KR20190064286A - Security-enhanced wireless communication apparatus - Google Patents

Security-enhanced wireless communication apparatus Download PDF

Info

Publication number
KR20190064286A
KR20190064286A KR1020170163721A KR20170163721A KR20190064286A KR 20190064286 A KR20190064286 A KR 20190064286A KR 1020170163721 A KR1020170163721 A KR 1020170163721A KR 20170163721 A KR20170163721 A KR 20170163721A KR 20190064286 A KR20190064286 A KR 20190064286A
Authority
KR
South Korea
Prior art keywords
security
file
operating system
wireless communication
service
Prior art date
Application number
KR1020170163721A
Other languages
Korean (ko)
Other versions
KR102058035B1 (en
Inventor
한남석
정희원
Original Assignee
주식회사 무한비트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 무한비트 filed Critical 주식회사 무한비트
Priority to KR1020170163721A priority Critical patent/KR102058035B1/en
Publication of KR20190064286A publication Critical patent/KR20190064286A/en
Application granted granted Critical
Publication of KR102058035B1 publication Critical patent/KR102058035B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/10Push-to-Talk [PTT] or Push-On-Call services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Abstract

The present invention relates to a security-enhanced wireless communication apparatus. The security-enhanced wireless communication apparatus comprises: a memory divided into a plurality of security partitions; a security accelerator providing a plurality of security algorithms; and a processor controlling a plurality of security element adapters, each of which provides a security system call application programming interface (API) in cooperation with an independent security service application, and a virtual machine which enforces a security policy on the security system call API, provides a usage right of the security accelerator according to the security policy, or provides an access right to the security partitions. Therefore, the present invention is able to provide a security solution specialized in a multipurpose service by using a virtual machine.

Description

보안이 강화된 무선 통신 장치{SECURITY-ENHANCED WIRELESS COMMUNICATION APPARATUS}[0001] SECURITY-ENHANCED WIRELESS COMMUNICATION APPARATUS [0002]

본 발명은 무선 통신 기술에 관한 것으로, 보다 상세하게는 가상 머신을 이용하여 다목적 서비스에 특화된 보안 솔루션을 제공할 수 있는 보안이 강화된 무선 통신 장치에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a wireless communication technology, and more particularly, to a security-enhanced wireless communication device capable of providing a security solution specialized in a multipurpose service using a virtual machine.

무선 푸시-투-토크(PTT) 시스템은 다수의 사람들로 이루어진 그룹 간, 즉 멤버들 간의 서로 PTM 형식으로 통신하기를 요구하는 환경에서 사용될 수 있다. 푸시-투-토크(PTT) 어플리케이션이 사용되는 환경의 예로는 작업 그룹 통신, 보안 통신, 건설 현장 통신 및 지역 군대 통신 등이 포함될 수 있다. 푸시-투-토크(PTT) 서비스는 전형적인 하프-듀플렉스에 해당하고, 주어진 시간에 오직 하나의 멤버만이 다른 멤버에서 정보를 전송할 수 있다. 푸시-투-토크(PTT) 서비스 역시 보안이 중요하지만 보안 기능은 매우 취약한 편에 속한다.A wireless push-to-talk (PTT) system may be used in an environment that requires a plurality of groups of people, i.e., members, to communicate with each other in PTM format. Examples of environments in which a push-to-talk (PTT) application is used may include workgroup communications, secure communications, construction site communications, and local army communications. A push-to-talk (PTT) service corresponds to a typical half-duplex, and only one member at a given time can transmit information from another member. Push-to-talk (PTT) services are also important, but security features are very weak.

한국등록특허 제10-0978987(2010.08.24)호는 하프-듀플렉스 AD-HOC 그룹 음성 셀룰라 네트워크채널에서의 고속 보안 세션 성립 방법 및 장치에 관한 것으로, 디바이스 그룹을 포함하는 무선 디스패치 시스템에서 보안 그룹 통신을 위한 기술이 제공되고, 디바이스 그룹은 채널을 통하여 복수의 제2 보안 디바이스와 통신하는 제1 보안 디바이스를 포함할 수 있다.Korean Patent No. 10-0978987 discloses a method and apparatus for establishing a high-speed security session in a half-duplex AD-HOC group voice cellular network channel. In a wireless dispatch system including a device group, A group of devices may include a first secure device in communication with a plurality of second secure devices through a channel.

한국등록특허 제10-1048523(2011.07.05)호는 다기능 무전기에 관한 것으로, 불루투스를 이용한 핸드폰과 통신이 가능하고, 라디오 수신이 가능하며, PTT(Push to talk) 스위치를 외부에 별도로 장착하여 본체와 PTT간에 무선으로 통신을 하여 양손이 자유롭지 못한 레저(예: 자전거, 인라인, 오토바이 등)를 즐길 때 유용하게 사용할 수 있도록 한 것이고, 이로 인해 제품의 품질과 신뢰성을 대폭 향상시켜 소비자로 하여금 좋은 이미지를 심어줄 수 있도록 한 것이다.Korean Patent No. 10-1048523 (July 23, 2011) relates to a multifunctional radio capable of communicating with a cell phone using Bluetooth, receiving radio waves, and a push-to-talk (PTT) And PTT to wirelessly communicate with each other and enjoy hands free leisure (eg, bicycle, in-line, motorcycle, etc.), thereby greatly improving the quality and reliability of the product, To be planted.

한국등록특허 제10-0978987(2010.08.24)호Korea Patent No. 10-0978987 (Aug. 24, 2010) 한국등록특허 제10-1048523(2011.07.05)호Korean Patent No. 10-1048523 (Jul. 2011)

본 발명의 일 실시예는 가상 머신을 이용하여 다목적 서비스에 특화된 보안 솔루션을 제공할 수 있는 보안이 강화된 무선 통신 장치를 제공하고자 한다.An embodiment of the present invention is to provide a security-enhanced wireless communication device capable of providing a security solution specialized for a multi-purpose service by using a virtual machine.

본 발명의 일 실시예는 보안 서비스 별로 독립적인 보안 정책을 결정할 수 있고, 보안 정책에 따라 독립적인 보안 알고리즘을 적용할 수 있는 보안이 강화된 무선 통신 장치를 제공하고자 한다.One embodiment of the present invention is to provide a security-enhanced wireless communication device capable of determining an independent security policy for each security service and applying an independent security algorithm according to the security policy.

본 발명의 일 실시예는 보안 정책에 따라 보안 가속기의 사용권한 또는 보안 파티션에 관한 접근권한을 제어할 수 있는 보안이 강화된 무선 통신 장치를 제공하고자 한다.An embodiment of the present invention is to provide a security-enhanced wireless communication device capable of controlling access rights of a security accelerator or a security partition according to a security policy.

실시예들 중에서, 보안이 강화된 무선 통신 장치는 복수의 보안 파티션(Partition)들로 구분된 메모리, 복수의 보안 알고리즘들을 제공하는 보안 가속기 및 각각이 독립적인 보안 서비스 어플리케이션과 연동하여 보안 시스템 호출 API(Application Programming Interface)를 제공하는 복수의 보안 엘리먼트 어댑터(Element Adapter)들 및 상기 보안 시스템 호출 API에 관해 보안정책을 강제하고 상기 보안정책에 따라 상기 보안 가속기의 사용권한을 제공하거나 또는 해당 보안 파티션에 관한 접근권한을 제공하는 가상 머신(Virtual Machine)을 제어하는 프로세서를 포함한다.Among the embodiments, the security enhanced wireless communication device includes a memory divided into a plurality of security partitions, a security accelerator providing a plurality of security algorithms, and a security system call API A plurality of security element adapters for providing an application programming interface (API) and security policies for the security system call API, providing the use rights of the security accelerator according to the security policy, And a processor that controls a virtual machine that provides access rights to the virtual machine.

상기 프로세서는 상기 복수의 보안 엘리먼트 어댑터들 중 하나를 스마트 카드에 관한 서비스를 위한 칩운영체제로 설정하고, 다른 하나를 원격 파일 처리에 관한 서비스를 위한 파일운영체제로 설정할 수 있다.The processor can set one of the plurality of security element adapters as a chip operating system for a service related to a smart card and set the other as a file operating system for a service related to remote file processing.

상기 칩운영체제는 상기 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드 메시지로 결제 승인 기기에 전송하여 클라우드 서버에 상기 결제 요청을 저장할 수 있다.The chip operating system may transmit the payment request through a security system call API used in the payment process of the smart card to the payment approval device in the form of a cloud message to store the payment request in the cloud server.

상기 칩운영체제는 상기 결제 요청의 승인이 성공적으로 수신되면 상기 보안 가속기를 통한 상기 복수의 보안 파티션들 중 하나인 스마트 카드용 보안 파티션의 접근을 허용하여 해당 보안 서비스 어플리케이션이 상기 스마트 카드용 보안 파티션에 있는 결제수단에 접근하는 것을 방지할 수 있다.The chip operating system permits access to the security partition for the smart card, which is one of the plurality of security partitions through the security accelerator, when the approval of the payment request is successfully received, It is possible to prevent access to the payment means.

상기 칩운영체제는 상기 결제수단으로부터 파생되고 상기 보안 가속기에 의해 전부 암호화된 결제정보를 결제 처리 장치에 제공할 수 있다.The chip operating system may provide settlement information derived from the settlement means and completely encrypted by the security accelerator to the settlement processing apparatus.

상기 파일운영체제는 직접 P2P 파일의 전송 과정에서 보안 시스템 호출 API를 사용함으로써 상기 보안 가속기를 통해 부분적으로 암호화된 파일을 생성하도록 하여 파일 수신저장 기기에 상기 부분적으로 암호화된 파일을 전송할 수 있다.The file operating system may generate the partially encrypted file through the security accelerator by using the secure system call API in the process of directly transmitting the P2P file, thereby transmitting the partially encrypted file to the file receiving and storing device.

상기 파일운영체제는 원본 파일을 복수의 절편들로 분할하고 원본 절편과 암호화된 절편을 교번하여 상기 부분적으로 암호화된 파일을 생성할 수 있다.The file operating system may divide the original file into a plurality of intercepts and generate the partially encrypted file by alternating the encrypted intercept with the original intercept.

상기 프로세서는 상기 복수의 보안 엘리먼트 어댑터들 중 또 다른 하나를 PTT 서비스를 위한 PTT 운영체제로 설정하고, 상기 PTT 운영체제는 PTT의 전송 과정 전에 사용되는 보안 시스템 호출 API를 통해 파일운영체제에 의한 직접 P2P 파일의 전송에 끼어들어 상기 보안 가속기를 통해 가변적 암호화된 PTT 메시지의 전송을 우선 처리하며, 상기 가변적 암호화는 상기 프로세서의 업무부하에 따라 차별적인 보안 알고리즘으로 수행할 수 있다.The processor sets another one of the plurality of security element adapters as a PTT operating system for a PTT service, and the PTT operating system transmits a direct P2P file by a file operating system through a security system call API used before a transmission process of a PTT Transmission of a variable-size PTT message through the security accelerator is performed prior to transmission, and the variable encryption can be performed with a different security algorithm according to the load of the processor.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technique may have the following effects. It is to be understood, however, that the scope of the disclosed technology is not to be construed as limited thereby, as it is not meant to imply that a particular embodiment should include all of the following effects or only the following effects.

본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치는 보안 서비스 별로 독립적인 보안 정책을 결정할 수 있고, 보안 정책에 따라 독립적인 보안 알고리즘을 적용할 수 있다.The security-enhanced wireless communication apparatus according to an exemplary embodiment of the present invention can determine an independent security policy for each security service, and can apply an independent security algorithm according to the security policy.

본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치는 보안 정책에 따라 보안 가속기의 사용권한 또는 보안 파티션에 관한 접근권한을 제어할 수 있다.The security-enhanced wireless communication apparatus according to an exemplary embodiment of the present invention can control the access right of the security accelerator or the security partition according to the security policy.

도 1은 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 무선 통신 장치를 설명하는 블록도이다.
도 3은 도 2에 있는 보안 엘리먼트를 설명하는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 무선 통신 장치가 칩운영체제를 통해 스마트 카드 결제 서비스를 제공하는 과정을 설명하는 순서도이다.
도 5는 파일운영체제에서 부분적으로 암호화된 파일을 생성하는 과정을 설명하는 예시도이다.
도 6는 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치에서 제공되는 주요 기능을 설명하는 도면이다.1 is a diagram illustrating a security-enhanced wireless communication system according to an exemplary embodiment of the present invention.
2 is a block diagram illustrating the wireless communication apparatus of Fig.
3 is a block diagram illustrating the security element of FIG.
4 is a flowchart illustrating a process of providing a smart card settlement service through a chip operating system according to an exemplary embodiment of the present invention.
5 is an exemplary diagram illustrating a process of generating a partially encrypted file in a file operating system.
6 is a diagram illustrating a main function provided in a security enhanced wireless communication apparatus according to an embodiment of the present invention.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The description of the present invention is merely an example for structural or functional explanation, and the scope of the present invention should not be construed as being limited by the embodiments described in the text. That is, the embodiments are to be construed as being variously embodied and having various forms, so that the scope of the present invention should be understood to include equivalents capable of realizing technical ideas. Also, the purpose or effect of the present invention should not be construed as limiting the scope of the present invention, since it does not mean that a specific embodiment should include all or only such effect.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.Meanwhile, the meaning of the terms described in the present application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.The terms "first "," second ", and the like are intended to distinguish one element from another, and the scope of the right should not be limited by these terms. For example, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It is to be understood that when an element is referred to as being "connected" to another element, it may be directly connected to the other element, but there may be other elements in between. On the other hand, when an element is referred to as being "directly connected" to another element, it should be understood that there are no other elements in between. On the other hand, other expressions that describe the relationship between components, such as "between" and "between" or "neighboring to" and "directly adjacent to" should be interpreted as well.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.It is to be understood that the singular " include " or "have" are to be construed as including the stated feature, number, step, operation, It is to be understood that the combination is intended to specify that it does not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, the identification code (e.g., a, b, c, etc.) is used for convenience of explanation, the identification code does not describe the order of each step, Unless otherwise stated, it may occur differently from the stated order. That is, each step may occur in the same order as described, may be performed substantially concurrently, or may be performed in reverse order.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be embodied as computer-readable code on a computer-readable recording medium, and the computer-readable recording medium includes all kinds of recording devices for storing data that can be read by a computer system . Examples of the computer-readable recording medium include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like. In addition, the computer-readable recording medium may be distributed over network-connected computer systems so that computer readable codes can be stored and executed in a distributed manner.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs, unless otherwise defined. Commonly used predefined terms should be interpreted to be consistent with the meanings in the context of the related art and can not be interpreted as having ideal or overly formal meaning unless explicitly defined in the present application.

도 1은 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 시스템을 설명하는 도면이다.1 is a diagram illustrating a security-enhanced wireless communication system according to an exemplary embodiment of the present invention.

도 1을 참조하면, 보안이 강화된 무선 통신 시스템(이하, 무선 통신 시스템이라 한다.)(100)은 적어도 두개의 무선 통신 장치(110)를 포함할 수 있다.Referring to FIG. 1, a security enhanced wireless communication system (hereinafter, referred to as a wireless communication system) 100 may include at least two wireless communication devices 110.

무선 통신 장치(110)는 일대일 또는 일대다수가 즉시 간단한 의사소통을 포함하는 실시간 무선 통신 서비스를 이용할 수 있는 푸시-투-토크(Push-To-Talk, PTT) 단말에 해당할 수 있다. 무선 통신 시스템(100)을 구성하는 복수의 무선 통신 장치(110) 중 어느 하나의 무선 통신 장치(111)는 나머지 무선 통신 장치(112, 113) 중 적어도 하나의 무선 통신 장치(112 또는 113)와 네트워크를 통해 연결될 수 있고, 메시지를 주고 받을 수 있다.The wireless communication device 110 may correspond to a Push-To-Talk (PTT) terminal that can use real-time wireless communication services, one to one or a plurality of which immediately include simple communication. Any one of the plurality of radio communication apparatuses 110 constituting the radio communication system 100 is connected to at least one of the remaining radio communication apparatuses 112 and 113 They can be connected over a network and can send and receive messages.

도 2는 도 1에 있는 무선 통신 장치를 설명하는 블록도이다.2 is a block diagram illustrating the wireless communication apparatus of Fig.

도 2를 참조하면, 무선 통신 장치(110)는 보안 서비스 어플리케이션(210), 보안 엘리먼트 어댑터(Element Adapter)(220), 가상 머신(Virtual Mation)(230) 및 보안 엘리먼트(Security Element)(240)를 포함할 수 있다.2, the wireless communication device 110 includes a security service application 210, a security element adapter 220, a virtual machine 230, a security element 240, . ≪ / RTI >

보안 서비스 어플리케이션(210)은 무선 통신 장치(110)에서 제공하는 독립적인 보안 서비스를 제공하기 위한 응용 프로그램에 해당할 수 있다. 무선 통신 장치(110)는 복수의 보안 서비스를 제공할 수 있고, 각각의 보안 서비스를 제공하기 위해서 각 보안 서비스를 위한 동작을 독립적으로 수행하는 보안 서비스 어플리케이션(210)을 포함할 수 있다.The security service application 210 may correspond to an application program for providing an independent security service provided by the wireless communication device 110. The wireless communication device 110 may include a security service application 210 that can provide a plurality of security services and independently perform operations for each security service to provide each security service.

예를 들어, 보안 서비스 어플리케이션(210)은 스마트 카드 솔루션 서비스, 클라우드 네트워크 서비스, P2P 다이렉트 통신(Direct Communication) 서비스, P2P 릴레이 통신(Relay Communication) 서비스 및 파일 전송/저장 서비스를 제공하기 위한 어플리케이션에 해당할 수 있고, 반드시 이에 한정되지 않고, 무선 통신 장치(110)가 제공하는 다양한 형태의 보안 서비스를 직접적으로 수행할 수 있는 어플리케이션에 해당할 수 있다.For example, the security service application 210 corresponds to an application for providing a smart card solution service, a cloud network service, a P2P direct communication service, a P2P relay communication service, and a file transmission / The present invention can be applied to an application that can directly perform various types of security services provided by the wireless communication device 110. [

보안 서비스 어플리케이션(210)은 무선 통신 장치(110)에 기본적으로 설치될 수 있고, 무선 통신 장치(110)가 네트워크를 통해 설치 관련 파일을 다운로드 받아 직접 설치할 수 있다. 무선 통신 장치(110)는 업데이트 서버(도 1에 미도시함.)에 접속하여 주기적으로 각 보안 서비스 어플리케이션(210)에 대한 업데이트 여부를 확인할 수 있고, 업데이트 파일이 존재하는 경우 자동으로 업데이트를 수행할 수 있다.The security service application 210 may be installed in the wireless communication device 110 basically, and the wireless communication device 110 may download installation related files through the network and directly install the files. The wireless communication device 110 can be connected to the update server (not shown in FIG. 1) to periodically check whether or not the security service application 210 is updated, and if the update file exists, the wireless communication device 110 automatically performs update can do.

보안 엘리먼트 어댑터(Element Adapter)(220)는 보안 서비스 어플리케이션(210)과 일대일로 연동할 수 있고, 보안 시스템 호출 API(Application Programming Interface)를 제공할 수 있다. 보안 엘리먼트 어댑터(220)는 보안정책에 따라 보안 시스템 호출 API를 해당 보안 엘리먼트 어댑터(220)와 연동하고 있는 보안 서비스 어플리케이션(210)에 제공할 수 있다.The security element adapter 220 can interwork with the security service application 210 in a one-to-one manner and can provide a security system call API (Application Programming Interface). The security element adapter 220 may provide the security system call API to the security service application 210 linked to the security element adapter 220 according to the security policy.

무선 통신 장치(110)는 특정 보안 서비스 어플리케이션(210)이 실행되면 보안 엘리먼트 어댑터(220)를 생성하고, 특정 보안 서비스 어플리케이션(210)과 생성된 보안 엘리먼트 어댑터(220)를 일대일로 연동시킬 수 있다. 무선 통신 장치(110)는 해당 보안 서비스 어플리케이션(210)에 적합한 보안 정책을 결정할 수 있고, 결정된 보안 정책을 보안 엘리먼트 어댑터(220)에 적용할 수 있다. 무선 통신 장치(110)는 보안 서비스 어플리케이션(210)이 동작을 완료하고 종료되는 경우 해당 보안 서비스 어플리케이션(210)과 연동된 보안 엘리먼트 어댑터(220)를 삭제할 수 있다.When the specific security service application 210 is executed, the wireless communication device 110 generates the security element adapter 220 and can link the specific security service application 210 and the generated security element adapter 220 one on another . The wireless communication device 110 may determine an appropriate security policy for the security service application 210 and may apply the determined security policy to the security element adapter 220. [ The wireless communication device 110 may delete the security element adapter 220 associated with the security service application 210 when the security service application 210 completes its operation and is terminated.

가상 머신(Virtual Mation)(230)은 보안 엘리먼트 어댑터(220)의 동작을 관리할 수 있다. 가상 머신(230)은 보안 엘리먼트(240)에 포함되어 있는 프로세서(도 2에서 미도시함.)에 의해 제어될 수 있다. 프로세서에 대해서는 도 3에서 자세히 설명한다.The virtual machine 230 can manage the operation of the security element adapter 220. The virtual machine 230 may be controlled by a processor (not shown in FIG. 2) included in the secure element 240. The processor is described in detail in FIG.

가상 머신(230)은 복수의 보안 엘리먼트 어댑터(230)들 및 보안 시스템 호출 API에 관해 보안정책을 강제할 수 있다. 보다 구체적으로, 가상 머신(230)은 복수의 보안 엘리먼트 어댑터(230)들이 각각에 적용된 보안정책에 따라 보안 시스템 호출 API를 보안 서비스 어플리케이션(210)에 제공하도록 강제할 수 있다.The virtual machine 230 may enforce the security policy on the plurality of security element adapters 230 and the security system call API. More specifically, the virtual machine 230 may force the plurality of security element adapters 230 to provide the security system call API to the security service application 210 according to the security policy applied to each.

일 실시예에서, 가상 머신(230)은 보안 서비스 어플리케이션(210)이 제공하는 보안 서비스의 내용을 기초로 차등적으로 보안 정책을 결정할 수 있다. 보다 구체적으로, 가상 머신(230)은 서비스의 성질상 높은 보안이 필요한 순서에 따라 차등적인 보안 정책을 결정할 수 있다. 예를 들어, 가상 머신(230)은 높은 보안 기준을 적용하는 순서에 따라 스마트 카드 솔루션 서비스, 파일 전송/저장 서비스, P2P 릴레이 통신 서비스, P2P 다이렉트 통신 서비스 및 클라우드 네트워크 서비스 순서로 차등적인 보안 정책을 결정할 수 있다.In one embodiment, the virtual machine 230 can differentially determine a security policy based on the contents of the security service provided by the security service application 210. [ More specifically, the virtual machine 230 can determine a differential security policy according to the order of necessity of high security in the nature of the service. For example, the virtual machine 230 may set a different security policy in the order of applying the high security standard to the smart card solution service, the file transfer / storage service, the P2P relay communication service, the P2P direct communication service and the cloud network service order You can decide.

가상 머신(230)은 보안 정책에 따라 보안 가속기(도 2에서 미도시함.)의 사용권한을 제공하거나 메모리(도 2에서 미도시함.)의 해당 보안 파티션에 관한 접근권한을 제공할 수 있다. 여기에서, 보안 가속기 및 메모리에 대해서는 도 3에서 자세히 설명한다.The virtual machine 230 may either provide the use of the security accelerator (not shown in FIG. 2) or provide access to the security partition of the memory (not shown in FIG. 2) according to the security policy . Here, the security accelerator and the memory will be described in detail in Fig.

보안 엘리먼트(Security Element)(240)는 무선 통신 장치(110)의 전체적인 보안 처리를 담당할 수 있다. 보안 엘리먼트(240)는 가상 머신(230)이 동작할 수 있는 실행 환경을 제공할 수 있고, 가상 머신(230)의 동작을 제어할 수 있다. 보안 엘리먼트(240)는 가상 머신(230)을 통해 각각의 보안 서비스 어플리케이션(210)들이 동작하는 환경을 제공할 수 있고, 보안 서비스 어플리케이션(210)들이 수행되는 과정에서 보안 가속기에 대한 사용권한 또는 메모리에 관한 접근권한을 제어할 수 있다.The security element 240 may be responsible for the overall security processing of the wireless communication device 110. The security element 240 can provide an execution environment in which the virtual machine 230 can operate and can control the operation of the virtual machine 230. [ The security element 240 may provide an environment in which each security service application 210 operates through the virtual machine 230 and may provide a license for the security accelerator or a memory Can be controlled.

도 3은 도 2에 있는 보안 엘리먼트를 설명하는 블록도이다.3 is a block diagram illustrating the security element of FIG.

보안 엘리먼트(240)는 메모리(310), 보안 가속기(330) 및 프로세서(350)를 포함할 수 있다.The security element 240 may include a memory 310, a security accelerator 330, and a processor 350.

메모리(310)는 플래시 메모리(Flash Memory)로 구현될 수 있고, 복수의 보안 파티션(Partition)들로 구분될 수 있다. 여기에서, 보안 파티션(Partition)은 메모리(310)의 일부분에 해당할 수 있고, 특정 보안 서비스 어플리케이션(210)과 연관되어 해당 보안 서비스 제공을 위해서는 사용되도록 접근이 제한될 수 있다. 메모리(310)를 구성하는 각각의 보안 파티션들은 보안 엘리먼트(240)의 통제를 받는 가상 머신(230)의 제어에 따라 특정 보안 서비스 어플리케이션(210)과 연관될 수 있다.The memory 310 may be implemented as a flash memory, and may be divided into a plurality of security partitions. Here, the security partition may correspond to a portion of the memory 310, and may be restricted to be used for the provision of the security service in association with the specific security service application 210. Each of the security partitions that constitute the memory 310 may be associated with a particular security service application 210 under the control of the virtual machine 230 under the control of the security element 240.

메모리(310)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 무선 통신 장치(110)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다. 메모리(310)는 RAM 또는 ROM(Read Only Memory)과 독립적으로 구현될 수 있다.The memory 310 may include an auxiliary storage device, which is implemented as a nonvolatile memory such as a solid state disk (SSD) or a hard disk drive (HDD), and is used to store data necessary for the wireless communication device 110, And a main memory implemented with a volatile memory such as a RAM (Random Access Memory). The memory 310 may be implemented independently of RAM or ROM (Read Only Memory).

보안 가속기(330)는 복수의 보안 알고리즘들을 제공할 수 있다. 보안 서비스 어플리케이션(210)은 가상 머신(230)에 의해 보안 정책이 적용될 수 있고, 적용된 보안 정책에 따라 보안 가속기(330)를 사용함으로써 해당 보안 알고리즘이 적용된 서비스 동작을 수행할 수 있다. 무선 통신 장치(110)는 가상 머신(230)을 통해 각각의 보안 서비스 어플리케이션(210)들이 보안 가속기(330)를 사용할 수 있는 사용권한을 제어할 수 있다.The security accelerator 330 may provide a plurality of security algorithms. The security service application 210 can apply the security policy by the virtual machine 230 and can perform the service operation using the security algorithm by using the security accelerator 330 according to the applied security policy. The wireless communication device 110 may control the right of use of each security service application 210 through the virtual machine 230 to use the security accelerator 330. [

프로세서(350)는 무선 통신 장치(110)의 주요 기능과 연관된 보안 서비스 어플리케이션(210)을 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(310)를 관리할 수 있으며, 메모리(310)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(350)는 무선 통신 장치(110)의 동작 전반을 제어할 수 있고, 메모리(310) 및 보안 가속기(330)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(350)는 무선 통신 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 350 may execute the security service application 210 associated with the primary function of the wireless communication device 110 and may manage the memory 310 that is read or created throughout the process, The synchronization time between the volatile memory and the non-volatile memory can be scheduled. The processor 350 may control the overall operation of the wireless communication device 110 and may be electrically coupled to the memory 310 and the security accelerator 330 to control the data flow between them. The processor 350 may be implemented as a central processing unit (CPU) of the wireless communication device 130.

일 실시예에서, 프로세서(350)는 복수의 보안 엘리먼트 어댑터(220)들 중 하나를 스마트 카드(Smart Card)에 관한 서비스를 위한 칩운영체제로 설정하고, 다른 하나를 원격 파일 처리에 관한 서비스를 위한 파일운영체제로 설정할 수 있다. 여기에서, 칩운영체제는 무선 통신 장치(110)를 통해 스마트 카드 솔루션 서비스를 제공하기 위해 필요한 시스템 소프트웨어에 해당할 수 있고, 파일운영체제는 무선 통신 장치(110)를 통해 파일 전송 및 저장 서비스를 제공하기 위해 필요한 시스템 소프트웨어에 해당할 수 있다. 칩운영체제 및 파일운영체제는 가상 머신(230)의 통제 하에서 각각 연관된 보안 서비스 어플리케이션(210)의 동작을 제어할 수 있다.In one embodiment, the processor 350 configures one of the plurality of security element adapters 220 as a chip operating system for services related to a Smart Card, and sets the other as a service for remote file processing You can set it as a file operating system. Here, the chip operating system may correspond to the system software required to provide the smart card solution service through the wireless communication device 110, and the file operating system may provide the file transfer and storage service through the wireless communication device 110 This may be equivalent to the system software required to do so. The chip operating system and the file operating system can control the operation of the associated security service application 210 under the control of the virtual machine 230, respectively.

일 실시예에서, 칩운영체제는 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드 메시지로 결제 승인 기기에 전송하여 클라우드 서버에 결제 요청을 저장할 수 있다. 보다 구체적으로, 칩운영체제는 무선 통신 장치(110)에 내장된 스마트 카드 정보를 기초로 결제 요청 신호를 수신하면 해당 결제 요청 정보를 보안 시스템 호출 API를 통해 보안 처리한 후 클라우드 메시지로서 클라우드 네트워크를 통해 결제 승인 기기로 전송할 수 있다.In one embodiment, the chip operating system may transmit a payment request through a security system call API used in a payment process of a smart card to a payment approval device as a cloud message, and store the payment request in a cloud server. More specifically, when the chip operating system receives a payment request signal based on the smart card information embedded in the wireless communication device 110, the chip operating system performs security processing of the payment request information through the security system call API and then transmits the payment request information through the cloud network as a cloud message It can be transferred to the payment approval device.

여기에서, 칩운영체제에 의한 보안 처리는 개인 정보가 포함된 결제 요청 정보에 대해 보안 시스템 호출 API를 통해 보안 알고리즘을 적용하여 암호화함으로써 결제 요청 정보를 보호하기 위한 작업에 해당할 수 있다. 이 경우, 적용되는 보안 알고리즘은 가상 머신(230)에 의해 강제되는 보안 정책에 따라 칩운영체제는 보안 처리된 결제 요청 정보를 클라우드 메시지로서 클라우드 네트워크를 통해 결제 승인 기기로 전송할 수 있다. 결제 승인 기기는 무선 통신 장치(110)와 클라우드 네트워크를 통해 연결될 수 있고, 다른 작업을 수행하는 도중 특정 무선 통신 장치(110)로부터 결제 요청을 수신한 경우에는 클라우드 서버에 수신한 순서대로 결제 요청을 저장할 수 있다. 결제 승인 기기는 클라우드 서버에 저장된 순서에 따라 결제 요청을 처리할 수 있다.Here, the security processing by the chip operating system may correspond to a task for protecting the settlement request information by encrypting the settlement request information including the personal information by applying a security algorithm through the security system call API. In this case, according to the security policy enforced by the virtual machine 230, the chip operating system can transmit the secured payment request information as a cloud message to the payment approval device through the cloud network. The payment approval device can be connected to the wireless communication device 110 through the cloud network. If the payment approval device receives a payment request from the specific wireless communication device 110 during another operation, the payment approval device transmits a payment request in the order received by the cloud server 110 Can be stored. The payment approval device can process the payment request in the order stored in the cloud server.

일 실시예에서, 칩운영체제는 결제 요청의 승인이 성공적으로 수신되면 보안 가속기(330)를 통한 복수의 보안 파티션들 중 하나인 스마트 카드용 보안 파티션의 접근을 허용하여 해당 보안 서비스 어플리케이션(210)이 스마트 카드용 보안 파티션에 있는 결제수단의 접근을 방지할 수 있다.In one embodiment, the chip operating system allows access to the secure partition for the smart card, which is one of the plurality of secure partitions via the secure accelerator 330, upon receipt of the approval of the payment request, It is possible to prevent access to the payment means in the secure partition for the smart card.

스마트 카드 결제 서비스는 고도의 보안이 요구되는 서비스에 해당하므로, 칩운영체제는 스마트 카드 결제 서비스를 제공하는 보안 서비스 어플리케이션(210)이라고 하더라도 결제수단이 저장된 스마트 카드용 보안 파티션으로의 접근을 매우 엄격히 제한함으로써 보안성을 강화할 수 있다.Since the smart card settlement service corresponds to a service requiring a high level of security, the chip operating system strictly restricts access to the secure partition for the smart card in which the settlement means is stored even in the security service application 210 providing the smart card settlement service Thereby enhancing security.

일 실시예에서, 칩운영체제는 결제수단으로부터 파생되고 보안 가속기(330)에 의해 전부 암호화된 결제정보를 결제 처리 장치에 제공할 수 있다. 칩운영체제는 결제수단으로부터 파생된 결제 정보를 보호하기 위해 보안 가속기(330)를 통해 가장 엄격한 보안 기준을 가진 보안 알고리즘을 적용하여 암호화할 수 있다. 최종적으로 암호화된 결제정보는 결제 처리 장치에 제공되고, 결제 처리 장치는 결제정보를 기초로 결제 처리를 수행하게 된다.In one embodiment, the chip operating system may provide settlement information derived from the payment means and fully encrypted by the security accelerator 330 to the payment processing device. The chip operating system may encrypt the security information by applying a security algorithm having the most stringent security criteria through the security accelerator 330 to protect the payment information derived from the payment means. Finally, the encrypted payment information is provided to the payment processing apparatus, and the payment processing apparatus performs payment processing based on the payment information.

일 실시예에서, 파일운영체제는 직접 P2P(Peer To Peer) 파일의 전송 과정에서 보안 시스템 호출 API를 사용함으로써 보안 가속기(330)를 통해 부분적으로 암호화된 파일을 생성하도록 하여 파일 수신저장 기기에 부분적으로 암호화된 파일을 전송할 수 있다.In one embodiment, the file operating system may directly generate a partially encrypted file through the security accelerator 330 by using the secure system call API in the process of directly transmitting a Peer To Peer (P2P) file, Encrypted files can be transferred.

일 실시예에서, 파일운영체제는 원본 파일을 복수의 절편들로 분할하고 원본 절편과 암호화된 절편을 교번하여 부분적으로 암호화된 파일을 생성할 수 있다. 도 5는 파일운영체제에서 부분적으로 암호화된 파일을 생성하는 과정을 설명하는 예시도이다. 도 5를 참조하면, 파일운영체제는 원본 파일(510)을 복수의 절편(551, 553)들로 분할할 수 있다. 파일 운영체제는 복수의 절편들 중 일부 절편들을 보안 가속기(330)를 통해 보안 알고리즘을 적용하여 암호화된 절편(553)들을 생성할 수 있다. 파일 운영체제는 원본 절편(551)과 암호화된 절편(553)들을 교번하여 부분적으로 암호화된 파일(530)을 생성할 수 있다.In one embodiment, the file operating system may split the original file into a plurality of intercepts and generate a partially encrypted file by alternating the encrypted intercept with the original intercept. 5 is an exemplary diagram illustrating a process of generating a partially encrypted file in a file operating system. Referring to FIG. 5, the file operating system may divide the original file 510 into a plurality of segments 551 and 553. The file operating system may generate encrypted intercepts 553 by applying a security algorithm to the security accelerator 330 through some of the plurality of intercepts. The file operating system may generate the partially encrypted file 530 by alternating the original intercept 551 and the encrypted intercept 553.

일 실시예에서, 파일운영체제는 원본 파일을 다음 수학식을 통해 산출된 개수만큼의 절편들로 분할할 수 있고, 원본 절편과 암호화된 절편을 교번하여 상기 부분적으로 암호화된 파일을 생성할 수 있다.In one embodiment, the file operating system may divide the original file into as many as the number of fragments generated by the following equation, and generate the partially encrypted file by alternating the original fragments with the encrypted fragments.

[수학식][Mathematical Expression]

Figure pat00001
Figure pat00001

여기에서, k는 비례 상수를, N은 분할되는 절편의 수를, P는 프로세서의 업무부하량을, F는 원본 파일의 크기를, S는 보안 정책의 보안 수준을 나타낸다. S는 보안 정책의 보안 수준에 따라 일정 점수로 정규화될 수 있고, 보안 수준이 높을수록 높은 점수을 가질 수 있다.Where k is the proportional constant, N is the number of intercepts to be split, P is the workload of the processor, F is the size of the original file, and S is the security level of the security policy. S can be normalized to a certain score according to the security level of the security policy, and the higher the security level, the higher the score.

파일운영체제는 원본 파일의 크기가 클수록, 프로세서의 업무부하량을 적을수록, 보안 정책의 보안 수준이 높을수록 보다 많은 절편들로 원본 파일을 분할할 수 있다. 파일운영체제는 상기 수학식에 따라 적절한 수로 분할된 절편들 중 일부는 보안 알고리즘을 적용하여 암호화할 수 있고, 원본 절편과 암호화된 절편들을 교번하여 부분적으로 암호화된 파일을 생성함으로써 원본 파일을 그대로 전송하는 것보다 보안성을 강화할 수 있다. The file operating system can divide the original file into more segments as the original file size increases, the workload of the processor decreases, and the security level of the security policy increases. The file operating system can encrypt some of the intercepts segmented by an appropriate number according to the above equation using a security algorithm and transmit the original file intact by generating a partially encrypted file by alternating the original intercept and the encrypted intercepts It is possible to enhance the security more than that.

일 실시예에서, 파일운영체제는 원본 파일 전체에 보안 알고리즘을 적용하여 암호화할 수 있다. 또한, 프로세서(350)의 업무부하를 고려하여 원본 파일의 일부만 암호화함으로써 프로세서의 업무부하 가중에 따른 손실을 파일의 보안성 강화를 통해 보충할 수 있다. 결과적으로, 파일운영체제는 파일 처리 관련 서비스의 안전성을 전체적으로 일정한 수준으로 유지할 수 있다.In one embodiment, the file operating system may encrypt by applying a security algorithm across the original file. In addition, by encrypting only a part of the original file in consideration of the workload of the processor 350, the loss due to the load of the workload of the processor can be supplemented through security enhancement of the file. As a result, the file operating system can maintain the overall safety of file processing related services at a certain level.

일 실시예에서, 프로세서(350)는 복수의 보안 엘리먼트 어댑터(220)들 중 또 다른 하나를 PTT(Push To Talk) 서비스를 위한 PTT 운영체제로 설정할 수 있다. 여기에서, PTT 운영체제는 무선 통신 장치(110)를 통해 PTT 서비스를 제공하기 위해 필요한 시스템 소프트웨어에 해당할 수 있다.In one embodiment, the processor 350 may configure another of the plurality of security element adapters 220 as a PTT operating system for a PTT (Push To Talk) service. Here, the PTT operating system may correspond to the system software necessary for providing the PTT service through the wireless communication device 110. [

일 실시예에서, PTT 운영체제는 PTT의 전송 과정 전에 사용되는 보안 시스템 호출 API를 통해 파일운영체제에 의한 직접 P2P 파일의 전송에 끼어들어 보안 가속기(330)를 통해 가변적 암호화된 PTT 메시지의 전송을 우선 처리할 수 있다.In one embodiment, the PTT operating system intercepts the transmission of the direct P2P file by the file operating system through the security system call API used before the PTT transmission process, and prioritizes the transmission of the variably encrypted PTT message through the security accelerator 330 can do.

PTT 운영체제는 PTT 서비스를 직접 P2P 파일의 전송과 독립적으로 제공할 수 있고, 파일운영체제에 의하여 직접 P2P 파일의 전송이 이루어지는 중간 과정에 직접 P2P 파일의 전송을 멈추고 PTT 메시지의 전송을 우선 처리할 수 있다. 가상 머신(230)은 보안 엘리먼트 어댑터(220)들 간의 동작 뿐만 아니라 동작의 우선순위를 결정할 수 있고, 우선순위에 따라 보안 엘리먼트 어댑터(220)의 동작을 관리할 수 있다.The PTT operating system can directly provide the PTT service independently of the P2P file transmission and can stop the transmission of the P2P file directly and can process the transmission of the PTT message in the intermediate process in which the P2P file is directly transmitted by the file operating system . The virtual machine 230 can determine the priority of operations as well as the operation between the security element adapters 220 and manage the operation of the security element adapter 220 according to the priority.

일 실시예에서, PTT 운영체제는 보안 가속기(330)를 통해 프로세서(350)의 업무부하에 따라 차별적인 보안 알고리즘으로 수행되는 가변적 암호화를 적용하여 PTT 메시지를 생성할 수 있다. 보다 구체적으로, PTT 운영체제는 프로세서(350)의 업무부하를 실시간으로 감시할 수 있고, 프로세서(350)의 업무부하가 많은 경우 상대적으로 보안 기준이 낮은 보안 알고리즘을 적용하고, 프로세서(350)의 업무부하가 적은 경우 상대적으로 보안 기준이 높은 보안 알고리즘을 적용하여 암호화를 수행함으로써 프로세서(350)의 업무부하에 독립적인 PTT 서비스를 제공할 수 있다.In one embodiment, the PTT operating system can generate a PTT message by applying variable encryption, performed with a different security algorithm, according to the workload of the processor 350 via the security accelerator 330. [ More specifically, the PTT operating system can monitor the work load of the processor 350 in real time, apply a security algorithm with a relatively low security standard when the workload of the processor 350 is high, When the load is small, the PTT service independent of the work load of the processor 350 can be provided by performing encryption by applying a security algorithm with a relatively high security standard.

도 4는 본 발명의 일 실시예에 따른 무선 통신 장치가 칩운영체제를 통해 스마트 카드 결제 서비스를 제공하는 과정을 설명하는 순서도이다.4 is a flowchart illustrating a process of providing a smart card settlement service through a chip operating system according to an exemplary embodiment of the present invention.

도 4를 참조하면, 무선 통신 장치(110)는 프로세서(350)를 통해 복수의 보안 엘리먼트 어댑터(220)들 중 하나를 스마트 카드에 관한 서비스를 위한 칩운영체제로 설정할 수 있다(단계 S410). 무선 통신 장치(110)는 칩운영체제가 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드 메시지로 결제 승인 기기에 전송하도록 할 수 있다(단계 S430).Referring to FIG. 4, the wireless communication device 110 may set one of a plurality of security element adapters 220 through a processor 350 as a chip operating system for a service related to a smart card (step S410). The wireless communication device 110 may cause the chip operating system to transmit the settlement request to the settlement approval device through the security system call API used in the payment process of the smart card (step S430).

이 때, 결제 요청을 수신하는 결제 승인 기기가 다른 결제 요청을 처리 중에 있는 경우에는 결제 요청 메시지를 클라우드 서버에 저장할 수 있다. 클라우드 서버에 저장된 결제 요청 메시지는 저장 순서에 따라 차례대로 결제 승인 기기에 의해 처리될 수 있다.At this time, if the payment approval device receiving the payment request is processing another payment request, the payment request message may be stored in the cloud server. The payment request message stored in the cloud server may be processed by the payment approval device in order according to the storage order.

무선 통신 장치(110)는 칩운영체제가 결제 요청의 승인이 수신되면 보안 가속기(330)를 통해 스마트 카드 보안 파티션으로의 접근을 허용하도록 할 수 있다(단계 S470). 무선 통신 장치(110)는 칩운영체제가 스마트 카드 보안 파티션에 있는 결제수단으로부터 파생되고 보안 가속기(330)에 의해 전부 암호화된 결제 정보를 결제 처리 장치에 제공하도록 할 수 있다(단계 S490).The wireless communication device 110 may allow the chip operating system to access the smart card security partition via the security accelerator 330 upon receipt of the approval of the payment request (step S470). The wireless communication device 110 may cause the chip operating system to derive from the payment means in the smart card security partition and provide the payment processing device with all of the payment information encrypted by the security accelerator 330 (step S490).

도 6는 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치에서 제공되는 주요 기능을 설명하는 도면이다.6 is a diagram illustrating a main function provided in a security enhanced wireless communication apparatus according to an embodiment of the present invention.

도 6을 참조하면, 무선 통신 장치(660)는 5가지의 보안 서비스를 제공할 수 있고, 각각의 보안 서비스를 제공하기 위해서 각 보안 서비스를 위한 동작을 독립적으로 수행하는 보안 서비스 어플리케이션(210)을 포함할 수 있다. (220)와 연동하고 있는 보안 서비스 어플리케이션(210)에 제공할 수 있다.Referring to FIG. 6, the wireless communication device 660 can provide five types of security services. In order to provide each security service, the wireless communication device 660 includes a security service application 210 that performs operations for each security service independently . To the security service application 210 interworking with the security service application 220.

무선 통신 장치(660)는 특정 보안 서비스 어플리케이션(210)이 실행되면 보안 엘리먼트 어댑터(220)를 생성하고, 특정 보안 서비스 어플리케이션(210)과 생성된 보안 엘리먼트 어댑터(220)를 일대일로 연동시킬 수 있다. 무선 통신 장치(660)는 가상 머신(Virtual Mation)(230)을 통해 보안 엘리먼트 어댑터(220)의 동작을 관리할 수 있다.The wireless communication device 660 may generate the security element adapter 220 when the specific security service application 210 is executed and link the specific security service application 210 and the generated security element adapter 220 on a one- . The wireless communication device 660 may manage the operation of the security element adapter 220 through a virtual machine 230.

무선 통신 장치(660)에서 제공하는 보안 서비스로는 스마트 카드 솔루션 서비스(610), 클라우드 네트워크 서비스(620), P2P 다이렉트 통신(Direct Communication) 서비스(630), P2P 릴레이 통신(Relay Communication) 서비스(640) 및 파일 전송/저장 서비스(650)가 해당될 수 있다. 무선 통신 장치(660)는 보안 서비스 별로 독립적인 보안 정책을 결정할 수 있고, 각 보안 정책에 따라 독립적인 보안 알고리즘을 적용할 수 있다.The security service provided by the wireless communication device 660 includes a smart card solution service 610, a cloud network service 620, a P2P direct communication service 630, a P2P relay communication service 640 And a file transfer / storage service 650 may be applicable. The wireless communication device 660 can determine an independent security policy for each security service, and can apply an independent security algorithm according to each security policy.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that

100: 보안이 강화된 무선 통신 시스템
110: 무선 통신 장치
210: 보안 서비스 어플리케이션 220: 보안 엘리먼트 어댑터
230: 가상 머신 240: 보안 엘리먼트
310: 메모리 330: 보안 가속기
350: 프로세서
510: 원본 파일 530: 암호화된 파일
551: 원본 절편 553: 암호화된 절편
660: 무선 통신 장치100: Security-enhanced wireless communication system
110: wireless communication device
210: Security service application 220: Security element adapter
230: virtual machine 240: security element
310: memory 330: security accelerator
350: processor
510: original file 530: encrypted file
551: original intercept 553: encrypted intercept
660: Wireless communication device

Claims (8)

복수의 보안 파티션(Partition)들로 구분된 메모리;
복수의 보안 알고리즘들을 제공하는 보안 가속기; 및
각각이 독립적인 보안 서비스 어플리케이션과 연동하여 보안 시스템 호출 API(Application Programming Interface)를 제공하는 복수의 보안 엘리먼트 어댑터(Element Adapter)들 및 상기 보안 시스템 호출 API에 관해 보안정책을 강제하고 상기 보안정책에 따라 상기 보안 가속기의 사용권한을 제공하거나 또는 해당 보안 파티션에 관한 접근권한을 제공하는 가상 머신(Virtual Machine)을 제어하는 프로세서를 포함하는 보안이 강화된 무선 통신 장치.
A memory separated into a plurality of secure partitions;
A security accelerator providing a plurality of security algorithms; And
A plurality of element adapters each of which provides a security system call API (Application Programming Interface) in cooperation with an independent security service application, and a plurality of security adapters for enforcing a security policy on the security system calling API, And a processor for controlling a virtual machine that provides usage rights of the security accelerator or provides access rights to the security partition.
제1항에 있어서, 상기 프로세서는
상기 복수의 보안 엘리먼트 어댑터들 중 하나를 스마트 카드(Smart Card)에 관한 서비스를 위한 칩운영체제로 설정하고, 다른 하나를 원격 파일 처리에 관한 서비스를 위한 파일운영체제로 설정하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
2. The apparatus of claim 1, wherein the processor
Wherein one of the plurality of security element adapters is set as a chip operating system for a service related to a smart card and the other is set as a file operating system for a service related to remote file processing. Gt;
제2항에 있어서, 상기 칩운영체제는
상기 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드(Cloud) 메시지로 결제 승인 기기에 전송하여 클라우드 서버에 상기 결제 요청을 저장하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
The system of claim 2, wherein the chip operating system
And transmits the settlement request to the settlement approval device in a cloud message through the security system call API used in the payment process of the smart card to store the settlement request in the cloud server. .
제3항에 있어서, 상기 칩운영체제는
상기 결제 요청의 승인이 성공적으로 수신되면 상기 보안 가속기를 통한 상기 복수의 보안 파티션들 중 하나인 스마트 카드용 보안 파티션의 접근을 허용하여 해당 보안 서비스 어플리케이션이 상기 스마트 카드용 보안 파티션에 있는 결제수단에 접근하는 것을 방지하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
4. The system of claim 3, wherein the chip operating system
When the acceptance of the payment request is successfully received, access to the security partition for the smart card, which is one of the plurality of security partitions through the security accelerator, is allowed, and the security service application sends the payment request to the payment means in the secure partition for the smart card Wherein the wireless communication device is a wireless communication device.
제4항에 있어서, 상기 칩운영체제는
상기 결제수단으로부터 파생되고 상기 보안 가속기에 의해 전부 암호화된 결제정보를 결제 처리 장치에 제공하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
5. The system of claim 4, wherein the chip operating system
And provides the payment processing apparatus with settlement information derived from the settlement means and completely encrypted by the security accelerator.
제2항에 있어서, 상기 파일운영체제는
직접 P2P(Direct Peer To Peer) 파일의 전송 과정에서 보안 시스템 호출 API를 사용함으로써 상기 보안 가속기를 통해 부분적으로 암호화된 파일을 생성하도록 하여 파일 수신저장 기기에 상기 부분적으로 암호화된 파일을 전송하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
3. The system of claim 2, wherein the file operating system
A partially encrypted file is transmitted to a file receiving and storing device by using a security system call API in the process of directly transmitting a direct peer to peer (P2P) file, thereby generating a partially encrypted file through the security accelerator Wherein the wireless communication device is a wireless communication device.
제6항에 있어서, 상기 파일운영체제는
원본 파일을 복수의 절편들로 분할하고 원본 절편과 암호화된 절편을 교번하여 상기 부분적으로 암호화된 파일을 생성하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
7. The system of claim 6, wherein the file operating system
Wherein the original file is divided into a plurality of intercepts, and the partially encrypted file is generated by alternating the original intercept and the encrypted intercept.
제1항에 있어서, 상기 프로세서는
상기 복수의 보안 엘리먼트 어댑터들 중 또 다른 하나를 PTT(Push To Talk) 서비스를 위한 PTT 운영체제로 설정하고,
상기 PTT 운영체제는 PTT의 전송 과정 전에 사용되는 보안 시스템 호출 API를 통해 파일운영체제에 의한 직접 P2P 파일의 전송에 끼어들어 상기 보안 가속기를 통해 가변적 암호화된 PTT 메시지의 전송을 우선 처리하며,
상기 가변적 암호화는 상기 프로세서의 업무부하에 따라 차별적인 보안 알고리즘으로 수행되는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
2. The apparatus of claim 1, wherein the processor
Setting another one of the plurality of security element adapters as a PTT operating system for a PTT (Push To Talk) service,
The PTT operating system interrupts the transmission of the direct P2P file by the file operating system through the security system call API used before the transmission process of the PTT, and prioritizes the transmission of the variably encrypted PTT message through the security accelerator,
Wherein the variable encryption is performed with a different security algorithm according to the work load of the processor.
KR1020170163721A 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus KR102058035B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170163721A KR102058035B1 (en) 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170163721A KR102058035B1 (en) 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus

Publications (2)

Publication Number Publication Date
KR20190064286A true KR20190064286A (en) 2019-06-10
KR102058035B1 KR102058035B1 (en) 2019-12-20

Family

ID=66848487

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170163721A KR102058035B1 (en) 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus

Country Status (1)

Country Link
KR (1) KR102058035B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220071643A (en) * 2020-11-24 2022-05-31 부산대학교 산학협력단 Agent based cryptographic module interworking system and its method

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100978987B1 (en) 2005-05-18 2010-08-30 모토로라 인코포레이티드 Method and apparatus for rapid secure session establishment on half-duplex ad-hoc group voice cellular network channels
KR101048523B1 (en) 2010-10-04 2011-07-11 유성호 A multi-functional walkie-talkie

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100978987B1 (en) 2005-05-18 2010-08-30 모토로라 인코포레이티드 Method and apparatus for rapid secure session establishment on half-duplex ad-hoc group voice cellular network channels
KR101048523B1 (en) 2010-10-04 2011-07-11 유성호 A multi-functional walkie-talkie

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220071643A (en) * 2020-11-24 2022-05-31 부산대학교 산학협력단 Agent based cryptographic module interworking system and its method

Also Published As

Publication number Publication date
KR102058035B1 (en) 2019-12-20

Similar Documents

Publication Publication Date Title
US11503004B2 (en) Distributed IPSec gateway
EP3150022B1 (en) Client applications communicating via a user tunnel
CN104168557B (en) The upgrade method of operating system and the update device of operating system
CN109474650B (en) Configuration file downloading method and terminal
CN103441997A (en) Content sharing method, device and system
KR101735102B1 (en) Method and appatus for providing application service in mobile communication system
CN105939240B (en) Load-balancing method and device
US9535638B2 (en) Directly transferring data between devices
US20210234836A1 (en) A proxy network with self-erasing processing elements
EP3196762A1 (en) Sharing method for hardware communication apparatus and terminal
CN104185250A (en) Wireless communication method, electronic devices and wireless communication system
US11870760B2 (en) Secure virtual personalized network
CN113163405A (en) System and method for supporting application development in a movable object environment
WO2017067486A1 (en) Terminal and data transmission method and device
US20150244771A1 (en) System and method for interconnecting and enforcing policy between multiple disparate providers of application functionality and data centers and/or end-users
CN104244171A (en) Data transmission system and method on basis of NFC (near field communication) connection
CN115669022A (en) Method for providing ranging-based service by electronic equipment and electronic equipment
KR20190064286A (en) Security-enhanced wireless communication apparatus
US20130339727A1 (en) WAN Optimization Without Required User Configuration for WAN Secured VDI Traffic
KR102474855B1 (en) Method, system and non-transitory computer-readable recording medium for providing messenger service
US11777742B2 (en) Network device authentication
US20220278966A1 (en) Secure Virtual Personalized Network with Preconfigured Wallets
US20200211008A1 (en) Security-enhanced wireless communication apparatus
US11689447B2 (en) Enhanced dynamic encryption packet segmentation
CN113891312A (en) Unmanned aerial vehicle data encryption transmission method, device, equipment and storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant