparatus).

이 때, 본 발명의 일실시예에 따라 일반 단말 장치 및 보안 단말 장치의 단말 및 영역(도메인)의 고유 정보들을 활용한 도메인 간 인증을 방법을 제시할 수 있다.At this time, according to an embodiment of the present invention, a method of inter-domain authentication using unique information of a terminal and domain of a general terminal device and a secure terminal device can be presented.

또한, 본 발명은 보안 강도 및 환경에 따라 부여 될 수 있는 정책을 기반으로 보안 단말 장치(SeD)와 일반 단말 장치(MoD)의 안전한 연결을 제공할 수 있는 확장성을 가질 수 있다.In addition, the present invention can have a scalability to provide a secure connection between a secure terminal device (SeD) and a general terminal device (MoD) based on a policy that can be given according to security strength and environment.

즉, 본 발명은 단말 장치 간의 상호 연결을 위한 인증, 인가, 권한부여 등의 통제를 단말 인증 장치와 통신하는 액세스 포인트 장치를 통해 이뤄지게 함으로써 지역적 공간(Space A, B) 내 일반 단말 장치인 MoD(Mobile Device)와 보안 단말 장치인 SeD(Secure Device)의 연결이 가능하도록 하는 단말 내 영역(일반/보안 영역) 간 연결을 위한 단말 장치 인증을 수행할 수 있다.That is, the present invention controls the authentication, authorization and authorization for mutual connection between terminal devices through an access point device communicating with the terminal authentication device, thereby providing a general terminal device (MoD (General / security area) in which a connection between a mobile device (e.g., a mobile device) and a secure terminal device (SeD) can be established.

이때, 단말 내의 일반영역과 보안영역은 데이터 관리 영역에 상응하며, 일반적인 데이터는 일반영역에서 관리되고, 보안과 기밀이 필요한 데이터는 보안영역에서 관리될 수 있다.At this time, the general area and the security area in the terminal correspond to the data management area, general data is managed in the general area, and data requiring security and confidentiality can be managed in the security area.

또한, 본 발명은 단말 간의 연결을 위해서는 WiFi가 기반이 되며, 영역 간 또는 차별적인 디바이스 간 상호 연결을 위해 인증과 인가 기능이 수행될 수 있다.In addition, the present invention is based on WiFi for connection between terminals, and authentication and authorization functions can be performed for inter-domain or differential inter-device interconnections.

이 때, WiFi(Wireless Fidelity)은 IEEE 802.11a/b/g/n 규격에 근거한 WLAN(wireless local area network)의 일종으로 무선접속중계장치인 액세스 포인트(Access point, AP) 장치에서 일정거리 이내의 단말 장치에게 고속 무선 데이터 서비스를 제공할 수 있다.At this time, WiFi (Wireless Fidelity) is a kind of wireless local area network (WLAN) based on the IEEE 802.11a / b / g / n standard and is a wireless access relay (AP) Speed wireless data service to the terminal device.

또한, 본 발명의 일실시예에 따른 모바일 단말 장치가 단일의 영역(Domain)을 가지는 일반 단말 장치(MoD)와 보안 도메인을 포함하는 복수의 영역을 가지는 보안 단말 장치(SeD) 간의 연결을 수행할 수 있다. 일반 단말 장치와 보안 단말 장치의 각각의 내부 도메인간의 연결을 위해서는 액세스 포인트(AP) 장치를 이용할 수 있다. 액세스 포인트(AP) 장치는 단말 인증 장치와 통신을 통해 각 단말 및 단말의 영역을 인증하는 절차를 수행하여 정당한 단말 및 단말 영역 간에만 안전한 데이터 통신을 보장할 수 있다.In addition, the mobile terminal device according to an embodiment of the present invention performs a connection between a general terminal device (MoD) having a single domain and a secure terminal device (SeD) having a plurality of domains including a secure domain . An access point (AP) device can be used for connection between the internal domains of the general terminal device and the secure terminal device. The access point (AP) device can secure the data communication only between the legitimate terminal and the terminal area by performing the procedure of authenticating the area of each terminal and the terminal through communication with the terminal authentication device.

도 1에 도시된 바와 같이 지역적인 공간을 갖는 Space A와 B간의 단말 장치가 연결되기 위해서는 일반 단말 장치(MoD), 보안 단말 장치(SeD), 액세스 포인트(Access point, AP) 장치 및 단말 인증 장치로 구성되는 것을 알 수 있다. As shown in FIG. 1, in order to connect a terminal device between a space A and a space B having a local space, a general terminal device MoD, a secure terminal device SeD, an access point (AP) . ≪ / RTI >

기존 통신 방식에서는 단순히 액세스 포인트 장치 하부에 위치한 단말 장치들 만을 인증하고, 이에 대한 연결성을 지원하였지만, 본 발명에서는 액세스 포인트 장치가 동일 지역적 공간(Space A) 내 단말의 영역 간 연결(예를 들어, SeD와 SeD간의 연결, SeD와 MoD간의 연결, MoD와 MoD간의 연결, MoD와 SeD간의 연결)을 제공할 수 있다.In the conventional communication method, only the terminal devices located under the access point device are authenticated and the connectivity to the terminal devices is supported. However, in the present invention, the access point transmits the inter-domain connection of the terminals in the same local space (Space A, Connection between SeD and SeD, connection between SeD and MoD, connection between MoD and MoD, connection between MoD and SeD).

이 때, 본 발명은 지역적 공간(Space A)에 속한 단말 장치를 또 다른 공간(Space B)의 단말 장치와 연결을 수행할 수 있는 단말 인증 기능을 제공할 수 있다.At this time, the present invention can provide a terminal authentication function capable of connecting a terminal device belonging to a local space (Space A) to a terminal device of another space (Space B).

또한, 본 발명에서의 액세스 포인트(AP) 장치의 역할은 게이트웨이와 같은 근거리 통신망 상이에서의 중개를 담당하는 장치에 상응할 수 있으며, 기존의 액세스 포인트(AP) 기능에 한정되거나 의존하지 않을 수 있다.Also, the role of an access point (AP) device in the present invention may correspond to a device that is responsible for mediation over a local area network, such as a gateway, and may or may not be limited to existing access point (AP) functionality .

도 2는 본 발명의 일실시예에 따른 분리 도메인 기반 단말 인증 시스템을 나타낸 블록도이다.2 is a block diagram illustrating a separation domain based terminal authentication system according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일실시예에 따른 분리 도메인 기반 단말 인증 시스템은 일반 단말 장치(10), 보안 단말 장치(20), 액세스 포인트 장치(30) 및 단말 인증 장치(100)로 구성되는 것을 알 수 있다.2, the separation domain based terminal authentication system according to an embodiment of the present invention includes a general terminal device 10, a secure terminal device 20, an access point device 30, and a terminal authentication device 100 .

일반 단말 장치(10)은 단일 운영체제에 의해 단일 운영환경인 일반영역(MD)을 가지는 기존 단말에 상응할 수 있다.The general terminal device 10 may correspond to an existing terminal having a general area (MD) as a single operating environment by a single operating system.

보안 단말 장치(20)는 기존의 운영환경인 일반영역(MD)과 구별되는 동일 또는 별도의 운영체제의 의해 운영되는 보안영역(SD)을 더 포함할 수 있다.The secure terminal device 20 may further include a secure area (SD) that is operated by the same or a separate operating system different from the general operating area (MD), which is an existing operating environment.

즉, 일반 단말 장치(10)는 일반영역(MD)으로만 구성되고, 보안 단말 장치(20)는 일반영역(MD)와 보안영역(SD)으로 구성되며, 액세스 포인트 장치(30)는 일반 단말 장치(10)와 보안 단말 장치(20)를 연결하는 것을 알 수 있다.That is, the general terminal device 10 is composed only of the general area (MD), and the secure terminal device 20 is composed of the general area (MD) and the security area (SD), and the access point device (30) It can be seen that the device 10 and the secure terminal device 20 are connected.

이 때, 보안 단말 장치(20) 일반영역과 보안영역을 포함하는 2개 이상의 영역을 포함할 수 있으며, 복수개의 보안 영역을 포함할 수도 있다.At this time, the secure terminal device 20 may include two or more areas including a general area and a security area, and may include a plurality of security areas.

도 2에 표시된 점선화살표와 같이, 일반 단말 장치(10) 및 보안 단말 장치(20)는 단말 및 영역 정보를 단말 인증 장치(100)에 사전에 등록해둘 수 있다.The general terminal device 10 and the secure terminal device 20 can register the terminal and area information in advance in the terminal authentication apparatus 100 as indicated by the dotted arrow in Fig.

이후, 단말 장치 간 연결 시에는 단말 인증 장치(100)에 등록된 단말 정보를 이용하여 단말 인증을 수행할 수 있다. 이 때, 단말 인증 장치(100)는 단말 등록 요청과 함께 단말로부터 전달된 단말 식별값, 일반영역 고유값, 일반영역 인증서, 보안영역 고유값, 보안영역 인증서를 단말 인증 장치(100)의 저장부(140)에 저장하여 관리할 수 있다. Thereafter, when the terminals are connected to each other, terminal authentication can be performed using the terminal information registered in the terminal authentication apparatus 100. At this time, the terminal authentication apparatus 100 transmits the terminal identification value, the general area eigenvalue, the general area certificate, the secure area eigenvalue, and the secure area certificate delivered from the terminal together with the terminal registration request to the storage unit of the terminal authentication apparatus 100 (140).

또한, 도 2에 표시된 액세스 포인트 장치(30)는 통신하고자 하는 두 대의 단말 장치가 동일한 지역적 공간(space A)에 속하는 경우에는 동일한 액세스 포인트 장치(30)에 연결될 수 있고, 두 대의 단말 장치가 서로 상이한 지역적 공간(space A와 space B)에 속하는 경우에는 각 지역적 공간에 해당 하는 액세스 포인트 장치(30)를 통해 단말 인증 장치(100)에 접근할 수 있다.2 may be connected to the same access point 30 when two terminal apparatuses to be communicated belong to the same regional space (space A), and the two terminal apparatuses may be connected to each other The terminal authentication apparatus 100 can be accessed through the access point 30 corresponding to each local space when belonging to different regional spaces (space A and space B).

도 3은 본 발명의 일실시예에 따른 단말 장치의 일반 영역을 세부적으로 나타낸 블록도이다. 도 4는 본 발명의 일실시예에 따른 단말 장치의 보안 영역을 세부적으로 나타낸 블록도이다.3 is a detailed block diagram illustrating a general area of a terminal according to an embodiment of the present invention. 4 is a detailed block diagram illustrating a security area of a terminal according to an exemplary embodiment of the present invention.

도 3 및 4를 참조하면, 본 발명의 일실시예에 따른 단말 장치의 일반 영역은 일반 단말 관리부(11), 일반 키 관리부(12), 일반 암복호화부(13), 일반 정보송수신부(14)를 포함할 수 있다.3 and 4, a general area of a terminal according to an exemplary embodiment of the present invention includes a general terminal management unit 11, a general key management unit 12, a general encryption / decryption unit 13, a general information transmission / ).

또한, 본 발명의 일실시예에 따른 단말 장치의 보안 영역은 보안 단말 관리부(21), 보안 키 관리부(22), 보안 암복호화부(23), 보안 정보송수신부(24)를 포함할 수 있다.The security area of the terminal device according to an exemplary embodiment of the present invention may include a secure terminal management unit 21, a security key management unit 22, a security encryption / decryption unit 23, and a security information transmission / .

보안 단말 장치(10)의 일반영역과 보안영역은 데이터를 관리하기 위해 별도의 저장공간을 가질 수 있다. 따라서, 동일 단말 장치 내 일반영역과 보안영역은 각각의 영역에 대한 식별값과 인증서를 가질 수 있다. 이 때, 단말의 식별값으로는 단말 ID, 시리얼 넘버, MAC 주소가 고려될 수 있고, 영역의 고유의 값으로는 각 영역에서만 추출할 수 있는 특정 HW 정보 또는 SW 정보를 추출값으로 이용할 수 있다. 또한, 영역 식별값은 단말의 식별값과 각 영역의 고유의 값을 결합하여 생성할 수도 있다.The general area and security area of the secure terminal device 10 may have separate storage space for managing data. Accordingly, the general area and the security area in the same terminal device can have an identification value and a certificate for each area. At this time, the terminal ID, the serial number, and the MAC address can be considered as the identification value of the terminal, and specific HW information or SW information that can be extracted only in each region can be used as the extraction value . The area identification value may be generated by combining the identification value of the terminal and a unique value of each area.

이와 같이 각 도메인의 일반 단말 관리부(11)와 보안 단말 관리부(12)는 단말 및 영역에 관한 식별정보를 처리할 수 있다.In this manner, the general terminal management unit 11 and the secure terminal management unit 12 of each domain can process the identification information about the terminal and the area.

일반 키 관리부(12)와 보안 키 관리부(22)는 액세스 포인트 장치(30)를 통해 단말 장치를 인증 후, 단말 인증 장치(100)로부터 받은 데이터 암호화 키를 관리할 수 있다.The general key management unit 12 and the secure key management unit 22 can manage the data encryption key received from the terminal authentication apparatus 100 after the terminal apparatus is authenticated through the access point apparatus 30. [

일반 암복호화부(13) 및 보안 암복호화부(23)는 데이터를 보호하기 위해 암/복호화 기능을 수행할 수 있다.The general encryption / decryption unit 13 and the security / encryption / decryption unit 23 may perform an encryption / decryption function to protect data.

일반 정보송수신부(14) 및 보안 정보송수신부(24)는 데이터 송수신을 수행할 수 있다. The general information transmission and reception unit 14 and the security information transmission and reception unit 24 can perform data transmission and reception.

또한, 단말 인증을 위해 단말 내 영역들이 공통적으로 가져야 할 구성요소에 있어서, 일반영역은 일반 모바일 단말의 처리 기능을 추가적으로 가질 수 있으며, 보안영역은 보안기능에 대한 처리 프로세스를 추가적으로 가질 수 있다.In addition, the general area may additionally have a processing function of the general mobile terminal, and the security area may additionally have a processing process for the security function, in the constituent elements that the in-terminal areas have to have in common for terminal authentication.

도 5는 본 발명의 일실시예에 따른 액세스 포인트 장치를 세부적으로 나타낸 블록도이다.5 is a detailed block diagram illustrating an access point according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 일실시예에 따른 액세스 포인트 장치(30)는 AP 정보 송수신부(31), AP 단말 검증부(32) 및 AP 키 관리부(33)를 포함할 수 있다.5, an access point 30 according to an exemplary embodiment of the present invention may include an AP information transmitter / receiver 31, an AP terminal verifier 32, and an AP key manager 33. Referring to FIG.

액세스 포인트 장치(30)는 일반 단말 장치(10)와 보안 단말 장치(20)의 도메인 간의 통신이 가능하도록 단말 인증을 지원하는 접속 승인 장치에 상응할 수 있다.The access point device 30 may correspond to a connection approval device that supports terminal authentication so as to enable communication between the domain of the general terminal device 10 and the secure terminal device 20. [

AP 정보 송수신부(31)는 일반 단말 장치(10), 보안 단말 장치(20) 및 단말 인증 장치(100)와 데이터를 송수신할 수 있다.The AP information transmitting and receiving unit 31 can transmit and receive data to and from the general terminal apparatus 10, the security terminal apparatus 20 and the terminal authentication apparatus 100. [

AP 단말 검증부(32)는 단말 인증 장치(1000)를 통해 단말 장치를 검증할 수 있다.The AP terminal verification unit 32 can verify the terminal device through the terminal authentication apparatus 1000.

AP 키 관리부(33)는 단말 인증 장치(100)로부터 수신한 단말/영역 키를 관리할 수 있다.The AP key management unit 33 can manage the terminal / area key received from the terminal authentication apparatus 100.

도 6은 본 발명의 일실시예에 따른 단말 인증 장치를 세부적으로 나타낸 블록도이다.6 is a detailed block diagram illustrating a terminal authentication apparatus according to an embodiment of the present invention.

도 6을 참조하면, 본 발명의 일실시예에 따른 단말 인증 장치(100)는 정보 송수신부(110), 제어부(120), 키생성부(130) 및 저장부(140)를 포함할 수 있다.6, the terminal authentication apparatus 100 according to an exemplary embodiment of the present invention may include an information transmission / reception unit 110, a control unit 120, a key generation unit 130, and a storage unit 140 .

정보 송수신부(110)는 일반 단말 장치(10), 보안 단말 장치(20) 및 액세스 포인트 장치(30)와 데이터를 송수신할 수 있다.The information transmitting and receiving unit 110 can transmit and receive data to and from the general terminal device 10, the security terminal device 20, and the access point device 30. [

제어부(120)는 수신한 단말 정보를 이용하여 단말 장치의 인증을 수행하며, 단말 인증 여부를 판단할 수 있다.The control unit 120 performs authentication of the terminal device using the received terminal information and can determine whether the terminal is authenticated.

키생성부(130) 인증된 단말 장치에서 사용할 키를 생성할 수 있다.The key generation unit 130 can generate a key to be used in the authenticated terminal device.

저장부(140)는 단말 정보, 영역 정보 및 단말의 키 정보를 관리할 수 있다.The storage unit 140 can manage the terminal information, the area information, and the key information of the terminal.

도 7 및 도 8은 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법을 나타낸 시퀀스 다이어그램이다.FIG. 7 and FIG. 8 are sequence diagrams illustrating a terminal authentication method in different regional spaces according to an exemplary embodiment of the present invention.

도 7 및 도 8은 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50)가 단말 인증 장치(100)에 사전에 단말 정보가 등록 되어 있으며, 제1 보안 단말 장치(40)의 보안영역(SD)과 제2 보안 단말 장치(50)의 보안영역(SD)이 연결을 위해 액세스포인트 장치(30)를 통해 단말 인증 장치(100)로부터 단말 인증을 받는 과정과 인증을 통해 나누어진 암호화 키로 영역 간 안전한 데이터 통신이 이루어지는 것을 알 수 있다.7 and 8 show the case where terminal information is registered in advance in the terminal authentication apparatus 100 by the first and second secure terminal apparatuses 40 and 50 and that the security of the first secure terminal apparatus 40 The process of receiving the terminal authentication from the terminal authentication apparatus 100 through the access point apparatus 30 for connection between the area SD and the security area SD of the second secure terminal apparatus 50, It can be seen that secure data communication is performed between areas with the key.

도 7을 참조하면, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 먼저 제1 보안 단말 장치(40)가 단말 정보, 영역 정보 및 보안 통신 요청을 액세스 포인트 장치(30)에게 전송할 수 있다(S210).Referring to FIG. 7, in the method of authenticating a terminal in a different geographical space according to an embodiment of the present invention, the first secure terminal device 40 transmits the terminal information, the area information and the secure communication request to the access point device 30 (S210).

즉, 단계(S210)는 제1 보안 단말 장치(40)가 속한 지역적 공간(Space A)에 존재하는 액세스 포인트 장치(30)에게 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50)의 단말 정보, 영역 정보 및 보안 통신을 요청할 수 있다.That is, in step S210, the first secure terminal device 40 and the second secure terminal device 50 are connected to the access point 30 existing in the local space A to which the first secure terminal device 40 belongs, The area information, and the secure communication.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 액세스 포인트 장치(30)가 제1 보안 단말 장치(40)로부터 수신한 정보로부터 단말 정보를 추출할 수 있다(S220).In addition, the terminal authentication method in different regional spaces according to an embodiment of the present invention can extract terminal information from the information received from the first secure terminal device 40 by the access point device 30 (S220).

즉, 단계(S220)는 1 보안 단말 장치(40)로부터 수신한 정보로부터 단말 식별값, 실제 데이터 송수신이 이루어지는 도메인인 보안 영역 고유값 등의 단말 정보를 추출할 수 있다.That is, in step S220, terminal information such as the terminal identification value and the security area eigenvalue, which is a domain in which actual data transmission / reception is performed, can be extracted from the information received from one security terminal device 40. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 액세스 포인트 장치(30)가 단말 인증 장치(100)에게 단말 검증을 요청할 수 있다(S230).In addition, in the terminal authentication method in the different regional space according to the embodiment of the present invention, the access point device 30 can request the terminal authentication apparatus 100 to verify the terminal (S230).

즉, 단계(S230)는 액세스 포인트 장치(30)가 추출한 단말 정보를 이용하여 단말 정보가 등록된 단말 인증 장치(100)에게 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50)의 단말 검증을 요청할 수 있다.That is, in step S230, the first and second security terminal devices 40 and 50 are connected to the terminal authentication device 100, which has registered the terminal information, using the terminal information extracted by the access point device 30. [ Terminal verification can be requested.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 등록 여부를 확인할 수 있다(S240).In addition, the terminal authentication method in different regional spaces according to the embodiment of the present invention can confirm whether the terminal is registered (S240).

즉, 단계(S240)는 단말 인증 장치(100)가 단말 검증 요청에 따라 제1 보안 단말 장치(40) 및 제2 보안 단말 장치(50)의 검증 요청된 단말 정보 및 영역 정보를 등록된 단말 정보 및 영역 정보와 비교하여 단말 검증을 수행할 수 있다.That is, in step S240, the terminal authentication apparatus 100 transmits the terminal information and the area information requested to be verified by the first and second security terminal apparatuses 40 and 50 to the terminal information And the terminal information can be compared with the area information.

이 때, 단계(S240)는 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50) 중 어느 하나라도 등록되어 있지 않은 경우, 단말 인증 장치(100)가 미등록 단말로 인한 오류 메시지를 포함하는 단말 검증 결과를 액세스 포인트 장치(30)에 전송할 수 있다(S250). At this time, if either of the first secure terminal device 40 and the second secure terminal device 50 is not registered in step S240, the terminal authentication apparatus 100 includes an error message due to an unregistered terminal To the access point device 30 (S250).

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 미등록 단말을 알릴 수 있다(S260).In addition, the terminal authentication method in different regional spaces according to an embodiment of the present invention can inform the unregistered terminal (S260).

즉, 단계(S260)는 액세스 포인트 장치(30)가 수신한 미등록 단말로 인한 오류 메시지가 포함된 단말 검증 결과를 제1 보안 단말 장치(40)에게 전송할 수 있다.That is, the step S260 may transmit the terminal verification result including the error message due to the unregistered terminal received by the access point device 30 to the first secure terminal device 40. [

이 때, 단계(S260)는 제1 보안 단말 장치(40)가 등록되지 않은 단말임을 확인하고 단말 인증 절차를 종료할 수 있다.At this time, the step S260 may confirm that the first secure terminal device 40 is not registered and terminate the terminal authentication procedure.

또한, 단계(S240)는 단말 검증이 성공인 경우, 단말 인증 장치(100)가 사전에 등록된 제1 보안 단말 장치(40) 및 제2 보안 단말 장치(50)의 단말 정보 및 영역 정보를 이용하여 암호화 키를 생성할 수 있다(S270).In step S240, when the terminal verification is successful, the terminal authentication apparatus 100 uses the terminal information and the area information of the first security terminal apparatus 40 and the second security terminal apparatus 50 registered in advance To generate an encryption key (S270).

이 때, 단계(S270)는 단말 정보 및 영역 정보와 함께 암호화 키를 단말 인증 장치(100)의 저장부(140)에 저장할 수 있다.At this time, the step S270 may store the encryption key together with the terminal information and the area information in the storage unit 140 of the terminal authentication apparatus 100. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 제1 보안 단말 장치(40)의 공개키를 이용하여 암호화를 수행할 수 있다(S280).In addition, the terminal authentication method in a different local space according to an exemplary embodiment of the present invention may perform encryption using the public key of the first secure terminal device 40 (S280).

즉, 단계(S280)는 단말 인증 장치(100)가 요구하는 제1 보안 단말 장치(40)의 영역이 보안영역인지 확인하여 사전에 등록된 보안영역의 공개키를 이용하여 단계(S270)에서 생성한 암호화 키를 암호화할 수 있다.That is, in step S280, it is determined in step S270 whether the area of the first secure terminal device 40 requested by the terminal authentication apparatus 100 is a secure area, An encryption key can be encrypted.

다시 말해서, 단계(S280)는 제1 보안 단말 장치(40)의 영역이 일반영역(MD)일 경우, 일반영역의 공개키로 암호화하고, 보안영역(SD)일 경우, 보안영역의 공개키를 이용하여 암호화할 수 있다.In other words, if the area of the first secure terminal device 40 is the general area (MD), the public key of the general area (MD) is encrypted using the public key of the secure area (SD) .

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 검증 결과 및 키를 전송할 수 있다(S290).In addition, the terminal authentication method in different local spaces according to an exemplary embodiment of the present invention can transmit the terminal verification result and the key (S290).

즉, 단계(S290)는 공개키로 암호화된 암호화 키와 단말 검증 결과와 함께 액세스 포인트 장치(30)에게 전송할 수 있다.That is, the step S290 may transmit the encrypted key and the terminal verification result together with the public key to the access point 30.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 검증 결과를 확인할 수 있다(S300).In addition, the terminal authentication method in different regional spaces according to the embodiment of the present invention can confirm the terminal verification result (S300).

즉, 단계(S300)는 액세스 포인트 장치(30)가 수신한 단말 검증 결과를 확인할 수 있다.That is, the step S300 can confirm the terminal verification result received by the access point device 30. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 보안 통신 요청 결과 및 키를 전송할 수 있다(S310).In addition, the terminal authentication method in different local spaces according to an exemplary embodiment of the present invention may transmit the secure communication request result and the key (S310).

즉, 단계(S310)는 제1 보안 단말 장치(40)가 요청한 보안 통신 요청 결과 및 암호화 키를 제1 보안 단말 장치(40)에게 전송할 수 있다.That is, the step S310 may transmit the secure communication request result and the encryption key requested by the first secure terminal device 40 to the first secure terminal device 40. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 키 복호화 및 데이터 암호화를 수행할 수 있다(S320).In addition, the terminal authentication method in different local spaces according to an embodiment of the present invention can perform key decryption and data encryption (S320).

즉, 단계(S320)는 제1 보안 단말 장치(40)가 액세스 포인트 장치(30)로부터 보안 통신 요청 결과 및 키를 수신할 수 있다.That is, in step S320, the first secure terminal device 40 may receive the secure communication request result and the key from the access point device 30. [

이 때, 단계(S320)는 제1 보안 단말 장치(40)가 영역 내 개인키로 수신한 암호화 키를 복호화할 수 있다.At this time, the step S320 may decrypt the encryption key received by the first secure terminal device 40 with the private key in the area.

이 때, 단계(S320)는 제1 보안 단말 장치(40)가 복호화 된 암호화 키를 이용하여 제2 보안 단말 장치(50)에게 전송할 데이터를 암호화할 수 있다.At this time, the step S320 may encrypt the data to be transmitted to the second secure terminal device 50 by using the decrypted encryption key of the first secure terminal device 40. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 암호화된 데이터를 전송할 수 있다(S330).In addition, the terminal authentication method in different local spaces according to an embodiment of the present invention can transmit encrypted data (S330).

즉, 단계(S330)는 제1 보안 단말 장치(40)가 보안 처리 되었음을 알리는 표시가 되어 암호화된 데이터를 액세스 포인트 장치(30)를 통해 동일(Space A) 또는 다른 지역적 공간(Space B)에 있는 제2 보안 단말 장치(50)에게 전송할 수 있다.That is, in step S330, it is indicated that the first secure terminal device 40 has been securely processed, and the encrypted data is stored in the same (Space A) or other local space (Space B) through the access point device 30 To the second secure terminal device 50.

이 때, 단계(S330)는 제2 보안 단말 장치(50)가 단말 정보 및 영역 정보를 포함하는 암호화된 데이터를 수신할 수 있다.At this time, in step S330, the second secure terminal device 50 may receive the encrypted data including the terminal information and the area information.

도 8을 참조하면, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 암호화된 데이터를 수신할 수 있다(S340).Referring to FIG. 8, the terminal authentication method in a different local space according to an embodiment of the present invention can receive encrypted data (S340).

즉, 단계(S340)는 제2 보안 단말 장치(50)가 제1 보안 단말 장치(40)로부터 단말 정보 및 영역 정보를 포함하는 암호화된 데이터를 수신할 수 있다.That is, in step S340, the second secure terminal device 50 may receive the encrypted data including the terminal information and the area information from the first secure terminal device 40. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 검증 및 키 요청을 수행할 수 있다(S350).In addition, the terminal authentication method in different local spaces according to an embodiment of the present invention can perform terminal verification and key request (S350).

즉, 단계(S350)는 제2 보안 단말 장치(50)가 속한 지역적 공간(Space B)에 존재하는 액세스 포인트 장치(30)에게 제1 보안 단말 장치의 단말 검증 및 암호화된 데이터 복호화를 위한 키를 요청할 수 있다.That is, in step S350, a key for the terminal verification and encrypted data decryption of the first secure terminal apparatus is transmitted to the access point 30 existing in the local space (Space B) to which the second secure terminal apparatus 50 belongs Can be requested.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 정보를 추출할 수 있다(S370).In addition, the terminal authentication method in different regional spaces according to an exemplary embodiment of the present invention can extract terminal information (S370).

즉, 단계(S370)는 액세스 포인트 장치(30)가 제1 보안 단말 장치(40) 및 제2 보안 단말 장치의 단말 정보를 이용하여 단말 식별값, 실제 데이터 송수신이 이루어지는 도메인인 보안영역 고유값 등의 단말 정보를 요청정보로부터 추출할 수 있다.That is, in step S370, the access point device 30 uses the terminal information of the first secure terminal device 40 and the second secure terminal device to determine the terminal identification value, the secure area unique value, Can be extracted from the request information.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 검증을 요청할 수 있다(S380).In addition, the terminal authentication method in a different local space according to an exemplary embodiment of the present invention may request terminal verification (S380).

즉, 단계(S380)는 액세스 포인트 장치(30)가 단말 정보가 등록된 단말 인증 장치(100)에게 제1 보안 단말 장치(40) 및 제2 보안 단말 장치의 단말 검증을 요청하는 메시지를 전송할 수 있다.That is, in step S380, the access point device 30 can transmit a message requesting terminal verification of the first secure terminal device 40 and the second secure terminal device to the terminal authentication apparatus 100 in which the terminal information is registered have.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 등록 여부를 확인할 수 있다(S390).In addition, the terminal authentication method in a different regional space according to an embodiment of the present invention can confirm whether or not the terminal is registered (S390).

즉, 단계(S390)는 단말 인증 장치(100)가 단말 검증 요청에 따라 제1 보안 단말 장치(40) 및 제2 보안 단말 장치(50)의 검증 요청된 단말 정보 및 영역 정보를 등록된 단말 정보 및 영역 정보와 비교하여 단말 검증을 수행할 수 있다.That is, in step S390, the terminal authentication apparatus 100 transmits the terminal information and the area information requested to be verified by the first and second security terminal apparatuses 40 and 50 to the registered terminal information 40 And the terminal information can be compared with the area information.

이 때, 단계(S390)는 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50) 중 어느 하나라도 등록되어 있지 않은 경우, 단말 인증 장치(100)가 미등록 단말로 인한 오류 메시지를 포함하는 단말 검증 결과를 액세스 포인트 장치(30)에 전송할 수 있다(S400). If neither the first secure terminal device 40 nor the second secure terminal device 50 is registered in step S390, the terminal authentication apparatus 100 includes an error message due to an unregistered terminal To the access point device 30 (S400).

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 미등록 단말을 알릴 수 있다(S410).In addition, the terminal authentication method in different regional spaces according to an embodiment of the present invention can inform the unregistered terminal (S410).

즉, 단계(S410)는 액세스 포인트 장치(30)가 수신한 미등록 단말로 인한 오류 메시지가 포함된 단말 검증 결과를 제2 보안 단말 장치(50)에게 전송할 수 있다.That is, the step S410 may transmit the terminal verification result including the error message due to the unregistered terminal received by the access point 30 to the second secure terminal device 50. [

이 때, 단계(S410)는 제1 보안 단말 장치(40)가 등록되지 않은 단말임을 확인하고 단말 인증 절차를 종료할 수 있다.In this case, the step S410 may confirm that the first secure terminal device 40 is not registered and terminate the terminal authentication procedure.

또한, 단계(S390)는 단말 검증이 성공인 경우, 단말 인증 장치(100)가 사전에 등록된 제1 보안 단말 장치(40) 및 제2 보안 단말 장치(50)의 단말 정보 및 영역 정보를 이용하여 단계(S270)에서 저장부(140)에 저장한 암호화 키를 검색하여 불러올 수 있다(S420).In step S390, when the terminal verification is successful, the terminal authentication apparatus 100 uses the terminal information and the area information of the first security terminal apparatus 40 and the second security terminal apparatus 50 registered in advance The encryption key stored in the storage unit 140 may be retrieved and loaded in step S270 (S420).

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 제21 보안 단말 장치(40)의 공개키를 이용하여 암호화를 수행할 수 있다(S430).In addition, the terminal authentication method in different regional spaces according to the embodiment of the present invention can perform encryption using the public key of the 21st security terminal apparatus 40 (S430).

즉, 단계(S430)는 단말 인증 장치(100)가 요구하는 제2 보안 단말 장치(50)의 영역이 보안영역인지 확인하여 사전에 등록된 보안영역의 공개키를 이용하여 단계(S420)에서 불러온 암호화 키를 암호화할 수 있다.That is, in step S430, it is checked whether the area of the second secure terminal device 50 requested by the terminal authentication apparatus 100 is a secure area, and the secure terminal is called in step S420 using the public key of the security area registered in advance On encryption key can be encrypted.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 검증 결과 및 키를 전송할 수 있다(S440).In addition, the terminal authentication method in different local spaces according to an exemplary embodiment of the present invention may transmit the terminal verification result and the key (S440).

즉, 단계(S440)는 공개키로 암호화된 암호화 키와 단말 검증 결과와 함께 액세스 포인트 장치(30)에게 전송할 수 있다.That is, step S440 may transmit the encrypted key and the terminal verification result together with the public key to the access point 30.

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 단말 검증 결과를 확인할 수 있다(S450).In addition, the terminal authentication method in a different local space according to an exemplary embodiment of the present invention can check the terminal verification result (S450).

즉, 단계(S450)는 액세스 포인트 장치(30)가 수신한 단말 검증 결과를 확인할 수 있다.That is, the step S450 can confirm the terminal verification result received by the access point device 30. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 보안 통신 요청 결과 및 키를 전송할 수 있다(S460).In addition, the terminal authentication method in different regional spaces according to an exemplary embodiment of the present invention may transmit the secure communication request result and the key (S460).

즉, 단계(S460)는 제2 보안 단말 장치(40)가 요청한 단말 검증 요청 결과 및 암호화 키를 제2 보안 단말 장치(50)에게 전송할 수 있다.That is, step S460 may transmit the terminal verification request result and the encryption key requested by the second secure terminal device 40 to the second secure terminal device 50. [

또한, 본 발명의 일실시예에 따른 상이한 지역적 공간에서의 단말 인증 방법은 키 복호화 및 암호화된 데이터의 복호화를 수행할 수 있다(S470).In addition, the terminal authentication method in different local spaces according to an embodiment of the present invention may perform key decryption and decryption of encrypted data (S470).

즉, 단계(S470)는 제2 보안 단말 장치(50)가 액세스 포인트 장치(30)로부터 단말 검증 요청 결과 및 키를 수신할 수 있다.That is, the step S470 may be such that the second secure terminal device 50 receives the terminal verification request result and the key from the access point device 30. [

이 때, 단계(S470)는 제2 보안 단말 장치(50)가 영역 내 개인키로 수신한 암호화 키를 복호화할 수 있다.At this time, the step S470 may decrypt the encryption key received by the second secure terminal device 50 with the private key in the area.

이 때, 단계(S470)는 제2 보안 단말 장치(50)가 복호화 된 암호화 키를 이용하여 제1 보안 단말 장치(40)로부터 수신한 암호화된 데이터를 복호화할 수 있다.At this time, the step S470 may decrypt the encrypted data received from the first secure terminal device 40 by using the decrypted encryption key of the second secure terminal device 50. [

도 9는 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법을 나타낸 시퀀스 다이어그램이다. FIG. 9 is a sequence diagram illustrating a method of authenticating a terminal in the same regional space according to an embodiment of the present invention.

도 9를 참조하면, 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50)가 동일한 지역적 공간(Space A)에 존재하는 경우이며, 도 7 및 도 8에서 설명한 단말 인증 과정이 간소화된 것을 알 수 있다.9, when the first secure terminal device 40 and the second secure terminal device 50 exist in the same local space (Space A), and the terminal authentication process described with reference to FIGS. 7 and 8 is simplified .

본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 먼저 제1 보안 단말 장치(40)가 단말 정보, 영역 정보 및 보안 통신 요청을 액세스 포인트 장치(30)에게 전송할 수 있다(S510).In the terminal authentication method in the same local space according to an embodiment of the present invention, the first secure terminal device 40 may transmit the terminal information, the area information, and the secure communication request to the access point 30 (S510) .

즉, 단계(S510)는 제1 보안 단말 장치(40)가 액세스 포인트 장치(30)에게 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50)의 단말 정보, 영역 정보 및 보안 통신을 요청할 수 있다.That is, in step S510, the first secure terminal device 40 informs the access point device 30 of the terminal information, the area information, and the secure communication of the first secure terminal device 40 and the second secure terminal device 50 Can be requested.

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 액세스 포인트 장치(30)가 제1 보안 단말 장치(40)로부터 수신한 정보로부터 단말 정보를 추출할 수 있다(S520).In addition, the terminal authentication method in the same regional space according to an embodiment of the present invention can extract terminal information from the information received from the first secure terminal device 40 by the access point device 30 (S520).

즉, 단계(S520)는 1 보안 단말 장치(40)로부터 수신한 정보로부터 단말 식별값, 실제 데이터 송수신이 이루어지는 도메인인 보안 영역 고유값 등의 단말 정보를 추출할 수 있다.That is, in step S520, terminal information such as a terminal identification value and a security area eigenvalue, which is a domain in which actual data is transmitted and received, can be extracted from the information received from one security terminal device 40. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 액세스 포인트 장치(30)가 단말 인증 장치(100)에게 단말 검증을 요청할 수 있다(S530).In addition, the terminal authentication method in the same regional space according to an exemplary embodiment of the present invention allows the access point device 30 to request the terminal authentication apparatus 100 to verify the terminal (S530).

즉, 단계(S530)는 액세스 포인트 장치(30)가 추출한 단말 정보를 이용하여 단말 정보가 등록된 단말 인증 장치(100)에게 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50)의 단말 검증을 요청할 수 있다.That is, in operation S530, the first and second secure terminal devices 40 and 50 are connected to the terminal authentication apparatus 100, which has registered the terminal information, using the terminal information extracted by the access point device 30 Terminal verification can be requested.

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 단말 등록 여부를 확인할 수 있다(S540).In addition, the terminal authentication method in the same regional space according to an embodiment of the present invention can confirm whether the terminal is registered (S540).

즉, 단계(S540)는 단말 인증 장치(100)가 단말 검증 요청에 따라 제1 보안 단말 장치(40) 및 제2 보안 단말 장치(50)의 검증 요청된 단말 정보 및 영역 정보를 등록된 단말 정보 및 영역 정보와 비교하여 단말 검증을 수행할 수 있다.That is, in operation S540, the terminal authentication apparatus 100 transmits the terminal information and the area information requested to be verified by the first and second secure terminal apparatuses 40 and 50 to the registered terminal information 40, And the terminal information can be compared with the area information.

이 때, 단계(540)는 제1 보안 단말 장치(40)와 제2 보안 단말 장치(50) 중 어느 하나라도 등록되어 있지 않은 경우, 단말 인증 장치(100)가 미등록 단말로 인한 오류 메시지를 포함하는 단말 검증 결과를 액세스 포인트 장치(30)에 전송할 수 있다(S550). At this time, if any of the first secure terminal device 40 and the second secure terminal device 50 is not registered, the terminal authentication apparatus 100 includes an error message caused by the unregistered terminal To the access point device 30 (S550).

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 미등록 단말을 알릴 수 있다(S560).In addition, the terminal authentication method in the same local space according to an embodiment of the present invention can inform the unregistered terminal (S560).

즉, 단계(S560)는 액세스 포인트 장치(30)가 수신한 미등록 단말로 인한 오류 메시지가 포함된 단말 검증 결과를 제1 보안 단말 장치(40)에게 전송할 수 있다.That is, the step S560 may transmit the terminal verification result including the error message due to the unregistered terminal received by the access point device 30 to the first secure terminal device 40. [

이 때, 단계(S560)는 제1 보안 단말 장치(40)가 등록되지 않은 단말임을 확인하고 단말 인증 절차를 종료할 수 있다.In this case, the step S560 may confirm that the first secure terminal device 40 is not registered and terminate the terminal authentication procedure.

또한, 단계(S540)는 단말 검증이 성공인 경우, 단말 인증 장치(100)가 사전에 등록된 제1 보안 단말 장치(40) 및 제2 보안 단말 장치(50)의 단말 정보 및 영역 정보를 이용하여 암호화 키를 생성할 수 있다(S570).In step S540, when the terminal verification is successful, the terminal authentication apparatus 100 uses the terminal information and the area information of the first security terminal apparatus 40 and the second security terminal apparatus 50 registered in advance To generate an encryption key (S570).

이 때, 단계(S570)는 단말 정보 및 영역 정보와 함께 암호화 키를 단말 인증 장치(100)의 저장부(140)에 저장할 수 있다.At this time, the step S570 may store the encryption key together with the terminal information and the area information in the storage unit 140 of the terminal authentication apparatus 100. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 생성된 키를 제1 보안 단말 장치(40)의 공개키와 제2 보안 단말 장치(50)의 공개키로 각각 암호화를 수행할 수 있다(S580).Also, the terminal authentication method in the same local space according to an embodiment of the present invention encrypts the generated key with the public key of the first secure terminal device 40 and the public key of the second secure terminal device 50 (S580).

즉, 단계(S580)는 생성된 키를 제1 보안 단말 장치(40)의 공개키로 암호화한 제1 암호화 키와 제2 보안 단말 장치(50)의 공개키로 암호화한 제2 암호화 키를 생성할 수 있다.That is, the step S580 may generate the first encryption key obtained by encrypting the generated key using the public key of the first secure terminal device 40 and the second encryption key encrypted using the public key of the second secure terminal device 50 have.

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 제1 보안 단말 장치(40)의 단말 검증 결과 및 제1 암호화 키를 전송할 수 있다(S590).In addition, the terminal authentication method in the same local space according to an embodiment of the present invention may transmit the terminal verification result of the first secure terminal device 40 and the first encryption key (S590).

즉, 단계(S590)는 단말 인증 장치(100)가 제1 보안 단말 장치(40)의 단말 검증 결과 및 제1 암호화 키를 제2 보안 단말 장치(50)에게 전송할 수 있다.That is, the terminal authentication apparatus 100 may transmit the terminal verification result of the first secure terminal apparatus 40 and the first encryption key to the second secure terminal apparatus 50 in step S590.

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 제1 보안 단말 장치(40)의 단말 정보, 영역 정보 및 제1 암호화 키를 저장할 수 있다(S600).In addition, the terminal authentication method in the same local space according to an embodiment of the present invention may store the terminal information, the area information, and the first encryption key of the first secure terminal device 40 (S600).

즉, 단계(S600)는 제2 보안 단말 장치(50)가 수신한 제1 보안 단말 장치(40)의 단말 정보, 영역 정보 및 제1 암호화 키를 저장할 수 있다.That is, the step S600 may store the terminal information, the area information, and the first encryption key of the first secure terminal device 40 received by the second secure terminal device 50. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 제2 보안 단말 장치(50)의 단말 검증 결과 및 제2 암호화 키를 전송할 수 있다(S610).In addition, the terminal authentication method in the same local space according to an embodiment of the present invention can transmit the terminal verification result of the second secure terminal device 50 and the second encryption key (S610).

즉, 단계(S610)는 단말 인증 장치(100)가 제2 보안 단말 장치(50)의 단말 검증 결과 및 제2 암호화 키를 제1 보안 단말 장치(40)에게 전송할 수 있다.That is, in step S610, the terminal authentication apparatus 100 may transmit the terminal verification result of the second secure terminal apparatus 50 and the second encryption key to the first secure terminal apparatus 40. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 단말 검증 결과를 확인할 수 있다(S620).Also, the terminal authentication method in the same local space according to an embodiment of the present invention can check the terminal verification result (S620).

즉, 단계(S620)는 액세스 포인트 장치(30)가 수신한 제2 보안 단말 장치(50)의 단말 검증 결과를 확인할 수 있다.That is, the step S620 can confirm the terminal verification result of the second security terminal device 50 received by the access point device 30. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 보안 통신 요청 결과 및 키를 전송할 수 있다(S630).In addition, the terminal authentication method in the same local space according to an embodiment of the present invention may transmit the secure communication request result and the key (S630).

즉, 단계(S630)는 제1 보안 단말 장치(40)가 요청한 보안 통신 요청 결과 및 제2 암호화 키를 제1 보안 단말 장치(40)에게 전송할 수 있다.That is, the step S630 may transmit the secure communication request result requested by the first secure terminal device 40 and the second encryption key to the first secure terminal device 40. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 키 복호화 및 데이터 암호화를 수행할 수 있다(S640).In addition, the terminal authentication method in the same local space according to an embodiment of the present invention can perform key decryption and data encryption (S640).

즉, 단계(S640)는 제1 보안 단말 장치(40)가 액세스 포인트 장치(30)로부터 보안 통신 요청 결과 및 키를 수신할 수 있다.That is, the step S640 may allow the first secure terminal device 40 to receive the secure communication request result and the key from the access point device 30. [

이 때, 단계(S640)는 제1 보안 단말 장치(40)가 영역 내 개인키로 수신한 제2 암호화 키를 복호화할 수 있다.At this time, the step S640 may decrypt the second encryption key received by the first secure terminal device 40 with the private key in the area.

이 때, 단계(S640)는 제1 보안 단말 장치(40)가 복호화 된 제2 암호화 키를 이용하여 제2 보안 단말 장치(50)에게 전송할 데이터를 암호화할 수 있다.At this time, the step S640 may encrypt the data to be transmitted to the second secure terminal device 50 by using the decrypted second encryption key by the first secure terminal device 40. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 암호화된 데이터를 전송할 수 있다(S650).In addition, the terminal authentication method in the same local space according to an embodiment of the present invention can transmit encrypted data (S650).

즉, 단계(S650)는 제1 보안 단말 장치(40)가 보안 처리 되었음을 알리는 표시가 되어 암호화된 데이터를 액세스 포인트 장치(30)를 통해 제2 보안 단말 장치(50)에게 전송할 수 있다.That is, the step S650 may be an indication that the first secure terminal device 40 has been securely processed, and may transmit the encrypted data to the second secure terminal device 50 through the access point device 30. [

이 때, 단계(S650)는 제1 보안 단말 장치(40)의 단말 정보 및 영역 정보를 포함하는 암호화된 데이터를 전송할 수 있다.At this time, the step S650 may transmit the encrypted data including the terminal information and the area information of the first secure terminal device 40. [

또한, 본 발명의 일실시예에 따른 동일한 지역적 공간에서의 단말 인증 방법은 저장된 키로 수신한 암호화된 데이터의 복호화를 수행할 수 있다(S660).In addition, the terminal authentication method in the same local space according to the embodiment of the present invention can decrypt the received encrypted data with the stored key (S660).

즉, 단계(S660)는 단계(S600)에서 저장한 제1 암호화 키를 제2 보안 단말 장치 내의 개인키로 복호화할 수 있다.That is, the step S660 may decrypt the first encryption key stored in the step S600 with the private key in the second secure terminal device.

이 때, 단계(S660)는 제1 보안 단말 장치(40)로부터 수신한 암호화된 데이터를 복호화된 제1 암호화 키를 이용하여 복호화할 수 있다. At this time, the step S660 may decrypt the encrypted data received from the first secure terminal device 40 using the decrypted first encryption key.

결국, 상기에서 설명한 단말 내 영역 간 연결은 4가지로 나뉠 수 있다. 단말 내 영역 간 연결은 MD -> MD, MD -> SD, SD -> MD, SD -> SD 으로 데이터 전달이 이루어질 수 있다.As a result, the intra-terminal intra-area connection described above can be divided into four types. The connection between the intra-terminal areas can be carried out with MD -> MD, MD -> SD, SD -> MD, SD -> SD.

이 때, 영역 간 연결은 미리 지정된 정책 설정을 통해 운영될 수 있다.At this time, the inter-domain connection can be operated through a predetermined policy setting.

예를 들어, 보안강도가 높지 않을 경우, MD -> MD는 직접적으로 일반 데이터를 통신할 수 있도록 액세스 포인트 장치(30)가 허용하고, SD -> SD는 직접적인 데이터 통신을 액세스 포인트 장치(30)가 허용하되 각 보안 단말 장치의 보안영역 간 상호 인증 기능을 포함하고 있는 것을 전제로 할 수 있다.For example, if the security strength is not high, the access point device 30 permits the MD - > MD to directly communicate general data, and SD - > SD accesses the access point device 30 for direct data communication, , But includes mutual authentication function between security domains of each security terminal device.

반면, 높은 보안 강도가 요구되는 그룹에서 일반 단말 장치(MoD)와 보안 단말 장치(SeD)가 데이터 통신을 하고자 하는 경우에는 MD -> SD와 SD -> MD 뿐만 아니라, SD -> SD도 반드시 위에서 제시한 보안 통신을 위한 단말 인증 방법을 이용하여 보안 데이터 전송을 처리할 수 있다.On the other hand, when a general terminal device (MoD) and a secure terminal device (SeD) want to communicate data in a group requiring high security strength, it is necessary to not only MD -> SD and SD -> MD but also SD -> SD The secure data transmission can be handled using the terminal authentication method for the secure communication.

이와 더불어, 군과 같은 특수 목적에 의해 긴급 상황을 알리기 위해 SD -> MD로 데이터가 전송된 경우, 단말 인증이 완료되었더라도 보안 단말 장치(SeD)의 SD로부터 일반 단말 장치(MoD) 내 MD로 전달된 데이터는 안전하게 보관될 수 없다. 따라서, MD로 전달된 데이터는 내부에 저장되지 않고 일정 시간 후 데이터가 삭제되도록 설정된 뷰어나 알람을 제공할 수도 있다.In addition, if data is transmitted to SD -> MD in order to notify an emergency by a special purpose such as the military, even if the terminal authentication is completed, it is transferred from the SD of the secure terminal device (SeD) to the MD in the general terminal device Data can not be safely stored. Accordingly, the data transmitted to the MD may not be stored internally, but may be provided with a viewer or an alarm set to be deleted after a certain period of time.

이상에서와 같이 본 발명에 따른 단말 인증 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the terminal authentication apparatus and method according to the present invention are not limited to the configuration and method of the embodiments described above, but the embodiments can be applied to all of the embodiments Or some of them may be selectively combined.

10: 일반 단말 장치 11: 일반 단말 관리부
12: 일반 키 관리부 13: 일반 암복호화부
14: 일반 정보송수신부 20: 보안 단말 장치
21: 보안 단말 관리부 22: 보안 키 관리부
23: 보안 암복호화부 24: 보안 정보송수신부
30: 액세스 포인트 장치 31: AP 정보 송수신부
32: AP 단말 검증부 33: AP 키 관리부
40: 제1 보안 단말 장치 50: 제2 보안 단말 장치
100: 정보 송수신부 120: 제어부
130: 키생성부 140: 저장부10: general terminal device 11: general terminal management part
12: general key management unit 13: general encryption / decryption unit
14: General information transmission / reception unit 20: Security terminal device
21: security terminal management unit 22: security key management unit
23: security encryption / decryption unit 24: security information transmission /
30: Access point apparatus 31: AP information transmitting /
32: AP terminal verification unit 33: AP key management unit
40: First secure terminal device 50: Second secure terminal device
100: information transmission / reception unit 120:
130: Key generation unit 140:

Claims (1)

단말 인증 장치를 이용하는 방법에 있어서,
제1 단말 장치가, 제2 단말 장치와의 보안 통신을 위하여 액세스 포인트 장치를 통해 단말 검증을 요청하는 단계;
상기 단말 인증 장치가, 단말 검증 결과에 따라 생성된 키를 상기 제1 단말장치의 데이터 관리 영역에 상응하도록 암호화한 제1 암호화 키를 상기 제1 단말 장치에게 전송하는 단계;
상기 제1 단말 장치가, 상기 제1 암호화 키를 복호화한 상기 생성된 키를 이용하여 암호화된 데이터를 상기 제2 단말 장치에게 전송하는 단계;
상기 제2 단말 장치가, 상기 암호화된 데이터의 복호화를 위하여 상기 액세스 포인트 장치를 통해 단말 검증을 요청하는 단계;
상기 단말 인증 장치가, 단말 검증 결과에 따라 상기 생성된 키를 상기 제2 단말장치의 데이터 관리 영역에 상응하도록 암호화한 제2 암호화 키를 상기 제2 단말 장치에 전송하는 단계; 및
상기 제2 단말 장치가, 상기 제2 암호화 키를 복호화한 상기 생성된 키를 이용하여 상기 암호화된 데이터를 복호화하는 단계;
를 포함하는 것을 특징으로 하는 단말 인증 방법.A method of using a terminal authentication apparatus,
The first terminal device requesting terminal verification through the access point device for secure communication with the second terminal device;
Transmitting the first encryption key obtained by encrypting the key generated according to the terminal verification result to the first terminal device so as to correspond to the data management area of the first terminal device;
The first terminal device transmitting encrypted data using the generated key decrypting the first encryption key to the second terminal device;
The second terminal device requesting terminal verification through the access point device to decrypt the encrypted data;
Transmitting, by the terminal authentication apparatus, a second encryption key obtained by encrypting the generated key to a data management area of the second terminal apparatus, to the second terminal apparatus according to a terminal verification result; And
The second terminal device decrypting the encrypted data using the generated key decrypting the second encryption key;
The terminal authentication method comprising:
KR1020170052242A 2017-04-24 2017-04-24 Apparatus for authentificating terminal and method for using the same KR20180118934A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170052242A KR20180118934A (en) 2017-04-24 2017-04-24 Apparatus for authentificating terminal and method for using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170052242A KR20180118934A (en) 2017-04-24 2017-04-24 Apparatus for authentificating terminal and method for using the same

Publications (1)

Publication Number Publication Date
KR20180118934A true KR20180118934A (en) 2018-11-01

Family

ID=64398365

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170052242A KR20180118934A (en) 2017-04-24 2017-04-24 Apparatus for authentificating terminal and method for using the same

Country Status (1)

Country Link
KR (1) KR20180118934A (en)

Similar Documents

Publication Publication Date Title
CN110474875B (en) Discovery method and device based on service architecture
CN111049660B (en) Certificate distribution method, system, device and equipment, and storage medium
US9668230B2 (en) Security integration between a wireless and a wired network using a wireless gateway proxy
CN104980928B (en) It is a kind of for establishing the method, equipment and system of secure connection
US8295488B2 (en) Exchange of key material
CN109428874B (en) Registration method and device based on service architecture
WO2017185692A1 (en) Key distribution and authentication method, apparatus and system
US9392453B2 (en) Authentication
EP3334084B1 (en) Security authentication method, configuration method and related device
EP1484856A1 (en) The method for distributes the encrypted key in wireless lan
US10680835B2 (en) Secure authentication of remote equipment
CN112994873B (en) Certificate application method and equipment
US9148757B2 (en) Method for tracking a mobile device onto a remote displaying unit
US20240080316A1 (en) Methods and apparatus for provisioning, authentication, authorization, and user equipment (ue) key generation and distribution in an on-demand network
JP4357339B2 (en) Wireless communication system, access point, and wireless communication method
US11652625B2 (en) Touchless key provisioning operation for communication devices
WO2023240587A1 (en) Device permission configuration method and apparatus, and terminal device
CN113316146B (en) Method, access point and terminal for providing network access service
JP2023509806A (en) MOBILE NETWORK ACCESS SYSTEM, METHOD, STORAGE MEDIUM AND ELECTRONIC DEVICE
KR20180118934A (en) Apparatus for authentificating terminal and method for using the same
CN113347628A (en) Method, access point and terminal for providing network access service
US20230308868A1 (en) Method, devices and system for performing key management
KR101878713B1 (en) Method and System For Connecting User Equipment with Network
TWI514189B (en) Network certification system and method thereof
CN117459231A (en) Quantum-safe SD-WAN network system and construction method thereof