KR20200013057A - 서비스 인가 방법, 장치, 및 디바이스 - Google Patents

서비스 인가 방법, 장치, 및 디바이스 Download PDF

Info

Publication number
KR20200013057A
KR20200013057A KR1020207001503A KR20207001503A KR20200013057A KR 20200013057 A KR20200013057 A KR 20200013057A KR 1020207001503 A KR1020207001503 A KR 1020207001503A KR 20207001503 A KR20207001503 A KR 20207001503A KR 20200013057 A KR20200013057 A KR 20200013057A
Authority
KR
South Korea
Prior art keywords
verification
execution unit
signature
public key
information
Prior art date
Application number
KR1020207001503A
Other languages
English (en)
Other versions
KR102382928B1 (ko
Inventor
시 순
홍웨이 루오
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20200013057A publication Critical patent/KR20200013057A/ko
Application granted granted Critical
Publication of KR102382928B1 publication Critical patent/KR102382928B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Accounting & Taxation (AREA)
  • Business, Economics & Management (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 명세서는 서비스 인가 방법, 장치, 및 디바이스를 개시한다. 본 방법에서, 검증될 정보가 획득된 후에, 제1 실행 유닛이 검증될 정보를 검증하고, 제1 실행 유닛에 의해 저장된 서명 검증 개인 키(signature verification private key)를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하도록 하기 위해, 검증될 정보는 제1 실행 유닛에 전송될 수 있다. 이후, 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키(signature verification public key)를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션은, 제1 실행 유닛에 의해 반환된 서명 정보를 획득한 후, 제2 실행 유닛에 서명 정보를 전송할 수 있다.

Description

서비스 인가 방법, 장치, 및 디바이스
본 명세서는 컴퓨터 기술 분야에 관한 것이며, 특히 서비스 인가 방법, 장치, 및 디바이스에 관한 것이다.
현재, 사용자에 대한 신원 검증이 수행될 때 종래의 패스워드 기반 신원 검증 방법은 점차 편의성 및 보안성 요구를 만족시키지 못하고 있으며, 왜냐하면 종래의 패스워드 기반 신원 검증 방법은 잊기 쉽고, 도용하기 쉽고, 입력하기 불편하기 때문이다. 그러나, 지문, 성문(voiceprint), 또는 얼굴 인식과 같은, 생체 특징에 기초한 신원 검증 방법이 다양한 시나리오에 널리 적용되고 있으며, 왜냐하면 이러한 방법은 더 보안적이고 편리하기 때문이다.
실제로, 디바이스가 구동(run)되는 시스템은 일반적으로, 신뢰 실행 환경(TEE, trusted execution environment), 및 보안 요소(SE, secure element)에 의해 제공되는 실행 환경이라는 2개의 환경을 포함한다. 서비스를 처리하기 위해 사용되는 서비스 애플리케이션은 일반적으로 TEE 내에서 구동된다. 사용자에 의해 실행될 서비스를 인가하기 위해 사용되는 보안 애플리케이션은 SE 내에서 구동된다. 최종 사용자 디바이스는, 검증 결과를 획득하기 위해, 사용자에 의해 입력되는 검증될 생체 특징 정보를 검증해야 한다. 검증 결과는 검증을 위해 보안 애플리케이션에 전송되어야 한다. 검증 결과에 대한 검증에 성공했다고 보안 애플리케이션이 결정한 후에만, 보안 애플리케이션은, 서비스 애플리케이션에 의해 실행되는 서비스를 인가하여, 서비스 애플리케이션이 서비스를 실행하도록 한다.
그러나, 검증 결과는 TEE로부터 SE로의 전송 중에 위조될 수 있다. 따라서, TEE로부터 전송된 검증 결과의 진정성(authenticity)을 보안 애플리케이션이 검증하는 방식은 고려할 가치가 있는 문제이다.
기존의 기술에 기초하여, 더 효과적인 서비스 인가 방법이 필요하다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 방법을 제공한다.
본 명세서는 서비스 인가 방법을 제공하며, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 제2 보안 환경 내에서 구동되며, 본 방법은, 검증될 정보를 획득하고, 검증을 위해 검증될 정보를 제1 실행 유닛에 전송하는 단계; 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키(signature verification private key)를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하는 단계; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키(signature verification public key)를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 제2 실행 유닛에 서명 정보를 전송하는 단계를 포함한다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 장치를 제공한다.
본 명세서는 서비스 인가 장치를 제공하며, 본 장치를 포함하는 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 제2 보안 환경 내에서 구동되며, 본 장치는, 검증될 정보를 획득하고, 검증을 위해 검증될 정보를 제1 실행 유닛에 전송하도록 구성된, 취득 모듈; 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하도록 구성된, 수신 모듈; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 제2 실행 유닛에 서명 정보를 전송하도록 구성된, 전송 모듈을 포함한다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 디바이스를 제공한다.
본 명세서는 서비스 인가 디바이스를 제공하며, 본 디바이스는, 하나 이상의 프로세서에 커플링되고, 명령어가 저장된 하나 이상의 메모리를 포함하며, 명령어는, 하나 이상의 프로세서에 의해 실행될 때, 하나 이상의 프로세서로 하여금, 검증될 정보를 획득하고, 인가를 위해 검증될 정보를 제1 실행 유닛에 전송하는 단계 - 제1 실행 유닛은, 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동됨 -; 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하는 단계; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 제2 실행 유닛에 서명 정보를 전송하는 단계 - 제2 실행 유닛은, 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 - 를 수행하게 한다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 방법을 제공한다.
본 명세서는 서비스 인가 방법을 제공하며, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 제2 보안 환경 내에서 구동되며, 본 방법은, 제1 실행 유닛에 의해, 서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하는 단계; 검증될 정보를 검증하고, 제1 실행 유닛 내에 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하는 단계; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공한 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보를 전송하는 단계를 포함한다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 장치를 제공한다.
본 명세서는 서비스 인가 장치를 제공하며, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 본 장치가 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 제2 보안 환경 내에서 구동되며, 본 장치는, 서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하도록 구성된, 수신 모듈; 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하도록 구성된, 검증 모듈; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공한 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보를 전송하도록 구성된, 전송 모듈을 포함한다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 디바이스를 제공한다.
본 명세서는 서비스 인가 디바이스를 제공하며, 본 디바이스는, 하나 이상의 메모리 및 프로세서를 포함하고, 메모리는 프로그램을 저장하고, 프로그램은, 하나 이상의 프로세서에 의해 실행되어, 서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하는 단계 - 제1 실행 유닛이, 본 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동됨 -; 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하는 단계; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공한 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보를 전송하는 단계 - 제2 실행 유닛은, 본 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 - 를 수행하도록 하나 이상의 프로세서에 의해 실행된다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 방법을 제공한다.
본 명세서는 서비스 인가 방법을 제공하며, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 제2 보안 환경 내에서 구동되며, 본 방법은, 서비스 애플리케이션을 사용하여 제1 실행 유닛에 의해 전송된 서명 정보를 제2 실행 유닛에 의해 획득하는 단계 - 서명 정보는, 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 검증 결과는, 서비스 애플리케이션에 의해 전송된 검증될 정보를 제1 실행 유닛이 검증한 후에 획득됨 -; 및 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱(parsing)함으로써 획득된 검증 결과에 기초하여 서비스 인가를 수행하는 단계를 포함한다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 장치를 제공한다.
본 명세서는 서비스 인가 장치를 제공하며, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 제1 보안 환경 내에서 구동되고, 본 장치가 제2 보안 환경 내에서 구동되며, 본 장치는, 서비스 애플리케이션을 사용하여 제1 실행 유닛에 의해 전송된 서명 정보를 획득하도록 구성된, 취득 모듈 - 서명 정보는, 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 검증 결과는, 서비스 애플리케이션에 의해 전송된 검증될 정보를 제1 실행 유닛이 검증한 후에 획득됨 -; 및 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여 서비스 인가를 수행하도록 구성된, 검증 모듈을 포함한다.
본 명세서는, 한 보안 환경 내에서 생성된 신원 검증의 검증 결과의 진정성이 또 다른 보안 환경 내에서 검증될 수 없다는 기존 기술에서의 문제를 완화하기 위한 서비스 인가 디바이스를 제공한다.
본 명세서는 서비스 인가 디바이스를 제공하며, 본 디바이스는, 하나 이상의 메모리 및 프로세서를 포함하고, 메모리는 프로그램을 저장하고, 프로그램은, 서비스 애플리케이션을 사용하여 제1 실행 유닛에 의해 전송된 서명 정보를 획득하는 단계 - 서명 정보는, 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 검증 결과는, 서비스 애플리케이션에 의해 전송된 검증될 정보를 제1 실행 유닛이 검증한 후에 획득되고, 제1 실행 유닛이, 본 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이, 본 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 -; 및 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여 서비스 인가를 수행하도록, 하나 이상의 프로세서에 의해 실행된다.
본 명세서에서 사용되는 적어도 하나의 기술적 해결책은 다음의 이로운 효과를 달성할 수 있다.
본 명세서의 하나 이상의 구현예에서, 제1 보안 환경 내에서 구동되는 제1 실행 유닛은, 획득된 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명한 후, 서비스 애플리케이션을 사용하여 제2 보안 환경 내에서 구동되는 제2 실행 유닛에 획득된 서명 정보를 전송할 수 있고, 제2 실행 유닛은, 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행할 수 있다. 즉, 비대칭 암호화 방법으로, 제2 보안 환경 내에서 구동되는 제2 실행 유닛은, 제1 보안 환경 내에서 구동되는 제1 실행 유닛에 의해 획득된 검증 결과의 진정성을 검증할 수 있다. 따라서, 제2 실행 유닛은, 제1 실행 유닛에 의해 획득된 검증 결과에 기초하여, 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부를 결정할 수 있으며, 이에 의해, 더 보안적이고 효과적인 신원 검증 방법이 사용자에게 제공된다.
여기에서 설명되는 첨부 도면은, 본 명세서의 추가적인 이해를 제공하도록 의도되며, 본 명세서의 일부를 구성한다. 본 명세서의 예시적 구현예 및 그 설명은, 본 명세서를 설명하도록 의도되며, 본 명세서에 대한 제한이 되지 않는다. 첨부 도면에서,
도 1은, 본 명세서의 구현예에 따른, 서비스 인가 프로세스를 도시하는 개략도이다.
도 2는, 본 명세서의 구현예에 따른, 서비스 애플리케이션이, 제2 실행 유닛에 의해 전송된 동적 파라미터를 사용하여 제2 실행 유닛에 서비스 인가를 신청하는 프로세스를 도시하는 개략도이다.
도 3은, 본 명세서의 구현예에 따른, 공개 키 인증서를 사용하여 서명 정보를 검증하는 것을 도시하는 개략도이다.
도 4는, 본 명세서의 구현예에 따른, 서비스 인가 장치를 도시하는 개략도이다.
도 5는, 본 명세서의 구현예에 따른, 서비스 인가 장치를 도시하는 개략도이다.
도 6은, 본 명세서의 구현예에 따른, 서비스 인가 장치를 도시하는 개략도이다.
도 7은, 본 명세서의 구현예에 따른, 서비스 인가 디바이스를 도시하는 개략도이다.
도 8은, 본 명세서의 구현예에 따른, 서비스 인가 디바이스를 도시하는 개략도이다.
도 9는, 본 명세서의 구현예에 따른, 서비스 인가 디바이스를 도시하는 개략도이다.
디바이스가 구동되는 시스템은 일반적으로, 상이한 보안 환경들을 포함한다. 실제로, 상이한 보안 환경 내의 실행 유닛 또는 애플리케이션은 일반적으로 전체적인 서비스 실행 프로세스를 완료하기 위해 서로 협업해야 한다. 제1 보안 환경 내에서 구동되는 서비스 애플리케이션은, 디바이스에 의해 획득된 검증될 정보를, 제1 보안 환경 내에서 구동되는 제1 실행 유닛에 전송할 수 있다. 제1 실행 유닛은 검증될 정보를 검증하고, 제2 보안 환경 내에서 구동되는 제2 실행 유닛에 획득된 검증 결과를 전송할 수 있다. 제2 실행 유닛은, 검증 결과를 사용하여, 현재 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부를 결정할 수 있다.
제1 실행 유닛 및 제2 실행 유닛은 상이한 보안 환경 내에 위치되어 있기 때문에, 제2 보안 환경 내에서 구동되는 제2 실행 유닛은 일반적으로, 검증 결과가 제2 실행 유닛에 전송될 때, 제1 보안 환경 내에서 구동되는 제1 실행 유닛이 검증될 정보를 검증한 후에 획득된 검증 결과가 위조되지 않았다고 보장할 수 없다. 따라서, 제2 실행 유닛이 제1 실행 유닛에 의해 전송된 검증 결과의 진정성을 검증하는 방식은 고려할 가치가 있는 문제이다.
따라서, 본 명세서는 서비스 인가 방법을 제공한다. 본 방법에서, 검증될 정보가 획득된 후에, 제1 실행 유닛이 검증될 정보를 검증하고, 제1 실행 유닛에 의해 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하도록 하기 위해, 검증될 정보는 제1 실행 유닛에 전송될 수 있다. 이후, 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션은, 제1 실행 유닛에 의해 반환된 서명 정보를 획득한 후, 제2 실행 유닛에 서명 정보를 전송할 수 있다.
비대칭 암호화 방법으로, 제2 보안 환경 내에서 구동되는 제2 실행 유닛은, 제1 보안 환경 내에서 구동되는 제1 실행 유닛에 의해 획득된 검증 결과의 진정성을 검증할 수 있다. 따라서, 제2 실행 유닛은, 제1 실행 유닛에 의해 획득된 검증 결과에 기초하여, 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부를 결정할 수 있으며, 이에 의해, 더 보안적이고 효과적인 신원 검증 방법이 사용자에게 제공된다.
당업자가 본 명세서의 하나 이상의 구현예의 기술적 해결책을 더 잘 이해하도록 하기 위해, 다음은 본 명세서의 하나 이상의 구현예에서의 첨부 도면을 참조하여 본 명세서의 하나 이상의 구현예의 기술적 해결책을 명확하게 그리고 포괄적으로 설명한다. 명백한 바와 같이, 설명되는 구현예는 본 명세서의 구현예의 전부가 아니라 단지 일부일 뿐이다. 창의적인 노력 없이 본 명세서의 구현예에 기초하여 당업자에 의해 획득되는 모든 다른 구현예는 본 명세서의 보호 범위 내에 속해야 한다.
도 1은, 본 명세서의 구현예에 따른, 서비스 인가 프로세스를 도시하는 개략도이다. 본 프로세스는 다음의 단계를 포함한다.
단계(S100). 검증될 정보를 획득하고, 검증을 위해 검증될 정보를 제1 실행 유닛에 전송한다.
본 명세서에서, 서비스를 실행할 때, 사용자는 검증될 정보를 디바이스 내의 서비스 애플리케이션에 입력하여, 서비스 애플리케이션이, 디바이스 내의 제1 실행 유닛을 사용하여, 검증될 정보를 검증하도록 할 수 있다. 여기서 언급되는 디바이스는, 스마트폰 또는 태블릿 컴퓨터와 같은, 모바일 최종 사용자 디바이스일 수 있다. 여기서 언급되는 검증될 정보는, 지문, 성문, 또는 얼굴 정보와 같은, 검증될 생체 특징 정보일 수 있거나, 문자의 형태로 된 검증될 정보일 수 있다. 물론, 디바이스는 대안적으로, 수집된 검증될 정보를 미리 결정된 인터페이스를 통해 제1 실행 유닛에 직접 전송할 수 있다.
검증될 정보를 획득한 후에, 제1 실행 유닛은 검증될 정보를 검증하고, 대응하는 검증 결과를 획득할 수 있다. 예컨대, 검증될 지문을 획득한 후에, 제1 실행 유닛은 검증될 지문을 미리 저장된 사용자의 정보와 매칭시키고, 매칭 결과에 기초하여, 사용자에 대한 지문 검증이 성공했는지의 여부를 결정할 수 있다.
본 명세서에서, 제1 보안 환경은 TEE일 수 있고, 제1 보안 환경 내에서 구동되는 제1 실행 유닛은, 정보를 검증하기 위해 사용되는 모듈일 수 있다는 점을 언급할 만하다. 모듈은 소프트웨어의 형태일 수 있거나, 하드웨어의 형태일 수 있다. 제2 보안 환경은, SE에 의해 제공되는 실행 환경일 수 있다. 이에 대응하여, 제2 실행 유닛은, SE 내에서 구동되는 보안 애플리케이션일 수 있다.
단계(102). 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신한다.
검증될 정보를 검증한 후에, 제1 실행 유닛은, 제1 실행 유닛에 의해 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 대응하는 서명 정보를 획득하고, 후속 프로세스에서 서비스 애플리케이션에 서명 정보를 반환할 수 있다.
본 명세서에서, 제1 실행 유닛은, 제1 실행 유닛에 대응하는 제1 관리 서버로부터의 검증 결과에 서명하기 위해 사용되는 서명 검증 개인 키를 획득할 수 있다. 제1 관리 서버는 제1 실행 유닛을 위한 고유한 키 쌍, 즉, 서명 검증 개인 키 및 서명 검증 공개 키를 생성하고, 제1 실행 유닛에 서명 검증 개인 키를 전송할 수 있다. 후속 프로세스에서 검증 공개 키가 제2 관리 서버에 의해 제2 실행 유닛에 전송되어, 제2 실행 유닛이 제1 실행 유닛 내에서 생성된 서명 정보를 검증 공개 키를 통해 검증할 수 있도록 하기 위해, 검증 공개 키는 제1 관리 서버에 의해 제2 실행 유닛에 대응하는 제2 관리 서버에 전송될 수 있다.
본 명세서에서, 서비스 애플리케이션이 후속적으로 검증을 위해 제2 실행 유닛에 서명 정보를 전송하도록 하기 위해, 제1 실행 유닛은 획득된 서명 정보를 서비스 애플리케이션에 반환할 수 있다. 제1 실행 유닛이 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보를 전송해야 하는 이유는, 제1 시행 유닛 및 제2 실행 유닛은 상이한 보안 환경 내에 위치되어 있고 제2 실행 유닛은 제1 실행 유닛에 대한 액세스 인가를 수행하지 않기 때문에, 제1 실행 유닛은 일반적으로, 제2 보안 환경 내에서 구동되는 제2 실행 유닛에 정보를 전송할 수 없기 때문에, 그리고 제2 실행 유닛은, 서비스 애플리케이션에 의해 실행되는 서비스를 인가해야 하기 때문에, 제2 실행 유닛은 일반적으로 서비스 애플리케이션에 대한 액세스 인가를 수행하고, 서비스 애플리케이션이 제2 실행 유닛에 액세스하도록 허용한다는 데 있다. 이에 기초하여, 제1 실행 유닛은 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보를 전송해야 한다.
단계(104). 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 제2 실행 유닛에 서명 정보를 전송한다.
서비스 애플리케이션은, 제2 보안 환경 내에서 구동되는 제2 실행 유닛에, 제1 실행 유닛에 의해 반환된 서명 정보를 전송할 수 있다. 제2 실행 유닛은 획득된 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후, 파싱을 통해 획득된 검증 결과를 사용하여, 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부를 결정할 수 있다.
전술한 방법으로부터, 제1 보안 환경 내에서 구동되는 제1 실행 유닛은, 획득된 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명한 후, 서비스 애플리케이션을 사용하여 제2 보안 환경 내에서 구동되는 제2 실행 유닛에 획득된 서명 정보를 전송할 수 있고, 제2 실행 유닛은, 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행할 수 있다는 것을 알 수 있다. 즉, 비대칭 암호화 방법으로, 제2 보안 환경 내에서 구동되는 제2 실행 유닛은, 제1 보안 환경 내에서 구동되는 제1 실행 유닛에 의해 획득된 검증 결과의 진정성을 검증할 수 있다. 따라서, 제2 실행 유닛은, 제1 실행 유닛에 의해 획득된 검증 결과에 기초하여, 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부를 결정할 수 있으며, 이에 의해, 더 보안적이고 효과적인 신원 검증 방법이 사용자에게 제공된다.
전술한 서비스 인가 프로세스에서, 사용자에 의해 사용되는 디바이스는 리플레이 공격(replay attack)을 겪을 수 있다. 구체적으로는, 검증에 성공했다는 것을 나타내는 검증 결과를 획득한 후에, 해커는 해당 검증 결과를 사용하여 연속적으로 제2 실행 유닛에 서비스 인가를 신청할 수 있으며, 이는 사용자의 정보 또는 재산의 손실을 초래할 수 있다.
전술한 경우를 방지하기 위하여, 도 2에 도시된 바와 같이, 제1 실행 유닛이 동적 파라미터 및 획득된 검증 결과에 서명하여 서명 정보를 획득하도록 하기 위해, 서비스 애플리케이션은, 제2 실행 유닛에 의해 생성된 동적 파라미터를 제2 실행 유닛으로부터 획득하고, 제1 실행 유닛에 동적 파라미터를 전송할 수 있다.
도 2는, 본 명세서의 구현예에 따른, 서비스 애플리케이션이, 제2 실행 유닛에 의해 전송된 동적 파라미터를 사용하여 제2 실행 유닛에 서비스 인가를 신청하는 프로세스를 도시하는 개략도이다.
도 2에서, 서비스 애플리케이션은, 난수 또는 시간 정보와 같은 동적 파라미터를 획득하기 위해, 제2 보안 환경 내에서 구동되는 제2 실행 유닛에 액세스할 수 있다. 동적 파라미터는 제2 실행 유닛에 의해 생성되고, 지정된 시간 동안 제2 실행 유닛 내에 저장될 수 있다. 지정된 시간이 만료된 후에 제2 실행 유닛은 동적 파라미터를 삭제할 수 있다. 여기서, 제2 실행 유닛은 생성된 동적 파라미터에 대한 유효성 시간(validity time)을 설정하는 것으로 이해될 수 있다. 구체적으로는, 제1 실행 유닛이 동적 파라미터 및 검증 결과에 서명한 후에 획득된 서명 정보를 서비스 애플리케이션이 유효성 시간 내에 제2 실행 유닛에 전송할 때에만, 제2 실행 유닛은, 서명 정보를 파싱함으로써 획득된 동적 파라미터를, 저장된 동적 파라미터를 사용하여 검증하며, 유효성 시간이 만료되면 동적 파라미터는 유효하지 않다. 그러므로, 서명 정보를 파싱함으로써 획득된 동적 파라미터는 제2 실행 유닛에 의해 검증될 수 없다.
제1 실행 유닛은, 서비스 애플리케이션에 의해 전송된 검증될 정보를 검증하여 대응하는 검증 결과를 획득하고, 저장된 서명 검증 개인 키를 통해 검증 결과 및 획득된 동적 파라미터에 서명하여 서명 정보를 획득할 수 있다.
제1 실행 유닛은 획득된 서명 정보를 서비스 애플리케이션에 반환할 수 있고, 서비스 애플리케이션은 제2 실행 유닛에 서명 정보를 전송한다. 제2 실행 유닛은, 제2 관리 서버로부터 획득된 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에, 미리 저장된 동적 파라미터에 기초하여, 서명 정보를 파싱함으로써 획득된 동적 파라미터를 검증할 수 있으며, 구체적으로는, 파싱을 통해 획득된 동적 파라미터를 저장된 동적 파라미터와 비교하여, 파싱을 통해 획득된 동적 파라미터가 저장된 동적 파라미터와 일관적인지의 여부를 결정하고, 파싱을 통해 획득된 동적 파라미터가 저장된 동적 파라미터와 일관적일 때, 파싱을 통해 획득된 동적 파라미터에 대한 검증에 성공했다고 결정하거나, 파싱을 통해 획득된 동적 파라미터가 저장된 동적 파라미터와 일관적이지 않을 때, 파싱을 통해 획득된 동적 파라미터에 대한 검증에 실패했다고 결정할 수 있다. 동적 파라미터에 대한 검증에 성공했다고 결정된 후에, 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부가, 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여 결정될 수 있다.
여기서 언급되는 서명 검증 공개 키 및 서명 검증 개인 키는, 제1 실행 유닛에 대응하는 제1 관리 서버에 의해 생성된다. 제1 관리 서버는 저장을 위해 제1 실행 유닛에 생성된 서명 검증 개인 키를 전송하고, 제2 실행 유닛에 대응하는 제2 관리 서버를 사용하여 제2 실행 유닛에 서명 검증 공개 키를 전송할 수 있다.
서비스 애플리케이션에 의해 제2 실행 유닛으로부터 획득되는 동적 파라미터는 각 서비스 실행 프로세스마다 달라진다. 따라서, 해커는 특정한 성공적인 검증 결과를 사용하여 리플레이 공격 방식으로 제2 실행 유닛에 서비스 인가를 연속적으로 신청할 수 없으며, 이에 의해 사용자의 정보 및 재산 보안이 보장될 수 있다.
제1 관리 서버는 상이한 제1 실행 유닛에 대해 고유한 서명 검증 키 쌍을 생성할 수 있거나, 제1 실행 유닛의 배치(batch)에 대해 서명 검증 키 쌍을 생성할 수 있다는 것을 언급할 만하다. 즉, 제1 관리 서버는, 각 디바이스에 고유하게 대응하는 서명 검증 키 쌍을 생성할 수 있거나, 디바이스의 배치에 대응하는 서명 검증 키 쌍을 생성할 수 있다.
본 명세서에서, 서비스 애플리케이션은 여러 경우에 제2 실행 유닛으로부터 동적 파라미터를 획득할 수 있다. 예컨대, 서비스 애플리케이션은 제2 실행 유닛으로부터 동적 파라미터를 먼저 획득한 후, 제1 실행 유닛에 동적 파라미터 및 획득된 검증될 정보를 전송할 수 있거나, 제1 실행 유닛에 검증될 정보를 먼저 전송한 후, 제2 실행 유닛으로부터 동적 파라미터를 획득하고 제1 실행 유닛에 동적 파라미터를 전송할 수 있다.
본 명세서에서, 제1 관리 서버에 의해 생성된 서명 검증 공개 키는 공증을 위해 인증 기관(CA, certificate authority)에 전송될 수 있고, 대응하는 공개 키 인증서가 획득된다. 후속적으로, 도 3에 도시된 바와 같이, 제2 실행 유닛은, 공개 키 인증서를 사용하여, 서비스 애플리케이션에 의해 전송된 서명 정보를 검증할 수 있다.
도 3은, 본 명세서의 구현예에 따른, 공개 키 인증서를 사용하여 서명 정보를 검증하는 것을 도시하는 개략도이다.
서명 검증 키 쌍을 생성한 후에, 제1 실행 유닛에 대응하는 제1 관리 서버는 공증을 위해 CA에 서명 검증 키 쌍 중 서명 검증 공개 키를 전송할 수 있다. CA는, 서명 검증 공개 키 및 다른 정보(예컨대, 서명 검증 공개 키의 공증을 신청하는 신청자에 관한 정보 및 시간 정보)에 기초하여, CA에 의해 저장된 CA 개인 키를 통해 서명된 공개 키 인증서를 생성할 수 있다. 이후, CA는 저장을 위해 제1 관리 서버를 사용하여 제1 실행 유닛에 공개 키 인증서를 전송하고, 저장을 위해 제2 관리 서버를 사용하여 제2 실행 유닛에 CA 개인 키에 대응하는 CA 공개 키를 전송할 수 있다.
그러므로, 서명 정보를 생성한 후에, 제1 실행 유닛은 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보 및 공개 키 인증서를 전송할 수 있고, 제2 실행 유닛은 획득된 CA 공개 키를 통해 공개 키 인증서를 검증하고, 공개 키 인증서를 파싱함으로써 획득된 서명 검증 공개 키를 통해 서명 정보를 검증할 수 있다. 서명 정보에 대한 검증에 성공했다고 결정된 후, 서명 정보를 파싱함으로써 획득된 동적 파라미터가 검증되고, 동적 파라미터에 대한 검증에 성공했다고 결정된 후, 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여, 현재 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부가 결정된다.
본 명세서에서, 서비스 애플리케이션에 의해 전송된 검증될 정보에 관한 검증에 성공했다고 결정된 후, 제1 실행 유닛은 획득된 동적 파라미터에 서명하여, 대응하는 서명 정보를 획득할 수 있다. 서비스 애플리케이션을 사용하여 서명 정보를 수신할 때, 제2 실행 유닛은, 검증될 정보에 대해 제1 실행 유닛에 의해 수행된 검증에 성공했다고 결정할 수 있고, 이후, 서명 정보를 파싱함으로써 획득된 동적 파라미터에 대한 검증에 성공했다고 결정할 때, 현재 서비스 애플리케이션에 의해 실행되는 서비스를 인가할 수 있다.
본 명세서에서, 서비스 애플리케이션은, 제1 실행 유닛으로부터 획득된 서명 정보와 같은 데이터를, 서비스 애플리케이션이 제1 보안 환경 내에서 구동될 때 제공될 수 있는 인터페이스를 통해, 사용자에게 디스플레이할 수 있다. 유사하게, 사용자가 검증 결과를 볼 수 있도록 하기 위해, 제1 실행 유닛은, 검증될 정보에 대한 검증이 수행된 후에 획득된 검증 결과를, 제1 실행 유닛이 제1 보안 환경 내에서 구동될 때 제공될 수 있는 인터페이스를 통해 디스플레이할 수 있다.
전술한 방법으로부터, 비대칭 암호화 방법을 통해, 제2 보안 환경 내에서 구동되는 제2 실행 유닛은, 제1 보안 환경 내에서 구동되는 제1 실행 유닛에 의해 획득된 검증 결과의 진정성을 검증할 수 있다는 것을 알 수 있다. 따라서, 제2 실행 유닛은, 제1 실행 유닛에 의해 획득된 검증 결과에 기초하여, 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부를 결정할 수 있다.
또한, 전술한 방법에서, 제2 실행 유닛은, 제1 실행 유닛에 의해 수행되는 생체 특징 검증의 진정성을 검증할 수 있다. 그러므로, 2개의 사이한 보안 환경 사이의 협업을 요구하는 서비스에 대해, 간단하고 쉽게 동작할 수 있는 검증 방법인 생체 인식을 사용하여, 사용자에 대한 신원 검증이 수행될 수 있으며, 따라서 사용자에 의한 서비스의 실행 과정에서 우수한 사용자 경험이 달성된다.
본 명세서의 하나 이상의 구현예에서 제공되는 서비스 인가 방법이 전술되었다. 동일한 발상에 기초하여, 본 명세서는 또한, 도 4, 도 5, 및 도 6에 도시된 바와 같은, 대응하는 서비스 인가 장치를 제공한다.
도 4는, 본 명세서의 구현예에 따른, 서비스 인가 장치를 도시하는 개략도이다. 본 장치는, 검증될 정보를 획득하고, 검증을 위해 검증될 정보를 제1 실행 유닛에 전송하도록 구성된, 취득 모듈(401); 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하도록 구성된, 수신 모듈(402); 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 제2 실행 유닛에 서명 정보를 전송하도록 구성된, 전송 모듈(403)을 포함한다.
제1 보안 환경은 신뢰 실행 환경(TEE)을 포함하고, 제2 보안 환경은 보안 요소(SE)에 의해 제공되는 실행 환경을 포함한다.
검증될 정보는 검증될 생체 특징 정보를 포함한다.
취득 모듈(401)은, 제2 실행 유닛에 의해 전송된 동적 파라미터를 획득하고 - 동적 파라미터는 난수와 시간 정보 중 적어도 하나를 포함함 -; 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과 및 동적 파라미터에 서명하도록 하기 위해, 제1 실행 유닛에 동적 파라미터를 전송하도록 구성된다.
도 5는, 본 명세서의 구현예에 따른, 서비스 인가 장치를 도시하는 개략도이다. 본 장치는, 서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하도록 구성된, 수신 모듈(501); 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하도록 구성된, 검증 모듈(502); 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공한 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보를 전송하도록 구성된, 전송 모듈(503)을 포함한다.
서비스 애플리케이션은 제1 보안 환경 내에서 구동된다.
수신 모듈(501)은, 서비스 애플리케이션을 사용하여 제2 실행 유닛에 의해 전송된 동적 파라미터를 수신하도록 구성된다.
검증 모듈(502)은, 서명 검증 개인 키를 통해 검증 결과 및 동적 파라미터에 서명하여, 서명 정보를 획득하도록 구성된다.
본 장치는, 본 장치에 대응하는 제1 관리 서버로부터 서명 검증 개인 키를 획득하도록 구성된, 취득 모듈(504)을 더 포함한다.
취득 모듈(504)은, 제1 관리 서버로부터 서명 검증 공개 키의 공개 키 인증서를 획득하도록 구성되며, 공개 키 인증서는 제1 관리 서버에 의해 인증 기관(CA)으로부터 획득되고, 공개 키 인증서는, CA가, 저장된 CA 개인 키에 기초하여 서명 검증 공개 키를 검증한 후에 획득된다.
전송 모듈(503)은, 제2 실행 유닛이 CA로부터 획득된 CA 공개 키를 통해 공개 키 인증서를 검증하고, 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 공개 키 인증서를 파싱함으로써 획득된 서명 검증 공개 키를 통해 서명 정보를 검증하도록 하기 위해, 서비스 애플리케이션을 사용하여 제2 실행 유닛에 공개 키 인증서 및 서명 정보를 전송하도록 구성된다.
도 6은, 본 명세서의 구현예에 따른, 서비스 인가 장치를 도시하는 개략도이다. 본 장치는, 서비스 애플리케이션을 사용하여 제1 실행 유닛에 의해 전송된 서명 정보를 획득하도록 구성된, 취득 모듈(601) - 서명 정보는, 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 검증 결과는, 서비스 애플리케이션에 의해 전송된 검증될 정보를 제1 실행 유닛이 검증한 후에 획득됨 -; 및 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고 서명 정보에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여 서비스 인가를 수행하도록 구성된, 검증 모듈(602)을 포함한다.
서명 검증 공개 키는, 본 장치에 대응하는 제2 관리 서버를 사용하여, 본 장치에 의해, 제1 실행 유닛에 대응하는 제1 관리 서버로부터 획득된다.
취득 모듈(601)은, 본 장치에 대응하는 제2 관리 서버를 사용하여 인증 기관(CA)으로부터 CA 공개 키를 획득하도록 구성된다.
검증 모듈(602)은, CA 공개 키를 통해, 서비스 애플리케이션으로부터 전송된 공개 키 인증서를 검증하고 - 공개 키 인증서는, CA가, CA 공개 키에 대응하는 CA 개인 키에 기초하여 서명 검증 공개 키를 검증한 후에 획득되고, 공기 키 인증서는 서비스 애플리케이션에 의해 제1 실행 유닛으로부터 획득되고, 공개 키 인증서는, 제1 실행 유닛에 대응하는 제1 관리 서버를 사용하여 제1 실행 유닛에 의해 CA로부터 획득됨 -; 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 공개 키 인증서를 파싱함으로써 획득된 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여 서비스 인가를 수행하도록 구성된다.
본 장치는, 제1 실행 유닛이 서명 검증 개인 키를 통해, 서비스 애플리케이션으로부터 획득된 검증 결과 및 동적 파라미터에 서명해, 서명 정보를 획득하도록 하기 위해, 서비스 애플리케이션에 동적 파라미터를 전송하도록 구성된 전송 모듈(603)을 더 포함한다.
검증 모듈(602)은, CA 공개 키를 통해 공개 키 인증서를 검증하고; 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 공개 키 인증서를 파싱함으로써 획득된 서명 검증 공개 키를 통해 서명 정보를 검증하고; 서명 정보에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱함으로써 획득된 동적 파라미터를 검증하고, 동적 파라미터에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여 서비스 인가를 수행하도록 구성된다.
전술한 서비스 인가 방법에 기초하여, 본 명세서는 또한, 도 7에 도시된 바와 같은, 대응하는 서비스 인가 디바이스를 제공한다. 본 디바이스는 하나 이상의 메모리 및 프로세서를 포함한다. 메모리는 프로그램을 저장하고, 프로그램은 하나 이상의 프로세서에 의해 실행되어, 검증될 정보를 획득하고, 검증을 위해 검증될 정보를 제1 실행 유닛에 전송하는 단계 - 제1 실행 유닛은, 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동됨 -; 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하는 단계; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 제2 실행 유닛에 서명 정보를 전송하는 단계 - 제2 실행 유닛은, 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 - 를 수행한다.
전술한 서비스 인가 방법에 기초하여, 본 명세서는 또한, 도 8에 도시된 바와 같은, 대응하는 서비스 인가 디바이스를 제공한다. 본 디바이스는 하나 이상의 메모리 및 프로세서를 포함한다. 메모리는 프로그램을 저장하고, 프로그램은 하나 이상의 프로세서에 의해 실행되어, 서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하는 단계 - 제1 실행 유닛이, 본 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동됨 -; 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하는 단계; 및 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공한 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션을 사용하여 제2 실행 유닛에 서명 정보를 전송하는 단계 - 제2 실행 유닛은, 본 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 - 를 수행한다.
전술한 서비스 인가 방법에 기초하여, 본 명세서는 또한, 도 9에 도시된 바와 같은, 대응하는 서비스 인가 디바이스를 제공한다. 본 디바이스는 하나 이상의 메모리 및 프로세서를 포함한다. 메모리는 프로그램을 저장하고, 프로그램은 하나 이상의 프로세서에 의해 실행되어, 서비스 애플리케이션을 사용하여 제1 실행 유닛에 의해 전송된 서명 정보를 획득하는 단계 - 서명 정보는, 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 검증 결과는, 서비스 애플리케이션에 의해 전송된 검증될 정보를 제1 실행 유닛이 검증한 후에 획득되고, 제1 실행 유닛은, 본 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동되고, 제2 실행 유닛은, 본 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 -; 및 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 서명 정보를 파싱함으로써 획득된 검증 결과에 기초하여 서비스 인가를 수행하는 단계를 수행한다.
본 명세서의 하나 이상의 구현예에서, 검증될 정보가 획득된 후에, 제1 실행 유닛이, 검증될 정보를 검증하고, 제1 실행 유닛에 의해 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하도록 하기 위해, 검증될 정보는 제1 실행 유닛에 전송될 수 있다. 이후, 제2 실행 유닛이 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 서명 정보를 검증하고, 서명 정보에 대한 검증에 성공했다고 결정된 후에 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 서비스 애플리케이션은, 제1 실행 유닛에 의해 반환된 서명 정보를 획득한 후, 제2 실행 유닛에 서명 정보를 전송할 수 있다.
비대칭 암호화 방법으로, 제2 보안 환경 내에서 구동되는 제2 실행 유닛은, 제1 보안 환경 내에서 구동되는 제1 실행 유닛에 의해 획득된 검증 결과의 진정성을 검증할 수 있다. 따라서, 제2 실행 유닛은, 제1 실행 유닛에 의해 획득된 검증 결과에 기초하여, 서비스 애플리케이션에 의해 실행되는 서비스를 인가할지의 여부를 결정할 수 있으며, 이에 의해, 더 보안적이고 효과적인 신원 검증 방법이 사용자에게 제공된다.
1990년대에는, 기술적 개선이 하드웨어 개선(예컨대, 다이오드, 트랜지스터, 또는 스위치와 같은 회로 구조물에 대한 개선)인지 또는 소프트웨어 개선(방법 절차에 대한 개선)인지의 여부가 명확히 구분될 수 있었다. 그러나, 기술이 발전함에 따라서, 여러 방법 절차에 대한 현재의 개선은 하드웨어 회로 구조물에 대한 직접적인 개선인 것으로 간주될 수 있다. 일반적으로 설계자는 개선된 방법 절차를 하드웨어 회로에 프로그래밍하여, 대응하는 하드웨어 회로 구조물을 획득한다. 따라서, 하드웨어 엔티티 모듈을 사용하여 방법 절차가 개선될 수 있다. 예컨대, 프로그래밍가능 논리 디바이스(PLD, programmable logic device)(예컨대, 필드 프로그래밍가능 게이트 어레이(FPGA, field programmable gate array))는 그러한 집적 회로이며, PLD의 논리적 기능은 디바이스 프로그래밍을 통해 사용자에 의해 결정된다. 애플리케이션-특유 집적 회로 칩을 설계 및 생산할 것을 칩 제조자에게 요청하지 않고도, 설계자는 PLD에 디지털 시스템을 "집적"시키기 위한 프로그래밍을 수행한다. 또한, 집적 회로 칩을 수동으로 제조하는 대신, 주로 "논리적 컴파일러" 소프트웨어를 수정함으로써 프로그래밍이 구현된다. 이는, 프로그램 개발 및 컴파일링을 위해 사용되는 소프트웨어 컴파일러와 유사하다. 그러나, 컴파일링 되기 전의 원래의 코드는 또한 특정한 프로그래밍 언어로 작성되며, 이는 하드웨어 기술 언어(HDL, hardware description language)로서 지칭된다. ABEL(Advanced Boolean Expression Language), AHDL(Altera Hardware Description Language), Confluence, CUPL(Cornell University Programming Language), HDCal, JHDL(Java Hardware Description Language), Lava, Lola, MyHDL, PALASM, 및 RHDL(Ruby Hardware Description Language)과 같은 여러 HDL이 존재한다. 현재, VHDL(Very-High-Speed Integrated Circuit Hardware Description Language) 및 Verilog가 가장 일반적으로 사용된다. 당업자는 또한, 방법 절차가, 여러 설명된 하드웨어 기술 언어를 사용하여 논리적으로 프로그래밍되고 집적 회로에 프로그래밍된 후에, 논리적 방법 절차를 구현하는 하드웨어 회로가 수월하게 획득될 수 있다는 것을 이해해야 한다.
제어기는 임의의 적절한 방법을 사용하여 구현될 수 있다. 예컨대, 제어기는 마이크로프로세서 또는 프로세서이거나, 마이크로프로세서 또는 프로세서, 논리 게이트, 스위치, ASIC(application-specific integrated circuit), 프로그래밍가능 논리 제어기, 또는 내장형 마이크로프로세서에 의해 실행될 수 있는 (소프트웨어 또는 펌웨어와 같은) 컴퓨터 판독가능 프로그램 코드를 저장한 컴퓨터 판독가능 매체일 수 있다. 제어기의 예는 ARC 625D, Atmel AT91SAM, Microchip PIC18F26K20, 및 Silicone Labs C8051F320과 같은 마이크로프로세서를 포함하지만, 이들로 제한되지 않는다. 메모리 제어기는 또한 메모리의 제어 논리의 일부로서 구현될 수 있다. 당업자는, 컴퓨터 판독가능 프로그램 코드를 사용하여 제어기를 구현하는 것에 더하여, 제어기가, 동일한 기능을, 논리 게이트, 스위치, 애플리케이션-특유 집적 회로, 프로그래밍가능 논리 제어기, 및 내장형 마이크로컨트롤러의 형태로 구현하도록, 방법 단계에 대해 논리 프로그래밍이 수행될 수 있다는 것 또한 알고 있다. 따라서, 제어기는 하드웨어 컴포넌트인 것으로 간주될 수 있고, 제어기 내에 다양한 기능을 구현하도록 구성된 장치 또한 하드웨어 컴포넌트 내의 구조물로서 간주될 수 있다. 또는, 다양한 기능을 구현하도록 구성된 장치는, 방법을 구현하는 소프트웨어 모듈 및 하드웨어 컴포넌트 내의 구조물 둘 다로서도 간주될 수 있다.
전술한 구현예에 예시된 시스템, 장치, 모듈, 또는 유닛은, 컴퓨터 칩 또는 엔티티를 사용하여 구현될 수 있거나, 특정한 기능을 갖는 제품을 사용하여 구현될 수 있다. 일반적인 구현 디바이스는 컴퓨터이다. 컴퓨터는, 예컨대, 개인용 컴퓨터, 랩톱 컴퓨터, 셀룰러 전화, 카메라 전화, 스마트폰, 개인용 디지털 보조기구, 미디어 플레이어, 내비게이션 디바이스, 이메일 디바이스, 게임 콘솔, 태블릿 컴퓨터, 웨어러블 디바이스, 또는 이들 디바이스 중 임의의 디바이스의 조합일 수 있다.
설명을 용이하게 하기 위해, 전술한 장치는 다양한 유닛으로 기능을 분할함으로써 설명되었다. 물론, 본 명세서가 구현될 때, 유닛의 기능은 하나 이상의 소프트웨어 및/또는 하드웨어로 구현될 수 있다.
당업자는, 본 명세서의 구현예가 방법, 시스템, 또는 컴퓨터 프로그램 제품으로서 제공될 수 있다는 것을 이해해야 한다. 따라서, 본 명세서는, 하드웨어만으로 이루어진 구현예, 소프트웨어만으로 이루어진 구현예, 또는 소프트웨어와 하드웨어의 조합을 갖는 구현예의 형태를 사용할 수 있다. 또한, 본 명세서는, 컴퓨터-사용가능 프로그램 코드를 포함하는 하나 이상의 컴퓨터-사용가능 저장 매체(디스크 메모리, CD-ROM, 광학식 메모리 등을 포함하지만 이들로 제한되지는 않음) 상에 구현되는 컴퓨터 프로그램 제품의 형태를 사용할 수 있다.
본 명세서는, 본 명세서의 하나 이상의 구현예에 기초한 방법, 디바이스(시스템), 및 컴퓨터 프로그램 제품의 흐름도 및/또는 블록도를 참조하여 설명되었다. 흐름도 및/또는 블록도 내의 각 프로세스 및/또는 각 블록, 및 흐름도 및/또는 블록도 내의 프로세스 및/또는 블록의 조합을 구현하기 위해 컴퓨터 프로그램 명령어가 사용될 수 있다는 것이 이해되어야 한다. 컴퓨터 또는 또 다른 프로그래밍가능 데이터 프로세싱 디바이스의 프로세서에 의해 실행되는 명령어가, 흐름도 내의 하나 이상의 프로세스 및/또는 블록도 내의 하나 이상의 블록에서의 특정한 기능을 구현하기 위한 장치를 생성하도록 하기 위하여, 이들 컴퓨터 프로그램 명령어는 범용 컴퓨터, 전용 컴퓨터, 내장형 프로세서, 또는 또 다른 프로그래밍가능 데이터 프로세싱 디바이스의 프로세서가 머신을 생성하도록 하기 위해 제공될 수 있다.
컴퓨터 판독가능 메모리 내에 저장된 명령어가, 명령 장치를 포함하는 아티팩트를 생성하도록 하기 위하여, 이들 컴퓨터 프로그램 명령어는 대안적으로, 컴퓨터 또는 또 다른 프로그래밍가능 데이터 프로세싱 디바이스가 특정한 방식으로 작업하도록 명령할 수 있는 컴퓨터 판독가능 메모리 내에 저장될 수 있다. 명령 장치는 흐름도 내의 하나 이상의 프로세스 및/또는 블록도 내의 하나 이상의 블록에서의 특정한 기능을 구현한다.
컴퓨터 또는 다른 프로그래밍가능 디바이스 상에서 일련의 동작 및 단계가 수행되도록, 이들 컴퓨터 프로그램 명령어는 대안적으로 컴퓨터 또는 또 다른 프로그래밍가능 데이터 프로세싱 디바이스 상에 로딩될 수 있으며, 이에 의해 컴퓨터-구현 프로세싱(computer-implemented processing)을 생성한다. 따라서, 컴퓨터 또는 또 다른 프로그래밍가능 디바이스 상에서 실행되는 명령어는 흐름도 내의 하나 이상의 프로세스 및/또는 블록도 내의 하나 이상의 블록에서의 특정한 기능을 구현하기 위한 단계를 제공한다.
일반적인 구성에서, 컴퓨팅 디바이스는 하나 이상의 프로세서(CPU), 입력/출력 인터페이스, 네트워크 인터페이스, 및 메모리를 포함한다.
메모리는 비영구적 메모리, RAM(random access memory), 비휘발성 메모리, 및/또는 컴퓨터 판독가능 매체 내에 있는 또 다른 형태, 예컨대, ROM(read-only memory) 또는 플래시 메모리(플래시 RAM)를 포함할 수 있다. 메모리는 컴퓨터 판독가능 매체의 한 예이다.
컴퓨터 판독가능 매체는, 임의의 방법 또는 기술을 사용하여 정보를 저장할 수 있는 영구적, 비영구적, 탈착형, 및 비탈착형 매체를 포함한다. 정보는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 다른 데이터일 수 있다. 컴퓨터 저장 매체의 예는 PRAM(parameter random access memory), SRAM(static random access memory), DRAM(dynamic random access memory), 또 다른 유형의 RAM(random access memory), ROM(read-only memory), EEPROM(electrically erasable programmable read-only memory), 플래시 메모리 또는 또 다른 메모리 기술, CD-ROM(compact disc read-only memory), DVD(digital versatile disc) 또는 다른 광학식 저장소, 카세트 자기 테이프, 자기 테이프/자기 디스크 저장소, 또 다른 자기 저장 디바이스, 또는 임의의 다른 비송신 매체를 포함하지만, 이들로 제한되지는 않는다. 컴퓨터 저장 매체는, 컴퓨팅 디바이스에 의해 액세스가능한 정보를 저장하기 위해 사용될 수 있다. 본 명세서에서의 정의에 기초하여, 컴퓨터 판독가능 매체는, 변조된 데이터 신호 및 반송파와 같은, 일시적 컴퓨터 판독가능 매체(일시적 매체)를 포함하지 않는다.
"포함한다"라는 용어, "구비한다"라는 용어, 또는 이들의 임의의 다른 변형어는, 일련의 요소를 포함하는 프로세스, 방법, 물품, 또는 디바이스가, 이들 요소를 포함할 뿐만 아니라, 명시적으로 나열되지 않은 다른 요소도 포함하도록, 또는 그러한 프로세스, 방법, 물품, 또는 디바이스에 내재된 다른 요소를 더 포함하도록 하기 위해, 비배타적인 포함을 커버하도록 의도된다는 것에도 유의해야 한다. "...을(를) 포함한다"에 의해 설명되는 요소는, 추가적인 제약이 없는 한, 해당 요소를 포함하는 프로세스, 방법, 물품, 또는 디바이스 내에 또 다른 동일하거나 똑같은 요소를 포함할 수 있다.
본 명세서는 컴퓨터 실행가능 명령어, 예컨대, 프로그램 모듈의 일반적인 맥락에서 설명될 수 있다. 프로그램 모듈은 일반적으로, 특정한 작업을 실행하거나 특정한 추상 데이터 유형을 구현하기 위한 루틴, 프로그램, 객체, 컴포넌트, 데이터 구조 등을 포함한다. 본 명세서의 하나 이상의 구현예는 분산 컴퓨팅 환경에서 실시될 수 있다. 이들 분산 컴퓨팅 환경에서는, 통신 네트워크를 통해 연결된 원격 프로세싱 디바이스에 의해 작업이 실행된다. 분산 컴퓨팅 환경에서, 프로그램 모듈은, 저장 디바이스를 비롯한 로컬 및 원격 컴퓨터 저장 매체 둘 다에 위치될 수 있다.
본 명세서의 구현예는 점진적인 방식으로 설명되었다. 구현예의 동일한 또는 유사한 부분에 대해서는, 해당 구현예를 참조할 수 있다. 각 구현예는 다른 구현예로부터의 차이에 초점을 둔다. 특히, 시스템 구현예는 기본적으로 방법 구현예와 유사하며, 따라서, 간략하게 설명되었다. 관련된 부분에 대해서는, 방법 구현예 내의 관련된 설명을 참조할 수 있다.
본 출원의 특정한 구현예가 전술되었다. 다른 구현예들은 첨부된 청구범위 내에 속한다. 일부 상황에서, 청구항 내에 설명된 동작 또는 단계가 구현예에서의 순서와는 상이한 순서로 수행되면서도 여전히 바람직한 결과가 달성될 수 있다. 또한, 첨부 도면 내에 묘사된 프로세스가 필연적으로 특정한 실행 순서를 요구하거나 바람직한 결과를 달성하는 것은 아니다. 일부 구현예에서, 멀티태스킹 및 병렬 처리가 이로울 수 있다.
전술한 설명은 단지 본 명세서의 하나 이상의 구현예일 뿐이며, 본 명세서를 제한하도록 의도되지 않는다. 당업자에게, 본 명세서의 하나 이상의 구현예는 다양한 수정예 및 변경예를 가질 수 있다. 본 명세서의 하나 이상의 구현예의 사상 및 원리 내에서 이루어지는 임의의 수정, 등가 대체, 및 개선은 본 명세서의 청구범위 내에 속해야 한다.

Claims (37)

  1. 서비스 인가 방법에 있어서, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 상기 제1 보안 환경 내에서 구동(run)되고, 제2 실행 유닛이 상기 제2 보안 환경 내에서 구동되며, 상기 서비스 인가 방법은,
    검증될 정보를 획득하고, 검증을 위해 상기 검증될 정보를 상기 제1 실행 유닛에 전송하는 단계;
    상기 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키(signature verification private key)를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하는 단계; 및
    상기 제2 실행 유닛이 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키(signature verification public key)를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 상기 제2 실행 유닛에 상기 서명 정보를 전송하는 단계
    를 포함하는, 서비스 인가 방법.
  2. 제1항에 있어서, 상기 제1 보안 환경은 신뢰 실행 환경(TEE, trusted execution environment)을 포함하고, 상기 제2 보안 환경은 보안 요소(SE, secure element)에 의해 제공되는 실행 환경을 포함하는, 서비스 인가 방법.
  3. 제1항 또는 제2항에 있어서, 상기 검증될 정보는 검증될 생체 특징 정보를 포함하는, 서비스 인가 방법.
  4. 제1항 또는 제2항에 있어서, 상기 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하기 전에,
    상기 제2 실행 유닛에 의해 전송된 동적 파라미터를 획득하는 단계 - 상기 동적 파라미터는 난수와 시간 정보 중 적어도 하나를 포함함 -; 및
    상기 제1 실행 유닛이 상기 서명 검증 개인 키를 통해 상기 검증 결과 및 상기 동적 파라미터에 서명하도록 하기 위해, 상기 제1 실행 유닛에 상기 동적 파라미터를 전송하는 단계를 더 포함하는, 서비스 인가 방법.
  5. 서비스 인가 방법에 있어서, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 상기 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 상기 제2 보안 환경 내에서 구동되며, 상기 서비스 인가 방법은,
    상기 제1 실행 유닛에 의해, 서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하는 단계;
    상기 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하는 단계; 및
    상기 제2 실행 유닛이 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공한 후에 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 상기 서명 정보를 전송하는 단계
    를 포함하는, 서비스 인가 방법.
  6. 제5항에 있어서, 상기 서비스 애플리케이션은 상기 제1 보안 환경 내에서 구동되는, 서비스 인가 방법.
  7. 제5항에 있어서, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하기 전에,
    상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 의해 전송된 동적 파라미터를 수신하는 단계를 더 포함하는, 서비스 인가 방법.
  8. 제7항에 있어서, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하는 것은,
    상기 서명 검증 개인 키를 통해 상기 검증 결과 및 상기 동적 파라미터에 서명하여, 상기 서명 정보를 획득하는 것을 포함하는, 서비스 인가 방법.
  9. 제5항 또는 제8항에 있어서, 서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하기 전에,
    상기 제1 실행 유닛에 대응하는 제1 관리 서버로부터 상기 서명 검증 개인 키를 획득하는 단계를 더 포함하는, 서비스 인가 방법.
  10. 제9항에 있어서, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 상기 서명 정보를 전송하기 전에,
    상기 제1 관리 서버로부터 상기 서명 검증 공개 키의 공개 키 인증서를 획득하는 단계 - 상기 공개 키 인증서는 상기 제1 관리 서버에 의해 인증 기관(CA, certificate authority)으로부터 획득되고, 상기 공개 키 인증서는, 상기 CA가, 저장된 CA 개인 키에 기초하여 상기 서명 검증 공개 키를 검증한 후에 획득됨 -
    를 더 포함하는, 서비스 인가 방법.
  11. 제10항에 있어서, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 상기 서명 정보를 전송하는 단계는,
    상기 제2 실행 유닛이 상기 CA로부터 획득된 CA 공개 키를 통해 상기 공개 키 인증서를 검증하고, 상기 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 상기 공개 키 인증서를 파싱(parsing)함으로써 획득된 상기 서명 검증 공개 키를 통해 상기 서명 정보를 검증하도록 하기 위해, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 상기 공개 키 인증서 및 상기 서명 정보를 전송하는 단계를 포함하는, 서비스 인가 방법.
  12. 서비스 인가 방법에 있어서, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 상기 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 상기 제2 보안 환경 내에서 구동되며, 상기 서비스 인가 방법은,
    상기 제2 실행 유닛에 의해, 서비스 애플리케이션을 사용하여 상기 제1 실행 유닛에 의해 전송된 서명 정보를 획득하는 단계 - 상기 서명 정보는 상기 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 상기 검증 결과는 상기 제1 실행 유닛이 상기 서비스 애플리케이션에 의해 전송된 검증될 정보를 검증한 후에 획득됨 -; 및
    상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하는 단계
    를 포함하는, 서비스 인가 방법.
  13. 제12항에 있어서, 상기 서명 검증 공개 키는, 상기 제2 실행 유닛에 대응하는 제2 관리 서버를 사용하여, 상기 제2 실행 유닛에 의해, 상기 제1 실행 유닛에 대응하는 제1 관리 서버로부터 획득되는, 서비스 인가 방법.
  14. 제12항에 있어서, 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하기 전에,
    상기 제2 실행 유닛에 대응하는 제2 관리 서버를 사용하여 인증 기관(CA)으로부터 CA 공개 키를 획득하는 단계를 더 포함하는, 서비스 인가 방법.
  15. 제14항에 있어서, 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하는 단계는,
    상기 CA 공개 키를 통해, 상기 서비스 애플리케이션으로부터 전송된 공개 키 인증서를 검증하는 단계 - 상기 공개 키 인증서는 상기 CA가 상기 CA 공개 키에 대응하는 CA 개인 키에 기초하여 상기 서명 검증 공개 키를 검증한 후에 획득되고, 상기 공개 키 인증서는 상기 서비스 애플리케이션에 의해 상기 제1 실행 유닛으로부터 획득되고, 상기 공개 키 인증서는 상기 제1 실행 유닛에 대응하는 제1 관리 서버를 사용하여 상기 제1 실행 유닛에 의해 상기 CA로부터 획득됨 -; 및
    상기 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 상기 공개 키 인증서를 파싱함으로써 획득된 상기 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하는 단계를 포함하는, 서비스 인가 방법.
  16. 제15항에 있어서, 서비스 애플리케이션을 사용하여 상기 제1 실행 유닛에 의해 전송된 서명 정보를 획득하기 전에,
    상기 제1 실행 유닛이 상기 서명 검증 개인 키를 통해, 상기 서비스 애플리케이션으로부터 획득된 상기 검증 결과 및 동적 파라미터에 서명해, 상기 서명 정보를 획득하도록 하기 위해, 상기 서비스 애플리케이션에 상기 동적 파라미터를 전송하는 단계를 더 포함하는, 서비스 인가 방법.
  17. 제16항에 있어서, 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하는 단계는,
    상기 CA 공개 키를 통해 상기 공개 키 인증서를 검증하는 단계;
    상기 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 상기 공개 키 인증서를 파싱함으로써 획득된 상기 서명 검증 공개 키를 통해 상기 서명 정보를 검증하는 단계; 및
    상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 동적 파라미터를 검증하고, 상기 동적 파라미터에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하는 단계를 포함하는, 서비스 인가 방법.
  18. 서비스 인가 장치에 있어서, 상기 서비스 인가 장치를 포함하는 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 상기 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 상기 제2 보안 환경 내에서 구동되며, 상기 서비스 인가 장치는,
    검증될 정보를 획득하고, 검증을 위해 상기 검증될 정보를 상기 제1 실행 유닛에 전송하도록 구성된, 취득 모듈;
    상기 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하도록 구성된, 수신 모듈; 및
    상기 제2 실행 유닛이 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 상기 제2 실행 유닛에 상기 서명 정보를 전송하도록 구성된, 전송 모듈
    을 포함하는, 서비스 인가 장치.
  19. 제18항에 있어서, 상기 제1 보안 환경은 신뢰 실행 환경(TEE)을 포함하고, 상기 제2 보안 환경은 보안 요소(SE)에 의해 제공되는 실행 환경을 포함하는, 서비스 인가 장치.
  20. 제18항 또는 제19항에 있어서, 상기 검증될 정보는 검증될 생체 특징 정보를 포함하는, 서비스 인가 장치.
  21. 제18항 또는 제19항에 있어서, 상기 취득 모듈은, 상기 제2 실행 유닛에 의해 전송된 동적 파라미터를 획득하고 - 상기 동적 파라미터는 난수와 시간 정보 중 적어도 하나를 포함함 -; 상기 제1 실행 유닛이 상기 서명 검증 개인 키를 통해 상기 검증 결과 및 상기 동적 파라미터에 서명하도록 하기 위해, 상기 제1 실행 유닛에 상기 동적 파라미터를 전송하도록 구성되는, 서비스 인가 장치.
  22. 서비스 인가 장치에 있어서, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 상기 서비스 인가 장치가 상기 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이 상기 제2 보안 환경 내에서 구동되며, 상기 서비스 인가 장치는,
    서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하도록 구성된, 수신 모듈;
    상기 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하도록 구성된, 검증 모듈; 및
    상기 제2 실행 유닛이 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공한 후에 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 상기 서명 정보를 전송하도록 구성된, 전송 모듈
    을 포함하는, 서비스 인가 장치.
  23. 제22항에 있어서, 상기 서비스 애플리케이션은 상기 제1 보안 환경 내에서 구동되는, 서비스 인가 장치.
  24. 제22항에 있어서, 상기 수신 모듈은, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 의해 전송된 동적 파라미터를 수신하도록 구성되는, 서비스 인가 장치.
  25. 제24항에 있어서, 상기 검증 모듈은, 상기 서명 검증 개인 키를 통해 상기 검증 결과 및 상기 동적 파라미터에 서명하여, 상기 서명 정보를 획득하도록 구성되는, 서비스 인가 장치.
  26. 제22항 또는 제25항에 있어서,
    상기 서비스 인가 장치에 대응하는 제1 관리 서버로부터 상기 서명 검증 개인 키를 획득하도록 구성된, 취득 모듈을 더 포함하는, 서비스 인가 장치.
  27. 제26항에 있어서, 상기 취득 모듈은, 상기 제1 관리 서버로부터 상기 서명 검증 공개 키의 공개 키 인증서를 획득하도록 구성되며, 상기 공개 키 인증서는 상기 제1 관리 서버에 의해 인증 기관(CA)으로부터 획득되고, 상기 공개 키 인증서는, 상기 CA가, 저장된 CA 개인 키에 기초하여 상기 서명 검증 공개 키를 검증한 후에 획득되는, 서비스 인가 장치.
  28. 제27항에 있어서, 상기 전송 모듈은, 상기 제2 실행 유닛이 상기 CA로부터 획득된 CA 공개 키를 통해 상기 공개 키 인증서를 검증하고, 상기 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 상기 공개 키 인증서를 파싱함으로써 획득된 상기 서명 검증 공개 키를 통해 상기 서명 정보를 검증하도록 하기 위해, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 상기 공개 키 인증서 및 상기 서명 정보를 전송하도록 구성되는, 서비스 인가 장치.
  29. 서비스 인가 장치에 있어서, 디바이스의 시스템이 적어도 제1 보안 환경 및 제2 보안 환경을 포함하고, 제1 실행 유닛이 상기 제1 보안 환경 내에서 구동되고, 상기 서비스 인가 장치가 상기 제2 보안 환경 내에서 구동되며, 상기 서비스 인가 장치는,
    서비스 애플리케이션을 사용하여 상기 제1 실행 유닛에 의해 전송된 서명 정보를 획득하도록 구성된, 취득 모듈 - 상기 서명 정보는 상기 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 상기 검증 결과는 상기 제1 실행 유닛이 상기 서비스 애플리케이션에 의해 전송된 검증될 정보를 검증한 후에 획득됨 -; 및
    상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 구성된, 검증 모듈
    을 포함하는, 서비스 인가 장치.
  30. 제29항에 있어서, 상기 서명 검증 공개 키는, 상기 서비스 인가 장치에 대응하는 제2 관리 서버를 사용하여, 상기 서비스 인가 장치에 의해, 상기 제1 실행 유닛에 대응하는 제1 관리 서버로부터 획득되는, 서비스 인가 장치.
  31. 제29항에 있어서, 상기 취득 모듈은, 상기 서비스 인가 장치에 대응하는 제2 관리 서버를 사용하여 인증 기관(CA)으로부터 CA 공개 키를 획득하도록 구성되는, 서비스 인가 장치.
  32. 제31항에 있어서, 상기 검증 모듈은,
    상기 CA 공개 키를 통해, 상기 서비스 애플리케이션으로부터 전송된 공개 키 인증서를 검증하고 - 상기 공개 키 인증서는 상기 CA가 상기 CA 공개 키에 대응하는 CA 개인 키에 기초하여 상기 서명 검증 공개 키를 검증한 후에 획득되고, 상기 공개 키 인증서는 상기 서비스 애플리케이션에 의해 상기 제1 실행 유닛으로부터 획득되고, 상기 공개 키 인증서는 상기 제1 실행 유닛에 대응하는 제1 관리 서버를 사용하여 상기 제1 실행 유닛에 의해 상기 CA로부터 획득됨 -;
    상기 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 상기 공개 키 인증서를 파싱함으로써 획득된 상기 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 구성되는, 서비스 인가 장치.
  33. 제32항에 있어서,
    상기 제1 실행 유닛이 상기 서명 검증 개인 키를 통해, 상기 서비스 애플리케이션으로부터 획득된 상기 검증 결과 및 동적 파라미터에 서명해, 상기 서명 정보를 획득하도록 하기 위해, 상기 서비스 애플리케이션에 상기 동적 파라미터를 전송하도록 구성된, 전송 모듈을 더 포함하는, 서비스 인가 장치.
  34. 제33항에 있어서, 상기 검증 모듈은,
    상기 CA 공개 키를 통해 상기 공개 키 인증서를 검증하고;
    상기 공개 키 인증서에 대한 검증에 성공했다고 결정된 후에 상기 공개 키 인증서를 파싱함으로써 획득된 상기 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고;
    상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 동적 파라미터를 검증하고, 상기 동적 파라미터에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 구성되는, 서비스 인가 장치.
  35. 서비스 인가 디바이스에 있어서, 상기 서비스 인가 디바이스는 하나 이상의 메모리 및 프로세서를 포함하고, 상기 메모리는 프로그램을 저장하고, 상기 프로그램은 상기 하나 이상의 프로세서에 의해 실행되어,
    검증될 정보를 획득하고, 검증을 위해 상기 검증될 정보를 제1 실행 유닛에 전송하는 단계 - 상기 제1 실행 유닛은, 상기 서비스 인가 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동됨 -;
    상기 제1 실행 유닛에 의해 반환되고 서명 검증 개인 키를 통해 검증 결과에 서명함으로써 획득된 서명 정보를 수신하는 단계; 및
    제2 실행 유닛이 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 상기 제2 실행 유닛에 상기 서명 정보를 전송하는 단계 - 상기 제2 실행 유닛은, 상기 서비스 인가 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 -
    를 수행하는, 서비스 인가 디바이스.
  36. 서비스 인가 디바이스에 있어서, 상기 서비스 인가 디바이스는 하나 이상의 메모리 및 프로세서를 포함하고, 상기 메모리는 프로그램을 저장하고, 상기 프로그램은 상기 하나 이상의 프로세서에 의해 실행되어,
    서비스 애플리케이션에 의해 전송된 검증될 정보를 수신하는 단계 - 제1 실행 유닛이, 상기 서비스 인가 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동됨 -;
    상기 검증될 정보를 검증하고, 저장된 서명 검증 개인 키를 통해, 획득된 검증 결과에 서명하여, 서명 정보를 획득하는 단계; 및
    제2 실행 유닛이 상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 검증 결과에 기초하여 서비스 인가를 수행하도록 하기 위해, 상기 서비스 애플리케이션을 사용하여 상기 제2 실행 유닛에 상기 서명 정보를 전송하는 단계 - 상기 제2 실행 유닛은, 상기 서비스 인가 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 -
    를 수행하는, 서비스 인가 디바이스.
  37. 서비스 인가 디바이스에 있어서, 상기 서비스 인가 디바이스는 하나 이상의 메모리 및 프로세서를 포함하고, 상기 메모리는 프로그램을 저장하고, 상기 프로그램은 상기 하나 이상의 프로세서에 의해 실행되어,
    서비스 애플리케이션을 사용하여 제1 실행 유닛에 의해 전송된 서명 정보를 획득하는 단계 - 상기 서명 정보는 상기 제1 실행 유닛이 서명 검증 개인 키를 통해 검증 결과에 서명한 후에 획득되고, 상기 검증 결과는 상기 제1 실행 유닛이 상기 서비스 애플리케이션에 의해 전송된 검증될 정보를 검증한 후에 획득되고, 상기 제1 실행 유닛은, 상기 서비스 인가 디바이스의 시스템 내에 포함된 제1 보안 환경 내에서 구동되고, 제2 실행 유닛이, 상기 서비스 인가 디바이스의 시스템 내에 포함된 제2 보안 환경 내에서 구동됨 -; 및
    상기 서명 검증 개인 키에 대응하는 서명 검증 공개 키를 통해 상기 서명 정보를 검증하고, 상기 서명 정보에 대한 검증에 성공했다고 결정된 후에 상기 서명 정보를 파싱함으로써 획득된 상기 검증 결과에 기초하여 서비스 인가를 수행하는 단계
    를 수행하는, 서비스 인가 디바이스.
KR1020207001503A 2017-11-16 2018-09-26 서비스 인가 방법, 장치, 및 디바이스 KR102382928B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201711135547.2 2017-11-16
CN201711135547.2A CN108055132B (zh) 2017-11-16 2017-11-16 一种业务授权的方法、装置及设备
PCT/CN2018/107569 WO2019095864A1 (zh) 2017-11-16 2018-09-26 一种业务授权的方法、装置及设备

Publications (2)

Publication Number Publication Date
KR20200013057A true KR20200013057A (ko) 2020-02-05
KR102382928B1 KR102382928B1 (ko) 2022-04-04

Family

ID=62120265

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020207001503A KR102382928B1 (ko) 2017-11-16 2018-09-26 서비스 인가 방법, 장치, 및 디바이스

Country Status (7)

Country Link
US (2) US10892900B2 (ko)
EP (1) EP3641218B1 (ko)
KR (1) KR102382928B1 (ko)
CN (1) CN108055132B (ko)
SG (1) SG11202000396QA (ko)
TW (1) TWI724326B (ko)
WO (1) WO2019095864A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220071916A (ko) * 2020-11-24 2022-05-31 엑시스 에이비 원격 위치에 위치되는 컴포넌트와 관련된 인증서를 관리하는 시스템 및 방법

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108055132B (zh) 2017-11-16 2020-04-28 阿里巴巴集团控股有限公司 一种业务授权的方法、装置及设备
CN109033790B (zh) * 2018-06-22 2023-03-10 徐镠琪 智能兵符两章两次授权使用方法
US11223485B2 (en) * 2018-07-17 2022-01-11 Huawei Technologies Co., Ltd. Verifiable encryption based on trusted execution environment
CN110020513B (zh) * 2018-11-07 2023-08-22 创新先进技术有限公司 签名记录方法、验证方法、装置及存储介质
US11797673B2 (en) 2020-08-27 2023-10-24 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by expeditiously initiating flushing of instructions dependent upon a load instruction that causes a need for an architectural exception
US11868469B2 (en) * 2020-08-27 2024-01-09 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by preventing all dependent instructions from consuming architectural register result produced by instruction that causes a need for an architectural exception
US11907369B2 (en) 2020-08-27 2024-02-20 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by preventing cache memory state from being affected by a missing load operation by inhibiting or canceling a fill request of the load operation if an older load generates a need for an architectural exception
US11733972B2 (en) 2020-10-06 2023-08-22 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by providing random load data as a result of execution of a load operation that does not have permission to access a load address
TWI749774B (zh) * 2020-09-17 2021-12-11 瑞昱半導體股份有限公司 驗證系統及用於驗證系統之驗證方法
US11853424B2 (en) 2020-10-06 2023-12-26 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by refraining from allocating an entry in a data TLB for a missing load address when the load address misses both in a data cache memory and in the data TLB and the load address specifies a location without a valid address translation or without permission to read from the location
US11734426B2 (en) 2020-10-06 2023-08-22 Ventana Micro Systems Inc. Processor that mitigates side channel attacks by prevents cache line data implicated by a missing load address from being filled into a data cache memory when the load address specifies a location with no valid address translation or no permission to read from the location
CN113868691B (zh) * 2021-12-02 2022-05-24 北京溪塔科技有限公司 一种基于云原生的区块链的授权运行方法及装置
CN115603943A (zh) * 2022-09-07 2023-01-13 支付宝(杭州)信息技术有限公司(Cn) 一种离线身份验证的方法、装置、存储介质及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124369A1 (en) * 2010-11-09 2012-05-17 Jose Castejon Amenedo Secure publishing of public-key certificates
US20120284507A1 (en) * 2011-05-04 2012-11-08 Microsoft Corporation Protected authorization
US20150121068A1 (en) * 2013-10-29 2015-04-30 Rolf Lindemann Apparatus and method for implementing composite authenticators
WO2017118437A1 (zh) * 2016-01-08 2017-07-13 腾讯科技(深圳)有限公司 进行业务处理的方法、装置和系统

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060149962A1 (en) 2003-07-11 2006-07-06 Ingrian Networks, Inc. Network attached encryption
US8245052B2 (en) * 2006-02-22 2012-08-14 Digitalpersona, Inc. Method and apparatus for a token
CN101108125B (zh) 2007-08-02 2010-06-16 无锡微感科技有限公司 一种身体体征动态监测系统
US8510569B2 (en) * 2009-12-16 2013-08-13 Intel Corporation Providing integrity verification and attestation in a hidden execution environment
WO2013089725A1 (en) * 2011-12-15 2013-06-20 Intel Corporation Method and device for secure communications over a network using a hardware security engine
US8856514B2 (en) * 2012-03-12 2014-10-07 International Business Machines Corporation Renewal processing of digital certificates in an asynchronous messaging environment
US10064240B2 (en) * 2013-09-12 2018-08-28 The Boeing Company Mobile communication device and method of operating thereof
TWI615798B (zh) 2013-12-17 2018-02-21 動聯國際股份有限公司 基於物聯網的健康照護系統
US10129243B2 (en) * 2013-12-27 2018-11-13 Avaya Inc. Controlling access to traversal using relays around network address translation (TURN) servers using trusted single-use credentials
GB201413836D0 (en) * 2014-08-05 2014-09-17 Arm Ip Ltd Device security apparatus and methods
US20160065374A1 (en) * 2014-09-02 2016-03-03 Apple Inc. Method of using one device to unlock another device
WO2016040281A1 (en) 2014-09-09 2016-03-17 Torvec, Inc. Methods and apparatus for monitoring alertness of an individual utilizing a wearable device and providing notification
CN105490997B (zh) * 2014-10-10 2019-05-14 阿里巴巴集团控股有限公司 安全校验方法、装置、终端及服务器
KR102471442B1 (ko) 2014-11-11 2022-11-25 글로벌 스트레스 인덱스 피티와이 엘티디 개인의 스트레스 레벨 및 스트레스 내성 레벨 정보를 생성하기 위한 시스템 및 방법
US20160234176A1 (en) * 2015-02-06 2016-08-11 Samsung Electronics Co., Ltd. Electronic device and data transmission method thereof
TWI540528B (zh) 2015-04-16 2016-07-01 神乎科技股份有限公司 協助使用者進行紀律性操作的證券交易提示方法
CN104900006B (zh) 2015-04-28 2017-10-27 中国科学技术大学先进技术研究院 一种基于可穿戴设备的智能个人安全系统及其实现方法
WO2016192774A1 (en) * 2015-06-02 2016-12-08 Huawei Technologies Co., Ltd. Electronic device and method in an electronic device
CN105530099A (zh) * 2015-12-11 2016-04-27 捷德(中国)信息科技有限公司 基于ibc的防伪验证方法、装置、系统和防伪凭证
CN107126203A (zh) 2016-02-28 2017-09-05 南京全时陪伴健康科技有限公司 人体健康信息实时测量显示系统
CN107220246B (zh) 2016-03-21 2020-10-16 创新先进技术有限公司 业务对象的分析方法及装置
CN106373012A (zh) 2016-09-06 2017-02-01 网易乐得科技有限公司 一种理财产品交易控制方法和设备
CN106878280B (zh) * 2017-01-10 2020-07-24 阿里巴巴集团控股有限公司 用户认证的方法和装置、获取用户号码信息的方法和装置
CN106850201B (zh) * 2017-02-15 2019-11-08 济南晟安信息技术有限公司 智能终端多因子认证方法、智能终端、认证服务器及系统
CN107092881B (zh) 2017-04-18 2018-01-09 黄海虹 一种驾驶人员更换系统及方法
CN107031653B (zh) 2017-04-18 2018-03-06 黄海虹 一种用于共享汽车的驾驶员身份授权系统
CN107203938A (zh) 2017-05-02 2017-09-26 优品财富管理股份有限公司 一种基于心率检测的股民投资指导系统及方法
CN108055132B (zh) 2017-11-16 2020-04-28 阿里巴巴集团控股有限公司 一种业务授权的方法、装置及设备

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120124369A1 (en) * 2010-11-09 2012-05-17 Jose Castejon Amenedo Secure publishing of public-key certificates
US20120284507A1 (en) * 2011-05-04 2012-11-08 Microsoft Corporation Protected authorization
US20150121068A1 (en) * 2013-10-29 2015-04-30 Rolf Lindemann Apparatus and method for implementing composite authenticators
WO2017118437A1 (zh) * 2016-01-08 2017-07-13 腾讯科技(深圳)有限公司 进行业务处理的方法、装置和系统

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220071916A (ko) * 2020-11-24 2022-05-31 엑시스 에이비 원격 위치에 위치되는 컴포넌트와 관련된 인증서를 관리하는 시스템 및 방법

Also Published As

Publication number Publication date
SG11202000396QA (en) 2020-02-27
WO2019095864A1 (zh) 2019-05-23
US20200204379A1 (en) 2020-06-25
CN108055132A (zh) 2018-05-18
TWI724326B (zh) 2021-04-11
CN108055132B (zh) 2020-04-28
US11316702B2 (en) 2022-04-26
EP3641218B1 (en) 2022-03-30
US10892900B2 (en) 2021-01-12
US20210135882A1 (en) 2021-05-06
EP3641218A4 (en) 2020-12-02
KR102382928B1 (ko) 2022-04-04
TW201923640A (zh) 2019-06-16
EP3641218A1 (en) 2020-04-22

Similar Documents

Publication Publication Date Title
KR102382928B1 (ko) 서비스 인가 방법, 장치, 및 디바이스
KR102180353B1 (ko) 블록체인-기반 트랜잭션 처리 방법 및 장치
US10915901B2 (en) Method and apparatus for processing transaction requests
US10846696B2 (en) Apparatus and method for trusted execution environment based secure payment transactions
CN110222531B (zh) 一种访问数据库的方法、系统及设备
CN111931154B (zh) 基于数字凭证的业务处理方法、装置及设备
TW201830291A (zh) 二維碼生成方法及其設備和二維碼識別方法及其設備
KR20190127676A (ko) 인증 방법 및 블록체인 기반의 인증 데이터 처리 방법 및 디바이스
KR20190067195A (ko) 블록체인 데이터 처리 방법 및 장치
WO2019165875A1 (zh) 一种交易处理方法、服务器、客户端及系统
CN110555309A (zh) 启动方法、装置、终端以及计算机可读存储介质
CN109560933B (zh) 基于数字证书的认证方法及系统、存储介质、电子设备
CN115001817B (zh) 一种离线的身份识别方法、装置及设备
WO2024051365A1 (zh) 一种离线身份验证的方法、装置、存储介质及电子设备
US8910260B2 (en) System and method for real time secure image based key generation using partial polygons assembled into a master composite image
CN115834074B (zh) 一种身份认证方法、装置及设备
CN111600882A (zh) 一种基于区块链的账户密码管理方法、装置及电子设备
CN115640589A (zh) 一种安全保护设备以及业务执行方法、装置及存储介质
CN112100610B (zh) 登录及用户登录相关业务的处理方法、装置和设备
CN114553428B (zh) 一种可信验证系统、装置、存储介质及电子设备
CN115766115A (zh) 一种身份验证方法、装置、存储介质及电子设备
CN117436875A (zh) 一种业务执行方法、装置、存储介质及电子设备
CN116781283A (zh) 一种签名方法及装置
CN115604716A (zh) 一种业务绑定和业务执行的方法、装置存储介质及设备

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant