KR20210145243A - 디지털 키의 신원을 인증하는 방법, 단말 장치, 매체 - Google Patents

디지털 키의 신원을 인증하는 방법, 단말 장치, 매체 Download PDF

Info

Publication number
KR20210145243A
KR20210145243A KR1020217035330A KR20217035330A KR20210145243A KR 20210145243 A KR20210145243 A KR 20210145243A KR 1020217035330 A KR1020217035330 A KR 1020217035330A KR 20217035330 A KR20217035330 A KR 20217035330A KR 20210145243 A KR20210145243 A KR 20210145243A
Authority
KR
South Korea
Prior art keywords
terminal
identity authentication
user identity
preset
service
Prior art date
Application number
KR1020217035330A
Other languages
English (en)
Inventor
시샨 왕
Original Assignee
후아웨이 테크놀러지 컴퍼니 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 후아웨이 테크놀러지 컴퍼니 리미티드 filed Critical 후아웨이 테크놀러지 컴퍼니 리미티드
Publication of KR20210145243A publication Critical patent/KR20210145243A/ko

Links

Images

Classifications

    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/24Means to switch the anti-theft system on or off using electronic identifiers containing a code not memorised by the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • BPERFORMING OPERATIONS; TRANSPORTING
    • B60VEHICLES IN GENERAL
    • B60RVEHICLES, VEHICLE FITTINGS, OR VEHICLE PARTS, NOT OTHERWISE PROVIDED FOR
    • B60R25/00Fittings or systems for preventing or indicating unauthorised use or theft of vehicles
    • B60R25/20Means to switch the anti-theft system on or off
    • B60R25/25Means to switch the anti-theft system on or off using biometry
    • B60R25/252Fingerprint recognition
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00563Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys using personal physical data of the operator, e.g. finger prints, retinal images, voicepatterns
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder
    • G07C9/23Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder by means of a password
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/55Push-based network services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/40Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass for recovering from a failure of a protocol instance or entity, e.g. service redundancy protocols, protocol state redundancy or protocol service redirection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00412Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks the transmitted data signal being encrypted
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00309Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks
    • G07C2009/00507Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated with bidirectional data transmission between data carrier and locks keyless data carrier having more than one function
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C2009/00753Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys
    • G07C2009/00769Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys operated by active electrical keys with data transmission performed by wireless means
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/00174Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys
    • G07C9/00857Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the data carrier can be programmed
    • G07C2009/00865Electronically operated locks; Circuits therefor; Nonmechanical keys therefor, e.g. passive or active electrical keys or other data carriers without mechanical keys where the code of the data carrier can be programmed remotely by wireless communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mechanical Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Computer Interaction (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephone Function (AREA)
  • Lock And Its Accessories (AREA)

Abstract

본 발명의 실시예들은 디지털 키의 신원을 인증하는 방법, 단말 장치 및 매체를 개시한다. 제 2 단말이 사전 설정되지 않은 동작 상태에서 사전 설정된 동작 상태로 들어가기 전에, 먼저 제 2 단말의 신원 인증 시스템을 이용해서 사용자에 대해 신원 인증을 수행하고, 획득한 신원 인증 정보는 제 2 단말의 보안 요소에 저장된다. 이후, 제 2 단말의 디지털 키가 사용될 필요가 있을 때, 제 2 단말의 보안 요소에 저장된 신원 인증 정보가 제 1 단말로 송신되고, 제 1 단말은 신원 인증 정보에 기초해서 검증을 수행해서 제 2 단말의 디지털 키를 사용하는 사용자가 제 2 단말의 승인된 소유자인지 여부를 결정할 수 있다. 이 방법을 이용하면, 제 2 단말이 사전 설정된 동작 상태(예를 들어, 전원 꺼짐 또는 저 배터리 모드)에 있더라도, 사용자가 제 2 단말에서 디지털 키를 사용하는 경우 사용자의 신원이 인증될 수 있다. 이것은 디지털 키의 보안을 향상시킨다.

Description

디지털 키의 신원을 인증하는 방법, 단말 장치, 매체
본 출원은 2019년 4월 22일 중국 국가 지적 재산권 관리국에 출원된 "디지털 키의 신원을 인증하는 방법, 단말 장치, 매체"이라는 발명의 명칭의 중국 특허 출원 제 201910324313.5의 우선권을 주장하며, 그 전체 내용은 본 명세서에 참조로서 포함된다.
기술 분야
본 출원은 디지털 키 기술 분야에 관한 것이고, 구체적으로 디지털 키의 신원을 인증하는 방법, 단말 장치 및 컴퓨터 판독 가능 저장 매체에 관한 것이다.
디지털 키(Digital Key, DK)는 물리적인 키(즉, 엔티티 키)/리모트 키(전자 키(key fob))에 반대되는 것으로, 통신 기술을 이용해서 단말 장치, 예를 들어 휴대 전화 또는 웨어러블 인텔리전트 디바이스를 키 캐리어로서 사용할 수 있으며, 이로써 사용자는 단말 장치를 사용해서 차량의 잠금 해제, 잠금, 시동 등의 서비스 작업을 수행할 수 있다.
도 1은 차량의 잠금을 해제하는 데 디지털 키가 사용되는 것과 관련된 시스템 아키텍처의 도면이다. 차량에는 인증 유닛(810), 전자 제어 유닛(Electronic Control Unit, ECU)(830) 및 통신 유닛(820)이 있다. 인증 유닛(810)에는 인증키가 저장되어 있다. 휴대 전화에는 보안 요소(Secure Element, SE)(910)와 통신 유닛(920)이 있다. 보안 유닛(910)은 물리적 공격 방지 및 변조(tamper) 방지 기능을 갖춘 하드웨어 유닛이다. 보안 요소(910)는 독립 프로세서를 가지며, 그 안에서 실행되는 디지털 키 애플릿(Digital Key Applet, DK Applet)(911)에 안전한 실행 환경을 제공할 수 있고, 저장되어 있는 자산(asset)(예를 들어, 인증 키)의 보안 및 기밀성을 보장할 수 있다. 잠금 해제되어 있는 동안, 휴대혼의 디지털 키 애플릿(911)은 차량이 송신한 서비스 명령에 응답하고, 통신 유닛(920)를 사용해서 암호문을 포함하는 서비스 응답 메시지를 차량의 통신 유닛(820)으로 송신하는데, 서비스 응답 메시지의 암호문은 인증 키를 사용해서 생성되는 것이다. 차량의 통신 유닛(820)이 암호문을 포함한 서비스 응답 메시지를 수신한 이후에, 인증 유닛(810)은 인증키를 이용해서 암호문을 검증한다. 전자 제어 유닛(830)은 검증 결과에 기초해서 잠금 해제를 승인할지 여부를 결정할 수 있다. 이와 같이, 디지털 키를 사용해서 잠금 해제 동작을 실현할 수 있다.
근거리 통신(Near Field Communication, NFC)은 근거리 무선 통신 기술이다. NFC 모듈과 단말 장치의 보안 요소에는 별도로 전원이 공급될 수 있다. 따라서, NFC 모듈과 보안 요소를 독립적으로 이용함으로써, 단말 장치의 메인 칩에 전원이 공급되지 않더라도 단말 장치와 차량 사이의 정보 교환이 가능할 수 있다. 바꿔말하면, 단말 장치의 전원이 꺼져 있어도, 단말 장치를 이용해서 차량의 잠금 해제, 잠금, 시동 등의 서비스 동작을 완수할 수 있다.
많은 단말 장치는, 비밀 번호, 지문, 얼굴 등을 이용해서 사용자의 신원 인증을 완수할 수 있는, 신원 인증 시스템을 갖고 있다. 디지털 키의 보안을 강화하기 위해서, 디지털 키가 사용될 때, 본인 인증이 추가될 수 있다. 예를 들어, 사용자는, 디지털 키가 위조되는 것을 방지하기 위해서, 디지털 키가 사용될 때 항상 본인 인증을 요구하도록 설정할 수도 있다. 이 경우, 사용자가 디지털 키를 이용해서 차량 잠금 해제 및 시동과 같은 서비스 동작을 수행할 때, 사용자는 단말 장치에서 신원 인증을 수행한 후에만 디지털 키를 사용할 수 있다. 다른 예로, 잠금 해제하고 시동걸기 이전에, 다른 방안으로 차량은 사용자가 단말 장치에서 신원 인증을 수행할 것을 요구하는 요청을 능동적으로 개시할 수도 있다. 그러나, 각각의 단말 장치의 신원 인증 시스템은, 신뢰할 수 있는 실행 환경(Trusted Execution Environment, TEE)에서 실행을 수행한다. 단말 장치에서 실행되는 애플리케이션은 시스템 서비스 인터페이스를 이용해서만 신원 인증을 개시하고 신원 인증 결과를 획득할 수 있다. 즉, 신원 인증 시스템은 단말 장치의 메인 칩이 동작 상태일 때에만, 실행될 수 있다.
따라서, 단말 장치가 전원이 꺼져있는 상태인 경우, 사용자는 신원 인증을 완수할 수 없다. 단말 장치의 전원이 꺼져 있어도 디지털 키의 기능을 구현하도록, 단말 장치의 전원이 꺼져 있는 상태에서 디지털 키가 사용될 때에는 신원 인증을 하지 않는 경우가 종종 있다. 결과적으로, 공격자는 승인된 사용자의 단말 장치를 획득한 후 단말 장치의 전원을 오프함으로써, 승인된 사용자가 설정한 신원 인증 제한을 강제로 우회할 수도 있다. 즉, 디지털 키에는 보안 취약점이 있다.
본 출원은, 단말 장치가 전원이 꺼진 상태에 있을 때 디지털 키를 이용해서 신원 인증이 완수될 수 없어서 보안 취약점이 존재한다고 하는 문제를 해결하는, 디지털 키의 신원을 인증하는 방법을 제공한다.
제 1 측면에 따르면, 본 출원은 디지털 키의 신원을 인증하는 방법을 제공한다. 이 방법은,
제 1 단말이 서비스 명령을 제 2 단말로 송신하는 것,
제 1 단말이 제 2 단말에 의해 송신된 서비스 응답 메시지를 수신하는 것,
제 1 단말이, 제 1 키를 이용해서 서비스 응답 메시지에 대해 수행된 검증이 성공한 이후에, 사용자 신원 인증 정보를 획득하는 것 - 제 1 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이고, 사용자 신원 인증 정보는 제 2 단말의 보안 요소에 저장되며, 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 사용자 신원 인증 결과는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 제 2 단말의 신원 인증 시스템에 의해 생성되며, 사전 설정된 동작 상태는 제 2 단말의 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태임 - 과,
제 1 단말이, 사용자 신원 인증 정보를 검증하는 것
을 포함한다.
이러한 구현예를 이용함으로써, 제 2 단말이 사전 설정된 동작 상태(예를 들어, 전원 꺼짐 또는 배터리 부족 모드)에 있더라도, 사용자가 제 2 단말의 디지털 키를 사용할 때, 제 1 단말은 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 제 2 단말의 보안 요소에 저장된 사용자 신원 인증 정보를 사용해서 사용자의 신원을 검증할 수 있다. 따라서 이 구현예를 이용함으로써, 제 2 단말이 전원 꺼짐 또는 배터리 부족 모드에 있더라도, 제 2 단말의 디지털 키를 사용하는 사용자가 제 2 단말의 승인된 사용자인지 여부를 확인할 수 있어서 디지털 키를 사용하는 것의 보안을 향상시킬 수 있다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 1 구현예에서, 제 1 단말에 의해, 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우에, 제 1 단말이, 서비스 명령에 대응하는 서비스 동작을 승인하는 것을 포함한다.
이 구현예를 사용함으로써, 제 2 단말이 사전 설정된 동작 상태(예를 들어, 전원 꺼짐 또는 배터리 부족 모드)에 있더라도, 사용자가 제 2 단말의 디지털 키를 사용할 때, 제 1 단말은 사용자 신원 인증 결과 및 사전 설정된 인증 결과를 사용해서 검증을 수행해서 서비스 동작을 승인할지 여부를 결정할 수 있으며, 이로써 디지털 키를 사용하는 것의 보안을 향상시키고, 제 1 단말이 비승인 사용자에 의해 사용될 위험을 감소시킨다.
제 1 측면을 참조하면, 제 1 측면의 제 2 가능한 구현예에서, 제 1 단말이 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 사전 설정된 동작 상태에 있는 제 2 단말이 서비스 동작을 승인한 총 횟수가 사전 설정된 수 임계값 이내인 경우에, 제 1 단말이 서비스 명령에 대응하는 서비스 동작을 승인하는 것, 혹은
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 사전 설정된 동작 상태에 있는 제 2 단말이 서비스 동작을 승인한 빈도가 사전 설정된 빈도 임계값 이내인 경우에, 제 1 단말이 서비스 명령에 대응하는 서비스 동작을 승인하는 것
을 포함한다.
이러한 구현예를 이용함으로써, 제 1 단말은 사용자 신원 인증 결과 및 사전 설정된 동작 상태의 제 2 단말이 서비스 동작을 승인한 총 횟수 또는 빈도를 이용해서 이중 검증을 수행할 수 있으며, 이로써 디지털 키를 사용하는 것의 보안을 더 향상시킨다. 사전 설정된 동작 상태에서 디지털 키를 사용하는 경우를 제한함으로써, 사전 설정된 동작 상태에서 실시간 보호가 부족한 제 2 단말의 디지털 키를 악의적으로 사용하는 위험이 감소될 수 있다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 3 구현예에서, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는데 사용되며,
제 1 단말이, 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 임계값 내에 있는 경우, 제 1 단말이, 서비스 명령에 대응하는 서비스 동작을 승인하는 것을 포함한다.
이러한 구현예를 이용함으로써, 제 1 단말은 사용자 신원 인증 결과 및 제 1 타임스탬프를 이용해서 이중 검증을 수행할 수 있으며, 이로써 디지털 키를 사용하는 것의 보안을 더 향상시키고, 위험을 감소시킨다. 사전 설정된 동작 상태에서 디지털 키를 사용하는 시간과 제 1 타임스탬프 사이의 간격 기간을 제한함으로써, 사전 설정된 동작 상태에서 실시간 보호가 부족한 제 2 단말의 디지털 키를 사용하는 위험이 감소될 수 있다.
제 1 측면 및 제 1 측면의 제 1 내지 제 2 구현 중 어느 하나를 참조하여, 제 1 측면의 제 4 가능한 구현예에서, 방법은,
제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 경우, 제 1 단말이, 디지털 키를 동결(freezes)하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나 사용자에게 신원 인증을 다시 수행하도록 지시하는 것을 더 포함한다.
이러한 구현예를 이용함으로써, 제 1 타임스탬프가 나타내는 시간 이후에 제 2 단말이 사전 설정된 동작 상태로부터 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정함으로써, 현재 제공되는 신원 인증 정보가 최신의 사용자 신원 인증 정보인지 여부가 결정될 수 있으며, 이로써 현재 서비스에서 제 2 단말이 비정상적인 거동을 하는지 여부를 결정할 수 있다. 제 2 단말이 비정상적인 거동을 하는 경우, 디지털 키를 동결하거나 사용자에게 다시 신원 인증을 수행하도록 지시하는 등 몇 가지 보호 조치가 취해질 수 있다. 따라서, 전술한 단일 검증 또는 이중 검증에 기초해서, 이 검증 시간이 추가되어서 디지털 키를 사용하는 것의 위험을 더욱 감소될 수 있다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 5 구현예에서, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는데 사용되며,
제 1 단말이, 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는 경우, 제 1 단말이, 서비스 명령에 대응하는 서비스 동작을 승인하는 것을 포함한다.
이러한 구현예를 이용함으로써, 제 1 단말은 사용자 신원 인증 결과 및 제 1 타임스탬프를 이용해서 이중 검증을 수행할 수 있고, 이로써 디지털 키를 사용하는 것의 보안을 더욱 향상시킬 수 있다. 이러한 구현예를 이용함으로써, 제 1 타임스탬프가 나타내는 시간 이후에 제 2 단말이 사전 설정된 동작 상태로부터 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정함으로써, 현재 제공되는 신원 인증 정보가 최신의 사용자 신원 인증 정보인지 여부가 결정될 수 있으며, 이로써 현재 서비스에서 제 2 단말이 비정상적인 거동을 하는지 여부를 결정할 수 있다. 이 검증 시간이 추가되어서 디지털 키를 사용하는 것의 위험을 더욱 감소될 수 있다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 6 구현예에서, 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고,
제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되며,
제 1 단말이 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우에, 제 1 단말에 의해, 제 1 명령에 대응하는 제 1 동작을 승인하는 것과,
제 1 동작이 승인된 이후에, 사전 설정된 동작 상태의 제 2 단말이 서비스 동작을 승인한 총 횟수가 사전 설정된 수 임계값 이내이거나, 사전 설정된 동작 상태에 있는 제 2 단말이 서비스 동작을 승인한 빈도가 사전 설정된 빈도 임계값 이내이거나, 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 임계값 내에 있거나, 혹은 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는 경우, 제 1 단말이, 제 2 명령에 대응하는 제 2 동작을 승인하는 것을 포함한다.
이러한 구현예를 이용함으로써, 서비스 명령이 복수의 명령을 포함하는 경우, 제 1 단말은 상이한 검증 조건을 사용함으로써 그리고 사용자 신원 인증 결과, 사전 설정된 동작 상태의 제 2 단말이 서비스 작동을 승인하는 총 횟수 또는 빈도 및 제 1 타임스탬프를 이용함으로써 상이한 서비스 명령을 검증할 수 있고, 디지털 키를 사용하는 것의 보안을 더욱 향상시킬 수 있다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 7 구현예에서, 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되며,
제 1 단말이 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우에, 제 1 단말이, 제 1 명령에 대응하는 제 1 동작을 승인하는 것과,
현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간을 초과하는 경우에, 제 1 타임스탬프에 의해 표시된 시간 이후에, 제 1 단말이 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정하는 것과,
제 2 단말이 사전 설정되지 않은 동작 상태로 전환되지 않은 경우에, 제 1 단말에 의해 제 2 명령에 대응하는 제 2 동작을 승인하는 것
을 포함한다.
이 구현예를 사용함으로써, 서비스 명령이 복수의 명령을 포함할 때, 제 1 단말은 각각의 검증 조건을 사용함으로써, 그리고 사용자 신원 인증 결과 및 제 1 타임스탬프를 사용함으로써 각각의 서비스 명령을 검증할 수 있고, 이로써 디지털 키를 사용하는 것의 보안을 더욱 향상시킬 수 있다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 8 구현예에서, 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되며,
제 1 단말이 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 내에 있는 경우에, 제 1 단말이 제 1 명령에 대응하는 제 1 동작을 승인하는 것과,
제 1 동작이 승인된 이후, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않은 경우에, 제 1 단말이 제 2 명령에 대응하는 제 2 동작을 승인하는 것
을 포함한다.
이 구현예를 사용함으로써, 서비스 명령이 복수의 명령을 포함할 때, 제 1 단말은 각각의 검증 조건을 사용함으로써, 그리고 사용자 신원 인증 결과 및 제 1 타임스탬프를 사용함으로써 각각의 서비스 명령을 검증할 수 있고, 이로써 디지털 키를 사용하는 것의 보안을 더욱 향상시킬 수 있다.
제 1 측면의 제 1 측면 및 제 5 내지 제 8 구현예 중 어느 하나를 참조하면, 제 1 측면의 제 9 가능한 구현예에서, 제 1 단말이 사용자 신원 인증 정보를 검증하는 것은,
제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 경우, 제 1 단말이, 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 사용자에게 신원 인증을 다시 수행하도록 지시하는 것을 더 포함한다.
이러한 구현예를 이용함으로써, 제 1 타임스탬프가 나타내는 시간 이후에 제 2 단말이 사전 설정된 동작 상태로부터 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정함으로써, 현재 제공되는 신원 인증 정보가 최신의 사용자 신원 인증 정보인지 여부가 결정될 수 있으며, 이로써 현재 서비스에서 제 2 단말이 비정상적인 거동을 하는지 여부를 결정할 수 있다. 제 2 단말이 비정상적인 거동을 하는 경우, 디지털 키를 동결하거나 사용자에게 다시 신원 인증을 수행하도록 지시하는 등 몇 가지 보호 조치가 취해질 수 있다. 따라서, 전술한 단일 검증 또는 이중 검증에 기초해서, 이 검증 시간이 추가되어서 디지털 키를 사용하는 것의 위험을 더욱 감소될 수 있다.
제 1 측면 및 제 1 측면의 제 5 내지 제 9 구현예 중 어느 하나를 참조하면, 제 1 측면의 제 10 가능한 구현예에서,
제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정하는 것은,
서버에 의해 송신된 제 2 타임스탬프를 수신하는 단계 - 제 2 타임스탬프는, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 기간 내에서, 제 2 단말이 서비스 응답 메시지를 송신하는 시간에 가장 가까운 시간을 나타내는데 사용됨 - 와,
제 2 타임스탬프가 제 1 타임스탬프보다 이른 경우에는, 제 1 단말이 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는다고 결정하고, 또는 제 2 타임스탬프가 제 1 타임스탬프보다 늦은 경우에는, 제 1 단말에 의해, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환한다고 결정하는 것을 포함한다.
이 구현예를 사용함으로써, 제 1 단말은 제 2 단말이 제 1 타임스탬프에 의해 표시된 시간 이후에 사전 설정된 동작 상태로부터 사전 설정되지 않은 동작 상태로 전환되는지 여부를 국부적으로 결정할 수 있다.
제 1 측면 및 제 1 측면의 제 5 내지 제 9 구현예 중 어느 하나를 참조하면, 제 1 측면의 제 11 가능한 구현예에서,
제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정하는 것은,
제 1 단말이 제 1 타임스탬프를 서버에 송신하는 것과,
제 1 단말이, 서버에 의해 송신된 온라인 검증 결과를 획득하는 것 - 온라인 검증 결과는, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부에 기초해서, 서버에 의해 결정됨 - 과,
온라인 검증 결과가 성공인 경우에는, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는다고 제 1 단말이 결정하거나, 혹은 온라인 검증 결과가 실패인 경우에는, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환된다고 제 1 단말이 결정하는 것
을 포함한다.
이 구현예를 사용함으로써, 원격 서버에서 온라인 검증이 수행될 수 있고, 서버는 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정한다.
제 1 측면을 참조하면, 제 1 측면의 제 12 가능한 구현예에서, 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며,
제 1 단말이, 사용자 신원 인증 정보를 검증하는 것은,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되지 않는 경우에는, 제 1 단말이, 제 1 명령에 대응하는 제 1 동작을 승인하는 것과,
사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되지 않는 경우에는, 제 1 단말이, 제 2 명령에 대응하는 제 2 동작의 승인을 거부하는 것을 포함하고,
이 방법은,
제 1 단말이, 신규 서비스 명령을 제 2 단말에 송신하는 것 - 신규 서비스 명령은 제 2 명령을 포함함 - 을 더 포함한다.
이러한 구현예를 이용함으로써, 서비스 명령이 복수의 명령을 포함하는 경우, 제 1 단말은 사용자 신원 인증 결과 등을 이용해서 각각의 서비스 명령을 검증할 수 있다. 사용자 신원 인증 결과에 대한 검증이 성공하는지 여부에 관계없이, 사용자 경험을 개선하기 위해, 위험도가 낮은 일부 서비스 동작에는 권한이 부여될 수 있고, 위험도가 높은 일부 다른 서비스 동작에 대해서는 권한 부여가 거부될 수 있다. 이후, 신규 서비스 명령이 개시되어서, 승인되지 않은 서비스 동작을 승인할지 여부를 검증한다.
제 1 측면을 참조하면, 제 1 측면의 가능한 제 13 구현예에서, 서비스 응답 메시지는 제 2 검증 데이터를 더 포함하고, 제 2 검증 데이터는 제 2 키를 사용해서 사용자 신원 인증 정보를 처리함으로써 생성되며,
제 1 단말이 사용자 신원 인증 정보를 검증하는 것은,
제 2 키 및 제 2 검증 데이터를 이용해서, 사용자 신원 인증 정보가 유효하고 사용자 신원 인증 정보가 사전 설정된 보안 정책에 부합하는 것으로 검증된 경우에는, 제 1 단말이, 서비스 명령에 대응하는 서비스 동작을 승인하는 것 - 제 2 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이고, 제 2 키는 제 1 키와는 상이함 - 을 더 포함한다.
이러한 구현예를 이용함으로써, 사용자 신원 인증 정보를 이용해서 서비스 동작을 승인할지 여부가 검증되기 전에, 제 2 키 및 제 2 검증 데이터를 이용해서 사용자 신원 인증 정보가 먼저 검증된다. 이로써, 사용자 신원 인증 정보가 전송 과정에서 위조(tamper)되지 않았다는 것이, 즉 사용자 신원 인증 정보의 무결성이 보장될 수 있다. 나아가, 사용자 신원 인증 정보를 송신하기 위한 소스가 인증된 것이라는 것을 보장할 수 있고, 즉 제 2 단말의 키의 인증된 소유자라는 것이 보장된다.
제 2 측면에 따르면, 본 출원은 디지털 키의 신원을 인증하는 방법을 제공한다. 방법은,
제 2 단말이, 서비스 명령을 제 1 단말로부터 수신하는 것과,
사전 설정된 동작 상태에 있는 제 2 단말기, 서비스 명령에 응답해서, 제 1 키를 사용하여 처리된 서비스 응답 메시지를 제 1 단말에 송신하는 것을 포함하고, 서비스 응답 메시지는 사용자 신원 인증 정보를 포함하고, 사용자 신원 인증 정보는 제 2 단말의 보안 요소에 저장되며, 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 사용자 신원 인증 결과는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 제 2 단말의 신원 인증 시스템에 의해 생성되며, 사전 설정된 동작 상태는 제 2 단말의 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태이고, 제 1 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이다.
이 구현예를 사용함으로써, 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에, 제 2 단말은 사용자의 신원을 인증할 필요가 있고, 제 2 단말의 보안 요소에 사용자 신원 인증 정보를 저장한다. 제 2 단말이 사전 설정된 동작 상태(예를 들어, 전원 꺼짐 또는 배터리 부족 모드)에 있을 때, 사용자가 제 2 단말의 디지털 키를 사용하는 경우, 제 2 단말은 보안 요소의 사용자 신원 인증 정보를 제 1 단말에 송신해서 제 1 단말이 검증에 이 정보를 사용할 수 있게 한다. 따라서, 이 구현예를 사용함으로써, 제 2 단말의 디지털 키를 사용하고 있는 것이 제 2 단말의 승인된 사용자라는 것을 보장할 수 있고, 이에 따라 제 2 단말이 사전 설정된 동작 상태에 있을 때 디지털 키를 사용하는 것의 보안을 향상시킬 수 있다.
제 2 측면을 참조하면, 제 2 측면의 가능한 제 1 구현예에서, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 사용자 신원 인증 결과를 생성하는 시간을 나타내는 데 사용된다.
이러한 구현예를 이용함으로써, 제 1 단말은 사용자 신원 인증 결과 및 제 1 타임스탬프를 이용해서 이중 또는 심지어 삼중 검증을 수행할 수 있고, 또한 사용자 신원 인증 결과 및 제 1 타임스탬프를 이용해서 각각의 서비스 명령을 개별적으로 검증할 수 있어서, 디지털 키를 사용하는 것의 보안을 더욱 향상시킨다.
제 2 측면 또는 제 2 측면의 제 1 구현예를 참조하면, 제 2 측면의 제 2 가능한 구현예에서, 서비스 응답 메시지는 제 2 검증 데이터를 더 포함하고, 제 2 검증 데이터는 제 2 키를 이용해서 사용자 신원 인증 정보를 처리함으로써 생성되며, 제 2 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이고, 제 2 키는 제 1 키와는 상이하다.
이 구현예를 이용함으로써, 제 1 단말이 사용자 신원 인증 정보를 사용해서 서비스 동작을 승인할지 여부를 검증하기 전에, 사용자 신원 인증 정보가 제 2 키 및 제 2 검증 데이터를 사용해서 먼저 검증될 수 있다. 이로써, 사용자 신원 인증 정보가 전송 과정에서 변경되지 않았다는 것이, 즉 사용자 신원 인증 정보의 무결성이 보장될 수 있다. 나아가, 사용자 신원 인증 정보를 송신하기 위한 소스가 인증된 것이라는 것을 보장할 수 있고, 즉 제 2 단말의 키의 인증된 소유자라는 것이 보장된다.
제 2 측면 및 제 2 측면의 제 1 내지 제 2 구현 중 어느 하나를 참조하여, 제 2 측면의 제 3 가능한 구현예에서, 제 2 단말이 서비스 명령을 제 1 단말로부터 수신하기 이전에,
이 방법은,
제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 의무적인(mandatory) 신원 인증으로 구성된 디지털 키가 존재하는 경우에, 사용자 신원 인증 결과를 생성하는 것 - 의무적인 신원 인증으로 구성된 디지털 키는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 사용자 신원 인증을 수행할 것을 제 2 단말에게 요구함 - 과,
제 2 단말이 사용자 신원 인증 정보를 제 2 단말의 보안 요소에 저장하는 것 - 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함함 - 을 포함한다.
이 구현예를 사용함으로써, 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에, 제 2 단말은 의무적인 신원 인증으로 구성된 디지털 키에 대해 사용자 신원 인증을 수행할 필요가 있고, 사용자 신원 인증 정보를 제 2 단말의 보안 요소에 저장한다. 이러한 방식으로, 제 2 단말이 사전 설정된 동작 상태(예를 들어, 전원 꺼짐 또는 배터리 부족 모드)에 있을 때, 사용자가 제 2 단말의 디지털 키를 사용하는 경우, 제 2 단말은 보안 요소의 사용자 신원 인증 정보를 제 1 단말에 송신해서 제 1 단말이 검증에 이 정보를 사용할 수 있게 하며, 이로써 제 2 단말이 사전 설정된 동작 상태에 있을 때 디지털 키를 사용하는 것의 보안을 향상시킬 수 있다.
제 3 측면에 따르면, 본 출원은 단말 장치를 제공한다. 단말 장치는,
서비스 명령을 제 2 단말에 송신하고, 제 2 단말에 의해 송신된 서비스 응답 메시지를 수신하도록 구성된 제 1 송수신기와,
제 1 키를 사용해서 서비스 응답 메시지에 대해 수행된 검증이 성공한 후에 사용자 신원 인증 정보를 획득하고, 사용자 신원 인증 정보를 검증하도록 구성된 프로세서 - 제 1 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이고, 사용자 신원 인증 정보는 제 2 단말의 보안 요소에 저장되며, 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 사용자 신원 인증 결과는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 제 2 단말의 신원 인증 시스템에 의해 생성되며, 사전 설정된 동작 상태는 제 2 단말의 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태임 - 를 포함한다.
제 3 측면을 참조하면, 제 3 측면의 가능한 제 1 구현예에서, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우, 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성된다.
제 3 측면을 참조하면, 제 3 측면의 제 2 가능한 구현예에서, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 사전 설정된 동작 상태에 있는 제 2 단말이 서비스 동작을 승인한 총 횟수가 사전 설정된 수 임계값 이내인 경우에, 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되거나, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 사전 설정된 동작 상태에 있는 제 2 단말이 서비스 동작을 승인한 빈도가 사전 설정된 빈도 임계값 이내인 경우에, 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성된다.
제 3 측면을 참조하면, 제 3 측면의 가능한 제 3 구현예에서, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 임계값 내에 있는 경우, 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성된다.
제 3 측면 및 제 3 측면의 제 1 또는 제 2 구현예 중 어느 하나를 참조하면, 제 3 측면의 제 4 가능한 구현예에서, 프로세서는, 제 1 타임스탬프가 나타내는 시간 이후에 제 2 단말이 사전 설정된 동작으로부터 사전설정되지 않은 동작 상태로 전환되는 경우, 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 또는 사용자에게 신원 인증을 다시 수행하도록 지시한다.
제 3 측면을 참조하면, 제 3 측면의 가능한 제 5 구현예에서, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는 경우, 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되고, 여기서 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는데 사용된다.
제 3 측면을 참조하면, 제 3 측면의 가능한 제 6 구현예에서, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우, 제 1 명령에 대응하는 제 1 동작을 승인하거나; 제 1 동작이 승인된 이후에, 사전 설정된 동작 상태에 있는 제 2 단말이 서비스 동작을 승인한 총 횟수가 사전 설정된 수 임계값 이내인 경우에, 제 2 명령에 대응하는 제 2 동작을 승인하거나; 사전 설정된 동작 상태에 있는 제 2 단말이 서비스 동작을 승인한 빈도가 사전 설정된 빈도 임계값 이내인 경우에, 제 2 명령에 대응하는 제 2 동작을 승인하거나; 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 임계값 내에 있는 경우, 제 2 명령에 대응하는 제 2 동작을 승인하거나; 혹은 제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는 경우, 제 2 명령에 대응하는 제 2 동작을 승인하도록 더 구성된다. 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는 데 사용된다.
제 3 측면을 참조하면, 제 3 측면의 가능한 제 7 구현예에서, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우, 제 1 명령에 대응하는 제 1 동작을 승인하고; 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간을 초과하는 경우에, 제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정하며; 제 2 단말이 사전 설정되지 않은 동작 상태로 전환되지 않은 경우에, 제 2 명령에 대응하는 제 2 동작을 승인하도록 구성된다. 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는 데 사용된다.
제 3 측면을 참조하면, 제 3 측면의 가능한 제 8 구현예에서, 프로세서는, 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 내에 있는 경우에, 제 1 명령에 대응하는 제 1 동작을 승인하고; 제 1 동작이 승인된 이후에, 제 1 타임스탬프에 의해 표시된 시간 이후에, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 경우, 제 2 명령에 대응하는 제 2 동작을 승인하도록 구성된다. 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는 데 사용된다.
제 3 측면 및 제 3 측면의 제 5 내지 제 8 구현예 중 어느 하나를 참조하면, 제 3 측면의 제 9 가능한 구현예에서, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작으로 전환될 때, 제 1 타임스탬프에 의해 표시된 시간 이후의 상태인 경우, 프로세서는 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 혹은 사용자에게 신원 인증을 다시 수행하도록 지시하도록 더 구성된다.
제 3 측면 및 제 3 측면의 제 5 내지 제 9 구현예 중 어느 하나를 참조하면, 제 3 측면의 제 10 가능한 구현예에서, 단말 장치는,
서버에 의해 송신된 제 2 타임스탬프를 수신하도록 구성된 제 3 송수신기 - 제 2 타임스탬프는, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 기간 내에서, 제 2 단말이 서비스 응답 메시지를 송신하는 시간에 가장 가까운 시간을 나타내는데 사용됨 - 를 더 포함하고,
프로세서는, 제 2 타임스탬프가 제 1 타임스탬프보다 이른 경우에는, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는다고 결정하고, 또는 제 2 타임스탬프가 제 1 타임스탬프보다 늦은 경우에는, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환한다고 결정하도록 구성된다.
제 3 측면 및 제 3 측면의 제 5 내지 제 9 구현예 중 어느 하나를 참조하면, 제 3 측면의 제 11 가능한 구현예에서, 단말 장치는,
제 1 타임스탬프를 서버에 송신하고, 서버에 의해 송신된 온라인 검증 결과를 수신하도록 구성된 제 3 송수신기 - 온라인 검증 결과는 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부에 기초해서 서버에 의해 결정됨 - 를 더 포함하고,
온라인 검증 결과가 성공인 경우에는, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는다고 결정하거나, 혹은 온라인 검증 결과가 실패인 경우에는, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환된다고 결정하도록 더 구성된다.
제 3 측면을 참조하면, 제 3 측면의 가능한 제 12 구현예에서, 프로세서는 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되지 않는 경우에는, 제 1 명령에 대응하는 제 1 동작은 승인하고, 제 2 명령에 대응하는 제 2 동작의 승인은 거부하며, 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함하며,
제 1 송수신기는 신규 서비스 명령을 제 2 단말에 송신하도록 더 구성되고, 신규 서비스 명령은 제 2 명령을 포함한다.
제 3 측면을 참조하면, 제 3 측면의 제 13 가능한 구현예에서, 프로세서는 또한, 제 2 키 및 제 2 검증 데이터를 이용해서, 사용자 신원 인증 정보가 유효하고 사용자 신원 인증 정보가 사전 설정된 보안 정책에 부합하는 것으로 검증된 경우에는, 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되고, 서비스 응답 메시지는 제 2 검증 데이터를 더 포함하고, 제 2 검증 데이터는 제 2 키를 이용해서 사용자 신원 인증 정보를 처리함으로써 생성되며, 제 2 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이고, 제 2 키는 제 1 키와는 상이하다.
제 4 측면에 따르면, 본 출원은 단말 장치를 제공한다. 단말 장치는,
서비스 명령을 제 1 단말로부터 수신하고, 사전 설정된 동작 상태에서, 서비스 명령에 응답해서, 제 1 키를 사용하여 처리된 서비스 응답 메시지를 제 1 단말에 송신하도록 구성된 제 2 송수신기 - 서비스 응답 메시지는 사용자 신원 인증 정보를 포함하고, 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 제 1 키는 제 2 단말과 제 1 단말이 사전에 합의한 키임 - 와,
사용자 신원 인증 정보 및 제 1 키를 저장하도록 구성된 보안 요소와,
단말 장치가 사전 설정된 동작 상태에 들어가기 전에 사용자 신원 인증 결과를 생성하도록 구성된 사용자 신원 인증 시스템 - 사전 설정된 동작 상태는 단말 장치의 사용자 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태임 -
을 포함한다.
제 4 측면을 참조하면, 제 4 측면의 가능한 제 1 구현예에서, 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 사용자 신원 인증 결과를 생성하는 시간을 나타내는 데 사용된다.
제 4 측면 또는 제 4 측면의 제 1 구현예를 참조하면, 제 4 측면의 제 2 가능한 구현예에서, 서비스 응답 메시지는 제 2 검증 데이터를 더 포함하고, 제 2 검증 데이터는 제 2 키를 이용해서 사용자 신원 인증 정보를 처리함으로써 생성되며, 제 2 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이고, 제 2 키는 제 1 키와는 상이하다.
제 4 측면 또는 제 4 측면의 제 1 또는 제 2 구현예를 참조하면, 제 4 측면의 제 3 가능한 구현예에서,
단말 장치가 사전 설정된 동작 상태에 들어가기 전에 의무적인 신원 인증으로 구성된 디지털 키가 단말 장치에 존재하는 경우에, 사용자 신원 인증 시스템은 사용자 신원 인증 결과를 생성하도록 더 구성되고 - 의무적인 신원 인증으로 구성된 디지털 키는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 사용자 신원 인증을 수행할 것을 제 2 단말에게 요구함 - ,
제 2 단말은,
사용자 신원 인증 정보를 단말 장치의 보안 요소에 저장하도록 구성된 디지털 키 서비스를 더 포함하고, 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함한다.
제 5 측면에 따르면, 본 출원은 명령어를 포함하는 컴퓨터 판독가능 저장 매체를 제공한다. 명령어가 컴퓨터에서 실행될 때 컴퓨터는 제 1 측면에 따른 방법을 수행할 수 있다.
제 6 측면에 따르면, 본 출원은 명령어를 포함하는 컴퓨터 판독가능 저장 매체를 제공한다. 명령어가 컴퓨터에서 실행될 때 컴퓨터는 제 2 측면에 따른 방법을 수행할 수 있다.
제 7 측면에 따르면, 본 출원은 명령어를 포함하는 컴퓨터 프로그램 제품을 제공한다. 명령어가 컴퓨터에서 실행될 때 컴퓨터는 제 1 측면에 따른 방법을 수행할 수 있다.
제 8 측면에 따르면, 본 출원은 명령어를 포함하는 컴퓨터 프로그램 제품을 제공한다. 명령어가 컴퓨터에서 실행될 때 컴퓨터는 제 2 측면에 따른 방법을 수행할 수 있다.
전술한 단말 장치 및 컴퓨터 판독 가능 저장매체를 이용함으로써 얻을 수 있는 유익한 효과는, 제 1 측면 및 제 2 측면에 따른 디지털 키의 신원을 인증하는 방법의 유익한 효과와 동일하며, 상세한 것은 여기서 다시 설명하지 않는다.
본 출원의 기술적 솔루션을 보다 명확하게 설명하기 위해서, 이하 실시예에 첨부된 도면을 간략하게 설명한다.
도 1은 차량의 잠금을 해제하는 데 디지털 키가 사용되는 경우와 관련된 시스템 아키텍처의 도면이다.
도 2는 본 출원의 실시예에 따른 디지털 키의 신원을 인증하는 방법의 응용예 시나리오의 개략도이다.
도 3은 본 출원에 따른 디지털 키의 신원을 인증하는 방법의 실시예의 개략 흐름도이다.
도 4는 차량 키로서 디지털 키가 사용되는 응용예 시나리오의 예에서 신원 인증이 수행될 때의 사용자 인터페이스의 개략도이다.
도 5는 차량 키로서 디지털 키가 사용되는 응용예 시나리오의 예에서 사용자가 인증을 취소할 때의 사용자 인터페이스의 개략도이다.
도 6은 차량 키로서 디지털 키가 사용되는 응용예 시나리오의 예에서 사용자가 인증을 취소할 때 다른 사용자 인터페이스의 개략도이다.
도 7은 본 출원의 실시예에 따른 디지털 키의 신원을 인증하는 방법의 응용예 시나리오의 다른 개략도이다.
도 8은 본 출원에 따른 단말 장치의 구현예의 구조의 개략도이다.
도 9는 본 출원에 따른 다른 단말 장치의 구현예의 구조의 개략도이다.
도 2는 본 출원의 실시예에 따른 디지털 키의 신원을 인증하는 방법의 응용예 시나리오의 개략도이다.
도 2에서, 제 2 단말은 디지털 키를 가진 단말이다. 제 2 단말은 보안 요소(210)를 포함하고, 디지털 키 애플릿(211)은 적어도 하나의 디지털 키를 저장하고 있다. 보안 요소(210)와 제 2 단말의 메인 칩(도시 생략)에는 전원이 독립적으로 공급될 수 있으므로, 보안 요소(210)는 메인 칩이 어떤 상태에 있든 전원이 켜질 수 있다. 디지털 키 애플릿(211)이 보안 요소(210)에서 실행되어서 디지털 키의 기능을 구현할 수 있다. 제 2 단말은 휴대 전화(cellphone), 스마트폰(smartphone), 컴퓨터(computer), 태블릿 컴퓨터(tablet computer), 개인 휴대정보 단말기(Personal Digital Assistant, PDA), 모바일 인터넷 장치(mobile Internet device, MID), 웨어러블 장치 등을 포함할 수 있다.
제 2 단말과 제 1 단말은 각각 통신 유닛(220) 및 통신 유닛(120)를 구비하고 있으며, 두 단말은 두 개의 통신 유닛을 이용해서 상호 작용을 수행한다. 통신 유닛(220, 120)는 블루투스 또는 초광대역(Ultra-Wideband, UWB) 기술과 같은 중거리 통신 기술을 이용할 수도 있고, 근거리 무선 통신(Near Field Communication, NFC)과 같은 근거리 무선 통신 기술을 이용할 수도 있다. 나아가, 통신 유닛은 다양한 응용예 시나리오에 대처하기 위해 복수의 전술한 통신 기술을 함께 사용할 수도 있다. 본 출원의 이 실시예에서, NFC 모듈과 같은 제 1 단말 및 제 2 단말의 통신 유닛은, 메인 칩과는 독립적으로 전원이 켜질 수 있고, 메인 칩의 전원이 켜져 있지 않을 때 내부/외부 파워 서플라이를 사용해서 독립적으로 작동할 수 있다. 전술한 외부 파워 서플라이는, 에너지가 전자기장으로부터 획득되어서 통신 모듈에 전력을 공급하는 급전 방식이다. 전술한 내부 파워 서플라이는, 제 2 단말의 공급 전력이 완전히 소모되지 않고, 통신 모듈에 전력을 공급하기 위해 소량의 전력을 비축해 두는 전원 공급 방식이다. Bluetooth 및 UWB와 같은 기술을 사용하는 통신 장치의 전원이 켜지고, 메인 칩과 독립적으로 작동할 수 있는 경우, 이들 기술을 사용하는 통신 모듈은 이 응용예의 제 1 단말에 단독으로 적용될 수도 있고, 혹은 통신 모듈과 함께 적용될 수도 있다.
제 1 단말은, 제 2 단말의 디지털 키의 유효성을 검증하기 위한 단말이다. 통신 유닛(120)에 의해 수신된 정보를 획득한 이후에, 제 1 단말의 처리 유닛(110)은 수신된 정보를 사용하여 디지털 키의 유효성을 검증한다. 디지털 키가 유효하다는 것이 검증되면, 처리 유닛(110)은 제 1 단말의 실행 유닛(도시 생략)에 신호를 송신해서, 실행 유닛이 사전 설정된 동작 또는 사용자-지정 동작을 수행하게 한다.
이 응용예의 디지털 키는 복수의 시나리오에 적용될 수 있다. 예를 들어, 차량 키로서 디지털 키가 사용되는 응용예 시나리오에서, 제 2 단말은 휴대 전화, 태블릿 컴퓨터, 지능형 웨어러블 장치 등일 수 있고; 제 1 단말은 차량일 수 있다. 다른 예로, 디지털 키가 결제에 사용되는 시나리오에서, 제 2 단말은 휴대 전화, 태블릿 컴퓨터, 지능형 웨어러블 장치 등일 수 있고; 제 1 단말은 매장(POS) 단말, 교통 카드 판독기 등일 수 있다. 또 다른 예로서, 디지털 키가 도어 키로서 사용되는 응용예 시나리오에서, 제 2 단말은 휴대 전화, 태블릿 컴퓨터, 지능형 웨어러블 디바이스 등일 수 있고; 제 1 단말은 액세스 제어 시스템일 수 있다.
단말 장치의 전원이 꺼진 상태에 있는 것에 더해서, 단말 장치의 신원 인증 시스템이 작동하지 않는 모드(이하 배터리 부족 모드라 함)에 있을 때에는, 단말 장치의 전원이 꺼져 있지 않은 상태에서도, 디지털 키가 사용될 때 단말 장치는 여전히 신원 인증을 수행하는 요건을 충족할 수 없다.
이러한 관점에서, 본 출원의 제 1 실시예에서, 디지털 키의 신원을 인증하는 방법이 제공된다. 제 2 단말이 사전 설정되지 않은 동작 상태(예를 들어, 배터리 정상 모드)로부터 사전 설정된 동작 상태(예를 들어, 전원 끄기 또는 배터리 부족 모드)로 들어가기 전에, 먼저 제 2 단말의 신원 인증 시스템을 이용해서 사용자에 대한 신원 인증을 수행되고, 획득된 신원 인증 정보는 제 2 단말의 보안 요소에 저장된다. 이후, 제 2 단말의 디지털 키가 사용될 필요가 있을 때, 보안 요소에 저장된 사용자 신원 인증 정보가 제 1 단말로 송신되고, 제 1 단말은 사용자 신원 인증 정보에 기초해서 사용자가 제 2 단말의 승인된 소유자인지 여부를 결정할 수 있다. 이와 같이, 제 2 단말이 사전 설정된 동작 상태(예를 들어, 전원 오프 또는 배터리 부족 모드)에 있더라도, 사용자가 제 2 단말의 디지털 키를 사용하는 경우, 오리지널 디지털 키에 기반해서 사용자 신원에 대한 검증이 추가될 수 있다. 따라서, 제 2 단말의 디지털 키를 사용하는 사용자가 제 2 단말의 승인된 사용자임을 보장함으로써, 디지털 키 사용의 보안성을 향상시킨다. 나아가, 이는 또한, 제 2 단말의 비승인 사용자가 제 2 단말의 전원을 끄거나 제 2 단말을 저-전력 모드로 전환해서 신원 인증 단계를 우회하는 경우에, 제 2 단말의 승인된 사용자에게 야기될 손실을 방지한다.
2가지 단계: 제 2 단말이 사전 설정되지 않은 동작 상태로부터 사전 설정된 동작 상태로 들어가고, 제 2 단말이 사전 설정된 동작 상태에 있을 때 사용자가 디지털 키를 사용하기 이전에, 2가지 단계에서 제 1 단말 및 제 2 단말에 의해 수행되는 단계를 각각 이하에서 설명한다.
단계 1: 제 2 단말이 사전 설정되지 않은 동작 상태로부터 설정 동작 상태로 들어가기 이전
도 3은 본 출원에 따른 디지털 키의 신원을 인증하는 방법의 실시예의 개략 흐름도이다. 단계 1에서, 제 2 단말은 단계 S101 및 S102를 수행할 수 있다.
S101 : 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 의무적인 신원 인증으로 구성된 디지털 키가 존재하는 경우 사용자 신원 인증 결과를 생성한다.
사전 설정된 동작 상태는, 제 2 단말의 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태, 예를 들어 전원 꺼짐 또는 배터리 부족 모드일 수 있다. 예를 들어, 제 2 단말의 파워 서플라이의 전력량이 사전 설정된 임계치(예를 들어, 5%) 미만인 경우, 제 2 단말은 저 배터리 모드로 들어간다. 이 경우, 제 2 단말의 일부 구성 요소만 정상적으로 동작하며, 신원 인증 시스템, 디스플레이 스크린 등의 대부분의 구성 요소는 비작동 상태가 된다. 사전 설정되지 않은 동작 상태는 사전 설정된 동작 상태가 아닌 다른 상태일 수 있다. 예를 들어, 제 2 단말은 정상 배터리 모드에 있다.
의무적인 신원 인증으로 구성된 디지털 키는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 사용자 신원 인증을 수행할 것을 제 2 단말에게 요구한다. 옵션으로, 구현예에서, 제 2 단말은 디지털 키 서비스를 포함할 수 있다. 디지털 키 서비스는 디지털 키 관리 기능을 제공한다. 디지털 키 서비스의 관리 인터페이스를 통해서, 사용자는 디지털 키 애플릿에 저장된 하나 이상의 디지털 키를 보고(view), 이들 디지털 키에 대한 의무적인 신원 인증 구성을 수행할 수 있다. 사용자가 디지털 키에 대해 필수 인증을 구성하면, 사용자는 디지털 키가 사용될 때마다 인증을 수행해야 한다.
옵션으로, 사용자가 디지털 키에 대한 의무적인 신원 인증 구성을 수행한 이후에, 제 2 단말은 무선 네트워크를 통해서 제 1 단말에게 통지해서, 제 1 단말이 서비스 동작을 승인할 때 관련 체크를 수행하게 할 수 있다.
제 2 단말이 사전 설정되지 않은 동작 상태에서 사전 설정 동작 상태로 전환될 때, 일련의 사전 설정된 동작을 수행하기 위해 상태 전환 절차에 들어갈 필요가 있다. 예를 들어, 제 2 단말이 정상 배터리 모드에서 전원 끔 상태로 직접 전환되는 경우, 제 2 단말은 전원 끔 절차에 들어가서 전원 오프 절차에 사전 설정된 동작, 예를 들어 전원 끔을 확인하거나 혹은 데이터의 저장을 프롬프트하기 위해 각 애플리케이션 프로그램에 브로드캐스트를 송신하기 위한 대화 상자를 표시한다. 다른 예로서, 제 2 단말이 정상 배터리 모드에서 저 배터리 모드로 직접 전환되는 경우, 제 2 단말은 저 전력 처리 절차에서 사전 설정된 동작, 예를 들어 사운드 프롬프트, 대화 프롬프트, 디스플레이 스크린 밝기 조정, 백그라운드에서 실행 중인 프로그램 비활성화 또는 일시 중지를 수행하기 위해, 저 배터리 처리 절차에 들어간다. 사용자가 의무적인 신원 인증을 하도록 하나 이상의 디지털 키를 구성한 경우, 디지털 키 서비스는 상태 전환 절차에 신원 인증 동작을 추가할 수 있다. 즉, 제 2 단말이 사전 설정되지 않은 동작 상태에서 사전 설정된 동작 상태로 전환되는 상태 전환 절차에 들어가면, 제 2 단말은 제 2 단말의 신원 인증 시스템을 시작해서 사용자에 대한 신원 인증을 수행하고 사용자 신원 인증 결과를 생성한다. 옵션으로, 전술한 신원 인증 절차는 디지털 키 서비스에 의해 트리거될 수 있다.
신원 인증 시스템은, 하나 이상의 기존 신원 인증 수단, 예를 들어 개인 식별 번호(Personal Identification Number, PIN), 지문, 얼굴, 홍채, 골전도 및 거동-기반 인증을 사용해서 사용자에 대한 신원 인증을 수행할 수 있다는 점에 주의한다. 기존의 신원 인증 수단은 PIN 번호, 지문, 얼굴, 홍채 등의 능동적인 신원 인증 수단을 포함할 수 있다. 이들 모든 수단은 제 2 단말의 사용자 인터페이스 상의 가이드에 따라 사용자가 수행해야 한다. 나아가, 기존의 신원 인증 수단은 예를 들어, 거동-기반 신원 인증 또는 웨어러블 장치-기반 신원 인증과 같은 수동적(즉, 사용자-무의미(user-senseless)) 신원 인증 수단을 더 포함할 수 있다. 웨어러블 장치-기반 신원 인증은 웨어러블 존재 검출, 웨어러블 골전도 신원 인증, 웨어러블 펄스 신원 인증 등이 될 수 있다. 수동적 신원 인증 수단은 제 2 단말의 구성 요소(예를 들어, 센서)를 이용해서 구현될 수도 있고 혹은, 제 2 단말과 인터렉트할 수 있는 제 3 단말(예를 들어, 웨어러블 장치)을 이용해서 구현될 수 있다. 이것은 본 출원에서 한정되는 것은 아니다. 실제 응용예에서 어떤 하나 이상의 신원 인증 수단 중 어느 것이 사용될지는 주로 제 2 단말의 신원 인증 시스템에 의해 제공되거나 이에 의해 지원받는 신원 인증 능력에 따라 달라진다. 신원 인증 시스템은 비밀번호, 생체 특성 또는 사용자가 입력한 기타 인증데이터를 수집하고, 비밀번호, 생체 특성 또는 기타 인증 데이터를 사전 저장된 비밀번호, 사전 저장된 생체 특성, 또는 사전 저장된 다른 인증 데이터와 비교해서, 사용자 신원 인증 결과를 생성할 수 있다.
옵션으로, 신원 인증을 수행하는 과정에서, 디지털 키 서비스는 현재 수행되는 신원 인증의 목적을 사용자에게 통지하기 위한 사용자 인터페이스를 생성할 수 있다. 예를 들어, 현재 신원 인증은 사전 설정된 동작 상태에서 적어도 하나의 디지털 키의 사용을 승인하는 데 사용된다. 나아가, 사용자 인터페이스는 사용자가 신원 인증을 완수하도록 가이드하는 가이드 정보를 더 표시할 수 있다. 예를 들어, 도 4는 차량 키로서 디지털 키가 사용되는 응용예 시나리오의 예에서 신원 인증이 수행될 때의 사용자 인터페이스의 개략도이다. 도 4의 사용자 인터페이스에서, 중간 영역의 프롬프트 텍스트는 전원이 꺼진 상태에서 디지털 키 A의 사용을 승인하기 위해 현재 신원 인증이 사용된다는 것을 사용자에게 통지하는 데 사용된다. 하단 영역의 이미지 및 텍스트는, 사용자가 신원 인증에 지문 또는 얼굴을 사용할 수 있다는 것을 나타내거나 권한 취소를 나타내는 데 사용된다.
옵션으로, 구현예에서, 사용자가 승인을 취소하면, 승인 취소의 결과를 사용자에게 통지해서 사용자에게 확인을 수행할 것을 요구하기 위해 다른 사용자 인터페이스가 추가로 생성될 수 있다. 예를 들어, 도 5는 디지털 키가 차량 키로서 사용되는 응용예 시나리오의 예에서 사용자가 인증을 취소하는 경우의 사용자 인터페이스의 개략도이다. 도 5의 사용자 인터페이스에서, 상단 영역의 프롬프트 텍스트는 인증 취소 결과를 사용자에게 통지하기 위해 사용되며, 구체적으로 디지털 차량 키는 전원이 꺼진 상태에서 사용될 수 없다. 하단 영역의 텍스트는 사용자가 확인 또는 재인증을 수행하는 데 사용된다.
옵션으로, 다른 구현예에서, 사용자가 인증을 취소하면, 의무적인 신원 인증의 구성 인터페이스로 더 점프되어서, 사용자가 의무적인 신원 인증을 재구성하고 원래 구성을 변경할 수 있다. 예를 들어, 도 6은 디지털 키가 차량 키로서 사용되는 응용예 시나리오의 예에서 사용자가 인증을 취소할 때의 다른 사용자 인터페이스의 개략도이다. 도 6의 사용자 인터페이스에서, 상단 영역의 프롬프트 텍스트는 승인이 취소되었다는 것을 사용자에게 통지하고, 사용자가 전원이 꺼진 상태에서 차량 키를 사용하고자 하는 경우 사용자가 취할 수 있는 다른 동작을 사용자에게 통지하는 데 사용된다. 하단 영역의 텍스트 및 이미지는 사용자가 디지털 차량 키에 대한 의무적인 신원 인증을 재구성하도록 지시하는 데 사용된다.
전술한 수동적 신원 인증 수단이 사용자에 대한 신원 인증을 수행하는 데 사용되는 경우, 제 2 단말은 전술한 사용자 인터페이스를 디스플레이하지 않고, 백그라운드에서 전체 신원 인증 절차를 실행할 수도 있다는 점에 주의해야 한다.
S102 : 보안 요소에 사용자 신원 인증 결과를 포함하는 사용자 신원 인증 정보를 저장한다.
신원 인증 결과가 생성된 이후에, 사용자 신원 인증 결과를 포함하는 사용자 신원 인증 정보는 보안 요소에 저장되어서 이후에 디지털 키가 사용될 때 호출될 수 있다. 본 출원의 실시예에서, 예를 들어 임베디드 보안 요소(embedded SE, eSE), 휴대 전화의 메인 칩(System on Chip, SoC)에 집적된 inSE 보안 모듈, 및 범용 집적 회로 카드 보안 요소(Universal Integrated Circuit Card Secure Element, UICC SE)와 같은 기존의 보안 요소가 사용될 수도 있다.
옵션으로, 제 1 구현예에서, 디지털 키 서비스는 사용자 신원 인증 결과를 획득할 수 있고, 사용자 신원 인증 결과를 사용자 신원 인증 정보로서 보안 요소에 직접 저장할 수 있다.
옵션으로, 제 2 구현예에서, 디지털 키 서비스는 사용자 신원 인증 결과를 획득하고, 이후에 제 1 단말과 사전 합의된 제 2 키를 사용해서 사용자 신원 인증 결과를 처리해서 제 2 검증 데이터를 생성할 수 있으며, 이로써 사용자 신원 인증 정보가 검증 가능하고 부인 방지(non-repudiation) 특성을 갖는 것을 보장한다. 이와 같이, 제 1 단말은 사용자 신원 인증 정보를 수신한 이후에, 사전 합의된 제 2 키를 사용해서 사용자 신원 인증 정보를 검증하여, 전송 과정에서 사용자 신원 인증 정보가 위조(tamper)되지 않았으며, 사용자 신원 인증 정보를 송신하는 소스가 승인되었다는 것을 보장한다. 마지막으로 2차 검증 데이터와 사용자 신원 인증 결과는 사용자 신원 인증 정보로서 함께 사용되어서 보안 요소에 함께 저장된다. 이 경우, 사용자 신원 인증 정보는 종종 신원 인증 증명(Attestation)이라고 한다.
실제 응용예에서, 제 2 검증 데이터는 디지털 서명, 메시지 인증 코드(Message Authentication Code, MAC), 해시된 메시지 인증 코드(Hashed Message Authentication Code, HMAC) 등일 수 있다는 점에 주의해야 한다. 사용자 신원 인증 결과가 제 2 키를 사용해서 처리될 때, 사용자 신원 인증 결과는 제 2 키를 사용하여 직접 처리되어 제 2 검증 데이터를 획득할 수 있고; 또는 사용자 신원 인증 결과가 먼저 메시지 요약으로 압축될 수 있으며, 이후 메시지 요약은 제 2 키를 사용해서 처리되어서 제 2 검증 데이터를 획득할 수 있다.
옵션으로, 제 3 구현예에서, 디지털 키 서비스는 사용자 신원 인증 결과 및 제 1 타임스탬프를 획득할 수 있으며, 이후 사용자 신원 인증 결과 및 제 1 타임스탬프를 사용자 신원 인증 정보로서 보안 요소에 함께 저장할 수 있다.
본 출원의 실시예에서 제 1 타임스탬프는 사용자 신원 인증 결과를 생성하는 시간을 나타내는 데 사용된다. 실제 응용예에서, 사용자 신원 인증 시스템이 사용자 신원 인증 결과를 생성한 시간이 제 1 타임스탬프로서 사용될 수도 있고, 디지털 키 서비스가 사용자 신원 인증 결과를 획득한 시간이 제 1 타임스탬프로서 사용될 수도 있으며, 또는 다른 대략적인 시간이 제 1 타임스탬프로서 사용될 수도 있다. 이들 시간은 제 2 단말이 사전 설정된 동작 상태로 들어가기 전의 매우 짧은 시간에 해당하며, 전환 절차에서 사용자 신원 인증 정보가 보안 요소에 저장되는 시간까지 비교적 짧은 시간으로 이해될 수 있다. 따라서, 어떤 시간이 제 1 타임스탬프로서 사용되는지 여부에 관계없이 사용자 신원 인증 결과를 생성한 시간이 표시될 수 있다. 제 1 타임스탬프는 외부로부터의 디지털 키 서비스에 의해 획득될 수 있으며, 예를 들어, 신원 인증 시스템에 의해 생성되고; 또는 디지털 키 서비스 자체에 의해 생성될 수 있다. 이것은 본 출원에서 한정되는 것은 아니다. 구현예에서, 디지털 키 서비스는 신원 인증 시스템로부터 또는 휴대 전화의 신뢰된 실행 환경(TEE)의 신뢰된 시간 서비스로부터 제 1 타임스탬프를 획득할 수도 있고, 혹은 신뢰된 시간 서버로부터 제 1 타임스탬프를 획득할 수 있으며, 이로써 제 1 타임스탬프의 소스의 신뢰도를 보장할 수 있다. 나아가, 제 1 타임스탬프는 변조 방지 속성(예를 들어, 디지털 서명)을 포함할 수 있다. 이것은 본 출원에서 한정되는 것은 아니다.
옵션으로, 제 4 구현예에서, 디지털 키 서비스는 사용자 신원 인증 결과를 획득하고, 이후에 제 1 단말과 사전 합의된 제 2 키를 사용해서 사용자 신원 인증 결과 및 제 1 타임스탬프를 처리해서 제 2 검증 데이터를 생성할 수 있으며, 이로써 사용자 신원 인증 정보가 검증 가능하고 부인 방지 특성을 갖는 것을 보장한다. 마지막으로 2차 검증 데이터, 사용자 신원 인증 결과 및 제 1 타임스탬프는 사용자 신원 인증 정보로서 함께 사용되어서 보안 요소에 함께 저장된다. 이 경우, 사용자 신원 인증 정보는 종종 신원 인증 증명(Attestation)이라고 한다.
이 구현예의 제 2 검증 데이터에 대해서는 제 2 구현의 관련 설명을 참조한다. 제 1 타임스탬프는 제 3 구현예의 관련 설명을 참조한다. 상세한 것은 여기서 다시 설명하지 않는다.
옵션으로, 사용자 신원 인증 정보를 보안 요소에 저장하는 구현예에서, 사용자 신원 인증 정보는 보안 요소의 디지털 키 애플릿에 기입될 수 있다.
예를 들어, 디지털 키 서비스는 디지털 키 애플릿에 특정 표시 필드를 설정하고, 표시 필드의 다른 값을 사용해서 사용자 신원 인증 결과의 3가지 상태를 표시하며, 이로써 사용자 신원 인증 결과를 디지털 키 애플릿에 기입할 수 있다. 예를 들어, 디지털 키 애플릿은, 종래의 태그-길이-값(Type-Length-Value, TLV) 포맷으로 코딩이 수행될 때, 신원 인증 결과를 태그(tag)에 나타낼 수 있으며, 값 "1"은 사용자 신원 인증 결과가 성공이라는 것을 나타낼 수 있고, 값 "2"는 사용자 신원 인증 결과가 실패라는 것을 나타낼 수 있으며, 값 "3"은 사용자 신원 인증 결과가 완수되지 않았다는 것을 나타낼 수 있다. 이러한 정보를 본 출원에서는 제 1 정보라고 하며, 즉 제 1 정보는 디지털 키 애플릿이 사용자 신원 인증 결과를 나타내는 표현 형태이다. 따라서, 전술한 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하며, 이는 사용자 신원 인증 정보가 제 1 정보를 포함하는 것으로 간주될 수도 있다. 제 1 정보는 신원 인증 결과가 성공인지 실패인지를 나타내거나, 혹은 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 신원 인증 시스템이 신원 인증을 완수하지 않았다는 것을 나타내는 데 사용된다.
다른 예로서, 디지털 키 서비스는 디지털 키 애플릿에 다른 특정 표시 필드를 설정하고, 사용자 신원 인증 정보가 보안 요소에 기입될 때 표시 필드의 특정 값을 사용해서 제 2 단말이 사전 설정된 동작 상태로 들어갈 것인지 여부를 나타낼 수 있다. 즉, 표시 필드는, 제 2 단말이 제 1 단말의 서비스 명령에 응답할 때 사전 설정된 동작 상태에 있는지 여부를 나타내는 데 사용된다. 예를 들어, 외부 프리젠테이션 동안에, "1"은 제 1 단말에 서비스 응답 메시지를 송신할 때 제 2 단말이 사전 설정된 동작 상태에 있다는 것을 나타낼 수 있고, "0"은 제 2 단말이 다른 동작 상태 예를 들어, 제 1 단말의 서비스 명령에 응답할 때 사전 설정되지 않은 동작 상태에 있다는 것을 나타낼 수 있다. 이러한 정보는 본 출원에서 제 2 정보라고 지칭된다. 따라서, 사용자 신원 인증 정보는 제 1 정보에 더해서 제 2 정보를 더 포함할 수 있다. 제 2 정보는 서비스 응답 메시지를 제 1 단말에 송신할 때 제 2 단말이 사전 설정된 동작 상태에 있는지 여부를 나타내는 데 사용된다.
옵션으로, 전술한 제 2 정보는 대안적으로 디지털 키 애플릿에 대한 NFC 컨트롤러(NFC Controller)에 의해 제공될 수 있다.
전술한 제 1 정보와 전술한 제 2 정보는 독립적으로 두 개의 표시 필드로 표현될 수도 있고, 혹은 함께 결합되어서 동일한 표시 필드로 표현될 수도 있다는 점에 주의해야 한다. 이것은 본 출원에서 한정되는 것은 아니다. 예를 들어, 동일한 특정 표시 필드가 표현에 사용되는 경우, 제 1 정보가 나타내는 3가지 상태와 제 2 정보가 나타낼 수 있는 2가지 상태가 결합되어서, 특정 표시 필드의 6개의 서로 다른 값을 사용해서 6가지 경우가 별도로 표현될 수 있다. 예를 들어, 보안 요소에 기입된 사용자 신원 인증 정보가 제 1 타임스탬프, 제 2 검증 데이터 등을 더 포함할 때, 디지털 키 서비스는 데이터의 존재를 나타내도록 특정 표시 필드를 설정할 수 있다. 이후, 제 1 타임스탬프, 제 2 검증 데이터 등은 사전 설정된 저장 주소에 저장되며, 이로써 제 1 정보 및 제 2 정보 이외에 다른 정보도 보안 요소에 저장될 수 있다.
제 1 정보, 제 2 정보 및 기타 정보를 이용함으로써, 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 신원 인증이 완수되었는지 여부의 상태, 제 2 단말이 서비스 응답 메시지를 제 1 단말에 송신할 때의 제 2 단말의 동작 상태, 제 1 타임스탬프, 검증 정보 등이 디지털 키 애플릿에 저장될 수 있고, 디지털 키가 사용될 때 제 1 단말에 전달될 수 있다. 이로써, 제 1 단말은 정보를 이용해서 제 2 단말의 상태를 학습하고, 또한 사전 설정된 보안 정책에 따라 위험 제어를 더 수행할 수 있다. 리스크 제어를 수행하는 구체적인 방법은 제 1 단말에 의해 수행되는 후속의 단계에서 상세하게 설명된다.
옵션으로, 사용자 신원 인증 정보를 보안 요소에 저장하는 다른 구현예에서, 사용자 신원 인증 정보는 보안 요소의 브로커 애플릿(Broker Applet)에 기입될 수 있다.
본 출원의 실시예에서 사용되는 보안 요소는 국제 플랫폼 기구(Global Platform, GP)의 브로커 인터페이스(Amendment J) 사양을 지원한다. 도 7은 본 출원의 실시예에 따른 디지털 키의 신원을 인증하는 방법의 응용예 시나리오의 다른 개략도이다. 제 2 단말의 보안 요소(210)에는 하나의 브로커 애플릿(212)가 있고, 브로커 애플릿(212)은 보안 요소(210)의 모든 애플릿(디지털 키 애플릿(211) 및 존재할 수 있는 다른 애플릿을 포함)에 대한 사용자 신원 인증 정보를 중앙에서 제공할 수 있다. 따라서, 디지털 키 서비스(230)는 전술한 사용자 신원 인증 정보 중 임의의 부분을, 저장하기 위해 브로커 애플릿(212)에 전송할 수 있다. 사용자 신원 인증 정보의 사용자 신원 인증 결과는 신원 인증 시스템(240)에 의해 생성된다. 제 2 단말의 디지털 키 애플릿(211)이 제 1 단말과 인터렉트할 때, 사용자 신원 인증 정보가 제공될 필요가 있는 경우, 디지털 키 애플릿(211)은 표준 인터페이스를 통해서 프록시 애플릿(212)으로부터 저장된 사용자 신원 인증 정보를 획득한다.
사용자 신원 인증이 수행될 때, 이전의 1회 또는 수회의 인증에 실패한 경우, 사용자가 잘못된 암호를 입력하는 경우 또는 유효한 생체 인식 특성이 수집되지 않는 경우를 피하기 위해, 사용자에 대해 신원 인증이 1회 또는 수회 다시 수행될 수 있다는 점에 주의해야 한다. 이 경우, 마지막 신원 인증 결과는 보안 요소에 저장될 수 있다. 예를 들어, 정상 배터리 모드에서 전원 끔 상태로 전환될 때, 제 2 단말은 신원 인증 시스템을 트리거해서 사용자에 대한 신원 인증을 수행한다. 먼저 도 4에 도시된 사용자 인터페이스가 제 2 단말의 디스플레이 스크린에 표시되어서, 사용자가 지문을 입력하도록 가이드한다. 사용자는 프린트 영역에 프린트하고 지문을 기록한다. 사용자의 손가락에 물기가 있어서, 최초 프린트 동안 신원 인증 시스템에서 수집한 지문 이미지와 제 2 단말에 사전에 저장된 지문 이미지 사이의 유사도가 사전 설정된 임계값보다 낮으면, 신원 인증 시스템은 최초 기록된 지문 이미지가 사전 저장된 지문 이미지와 매칭되지 않았다고, 즉 신원 인증이 실패했다고 결정한다. 이 경우, 제 2 단말은 "실패"의 결과는 보안 요소에 저장하지 않고, 신원 인증에 실패했다는 것을 사용자에게 통지하고, 사용자에게 지문 이미지를 다시 기록하도록 요청한다. 사용자는 손가락에서 물기를 닦아내고 지문을 다시 프린트한다. 기록된 지문 이미지와 사전 저장된 지문 이미지의 유사도가 사전 설정된 임계값보다 높으면 신원 인증에 성공하고, 제 2 단말은 최근에 획득한 "성공" 결과를 보안 요소에 저장한다. 사용자가 지문 이미지를 반복적으로 기록하는 횟수가 사전 설정된 횟수를 초과하고 모든 결과가 실패인 경우, 제 2 단말은 최근에 획득한 "실패" 결과를 보안 요소에 저장한다.
사용자에 대해 신원 인증이 수행되고, 사용자 신원 인증 정보가 저장되어 있는 경우, 제 2 단말에서 원래의 전환 절차가 중단될 수 있다. 신원 인증 정보의 저장이 완수된 이후에도 전환 절차가 계속 수행된다. 전환 절차가 완수된 이후에, 제 2 단말은 공식적으로 사전 설정된 동작 상태로 들어간다.
단계 2: 사용자는 제 2 단말이 사전 설정된 동작 상태에 있을 때 디지털 키를 사용한다.
도 3을 참조한다. 단계 2에서, 제 2 단말은 단계 S103 및 S104를 수행할 수 있다.
S103: 제 2 단말은 제 1 단말로부터 서비스 명령을 수신한다.
제 2 단말은 통신 유닛을 이용해서 제 1 단말과 정보를 교환한다. 나아가, 통신 유닛은 독립적으로 전원이 공급될 수 있는 통신 모듈, 예를 들어 NFC 모듈을 포함할 필요가 있다. 이와 같이, 제 2 단말이 사전 설정된 동작 상태, 예를 들어 전원 끔 모드 또는 저 배터리 모드에 있을 때, 독립적으로 전원을 공급받는 통신 모듈은 제 2 단말의 메인 칩의 동작 상태의 영향을 받지 않고, 여전히 제 1 단말과 정보를 교환할 수 있다.
S104: 서비스 명령에 응답해서, 사전 설정된 동작 상태의 제 2 단말은 제 1 키를 사용해서 처리된 서비스 응답 메시지를 제 1 단말에 송신한다.
본 출원에서 사전 설정된 동작 상태는 제 2 단말의 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태일 수 있다. 사전 설정된 동작 상태에서, 제 2 단말은 단계 1에서 보안 요소에 저장된 사용자 신원 인증 정보를 서비스 응답 메시지에 추가하고, 제 1 키를 사용해서 서비스 응답 메시지를 처리한다. 제 1 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이고, 제 1 키는 제 2 검증 데이터를 생성하기 위해 사용되는 전술한 제 2 키와는 상이하다. 제 2 단말의 제 1 키는 보안 요소의 디지털 키 애플릿에 저장될 수 있다. 이후, 제 2 단말은 처리된 서비스 응답 메시지를 제 1 단말로 송신한다.
본 실시예에서 서비스 응답 메시지는 사용자 신원 인증 정보를 포함한다. 사용자 신원 인증 정보는 사용자 신원 인증 결과만을 포함할 수도 있고, 사용자 신원 인증 결과와 제 2 검증 데이터를 포함할 수도 있으며, 사용자 신원 인증 결과와 제 1 타임스탬프를 포함할 수도 있고, 사용자 신원 인증 결과, 제 1 타임스탬프 및 제 2 검증 데이터를 포함할 수도 있다. 사용자 신원 인증 정보, 사용자 신원 인증 결과, 제 1 타임스탬프 및 제 2 검증 데이터에 대해서는 단계 1의 관련 설명을 참조하며, 여기서 상세한 것을 다시 설명하지 않는다. 나아가, 서비스 응답 메시지는 다른 정보, 예를 들어 전술한 제 2 정보, 프로토콜 정보, 트랜잭션/서비스 식별 정보, 제 1 단말의 식별 정보, 제 1 단말/제 2 단말에 의해 생성된 랜덤 정보 값을 더 포함할 수 있다. 이것은 본 출원에서 한정되는 것은 아니다.
옵션으로, 서비스 응답 메시지는 제 1 검증 데이터를 더 포함할 수 있다. 본 출원의 제 1 검증 데이터는 서비스 응답 메시지의 사용자 신원 인증 정보를 처리함으로써 혹은 제 1 키를 사용해서 사용자 신원 인증 정보 및 서비스 응답 메시지의 기타 정보를 처리해서 생성된 검증 데이터이다. 서비스 응답 메시지가 제 1 검증 데이터를 포함하는 경우, 서비스 응답 메시지는 제 1 키를 사용해서 처리된 서비스 응답 메시지라고 간주될 수 있다. 제 2 검증 데이터와 유사하게, 사용자 신원 인증 정보 또는 사용자 신원 인증 정보 및 기타 정보가 제 1 키를 사용하여 처리될 때, 정보를 제 1 키를 사용해서 직접 처리해서 제 1 검증 데이터를 획득할 수도 있고; 또는 정보가 먼저 메시지 요약으로 압축되고, 이후 메시지 요약이 제 1 키를 사용하여 처리되어서 제 1 검증 데이터를 획득할 수도 있다.
본 출원의 제 1 키에 대한 암호화 메커니즘은 기존의 대칭 암호화 또는 비대칭 암호화를 사용하거나, 혹은 비대칭 암호화에 기초해서 키 협상이 수행된 이후에 세션 키를 생성할 수 있다는 점에 주의해야 한다. 자세한 내용은 여기에서 설명하지 않는다.
또한, 서비스 명령이 다른 경우, 이에 따라 서비스 명령에 대응하는 서비스 동작도 다르며, 제 1 단말이 서비스 동작을 승인하는지 여부를 결정하기 위해 필요한 정보도 다르다는 점에 주의해야 한다. 따라서, 구현예에서 서비스 응답 메시지에 포함된 정보는 서비스 명령에 따라 다를 수 있다.
옵션으로, 서비스 명령에 응답하기 전에, 제 2 단말은 먼저 제 1 단말이 송신한 서비스 명령이 제 2 단말이 사용자 신원 인증 정보를 제공할 것을 요구하는지 여부를 결정할 수 있으며 즉, 서비스 명령에 대응하는 서비스 동작이 승인될 때 사용자 신원 인증 정보가 요구되는지 여부를 결정할 수 있다. 사용자 신원 인증 정보가 요구되는 경우에는, 보안 요소의 사용자 신원 인증 정보가 서비스 응답 메시지에 추가되고, 혹은 사용자 신원 인증 정보가 요구되지 않는 경우에는, 사용자 신원 인증 정보는 제 1 단말에 제공될 필요가 없다.
S103에 대응해서, 제 1 단말은 제 2 단말에 서비스 명령을 송신한다. S104에 대응해서, 제 1 단말은 서비스 명령에 대한 응답으로 제 2 단말에 의해 송신된 서비스 응답 메시지를 수신한다.
도 3을 참조한다. 단계 2에서, 제 1 단말은 단계 S105 및 S106을 수행할 수 있다.
S105: 제 1 단말은 제 1 키를 사용해서 서비스 응답 메시지를 검증한 이후에 사용자 신원 인증 정보를 획득한다.
제 1 키는 제 2 단말과 제 1 단말이 사전에 합의한 키이다. 제 1 단말이 제 1 키를 이용해서 서비스 응답 메시지에 대해 수행한 검증이 실패하면, 제 2 단말은 제 1 단말에 의해 인식된 디지털 키를 갖지 않는다는 것을 의미한다. 제 1 단말이 제 1 키를 이용해서 서비스 응답 메시지에 대해 수행한 검증이 성공하면, 제 2 단말이 제 1 단말에 의해 인식된 디지털 키를 보유하고 있다는 것, 즉 제 2 단말의 디지털 키가 인증되었다는 것을 의미한다. 이 경우, 제 1 단말은 서비스 응답 메시지에 포함된 사용자 신원 인증 정보를 더 검증할 수 있다.
이하에서는, 검증의 구현예를 추가로 설명하기 위해서, 서비스 응답 메시지가 사용자 신원 인증 정보, 기타 정보 및 제 1 검증 데이터를 포함하는 예가 사용된다. 제 1 단말은 제 1 키를 이용하여 사용자 신원 인증 정보 및 기타 정보를 처리하여 제 1 체크 데이터를 획득한다. 이후, 제 1 체크 데이터가 제 1 검증 데이터와 비교된다. 제 1 체크 데이터가 제 1 검증 데이터와 동일하다면, 검증은 성공한 것이고, 혹은 제 1 체크 데이터가 제 1 검증 데이터와 다르다면, 검증은 실패한다.
서비스 응답 메시지가 제 2 검증 데이터를 포함하지 않는 경우, 제 1 단말은 사용자 신원 인증 정보 및 사전 설정된 보안 정책의 컨텐츠를 이용해서, 서비스 명령에 대응하는 서비스 동작을 승인할지 여부를 직접 결정할 수 있다. 서비스 응답 메시지가 제 2 검증 데이터를 포함하는 경우, 제 1 단말은 제 2 단말과 사전 합의된 제 2 키를 사용해서 사용자 신원 인증 정보가 유효한지 검증해서, 사용자 신원 인증 정보가 디지털 키 서비스에 의해 또는 제 2 단말의 신원 인증 시스템에 의해 생성되었다는 것을 보장해야 한다. 나아가, 제 1 단말은 사용자 신원 인증 정보의 컨텐츠가 사전 설정된 보안 정책에 부합하는지 여부를 더 결정할 필요가 있다. 서비스 명령에 해당하는 서비스 동작은 두 가지 조건이 충족되어야만 승인될 수 있다.
사용자 신원 인증 정보가 유효한지 여부를 검증하는 과정을 더 설명하기 위해서, 사용자 신원 인증 정보가 사용자 신원 인증 결과 및 제 1 타임스탬프를 포함하고, 서비스 응답 메시지가 제 2 검증 데이터를 포함하는 예가 사용된다. 제 1 단말은 제 2 키를 이용해서 사용자 신원 인증 정보, 즉 사용자 신원 인증 결과 및 제 1 타임스탬프를 처리해서, 계산을 통해 제 2 체크 데이터를 획득한다. 이후, 2차 체크 데이터는 2차 검증 데이터와 비교된다. 제 2 체크 데이터가 제 2 검증 데이터와 동일한 경우에는, 사용자 신원 인증 정보가 유효한 것으로 결정되고; 또는 제 2 체크 데이터가 제 2 검증 데이터와 상이한 경우에는, 사용자 신원 인증 정보가 유효하지 않은 것으로 결정된다. 이 방법을 이용하면, 사용자 신원 인증 정보가 전송 과정에서 변경되지 않았다는 것이, 즉 사용자 신원 인증 정보의 무결성이 보장될 수 있다. 나아가, 사용자 신원 인증 정보를 송신하기 위한 소스가 인증된 것이라는 것을 보장할 수 있고, 즉 제 2 단말의 키의 인증된 소유자라는 것이 보장되며, 이로써 사용자 신원 인증 정보가 검증 가능하고 부인 방지 특성을 갖는 것을 보장한다.
서비스 응답 메시지는 원래 사용자 신원 인증 정보를 포함하며, 제 1 키가 검증에 사용되지 않더라도, 제 1 단말은 여전히 서비스 응답 메시지로부터 사용자 신원 인증 정보를 획득할 수 있다는 점에 주의해야 한다. 그러나, 상술한 바와 같이, 제 1 키를 이용한 검증에 실패하면, 제 1 단말이 인식한 디지털 키를 제 2 단말이 보유하고 있지 않다는 것을 나타낸다. 이 경우, 사용자 신원 인증 정보를 이용해서 후속하는 단계가 수행될 필요가 없으며, 서비스 동작에 대한 승인은 직접 거부된다. 그러나, 제 1 키를 이용해서 수행되는 검증이 성공하면, 제 2 단말의 디지털 키가 승인되었다는 것을 나타낸다. 이 경우, 서비스 응답 메시지의 사용자 신원 인증 정보를 이용해서 후속하는 단계가 수행되어서, 사용자의 신원에 대한 검증을 추가함으로써, 디지털 키의 보안성을 향상시킨다.
제 1 단말이 송신한 서비스 명령이 사용자 신원 인증 정보에 대한 검증을 요구하지 않는 경우에, 즉 서비스 명령에 대응하는 서비스 동작을 승인할지 여부가 결정될 때 사용자 신원 인증 정보가 요구되지 않는 경우에는, 사용자 신원 인증 정보를 사용해서 후속 단계가 수행될 필요는 없다는 것에 더 주의해야 한다. 구현예에서, 이 경우, 서비스 명령에 대응하는 서비스 동작을 승인할지 여부가, 제 1 키의 검증 결과에 기초해서 직접 결정될 수 있다.
S106: 사용자 신원 인증 정보를 검증한다.
제 1 단말은 사전 설정된 보안 정책을 저장하고, 보안 정책은 사용자 신원 인증 정보와 관련된 하나 이상의 규칙을 포함한다. 사용자 신원 인증 정보를 검증하는 구현예에서, 제 1 단말은 사용자 신원 인증 정보를 보안 정책의 규칙과 비교할 수 있고; 사용자 신원 인증 정보가 보안 정책의 규칙을 만족하는지 여부에 기초해서, 서비스 명령에 대응하는 서비스 동작이 승인될 수 있는지 여부를 결정하도록 구성된다.
각각의 제 1 단말의 보안 정책은 서로 상이할 수도 있으며, 제 1 단말의 보안 정책들은 각각의 응용예 시나리오에서 상이할 수도 있다는 점에 주의해야 한다. 제 1 단말의 제조사, 예를 들어, 차량 제조사는 제조사의 위험 허용 능력에 기초해서 보안 정책을 사전 설정할 수 있다.
본 명세서의 사용자 신원 인증 정보는 제 2 단말의 보안 요소로부터 획득된다는 점에 더 주의한다. 사용자 신원 인증 정보가 획득될 때, 제 2 단말은 사전 설정된 동작 상태에 있다. 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 사용자 신원 인증 결과는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 제 2 단말의 신원 인증 시스템에 의해 생성된다.
옵션으로, 사용자 신원 인증 정보는 전술한 제 2 정보를 포함할 수 있다. 제 1 단말은 제 2 정보를 사용해서, 제 2 단말이 서비스 응답 메시지를 제 1 단말에 송신할 때, 제 2 단말이 사전 설정된 동작 상태에 있는지 여부를 명확하게 학습할 수 있다. 구현예에서, 제 2 정보는, 제 2 단말이 서비스 응답 메시지를 송신할 때 사전 설정된 동작 상태에 있는지 여부를 나타내는 데 사용된다. 따라서, 사용자 신원 인증 정보가 제 2 정보를 포함하는 경우, 제 1 단말은 제 2 정보를 이용해서 제 2 단말이 서비스 응답 메시지를 송신할 때의 제 2 단말의 상태를 결정할 수 있다. 제 2 단말이 사전 설정된 동작 상태에 있을 때, 제 2 단말의 신원 인증 시스템은 정상적으로 사용될 수 없다. 이 경우, 획득된 사용자 신원 인증 결과는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 생성되어 저장되며, 실시간으로 생성되지 않는다. 이는, 현재 사용자가 디지털 키를 사용할 때 상대적으로 위험이 높다는 것을 나타낸다. 이 경우, 제 1 단말은 사전 설정된 보안 정책 및 사용자 신원 인증 정보에 따라서 위험 제어를 수행하고, 서비스 동작에 대한 승인 여부를 결정함으로써, 위험을 감소시킬 수 있다.
옵션으로, 사용자 신원 인증 정보는 전술한 제 1 정보를 포함할 수 있다. 제 1 단말은 제 1 정보를 이용해서, 제 2 단말이 사전 설정된 동작 상태로 들어가기 전에 신원 인증이 수행되었는지 여부 또는 신원 인증이 완수되지 않았는지 여부를 명확하게 학습할 수 있다. 구현예에서, 제 1 정보는 신원 인증 결과가 "성공"인지, "실패"인지 또는 "완수되지 않았음"인지를 나타내는데 사용된다. 보안 정책은 제 1 규칙을 포함하며, 제 1 규칙에는 인증 결과가 "성공"으로 사전 설정되어 있다. 서비스 응답 메시지의 신원 인증 결과도 "성공"이면, 서비스 응답 메시지의 신원 인증 결과는 사전 설정된 인증 결과와 매칭되고, 혹은 서비스 응답 메시지의 신원 인증 결과가 "실패" 또는 "완수되지 않았음"이면, 서비스 응답 메시지의 신원 인증 결과는 사전 설정된 인증 결과와 매칭되지 않는다.
서비스 명령은 하나 이상의 상이한 명령을 포함할 수 있다. 서비스 명령이 복수의 상이한 명령을 포함하는 경우, 복수의 상이한 명령은 제 2 단말에 개별적으로 송신될 수도 있고, 혹은 함께 제 2 단말에 송신될 수도 있다. 이것은 본 출원에서 한정되는 것은 아니다. 복수의 상이한 명령이 제 2 단말에 개별적으로 송신되는 경우, 제 2 단말은 개별 응답을 수행해서, 대응하는 서비스 응답 메시지를 제 1 단말에 개별적으로 송신할 수도 있고; 혹은 응답을 한 번 수행하고 하나의 서비스 응답 메시지를 제 1 단말에 송신할 수도 있다. 제 1 단말이 제 2 단말에 복수의 상이한 명령을 개별적으로 송신하고 제 2 단말이 개별 응답을 수행하는 경우, 제 2 단말은 먼저 송신된 명령에 먼저 응답하고, 이후 나중에 송신된 명령을 수신할 수도 있고; 혹은 나중에 송신된 명령을 먼저 수신하고, 이후 수신되는 복수의 명령에 하나씩 응답할 수도 있다. 환언하면, 제 2 단말이 복수의 명령을 수신하고 복수의 명령에 응답하는 일련의 단계는 본 출원에서 한정되는 것은 아니다. 복수의 상이한 명령이 제 2 단말에 함께 송신될 때, 제 2 단말은 한 번 응답하고, 하나의 서비스 응답 메시지를 제 1 단말에 송신할 수도 있고; 혹은 개별 응답을 수행할 수도 있다. 이것은 본 출원에서 한정되는 것은 아니다.
서비스 명령에 대응하는 서비스 동작은 하나 이상의 동작을 포함할 수 있다. 이것은 본 출원에서 한정되는 것은 아니다. 제 1 단말과 제 2 단말은 복수의 상이한 시나리오에서 서비스 명령에 대해 합의할 수 있고, 상이한 시나리오의 각각의 서비스 명령은 하나 이상의 서비스 동작 요청을 포함할 수 있다. 제 1 단말은 현재 제 1 단말에 의해 제 2 단말로 송신된 서비스 명령의 시나리오에 포함된 하나 이상의 서비스 동작에 대한 요청에 기초해서, 하나 이상의 서비스 동작을 승인할지 여부를 결정한다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량일 수 있고, 제 2 단말은 이동 전화일 수 있다. 차량에는 복수의 통신 유닛이 있으며, 상이한 통신 유닛을 이용해서 각각의 서비스 명령과 대응하는 서비스 동작이 각각 서로 구분될 수 있다. 차량 도어와 관련된 통신 모듈이 서비스 명령을 송신하는 경우, 대응하는 서비스 동작은 단일 차량 도어 또는 모든 차량 도어를 잠금 해제하는 것일 수 있다. 차량의 트렁크와 관련된 통신 모듈이 서비스 명령을 송신하는 경우, 대응하는 서비스 동작은 트렁크를 잠금 해제하는 것일 수 있다. 차량 내부에 위치된 시동 모듈과 관련된 통신 모듈이 서비스 명령을 송신하는 경우, 대응하는 서비스 동작은 엔진을 시동하는 것일 수 있다. 이와 같이, 차량은, 휴대 전화가 송신한 서비스 응답 메시지를 수신할 때, 서로 다른 서비스 명령에 기초해서 서로 다른 보안 정책을 사용해서, 대응하는 서비스 동작을 승인할지 여부를 결정할 수 있다.
이하에서는 12개의 서로 다른 보안 정책을 예로 해서 각각의 보안 정책이 사용될 때 사용자 신원 인증 정보에 기초해서 서비스 명령에 대응하는 서비스 동작을 승인할지 여부를 결정하는 과정을 더 설명한다.
(1) 보안 정책 1
보안 정책 1은 제 1 규칙을 포함한다.
제 1 규칙은 사용자 신원 인증 결과와 관련된 규칙으로, 2개의 하위 규칙을 포함한다. 제 1 규칙에서 인증 결과는 "성공"으로 사전 설정되어 있다. 하위 규칙 a: 서비스 응답 메시지의 사용자 신원 인증 결과도 "성공"인 경우, 서비스 응답 메시지의 사용자 신원 인증 결과는 사전 설정된 인증 결과와 매칭된다. 하위 규칙 b: 서비스 응답 메시지의 신원 인증 결과가 "실패" 또는 "완수되지 않았음"인 경우, 서비스 응답 메시지의 신원 인증 결과는 사전 설정된 인증 결과와 매칭되지 않는다.
보안 정책 1이 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부가 결정될 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는 경우, 제 1 단말은 서비스 명령에 대응하는 서비스 동작을 직접 승인한다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하지 않는 경우, 제 1 단말은 서비스 명령에 대응하는 서비스 동작의 승인을 거부한다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령에 대응하는 서비스 동작은 "잠금 해제" 또는 "엔진 시동"을 포함한다. 휴대 전화는 현재 전원이 꺼진 상태이다. 차량이 휴대 전화가 송신한 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"이면, 사용자 신원 인증 결과는 하위 규칙 a에 부합하고, 서비스 동작 " 잠금 해제" 또는 "엔진 시동"이 승인된다.
(2) 보안 정책 2
보안 정책 2는 제 1 규칙 및 제 2 규칙을 포함한다. 제 1 규칙은 보안 정책 1의 제 1 규칙과 동일하므로 여기서는 다시 설명하지 않는다.
제 2 규칙은, 제 2 단말이 사전 설정된 동작 상태에 있을 때 제 1 단말이 서비스 동작을 승인하는 총 횟수에 관한 규칙이다. 제 1 단말은, 제 2 단말이 사전 설정된 동작 상태에 있을 때 서비스 동작을 승인한 이력 총 횟수를 기록한다. 제 2 규칙에는 횟수 임계값이 사전 설정되어 있으며, 총 승인 횟수는 횟수 임계값 내에 있어야 한다.
보안 정책 2가 사용될 때, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부, 총 승인 횟수가 제 2 규칙에 부합하는지 여부를 결정할 필요가 있다. 2가지 규칙이 모두 부합하는 경우, 제 1 단말은 서비스 명령에 해당하는 서비스 동작을 승인한다. 2가지 규칙 중 어느 하나라도 부합하지 않는 경우, 제 1 단말은 서비스 명령에 대응하는 서비스 동작의 승인을 거부한다.
나아가, 서비스 동작의 승인 여부에 관계없이, 제 1 단말 또는 제 2 단말은 현재 총 승인 횟수, 향후의 결과, 이용자가 취할 수 있는 조치 등을 사용자에게 통지하는 프롬프트 정보를 디스플레이할 수 있다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령에 대응하는 서비스 동작은 "엔진 시동"을 포함한다. 제 2 규칙에 설정된 횟수 임계값은 4이다. 차량이, 휴대 전화가 송신한 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"이면, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 휴대 전화가 전원 꺼짐 또는 저 배터리 모드일 때 디지털 키가 사용되었고, 차량이 인증을 4회 수행했으며, 현재 인증이 5번째이면, 제 2 규칙은 부합하지 않는다. 따라서 차량은 "엔진 시동" 서비스 동작 승인을 거부한다.
나아가, 기간은 제 2 규칙에서 더 사전 설정될 수 있으며, 기간 내의 총 승인 횟수가 임계값 이내가 될 것을 요구할 수 있다. 예를 들어, 제 2 규칙은 현재 시간부터 24시간 이내의 총 승인 횟수가 횟수 임계값 이내일 것을 요구할 수 있다.
이와 같이, 제 1 단말은, 사전 설정된 동작 상태에서 디지털 키를 사용하는 경우를 제한해서, 사전 설정된 동작 상태에서 실시간이 보호가 부족한 제 2 단말의 디지털 키를 악의적으로 사용할 위험성이 더욱 감소된다.
(3) 보안 정책 3
보안 정책 3은 제 1 규칙 및 제 3 규칙을 포함한다. 제 1 규칙은 보안 정책 1의 제 1 규칙과 동일하므로 여기서는 다시 설명하지 않는다.
제 3 규칙은 제 2 단말이 사전 설정된 동작 상태에 있을 때 제 1 단말이 서비스 동작을 승인하는 빈도에 관한 규칙이다. 승인의 빈도는 일정 기간 동안 수행된 승인의 횟수를 사용해서 결정될 수 있다. 제 1 단말은 제 2 단말이 사전 설정된 동작 상태에 있을 때 서비스 동작을 승인한 이력 횟수 및 매번의 승인에 대응하는 시간을 기록한다. 제 3 규칙에는 빈도 임계값이 사전 설정되며, 승인의 빈도(즉, 일정 기간 내에 승인한 횟수)가 빈도 임계값 내에 있어야 한다.
보안 정책 3이 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지, 및 승인 빈도가 제 3 규칙에 부합하는지 여부를 결정할 필요가 있다. 2가지 규칙이 모두 부합하는 경우 제 1 단말은 서비스 명령에 대응하는 서비스 동작을 승인한다. 2가지 규칙 중 어느 하나라도 부합하지 않는 경우, 제 1 단말은 서비스 명령에 대응하는 서비스 동작의 승인을 거부한다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령에 대응하는 서비스 동작은 "엔진 시동"을 포함한다. 제 3 규칙에서는 승인 빈도의 임계값이 월 10회로 설정된다. 차량이 휴대 전화가 송신한 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 휴대 전화가 전원 꺼짐 또는 저 배터리 모드일 때 디지털 키가 사용되었고, 차량이 한 달 내에 5번 인증을 수행했으며, 현재 인증이 6번째이면, 제 3 규칙이 부합된다. 따라서 차량은 "엔진 시동" 서비스 동작을 승인한다.
이와 같이, 제 1 단말은 사전 설정된 동작 상태에서 디지털 키를 사용하는 경우를 제한해서, 사전 설정된 동작 상태에서 실시간이 보호가 부족한 제 2 단말의 디지털 키를 악의적으로 사용할 위험성이 더욱 감소된다.
(4) 보안 정책 4
보안 정책 4는 제 1 규칙 및 제 4 규칙을 포함한다. 제 1 규칙은 보안 정책 1의 제 1 규칙과 동일하므로 여기서 다시 설명하지 않는다.
제 4 규칙은 디지털 키를 사용하는 시점과 사용자 신원 인증 결과가 생성되는 시점 사이의 간격 기간에 관한 규칙이다. 제 1 단말에 의해 획득된 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 제 2 단말의 신원 인증 결과를 생성하는 시간을 나타내는데 사용된다. 간격 임계값은 제 4 규칙에 사전 설정되며 현재 시간과 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 간격 기간 임계값 내에 있어야 한다.
보안 정책 4가 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지, 및 제 1 타임스탬프가 제 4 규칙에 부합하는지 여부를 결정할 필요가 있다. 2가지 규칙이 모두 부합하는 경우 제 1 단말은 서비스 명령에 대응하는 서비스 동작을 승인한다. 2가지 규칙 중 어느 하나라도 부합하지 않는 경우, 제 1 단말은 서비스 명령에 대응하는 서비스 동작의 승인을 거부한다.
제 4 규칙에서 현재 시간은 제 1 단말이 제 1 타임스탬프가 제 4 규칙에 부합하는지 여부를 결정하는 실시간일 수도 있고, 제 1 단말이 서비스 응답 메시지를 수신하는 시간일 수도 있으며, 제 1 단말이 사용자 신원 인증 정보를 획득한 시간일 수도 있다는 점에 주의한다. 이들 시간은 비교적 가깝고, 현재 시간으로 사용되는 시간에 관계없이, 사용자가 디지털 키를 사용하는 시간과 사용자 신원 인증 결과를 생성하는 시간 사이의 간격 기간을 나타낼 수 있다. 따라서, 현재 시간으로서 사용되는 특정 시간은 본 출원에서 한정되는 것은 아니다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령에 대응하는 서비스 동작은 "엔진 시동"을 포함한다. 간격 기간은 제 4 규칙에서 24시간으로 설정된다. 차량이 휴대 전화가 송신한 서비스 응답 메시지를 성공적으로 검증한 이후에 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 제 1 타임스탬프가 3월 5일 20:00이고, 현재 시간이 3월 6일 12:00인 경우 두 시간 사이의 간격 기간은 16시간으로 간격 임계값 24시간보다 작다. 이 경우 제 4 규칙에 부합한다. 따라서 차량은 "엔진 시동" 서비스 동작을 승인한다.
(5) 보안 정책 5
보안 정책 5는 제 1 규칙 및 제 5 규칙을 포함한다. 제 1 규칙은 보안 정책 1의 제 1 규칙과 동일하므로 여기서 다시 설명하지 않는다.
제 5 규칙은, 제 2 단말이 사전 설정된 동작 상태에 들어간 후에 사전 설정되지 않은 동작 상태로 다시 전환되는지 여부에 관한 규칙이다. 제 5 규칙의 구현예에서, 제 1 타임스탬프는 제 2 타임스탬프와 비교되어야 한다. 제 2 타임스탬프는 제 1 타임스탬프보다 빨라야 하며, 즉 즉, 제 2 단말은 제 1 타임스탬프가 나타내는 시간 이후에 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 다시 전환되지 않아야 한다. 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 제 1 타임스탬프는 제 2 단말의 신원 인증 결과가 생성된 시간을 나타내는 데 사용된다. 제 2 타임스탬프는 제 2 단말이 가장 최근에 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환된 시간을 나타내는데 사용된다. 환언하면, 제 2 타임스탬프는, 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 시간 기간 내에서, 제 2 단말이 서비스 응답 메세지를 송신하는 시간에 가장 가까운 시간을 나타내는데 사용된다.
제 5 규칙의 다른 구현예에서, 제 1 타임스탬프는 제 3 타임스탬프와 비교되어야 한다. 제 3 타임스탬프와 제 1 타임스탬프 사이의 간격은 사전 설정된 임계값보다 작아야 한다. 제 1 타임스탬프는 제 2 단말에서 신원 인증 결과가 생성된 시간을 나타내는 데 사용된다. 이 때, 제 2 단말은 사전 설정된 동작 상태로 들어가려고 한다. 제 3 타임스탬프는 제 2 단말이 가장 최근에 사전 설정되지 않은 동작 상태에서 사전 설정된 동작 상태로 전환된 시간을 나타내는데 사용된다. 다시 말해, 이 구현예에서 제 5 규칙은 제 3 타임스탬프가 제 1 타임스탬프보다 크게 늦지 않고 제 1 타임스탬프와 매우 가까울 것을 요구한다.
제 1 타임스탬프가 제 5 규칙에 부합하지 않는 경우, 이는 제 1 타임스탬프 이후에 제 2 단말이 사전 설정되지 않은 동작 상태에 들어갔다는 것을 나타낸다. 제 2 단말의 신원 인증 시스템은 현재 정상적으로 작동할 수도 있고, 혹은 제 2 단말이 더 많은 신규 신원 인증 정보를 제공할 수 있으며, 현재 제공된 신원 인증 정보는 최신 사용자 인증 상태를 나타낼 수 없다. 어떠한 경우든, 제 2 단말이 현재 서비스에서 비정상적인 거동을 했다는 것을 입증하며, 구체적으로 정상적인 상황에서는 제공되어서는 안 되는 정보를 제공한 것이다. 이는, 현재 디지털 키가 사용되는 경우에, 보안 위험이 있을 수 있다는 것을 나타낸다. 예를 들어, 제 2 단말은 현재 서비스 동작에 대한 승인을 시도하기 위해 오래된 신원 인증 정보를 재생한다. 그러나, 제 2 단말이 전원이 꺼진 시간 이후에 재시작되지 않는 경우, 신원 인증 정보의 재생을 남용할 위험이 상대적으로 낮다는 것을 의미한다. 따라서, 제 5 규칙은 전술한 제 1 규칙과 결합되어서 디지털 키를 사용하는 것의 보안 위험을 더욱 감소시킬 수 있다.
제 5 규칙이 사용될 때, 결정하는 단계가 제 1 단말에서 국부적으로 수행될 수도 있고; 또는 제 1 단말에 의해 서버로 송신되어서, 서버가 온라인 검증을 수행할 수도 있다.
구현예에서, 제 2 타임스탬프는 서버로부터 제 1 단말에 의해 획득될 수 있다. 제 1 단말은 먼저 서버에 의해 송신된 제 2 타임스탬프를 수신하고; 이후, 제 2 타임스탬프가 제 1 타임스탬프보다 늦는지 여부에 기초해서, 제 2 단말이 제 1 타임스탬프에 의해 표시된 시간 이후에 사전 설정된 동작 상태에서 비사전 동작 상태로 전환되는지 여부를 결정한다.
다른 구현예에서, 제 1 단말은 제 1 타임스탬프를 포함하는 온라인 검증 요청을 서버에 송신할 수 있다. 이후, 서버는, 서버에 저장된 제 5 규칙, 제 1 타임스탬프 및 제 2 타임스탬프에 기초해서, 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정해서, 온라인 검증 결과를 획득한다. 그 후, 서버는 온라인 검증 결과를 제 1 단말로 송신한다. 온라인 검증 결과가 성공인 경우, 제 1 단말은 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는다고 결정할 수도 있고; 혹은 온라인 검증 결과가 실패인 경우, 제 1 단말은 제 1 타임스탬프에 의해 표시된 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환된다고 결정할 수도 있다.
전술한 서버는 제 2 단말에 통신 가능하게 직접 접속된 또는 간접 접속된 서버일 수 있다. 예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 2 단말은 휴대 전화이고, 전술한 서버는 차량 제조사의 서버일 수 있으며, 휴대 전화 계정 서버와 통신 가능하게 접속되고, 휴대 전화 계정 서버는 휴대 전화에 통신 가능하게 접속된다. 이 경우, 휴대 전화는 차량 제조사의 서버에 간접 접속된다. 휴대 전화는 전원이 켜지면, 자동으로 휴대 전화 계정 서버에 접속되기 때문에, 차량 제조사의 서버는 휴대 전화 계정 서버를 사용해서 휴대 전화의 전원이 켜진 시간을 알 수 있다.
보안 정책 5가 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부 및 제 1 타임스탬프가 제 5 규칙에 부합하는지 여부가 결정될 필요가 있다. 2가지 규칙이 모두 부합하는 경우 제 1 단말은 서비스 명령에 대응하는 서비스 동작을 승인한다. 2가지 규칙 중 어느 하나라도 부합하지 않는 경우, 제 1 단말은 서비스 명령에 대응하는 서비스 동작의 승인을 거부한다. 나아가, 제 1 타임스탬프가 제 5 규칙에 부합하지 않는 경우, 제 1 단말은 대안적으로 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 사용자가 신원 인증을 다시 수행하도록 지시함으로써, 디지털 키를 사용하는 것의 보안을 향상시킬 수 있다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령에 대응하는 서비스 동작은 "엔진 시동"을 포함한다. 전술한 보안 정책 5가 사용된다.
차량이 휴대 전화에서 보낸 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 결정될 수 있다. 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 차량은 제 2 타임스탬프를 획득하고, 제 1 타임스탬프와 제 2 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정한다. 제 1 타임스탬프는 3월 5일 20:00이고 제 2 타임스탬프는 3월 5일 10:00(마지막으로 전원이 켜진 시간)이라고 가정한다. 이 경우 제 2 타임스탬프는 제 1 타임스탬프보다 빠르며, 3월 5일 20:00 이후에는 휴대 전화의 전원이 다시 켜지지 않다는 것을 나타낸다. 따라서 제 5 규칙에 부합한다. 따라서 차량은 "엔진 시동" 서비스 동작을 승인한다.
제 5 규칙은 전술한 보안 정책 1 내지 4 및 후술하는 보안 정책 6 내지 8 중 어느 하나에도 적용될 수 있다는 것을 이해해야 한다. 즉, 보안 정책 1 내지 4 및 보안 정책 6 내지 8 각각은 앞의 제 5 규칙과 결합될 수 있다. 서비스 동작이 승인된 이후에, 제 1 타임스탬프가 나타내는 시간 이후에 제 2 단말이 사전 설정된 동작 상태에서 비설정된 동작 상태로 다시 들어가는지 여부가 더 결정될 수 있다. 제 2 단말이 사전 설정되지 않은 동작 상태로 다시 들어가면, 제 5 규칙에 부합하지 않는다. 이는, 제 2 단말이 요건을 만족하는 사용자 신원 검증 결과를 제공했다고 해도, 후속해서 제 1 단말이 제 5 규칙에 따라서 사용자 신원 인증 결과가 최신이 아니라고 결정된다는 것을 나타낸다. 따라서 현재 보안 위험이 존재한다. 이 경우, 제 1 단말은 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 사용자에게 다시 신원 인증을 수행하도록 지시할 수 있다. 제 5 규칙에 관한 판단력을 높임으로써, 디지털 키의 위험을 더욱 감소시키고, 디지털 키를 사용하는 것에 대한 보안을 향상시킨다.
전술한 보안 정책 1 내지 5는 서로 더 결합될 수 있으며, 각각의 서비스 동작에 대응하도록 각각의 보안 정책이 사용된다는 점에 주의해야 한다. 이해의 편의를 위해서, 이하 추가 설명에서는 디지털 키가 차량 키로서 사용되는 응용예 시나리오를 예로 들어 설명한다. 사용 과정에서, 보안 정책 1은 차량의 도어 개방 동작에 사용되고, 보안 정책 2 내지 5 중 어느 하나는 엔진 시동 시에 사용된다. 통신 기술로서 NFC를 사용하는 경우, 사용자는 먼저 차량 핸들바의 NFC 리더기에 전화기를 가까이 댄다. 차량의 NFC 카드 리더기는 서비스 명령을 송신하고, 휴대 전화가 송신한 서비스 응답을 수신한 이후에 보안 정책 1의 조건에 기초해서 결정을 수행하며, 인증이 성공하면 도어의 도어 잠금을 해제한다. 이후, 사용자는 차량에 탑승해서 차량의 카드 판독 영역에 휴대 전화를 둔다. 차량은 또 다른 서비스 명령을 송신하고, 휴대 전화가 송신한 서비스 응답을 수신한 이후에 보안 정책 2 내지 5 중 하나에 기초해서 검증을 수행하고, 검증이 성공하면, 사용자는 엔진을 시동할 수 있게 된다.
(6) 보안 정책 6 내지 8
보안 정책 6은 제 1 규칙 및 제 2 규칙을 포함한다. 보안 정책 7은 제 1 규칙 및 제 3 규칙을 포함한다. 보안 정책 8은 제 1 규칙 및 제 4 규칙을 포함한다. 제 1 규칙은 전술한 보안 정책 1과 동일하고, 제 2 규칙은 전술한 보안 정책 2와 동일하며, 제 3 규칙은 전술한 보안 정책 3과 동일하고, 제 4 규칙은 전술한 보안 정책 4와 동일하다. 자세한 내용은 여기서 다시 설명하지 않는다.
상술한 바와 같이, 제 1 단말에 의해 제 2 단말로 송신된 서비스 명령은 복수의 명령을 포함할 수 있고, 명령은 각각 복수의 상이한 서비스 동작에 대응한다. 예를 들어, 서비스 명령은 제 1 명령 및 제 2 명령을 포함할 수 있고; 대응해서 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함한다. 사용자 경험을 개선하기 위해, 다양한 응용예 시나리오에서 각각의 동작은, 동작 각각의 위험에 기초해서 서로 다른 규칙에 대응할 수 있다. 사용자 신원 인증 정보가 보안 정책의 각각의 규칙을 만족하는 경우, 제 1 단말은 각각의 서비스 동작을 승인한다.
보안 정책 6이 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지, 총 승인 횟수가 제 2 규칙에 부합하는지 여부를 순차적으로 결정할 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는 경우, 제 1 단말은 제 1 동작을 승인하고; 혹은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하지 않는 경우, 제 1 단말은 제 1 동작의 승인을 거부한다. 제 1 동작이 승인된 후 총 승인 횟수가 제 2 규칙에 부합하면 제 1 단말은 제 2 동작을 승인하고; 혹은 총 승인 횟수가 제 2 규칙에 부합하지 않는 경우 제 1 단말은 제 2 동작의 승인을 거부한다.
보안 정책 7을 사용하는 경우와 유사하게, 보안 정책 7이 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부 및 승인 빈도가 제 3 규칙에 부합하는지 여부를 순차적으로 결정할 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는 경우, 제 1 단말은 제 1 동작을 승인하고; 또는 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하지 않는 경우, 제 1 단말은 제 1 동작의 승인을 거부한다. 제 1 동작이 승인된 이후에, 승인 빈도가 제 3 규칙에 부합하면, 제 1 단말은 제 2 동작을 승인하고; 또는 승인 빈도가 제 3 규칙에 부합하지 않는 경우 제 1 단말은 제 2 동작의 승인을 거부한다.
보안 정책 6 또는 7을 사용하는 경우와 유사하게, 보안 정책 7이 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부 및 제 1 타임스탬프가 제 4 규칙에 부합하는지 여부를 순차적으로 결정할 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는 경우, 제 1 단말은 제 1 동작을 승인하고; 또는 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하지 않는 경우, 제 1 단말은 제 1 동작의 승인을 거부한다. 제 1 동작이 승인된 이후에, 제 1 타임스탬프가 제 4 규칙에 부합하면 제 1 단말은 제 2 동작을 승인하고; 또는 제 1 타임스탬프가 제 4 규칙에 부합하지 않는 경우, 제 1 단말은 제 2 동작을 승인하는 것을 거부한다.
전술한 보안 정책 6 내지 8에서, 제 1 단말이 제 1 동작의 승인을 거부하는 경우, 제 1 단말은 후속하는 결정 없이 제 2 동작의 승인을 직접 거부할 수 있다는 점에 주의해야 한다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고, 제 1 명령과 제 2 명령은 휴대 전화로 함께 송신된다. 제 1 명령에 대응하는 서비스 동작은 제 1 동작 "잠금 해제"이고, 제 2 명령에 대응하는 서비스 동작은 제 2 동작 "엔진 시동"이다. 전술한 보안 정책 8이 사용된다. 간격 기간은 제 4 규칙에서 24시간으로 설정된다.
제 1 명령 및 제 2 명령을 수신한 이후에, 이동 전화는 서비스 응답 메시지를 차량에 송신하고, 여기서 서비스 응답 메시지는 사용자 신원 인증 결과 및 제 1 타임스탬프를 포함한다. 차량이 휴대 전화에 의해 송신된 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부가 먼저 결정될 수 있다. 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 따라서, 차량은 서비스 동작 "잠금 해제"를 승인한다. 이 경우 차량 잠금이 해제되어 사용자는 차량에 탑승할 수 있다. 이후, 제 1 타임스탬프가 제 4 규칙에 부합하는지 여부가 결정된다. 제 1 타임스탬프가 3월 5일 20:00이고 현재 시간이 3월 6일 12:00인 경우, 두 시간 사이의 간격 기간은 16시간으로 간격 임계값 24시간보다 작다. 이 경우 제 4 규칙에 부합한다. 따라서 차량은 서비스 동작 "엔진 시동"을 승인한다. 이 경우, 차량 엔진이 시동되고 사용자는 차량을 운전할 수 있다.
제 1 명령 및 제 2 명령은 대안적으로 이동 전화로 개별적으로 송신될 수 있다는 점에 주의한다. 예를 들어 통신 기술로서 블루투스가 사용되는 경우, 차량의 인증 모듈은 각각의 단계에서 휴대폰에 서로 다른 서비스 명령을 송신한다. 이 경우, 먼저 사용자가 차량에 접근하면, 사용자는 휴대 전화를 이용해서 도어와 연관된 통신 모듈과 인터렉트한다. 차량은 잠금 해제에 대한 서비스 명령, 즉 제 1 명령을 휴대 전화에 송신한다. 제 1 명령을 수신한 이후에, 이동 전화는 서비스 응답 메시지를 차량에 송신하며, 여기서 서비스 응답 메시지는 사용자 신원 인증 결과를 포함한다. 차량이 휴대 전화가 송신한 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부를 결정할 수 있다. 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 따라서 차량은 서비스 동작 "잠금 해제"를 승인한다. 이 경우 차량 잠금이 해제되어 사용자가 차량에 탑승할 수 있게 된다. (UWB 측위와 같은) 측위 기술을 이용해서 사용자가 차량에 탑승한 것을 검출한 이후에, 차량은 엔진 시동에 관한 서비스 명령, 즉 제 2 명령을 휴대 전화로 송신한다. 제 2 명령을 수신한 이후에, 휴대 전화는 차량에 또 다른 서비스 응답 메시지를 송신하고, 여기서 서비스 응답 메시지는 사용자 신원 인증 결과 및 제 1 타임스탬프를 포함한다. 차량이 휴대 전화가 송신한 서비스 응답 메시지를 성공적으로 검증하고 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합한다고 결정된 이후에, 제 1 타임스탬프가 제 4 규칙에 부합하는지 여부가 추가로 결정된다. 제 1 타임스탬프가 제 4 규칙에 부합한다고 가정하면, 차량은 서비스 동작 "엔진 시동"을 승인한다. 이 경우, 차량 엔진이 시동되고 사용자는 차량을 운전할 수 있다.
복수의 명령이 개별적으로 이동 전화로 송신되는 경우, 이동 전화는 복수의 서비스 응답 메시지를 송신할 수 있고, 복수의 서비스 응답 메시지 각각은 동일한 사용자 신원 인증 정보를 포함할 수 있다는 것을 알 수 있다. 나아가, 제 1 규칙에 부합하는지 여부를 결정하는 과정은 1회 이상 반복될 수 있다.
(7) 보안 정책 9
보안 정책 9는 제 1 규칙 및 제 5 규칙을 포함한다. 제 1 규칙은 전술한 보안 정책 1과 동일하고, 제 5 규칙은 전술한 보안 정책 5와 동일하다. 자세한 내용은 여기서 다시 설명하지 않는다.
전술한 바와 같이, 서비스 명령은 제 1 명령 및 제 2 명령을 포함할 수 있고; 대응해서 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함한다. 사용자 신원 인증 정보가 보안 정책의 다른 규칙을 만족하는 경우, 제 1 단말은 다른 서비스 동작을 승인한다.
보안 정책 9가 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부 및 제 1 타임스탬프가 제 5 규칙에 부합하는지 여부를 순차적으로 결정할 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는 경우에는, 제 1 단말은 제 1 동작을 승인하고; 혹은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하지 않는 경우에는, 제 1 단말은 제 1 동작의 승인을 거부한다. 제 1 동작이 승인된 이후에 제 1 타임스탬프가 제 5 규칙에 부합하는 경우에는 제 1 단말이 제 2 동작을 승인하고; 또는 제 1 타임스탬프가 제 4 규칙에 부합하지 않는 경우에는 제 1 단말은 제 2 동작을 승인하는 것을 거부한다. 나아가, 제 1 타임스탬프가 제 5 규칙에 부합하지 않는 경우, 제 1 단말은 대안적으로 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 사용자가 신원 인증을 다시 수행하도록 지시함으로써 디지털 키를 사용하는 것의 보안을 향상시킬 수 있다.
제 1 단말이 제 1 동작의 승인을 거부하는 경우, 제 1 단말은 제 1 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정하는 일 없이 제 2 동작의 승인을 직접 거부할 수 있다는 점에 주의한다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령은 제 1 명령 및 제 2 명령을 포함한다. 제 1 명령에 대응하는 서비스 동작은 제 1 동작 "잠금 해제"이고, 제 2 명령에 대응하는 서비스 동작은 제 2 동작 "엔진 시동"이다. 전술한 보안 정책 9가 사용된다.
차량이 이동 전화에 의해 송신된 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부를 먼저 결정할 수 있다. 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 따라서 차량은 서비스 동작 "잠금 해제"를 승인한다. 이 경우 차량 잠금이 해제되어 사용자는 차량에 탑승할 수 있다. 이후 차량은 제 2 타임스탬프를 획득하고, 제 1 타임스탬프와 제 2 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정한다. 제 1 타임스탬프는 3월 5일 20:00이고, 제 2 타임스탬프는 3월 5일 10:00이라고 가정한다. 이 경우 제 2 타임스탬프는 제 1 타임스탬프보다 빠르며, 휴대 전화는 3월 5일 20:00 이후에 다시 전원이 켜지는 일은 없었다는 것을 나타낸다. 따라서 제 5 규칙에 부합한다. 따라서 차량은 서비스 동작 "엔진 시동"을 승인한다. 이 경우, 차량 엔진이 시동되고 사용자는 차량을 운전할 수 있다.
(8) 보안 정책 10
보안 정책 10은 제 1 규칙, 제 4 규칙 및 제 5 규칙을 포함한다. 제 1 규칙은 전술한 보안 정책 1과 동일하고, 제 4 규칙은 전술한 보안 정책 4와 동일하며, 제 5 규칙은 전술한 보안 정책 5와 동일하다. 자세한 내용은 여기서 다시 설명하지 않는다.
전술한 바와 같이, 서비스 명령은 제 1 명령 및 제 2 명령을 포함할 수 있고; 대응해서 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함한다. 사용자 신원 인증 정보가 보안 정책의 다른 규칙을 만족하는 경우, 제 1 단말은 다른 서비스 동작을 승인한다.
보안 정책 10이 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부 및 제 1 타임스탬프가 제 4 규칙 및 제 5 규칙에 부합하는지 여부를 결정할 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는 경우에는, 제 1 단말은 제 1 동작을 승인하고; 또는 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하지 않는 경우에는, 제 1 단말은 제 1 동작의 승인을 거부한다. 제 1 단말이 제 1 동작을 승인한 이후에, 제 1 타임스탬프가 제 4 규칙에 부합하는 경우에는 제 1 단말은 제 2 동작을 승인하고; 또는 제 1 타임스탬프가 제 4 규칙에 부합하지 않는 경우에는 제 1 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정한다. 나아가, 제 1 타임스탬프가 제 5 규칙에 부합하는 경우에는 제 1 단말은 제 2 동작을 승인하고; 또는 제 1 타임스탬프가 제 5 규칙에 부합하지 않는 경우, 제 1 단말은 제 2 동작의 승인을 거부한다.
보안 정책 5에서와 유사하게, 제 1 타임스탬프가 제 5 규칙에 부합하지 않는 경우, 제 1 단말은 대안적으로 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 사용자에게 다시 신원 인증을 수행하도록 지시해서, 디지털 키를 사용하는 것의 보안성을 높이다. 제 1 단말이 제 1 동작의 승인을 거부하는 경우, 제 1 단말은 제 1 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정하지 않고 제 2 동작의 승인을 직접 거부할 수 있다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령은 제 1 명령 및 제 2 명령을 포함한다. 제 1 명령에 대응하는 서비스 동작은 제 1 동작 "잠금 해제"이고, 제 2 명령에 대응하는 서비스 동작은 제 2 동작 "엔진 시동"이다. 전술한 보안 정책 10이 사용된다.
차량이 이동 전화에 의해 송신된 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부를 먼저 결정할 수 있다. 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 따라서 차량은 서비스 동작 "잠금 해제"를 승인한다. 이 경우 차량 잠금이 해제되어 사용자는 차량에 탑승할 수 있다. 이후 제 1 타임스탬프가 제 4 규칙에 부합하는지 여부가 결정된다. 제 1 타임스탬프는 3월 5일 20:00이고 현재 시간이 3월 7일 12:00인 경우, 두 시간 사이의 간격 기간은 40시간이며, 이는 기간 임계값 24시간보다 크다. 이 경우 제 4 규칙에 부합하지 않는다. 이 경우, 차량은 제 2 타임스탬프를 획득하고, 제 1 타임스탬프 및 제 2 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정한다. 제 2 타임스탬프는 3월 5일 10:00이라고 가정한다. 이 경우 제 2 타임스탬프는 제 1 타임스탬프보다 빠르며 3월 5일 20:00 이후에는 휴대 전화의 전원이 다시 켜지지 않았다는 것을 나타낸다. 따라서, 제 5 규칙에 부합한다. 이 경우, 차량은 서비스 동작 "엔진 시동"을 승인한다. 이 경우 차량 엔진은 시동되고 사용자는 차량을 운전할 수 있다.
(9) 보안 정책 11
보안 정책 11은 또한 제 1 규칙, 제 4 규칙 및 제 5 규칙을 포함한다. 제 1 규칙은 전술한 보안 정책 1과 동일하고, 제 4 규칙은 전술한 보안 정책 4와 동일하며, 제 5 규칙은 전술한 보안 정책 8과 동일하다. 자세한 내용은 여기서 다시 설명하지 않는다.
전술한 바와 같이, 서비스 명령은 제 1 명령 및 제 2 명령을 포함할 수 있고; 대응하여, 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함한다. 사용자 신원 인증 정보가 보안 정책의 다른 규칙을 만족하는 경우, 제 1 단말은 다른 서비스 동작을 승인한다.
보안 정책 11이 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부 및 제 1 타임스탬프가 제 4 규칙 및 제 5 규칙에 부합하는지 여부가 결정될 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하고 제 1 타임스탬프가 제 4 규칙에 부합하는 경우에는, 제 1 단말은 제 1 동작을 승인하고; 또는 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하지 않거나 제 1 타임스탬프가 제 4 규칙에 부합하지 않는 경우에는, 제 1 단말은 제 1 동작의 승인을 거부한다. 제 1 단말이 제 1 동작을 승인한 이후에, 제 1 타임스탬프가 제 5 규칙에 부합하는 경우에는 제 1 단말은 제 2 동작을 승인하고; 또는 제 1 타임스탬프가 제 4 규칙에 부합하지 않는 경우에는 제 1 단말은 제 2 동작의 승인을 거부한다.
보안 정책 5에서와 유사하게, 제 1 타임스탬프가 제 5 규칙에 부합하지 않는 경우, 제 1 단말은 대안적으로 디지털 키를 동결하거나, 제 2 단말에게 디지털 키를 동결하도록 지시하거나, 사용자에게 다시 신원 인증을 수행하도록 지시해서, 디지털 키를 사용하는 것의 보안성을 높이다. 제 1 단말이 제 1 동작의 승인을 거부하는 경우, 제 1 단말은 제 1 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정하지 않고 제 2 동작의 승인을 직접 거부할 수 있다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 서비스 명령은 제 1 명령 및 제 2 명령을 포함한다. 제 1 명령에 대응하는 서비스 동작은 제 1 동작 "잠금 해제"이고, 제 2 명령에 대응하는 서비스 동작은 제 2 동작 "엔진 시동"이다. 전술한 보안 정책 11이 사용된다.
차량이 이동 전화에 의해 송신된 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 a에 부합하는지 여부가 먼저 결정된다. 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "성공"인 경우, 사용자 신원 인증 결과는 하위 규칙 a에 부합한다. 제 1 타임스탬프가 3월 5일 20:00이고, 현재 시간이 3월 6일 12:00인 경우 두 시간 사이의 간격 기간은 16시간으로 간격 임계값 24시간보다 작다. 이 경우 제 4 규칙에 부합한다. 따라서 차량은 서비스 동작 "잠금 해제"를 승인한다. 이 경우 차량 잠금이 해제되어 사용자는 차량에 탑승할 수 있다. 이후, 차량은 제 2 타임스탬프를 획득하고, 제 1 타임스탬프 및 제 2 타임스탬프가 제 5 규칙에 부합하는지 여부를 결정한다. 제 2 타임스탬프는 3월 5일 10:00이라고 가정한다. 이 경우 제 2 타임스탬프는 제 1 타임스탬프보다 빠르며 3월 5일 20:00 이후에는 휴대 전화의 전원이 다시 켜지지 않았다는 것을 나타낸다. 따라서, 제 5 규칙에 부합한다. 따라서, 차량은 서비스 동작 "엔진 시동"을 승인한다. 이 경우 차량 엔진은 시동되고 사용자는 차량을 운전할 수 있다.
(10) 보안 정책 12
일부 응용예 시나리오에서, 사용자 신원 인증 결과가 제 1 규칙 a에 부합하지 않더라도 일부 서비스 동작은 승인되고 일부 다른 서비스 동작은 승인이 거부될 수도 있다. 이후, 디지털 키의 서비스 명령의 다른 부분은 다시 시작된다. 디지털 키의 서비스 응답 메시지의 신규 부분이 수신된 이후에, 다른 서비스 동작을 승인할지 여부가 결정된다.
이에 기초해서, 본 출원은 보안 정책 12을 더 제공한다. 보안 정책 12는 제 1 규칙, 제 2 규칙, 제 3 규칙, 제 4 규칙 및 제 5 규칙 중 임의의 하나 이상을 포함한다. 제 1 규칙은 전술한 보안 정책 1과 동일하고, 제 2 규칙은 전술한 보안 정책 2와 동일하며, 제 3 규칙은 전술한 보안 정책 3과 동일하고, 제 4 규칙은 전술한 보안 정책 4와 동일하고, 제 5 규칙은 전술한 보안 정책 5와 동일하다. 자세한 내용은 여기서 다시 설명하지 않는다.
전술한 바와 같이, 서비스 명령은 제 1 명령 및 제 2 명령을 포함할 수 있고; 대응해서 서비스 동작은 제 1 명령에 대응하는 제 1 동작 및 제 2 명령에 대응하는 제 2 동작을 포함한다. 사용자 신원 인증 정보가 보안 정책의 다른 규칙을 만족하는 경우, 제 1 단말은 다른 서비스 동작을 승인한다.
보안 정책 12가 사용되는 경우, 제 1 단말은 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 b에 부합하는지 여부를 결정할 필요가 있다. 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 b에 부합하는 경우, 제 1 단말은 제 1 명령에 대응하는 제 1 동작을 승인하고, 제 1 단말은 제 2 명령에 대응하는 제 2 동작의 승인을 직접 거부할 수 있으며, 다른 규칙에 부합하는지 여부는 결정할 필요가 없다.
이 후, 디지털 키의 신원을 인증하는 방법은 다음 단계를 더 포함할 수 있다: 제 1 단말은 제 2 단말에 신규 서비스 명령을 송신하고, 신규 서비스 명령은 제 2 명령을 포함한다.
신규 서비스 명령을 제 2 단말에 송신할 때, 제 1 단말은 신규 서비스 명령을 주기적으로 1회 이상 보낼 수 있다는 점에 주의한다. 이것은 본 출원에서 한정되는 것은 아니다.
예를 들어, 디지털 키가 차량 키로서 사용되는 응용예 시나리오에서, 제 1 단말은 차량이고, 제 2 단말은 휴대 전화이며, 휴대 전화는 현재 전원이 꺼진 상태이다. 서비스 명령은 제 1 명령 및 제 2 명령을 포함한다. 제 1 명령에 대응하는 서비스 동작은 제 1 동작 "잠금 해제"이고, 제 2 명령에 대응하는 서비스 동작은 제 2 동작 "엔진 시동"이다. 전술한 보안 정책 12가 사용된다.
차량이 이동 전화에 의해 송신된 서비스 응답 메시지를 성공적으로 검증한 이후에, 사용자 신원 인증 결과가 제 1 규칙의 하위 규칙 b에 부합하는지 여부가 먼저 결정될 수 있다. 사용자 신원 인증 정보의 사용자 신원 인증 결과가 "완수되지 않음"인 경우에, 사용자 신원 인증 결과는 하위 규칙 b에 부합한다. 따라서, 차량은 서비스 동작 "잠금 해제"은 승인하고 서비스 동작 승인 "엔진 시동"은 거부한다. 사실, 여기서 서비스 동작 "잠금 해제"을 승인할지 여부는 사용자 신원 인증 결과에 의존하지 않는다. 사용자 신원 인증 결과가 '성공'인지, '실패'인지, '완수되지 않음'인지 여부에 관계없이, 서비스 동작 '잠금 해제'는 인가될 수 있다. 그러나, 사용자 신원 인증 결과가 '실패' 또는 '완수되지 않음'인 경우 서비스 동작 '엔진 시동'의 승인을 직접 거부할 수 있으며, 서비스 동작 '엔진 시동'에 대응하는 보안 정책은 고려될 필요가 없다. 이후 차량은 신규 서비스 명령을 휴대 전화로 송신하며, 여기서 신규 서비스 명령은 더 이상 "잠금 해제"와 관련된 명령, 즉 제 1 명령을 포함하지 않고 "엔진 시동"과 관련된 명령 즉 제 2 명령만 포함한다. 차량 잠금이 해제되어 있기 때문에 사용자는 차량에 탑승해서 휴대 전화를 충전할 수 있다. 사용자는 휴대 전화의 전원을 다시 켜고 정상 배터리 모드로 들어간 후에, 전원이 켜진 상태에서 사용자 신원 인증을 완수할 수 있다. 차량은 신규 서비스 명령을 휴대 전화에 한 번 송신한다. 제 2 동작을 승인하기 위한 사전 설정된 보안 정책을 만족하는 서비스 응답 메시지가 획득되고, 차량이 서비스 동작 "엔진 시동"을 승인한 이후에, 차량 엔진이 시동되고, 사용자는 차량을 운전할 수 있다.
전술한 보안 정책 1 내지 12는 본 출원에서 디지털 키의 신원을 인증하는 방법에 적용할 수 있는 몇 가지 예일 뿐이라는 것을 이해해야 한다. 당업자라면 상이한 응용예 시나리오에 기초해서 전술한 5가지 규칙을 더 결합할 수도 있고 혹은, 5가지 규칙을 다른 규칙과 결합해서 또 다른 다른 보안 정책을 형성할 수도 있다. 여러 보안 정책은 서로 충돌하지 않는 한 결합될 수도 있다.
전술한 보안 정책에서는 이해를 용이하게 하기 위해서, 서비스 명령이 제 1 명령 및 제 2 명령만을 포함하는 경우를 사용해서 서비스 명령이 복수의 명령을 포함하는 경우를 설명했다는 것을 이해해야 한다. 실제 응용예에서 서비스 명령은 더 많은 명령을 더 포함할 수도 있다. 서비스 명령 중 하나에 대응하는 서비스 동작을 승인할지 여부는 하나 이상의 규칙에 의해 결정될 수 있다.
본 출원에서, 사전 설정되지 않은 동작 상태에 있는 제 2 단말이 제 1 단말에 의해 송신된 서비스 명령을 수신할 때, 제 2 단말은 서비스 명령에 응답해서 서비스 응답 메시지를 생성할 수 있다는 것을 또한 이해해야 한다. 이 경우, 서비스 응답 메시지는 또한 사용자 신원 인증 결과 및 제 1 타임스탬프와 같은 전술한 컨텐츠를 포함할 수 있다. 이 경우, 사용자 신원 인증 결과는 제 2 단말이 사용자에 대한 신원 인증을 실시간으로 수행함으로써 생성될 수도 있고 혹은, 보안 요소에 사전에 저장되어 있을 수도 있다. 제 1 단말은 서비스 응답 메시지를 수신한 이후에 제 1 키를 이용해서 서비스 응답 메시지를 검증하고, 보안 정책 1 및 보안 정책 4와 같은 전술한 가능한 보안 정책을 이용해서 위험을 더 결정함으로써, 디지털 키를 사용하는 것의 보안을 향상시킬 수 있다.
옵션으로, 전술한 신원 인증 방법에서, 제 2 단말은 다음 단계를 더 수행할 수 있다:
S107 : 제 2 단말이 사전 설정된 동작 상태에서 설정되지 않은 동작 상태로 전환된 이후에, 제 2 단말은 사용자 신원 인증 정보에 대해 무효화 처리를 수행한다.
다른 방안으로, 제 2 단말은 다음 단계를 더 수행할 수 있다:
S108 : 사용자 신원 인증 정보가 보안 요소에 저장되기 전에, 제 2 단말은 보안 요소에 원래 저장된 사용자 신원 인증 정보에 대해 무효화 처리를 수행한다.
제 2 단말은, 제 2 단말이 사전 설정되지 않은 동작 상태에서 사전 설정된 동작 상태로 들어갈 때마다 1회씩 신원 인증을 수행해야 한다. 따라서 사용자가 디지털 키를 사용할 때마다, 신원 인증 결과와 상관없이 보안 요소에 하나의 사용자 신원 인증 정보가 저장된다. 원래의 사용자 신원 인증 정보가, 이후에 보안 요소에 기록되는 최신의 사용자 신원 인증 정보를 간섭하는 것을 방지하기 위해서, 제 2 단말이 다음 번에 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환될 때, 제 2 단말은 보안 요소에 저장된 사용자 신원 인증 정보에 대해 무효화 처리를 수행한다. 다른 방안으로, 제 2 단말이 사전 설정되지 않은 동작 상태에서 사전 설정된 동작 상태로 전환되는 다음 과정에서, 제 2 단말이 최신 사용자 신원 인증 정보를 보안 요소에 저장하기 전에, 제 2 단말은 보안 요소에 저장된 원래의 사용자 신원 인증 정보에 대해 무효화 처리를 수행한다.
무효화 처리를 수행하는 구현예에서, 보안 요소의 디지털 키 애플릿 또는 브로커 애플릿에 저장된 사용자 신원 인증 정보가 삭제될 수 있다. 무효화 처리를 수행하는 다른 구현예에서, 보안 요소에 이전에 저장된 사용자 신원 인증 정보는 무효로 마크될 수 있다. 무효화 처리를 수행함으로써, 보안 요소가 제 2 단말이 비사전 동작 상태에서 사전 설정된 동작 상태로 전환된 이후에, 매번 하나의 최신 유효한 사용자 신원 인증 정보를 저장하도록 보장될 수 있다.
나아가, 서버는 원래의 사용자 신원 인증 정보에 대해 무효화 처리를 수행할 수도 있다. 서버는 제 1 단말에 통지 정보, 예를 들어 '휴대 전화가 다시 온라인 상태가 되었다' 또는 '사용자 신원 인증 정보가 무효가 되었다'를 추가로 송신해서, 원래의 사용자 신원 인증 정보가 무효화되었다는 것을 사용자에게 통지할 수 있다.
본 출원의 제 2 실시예에서, 단말 장치가 제공된다. 단말 장치는 복수의 상이한 시나리오에 적용될 수 있으며, 예를 들어, 차량, POS 단말, 교통 카드 판독기 및 출입 통제 시스템에 적용될 수 있다. 도 8은 단말 장치의 구현예의 구조의 개략도이다. 단말 장치(300)는 제 1 송수신기(320) 및 하나 이상의 프로세서(310)를 포함한다.
제 1 송수신기(320)는 서비스 명령을 제 2 단말에 송신하고, 제 2 단말에 의해 송신된 서비스 응답 메시지를 수신하도록 구성된다. 실제 응용예에서, 제 1 송수신기(320)는 NFC 통신 모듈일 수 있고; 또는 블루투스 모듈, UWB 모듈 등일 수도 있다.
프로세서(310)는, 제 1 키를 사용해서 서비스 응답 메시지에 대해 수행된 검증이 성공한 이후에 사용자 신원 인증 정보를 획득하고, 사용자 신원 인증 정보를 검증하도록 구성되며, 여기서 제 1 키는 제 2 단말과 제 1 단말(300)이 사전에 합의한 키이고, 사용자 신원 인증 정보는 제 2 단말의 보안 요소에 저장되며, 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 사용자 신원 인증 결과는 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 제 2 단말의 신원 인증 시스템에 의해 생성되며, 사전 설정된 동작 상태는 제 2 단말의 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태이다.
실제 응용예에서, 프로세서(310)는 다양한 인터페이스와 라인을 이용해서 전체 단말 장치(300)의 모든 부분을 접속할 수 있다. 프로세서(310)는 중앙 처리 장치(central processing unit, CPU), 네트워크 프로세서(network processor, NP), 또는 CPU와 NP의 조합일 수 있다. 프로세서는 하드웨어 칩을 더 포함할 수 있다. 하드웨어 칩은 ASIC(application-specific integrated circuit), PLD(programmable logic device) 또는 이들의 조합일 수 있다. PLD는 복합 프로그램 가능 논리 장치(complex programmable logic device, CPLD), 필드 프로그램 가능 게이트 어레이(field-programmable gate array, FPGA), 일반 어레이 로직(generic array logic, 줄여서 GAL) 또는 이들의 조합일 수 있다.
실제 응용예에서, 단말 장치(300)는 메모리를 더 포함할 수 있다. 메모리는 하나 이상의 컴퓨터 프로그램을 저장하고, 하나 이상의 컴퓨터 프로그램은 명령을 포함한다. 명령이 하나 이상의 프로세서(310)에 의해 실행될 때, 단말 장치(300)는 제 1 실시예에서 제 1 단말에 의해 수행되는 임의의 방법의 일부 또는 모든 단계를 구현할 수 있다. 메모리는 휘발성 메모리(volatile memory), 예를 들어 랜덤 액세스 메모리(random access memory, RAM)를 포함할 수도 있고; 비휘발성 메모리(non-volatile memory), 예를 들어 플래시 메모리(flash memory), 하드 디스크 드라이브(hard disk drive, HDD), 또는 솔리드 스테이트 드라이브(solid-state drive, SSD)를 포함할 수도 있다. 메모리는 전술한 타입의 메모리의 조합을 더 포함할 수 있다.
일 실시예는 다른 단말 장치를 더 제공한다. 단말 장치는 서로 다른 복수의 시나리오에 적용될 수 있으며, 예를 들어, 휴대 전화, 태블릿 컴퓨터, 지능형 웨어러블 장치에 적용될 수 있다. 도 9는 단말 장치의 구현 구조의 개략도이다. 단말 장치(400)는 보안 요소(410), 제 2 송수신기(420), 및 신원 인증 시스템(440)을 포함한다.
제 2 송수신기(420)는 제 1 단말로부터 서비스 명령을 수신하고; 사전 설정된 동작 상태에서, 서비스 명령에 응답해서 제 1 키를 사용하여 처리된 서비스 응답 메시지를 제 1 단말에 송신하도록 구성된다. 서비스 응답 메시지는 사용자 신원 인증 정보를 포함하고, 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하며, 제 1 키는 단말 장치(400)와 제 1 단말이 사전에 합의한 키이다. 실제 응용예에서, 제 2 송수신기(420)는 NFC 통신 모듈일 수도 있고; 또는 블루투스 모듈, UWB 모듈 등일 수도 있다. 제 2 송수신기(420)는 독립적으로 전원이 켜질 수 있다. 단말 장치의 메인 칩이 정상 배터리 모드인지, 전원 꺼짐 또는 저 배터리 모드인지에 관계없이 제 2 송수신기(420)는 독립적으로 전원이 켜진 상태로 동작될 수 있다.
보안 요소(410)는 사용자 신원 인증 정보 및 제 1 키를 저장하도록 구성된다. 실제 응용예에서, 보안 요소는 임베디드 보안 요소(embedded SE, eSE), 휴대 전화의 메인 칩(System on Chip, SoC)에 집적된 inSE 보안 모듈, 및 범용 집적 회로 카드 보안 요소(Universal Integrated Circuit Card Secure Element, UICC SE) 등일 수 있다. 보안 요소(410)는 디지털 키 애플릿(411)을 저장하고, 전술한 제 1 키는 디지털 키 애플릿(411)에 저장된다.
사용자 신원 인증 시스템(440)은 단말 장치(400)가 사전 설정된 동작 상태에 들어가기 전에 사용자 신원 인증 결과를 생성하도록 구성되며, 사전 설정된 동작 상태는 단말 장치의 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태이다. 단말 장치(400)가 정상 배터리 모드에 있는 경우, 사용자 신원 인증 시스템(440)은 또한 사용자의 비밀번호, 생체 특징 등을 수집해서 사용자에 대한 신원 인증을 수행할 수도 있다는 점에 주의한다.
옵션으로, 단말 장치(400)는 디지털 키 서비스(430)를 더 포함할 수 있다. 디지털 키 서비스(430)는 신원 인증 시스템(440) 및 보안 요소(410)에 별도로 접속될 수 있다. 제 1 실시예에서 설명된 바와 같이, 디지털 키 서비스는 단말 장치(400)에 디지털 키 관리 기능을 제공한다. 디지털 키 서비스(430)가 제공하는 관리 인터페이스를 통해서, 사용자는 디지털 키 애플릿(411)에 저장된 하나 이상의 디지털 키를 보고, 이러한 디지털 키에 대한 의무적인 신원 인증 구성을 수행할 수 있다. 디지털 키 서비스(430)는, 사용자가 의무적인 신원 인증을 가진 적어도 하나의 디지털 키(예를 들어, 제 1 키)로 구성된 경우에, 단말 장치(400)의 상태 전환 과정에 신원 인증 동작을 추가할 수 있다. 디지털 키 서비스(430)는 단말 장치(400)에서 신원 인증 과정을 트리거하고, 신원 인증 시스템(440)을 이용해서 사용자 신원 인증 결과를 생성할 수 있다. 옵션으로, 디지털 키 서비스(430)는 현재 수행되고 있는 신원 인증의 목적을 사용자에게 통지하기 위한 사용자 인터페이스를 더 생성할 수 있다. 옵션으로, 디지털 키 서비스(430)는 사용자 신원 인증 결과 및 제 1 타임스탬프를 획득하고, 이후에 사용자 신원 인증 결과 및 제 1 타임스탬프를 사용자 신원 인증 정보로서 보안 요소(410)에 함께 저장할 수 있다.
나아가, 실시예는 컴퓨터 판독 가능 저장 매체를 더 제공한다. 저장 매체는 명령어를 포함한다. 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 제 1 실시예의 제 1 단말에 의해 수행되는 임의의 방법을 수행할 수 있다.
실시예는 명령어를 포함하는, 다른 컴퓨터 판독 가능 저장 매체를 더 제공한다. 명령어가 컴퓨터 상에서 실행될 때, 컴퓨터는 제 1 실시예의 제 2 단말에 의해 수행되는 임의의 방법을 수행할 수 있다.
본 명세서에서 판독 가능한 저장 매체는 자기 디스크, 광 디스크, DVD, USB, ROM(read-only memory), RAM(random access memory) 등일 수 있다. 본 출원에서 특정 저장 매체 형태는 한정되는 것은 아니다.
나아가, 본 출원의 실시예는 명령어를 포함하는 컴퓨터 프로그램 제품을 더 제공한다. 컴퓨터 프로그램 제품이 컴퓨터에서 실행되면, 컴퓨터는 제 1 실시예의 제 1 단말에 의해 수행되는 임의의 방법의 단계를 수행하거나, 제 1 실시예의 제 2 단말에 의해 수행되는 임의의 방법의 단계를 수행할 수 있다. 전술한 실시예 중 일부 또는 전부는 소프트웨어, 하드웨어, 펌웨어 또는 이들의 임의의 조합에 의해 구현될 수 있다. 컴퓨터는 범용 컴퓨터, 전용 컴퓨터, 컴퓨터 네트워크 또는 다른 프로그램 가능한 장치일 수 있다. 컴퓨터 명령어는 컴퓨터 판독 가능 저장 매체에 저장될 수도 있고, 컴퓨터 판독 가능 저장 매체를 사용해서 전송될 수도 있다. 예를 들어, 컴퓨터 명령어는 하나의 웹사이트 사이트, 컴퓨터, 서버 또는 데이터 센터로부터 다른 웹사이트 사이트, 컴퓨터, 서버 또는 데이터 센터로 유선(예를 들어, 동축 케이블, 광섬유 또는 디지털 가입자 회선(digital subscriber line, DSL))으로 또는 무선(예를 들어, 적외선, 라디오 또는 마이크로웨이브)으로 전송될 수 있다. 컴퓨터 판독 가능 저장 매체는 컴퓨터에 의해 액세스 가능한 임의의 사용 가능한 매체 또는 하나 이상의 사용 가능한 매체를 통합하는 서버 또는 데이터 센터와 같은 데이터 저장 장치일 수 있다. 사용 가능한 매체는 자기 매체(예를 들어, 플로피 디스크, 하드 디스크 또는 자기 테이프), 광학 매체(예를 들어, DVD), 반도체 매체(예를 들어, 솔리드 스테이트 드라이브(solid state disk, SSD)) 등일 수 있다.
본 실시예의 단말 장치 및 컴퓨터 판독 가능 저장 매체는 제 1 실시예의 디지털 키의 신원을 인증하기 위한 임의의 방법의 일부 또는 모든 단계를 수행하는 데 사용되며, 이에 따라 전술한 방법의 유익한 효과를 갖는다. 자세한 내용은 여기서 다시 설명하지 않는다.
본 출원의 다양한 실시예에서, 각 단계의 실행 순서는 단계의 기능 및 내부 로직에 기초해서 결정되어야 한다는 것을 이해해야 한다. 각 단계의 순번은 실행 순서를 의미하는 것이 아니며, 실시예의 구현 과정에 대한 한정이 아니다.
별도로 언급되지 않는 한, 본 명세서에서 "복수"는 둘 이상을 의미한다. 본 출원의 실시예에서 "제 1" 및 "제 2"와 같은 단어는 동일한 항목 또는 기본적으로 동일한 기능 및 효과를 갖는 유사한 항목을 구별하기 위해 사용된다. 당업자라면, "제 1" 및 "제 2"와 같은 단어가 수량 또는 실행 순서를 한정하는 것이 아니며 "제 1" 및 "제 2"와 같은 단어가 필요한 차이를 나타내는 것도 아니라는 것을 이해할 것이다.
본 명세서에서 실시예 사이의 동일하거나 유사한 부분은 상호 참조될 수 있다는 것을 이해해야 한다. 특히, 단말 장치 및 컴퓨터 판독 가능한 저장 매체의 실시예는 기본적으로 방법 실시예와 유사하기 때문에 설명이 비교적 간단하다. 관련된 부분은 방법 실시예의 설명을 참조한다. 본 발명의 전술한 구현은 본 발명의 보호 범위를 한정하는 것이 아니다.

Claims (24)

  1. 디지털 키의 신원을 인증하는 방법으로서,
    제 1 단말에 의해, 서비스 명령을 제 2 단말에 송신하는 단계와,
    상기 제 1 단말에 의해, 상기 제 2 단말이 송신한 서비스 응답 메시지를 수신하는 단계와,
    상기 제 1 단말에 의해, 제 1 키를 이용해서 상기 서비스 응답 메시지에 대해 수행된 검증이 성공한 이후에 사용자 신원 인증 정보를 획득하는 단계 - 상기 제 1 키는 상기 제 2 단말과 상기 제 1 단말이 사전에 합의한 키이고, 상기 사용자 신원 인증 정보는 상기 제 2 단말의 보안 요소에 저장되며, 상기 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 상기 사용자 신원 인증 결과는 상기 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 상기 제 2 단말의 신원 인증 시스템에 의해 생성되며, 상기 사전 설정된 동작 상태는 상기 제 2 단말의 상기 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태임 - 와,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계
    를 포함하는, 방법.
  2. 제 1 항에 있어서,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우에, 상기 제 1 단말에 의해, 상기 서비스 명령에 대응하는 서비스 동작을 승인하는 단계를 포함하는,
    방법.
  3. 제 1 항에 있어서,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는,
    상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 상기 사전 설정된 동작 상태에 있는 상기 제 2 단말이 서비스 동작을 승인한 총 횟수가 사전 설정된 수 임계값 이내인 경우에, 상기 제 1 단말에 의해, 상기 서비스 명령에 대응하는 서비스 동작을 승인하는 단계, 혹은
    상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 상기 사전 설정된 동작 상태에 있는 상기 제 2 단말이 서비스 동작을 승인한 빈도가 사전 설정된 빈도 임계값 이내인 경우에, 상기 제 1 단말에 의해, 상기 서비스 명령에 대응하는 서비스 동작을 승인하는 단계
    를 포함하는,
    방법.
  4. 제 1 항에 있어서,
    상기 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 상기 제 1 타임스탬프는 신원 인증 결과를 생성하는 시간을 나타내는데 사용되며,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 현재 시간과 상기 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 임계값 내에 있는 경우, 상기 제 1 단말에 의해, 상기 서비스 명령에 대응하는 서비스 동작을 승인하는 단계를 포함하는,
    방법.
  5. 제 4 항에 있어서,
    상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 경우, 상기 제 1 단말에 의해, 상기 디지털 키를 동결(freezing)하거나, 상기 제 2 단말에게 상기 디지털 키를 동결하도록 지시하거나, 혹은 사용자에게 신원 인증을 다시 수행하도록 지시하는 단계
    를 더 포함하는, 방법.
  6. 제 1 항에 있어서,
    상기 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 상기 제 1 타임스탬프는 상기 신원 인증 결과를 생성하는 시간을 나타내는데 사용되며,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는 경우, 상기 제 1 단말에 의해, 상기 서비스 명령에 대응하는 서비스 동작을 승인하는 단계를 포함하는,
    방법.
  7. 제 1 항에 있어서,
    상기 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고,
    상기 서비스 동작은 상기 제 1 명령에 대응하는 제 1 동작 및 상기 제 2 명령에 대응하는 제 2 동작을 포함하며,
    상기 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고,
    상기 제 1 타임스탬프는 상기 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되며,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는,
    상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우에, 상기 제 1 단말에 의해, 상기 제 1 명령에 대응하는 상기 제 1 동작을 승인하는 단계와,
    상기 제 1 동작이 승인된 이후에, 상기 사전 설정된 동작 상태의 상기 제 2 단말이 상기 서비스 동작을 승인한 총 횟수가 사전 설정된 수 임계값 이내이거나, 상기 사전 설정된 동작 상태에 있는 상기 제 2 단말이 서비스 동작을 승인한 빈도가 사전 설정된 빈도 임계값 이내이거나, 현재 시간과 상기 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 임계값 내에 있거나, 혹은 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는 경우, 상기 제 1 단말에 의해, 상기 제 2 명령에 대응하는 상기 제 2 동작을 승인하는 단계를 포함하는,
    방법.
  8. 제 1 항에 있어서,
    상기 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고,
    상기 서비스 동작은 상기 제 1 명령에 대응하는 제 1 동작 및 상기 제 2 명령에 대응하는 제 2 동작을 포함하며,
    상기 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고,
    상기 제 1 타임스탬프는 상기 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되며,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는,
    상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우에, 상기 제 1 단말에 의해, 상기 제 1 명령에 대응하는 상기 제 1 동작을 승인하는 단계와,
    현재 시간과 상기 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간을 초과하는 경우에, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 1 단말에 의해, 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정하는 단계와,
    상기 제 2 단말이 상기 사전 설정되지 않은 동작 상태로 전환되지 않은 경우에, 상기 제 1 단말에 의해 상기 제 2 명령에 대응하는 상기 제 2 동작을 승인하는 단계
    를 포함하는,
    방법.
  9. 제 1 항에 있어서,
    상기 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고,
    상기 서비스 동작은 상기 제 1 명령에 대응하는 제 1 동작 및 상기 제 2 명령에 대응하는 제 2 동작을 포함하며,
    상기 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고,
    상기 제 1 타임스탬프는 상기 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되며,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는,
    상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 현재 시간과 상기 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 내에 있는 경우에, 상기 제 1 단말에 의해, 상기 제 1 명령에 대응하는 상기 제 1 동작을 승인하는 단계와,
    상기 제 1 동작이 승인된 이후, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않은 경우에, 상기 제 1 단말에 의해 상기 제 2 명령에 대응하는 상기 제 2 동작을 승인하는 단계
    를 포함하는,
    방법.
  10. 제 6 항 내지 제 9 항 중 어느 한 항에 있어서,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는,
    상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는 경우, 상기 제 1 단말에 의해, 상기 디지털 키를 동결(freezing)하거나, 상기 제 2 단말에게 상기 디지털 키를 동결하도록 지시하거나, 혹은 사용자에게 신원 인증을 다시 수행하도록 지시하는 단계
    를 포함하는,
    방법.
  11. 제 6 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정하는 단계는,
    서버에 의해 송신된 제 2 타임스탬프를 수신하는 단계 - 상기 제 2 타임스탬프는, 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 상기 사전 설정되지 않은 동작 상태로 전환되는 기간 내에서, 상기 제 2 단말이 상기 서비스 응답 메시지를 송신하는 시간에 가장 가까운 시간을 나타내는데 사용됨 - 와,
    상기 제 2 타임스탬프가 상기 제 1 타임스탬프보다 이른 경우에는, 상기 제 1 단말에 의해, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 상기 사전 설정되지 않은 동작 상태로 전환되지 않는다고 결정하거나, 혹은 상기 제 2 타임스탬프가 상기 제 1 타임스탬프보다 늦은 경우에는, 상기 제 1 단말에 의해, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환한다고 결정하는 단계
    포함하는,
    방법.
  12. 제 6 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되는지 여부를 결정하는 단계는,
    상기 제 1 단말에 의해, 상기 제 1 타임스탬프를 서버에 송신하는 단계와,
    상기 제 1 단말에 의해, 상기 서버에 의해 송신된 온라인 검증 결과를 획득하는 단계 - 상기 온라인 검증 결과는, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 상기 사전 설정되지 않은 동작 상태로 전환되는지 여부에 기초해서, 상기 서버에 의해 결정됨 - 와,
    상기 온라인 검증 결과가 성공인 경우에는, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 상기 사전 설정되지 않은 동작 상태로 전환되지 않는다고 상기 제 1 단말에 의해 결정하거나, 혹은 상기 온라인 검증 결과가 실패인 경우에는, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 상기 사전 설정되지 않은 동작 상태로 전환된다고 상기 제 1 단말에 의해 결정하는 단계
    를 포함하는,
    방법.
  13. 제 1 항에 있어서,
    상기 서비스 명령은 제 1 명령 및 제 2 명령을 포함하고,
    상기 서비스 동작은 상기 제 1 명령에 대응하는 제 1 동작 및 상기 제 2 명령에 대응하는 제 2 동작을 포함하며,
    상기 제 1 단말에 의해, 상기 사용자 신원 인증 정보를 검증하는 단계는,
    상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되지 않는 경우에는, 상기 제 1 단말에 의해, 상기 제 1 명령에 대응하는 상기 제 1 동작을 승인하는 단계와,
    상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되지 않는 경우에는, 상기 제 1 단말에 의해, 상기 제 2 명령에 대응하는 상기 제 2 동작의 승인을 거부하는 단계
    를 포함하고,
    상기 방법은,
    상기 제 1 단말에 의해, 신규 서비스 명령을 상기 제 2 단말에 송신하는 단계 - 상기 신규 서비스 명령은 제 2 명령을 포함함 - 를 더 포함하는,
    방법.
  14. 제 1 항에 있어서,
    상기 서비스 응답 메시지는 제 2 검증 데이터를 더 포함하고,
    상기 제 2 검증 데이터는 제 2 키를 이용해서 상기 사용자 신원 인증 정보를 처리함으로써 생성되며,
    상기 제 1 단말에 의해, 사용자 신원 인증 정보를 검증하는 단계는,
    상기 제 2 키 및 상기 제 2 검증 데이터를 이용해서, 상기 사용자 신원 인증 정보가 유효하고 상기 사용자 신원 인증 정보가 사전 설정된 보안 정책에 부합하는 것으로 검증된 경우에는, 상기 제 1 단말에 의해, 상기 서비스 명령에 대응하는 서비스 동작을 승인하는 단계 - 상기 제 2 키는 상기 제 2 단말과 상기 제 1 단말이 사전에 합의한 키이고, 상기 제 2 키는 상기 제 1 키와는 상이함 - 를 더 포함하는,
    방법.
  15. 디지털 키의 신원을 인증하는 방법으로서,
    제 2 단말에 의해, 서비스 명령을 제 1 단말로부터 수신하는 단계와,
    사전 설정된 동작 상태에 있는 상기 제 2 단말에 의해, 상기 서비스 명령에 응답해서, 제 1 키를 사용하여 처리된 서비스 응답 메시지를 상기 제 1 단말에 송신하는 단계
    를 포함하고,
    상기 서비스 응답 메시지는 사용자 신원 인증 정보를 포함하고,
    사용자 신원 인증 정보는 상기 제 2 단말의 보안 요소에 저장되며,
    상기 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고,
    상기 사용자 신원 인증 결과는 상기 제 2 단말이 상기 사전 설정된 동작 상태에 들어가기 전에 상기 제 2 단말의 신원 인증 시스템에 의해 생성되며,
    상기 사전 설정된 동작 상태는 상기 제 2 단말의 상기 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태이고,
    상기 제 1 키는 상기 제 2 단말과 상기 제 1 단말이 사전에 합의한 키인,
    방법.
  16. 제 15 항에 있어서,
    상기 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 상기 제 1 타임스탬프는 상기 사용자 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되는,
    방법.
  17. 제 15 항 또는 제 16 항에 있어서,
    상기 서비스 응답 메시지는 제 2 검증 데이터를 더 포함하고,
    상기 제 2 검증 데이터는 제 2 키를 이용해서 상기 사용자 신원 인증 정보를 처리함으로써 생성되며,
    상기 제 2 키는 상기 제 2 단말과 상기 제 1 단말이 사전에 합의한 키이고, 상기 제 2 키는 상기 제 1 키와는 상이한,
    방법.
  18. 제 15 항 내지 제 17 항 중 어느 한 항에 있어서,
    상기 제 2 단말에 의해, 서비스 명령을 제 1 단말로부터 수신하는 단계 이전에,
    상기 방법은,
    상기 제 2 단말이 상기 사전 설정된 동작 상태에 들어가기 전에 의무적인(mandatory) 신원 인증으로 구성된 디지털 키가 존재하는 경우에, 상기 사용자 신원 인증 결과를 생성하는 단계 - 상기 의무적인 신원 인증으로 구성된 상기 디지털 키는 상기 제 2 단말이 상기 사전 설정된 동작 상태에 들어가기 전에 사용자 신원 인증을 수행할 것을 상기 제 2 단말에게 요구함 - 와,
    상기 제 2 단말에 의해, 상기 사용자 신원 인증 정보를 상기 제 2 단말의 상기 보안 요소에 저장하는 단계 - 상기 사용자 신원 인증 정보는 상기 사용자 신원 인증 결과를 포함함 -
    를 더 포함하는,
    방법.
  19. 단말 장치로서,
    서비스 명령을 제 2 단말에 송신하고, 상기 제 2 단말에 의해 송신된 서비스 응답 메시지를 수신하도록 구성된 제 1 송수신기와,
    제 1 키를 사용해서 상기 서비스 응답 메시지에 대해 수행된 검증이 성공한 이후에 사용자 신원 인증 정보를 획득하고, 상기 사용자 신원 인증 정보를 검증하도록 구성된 프로세서 - 상기 제 1 키는 상기 제 2 단말과 상기 제 1 단말이 사전에 합의한 키이고, 상기 사용자 신원 인증 정보는 상기 제 2 단말의 보안 요소에 저장되며, 상기 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 상기 사용자 신원 인증 결과는 상기 제 2 단말이 사전 설정된 동작 상태에 들어가기 전에 상기 제 2 단말의 신원 인증 시스템에 의해 생성되며, 상기 사전 설정된 동작 상태는 상기 제 2 단말의 상기 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태임 -
    를 포함하는, 단말 장치.
  20. 제 19 항에 있어서,
    상기 프로세서는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되는 경우, 상기 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되고,
    상기 프로세서는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 상기 사전 설정된 동작 상태에 있는 상기 제 2 단말이 서비스 동작을 승인한 총 횟수가 사전 설정된 수 임계값 이내인 경우에, 상기 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되거나,
    상기 프로세서는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 상기 사전 설정된 동작 상태에 있는 상기 제 2 단말이 서비스 동작을 승인한 빈도가 사전 설정된 빈도 임계값 이내인 경우에, 상기 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되거나,
    상기 프로세서는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 현재 시간과 상기 제 1 타임스탬프 사이의 간격 기간이 사전 설정된 기간 임계값 내에 있는 경우, 상기 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되거나, 혹은
    상기 프로세서는, 상기 사용자 신원 인증 결과가 사전 설정된 인증 결과와 매칭되고, 상기 제 1 타임스탬프에 의해 표시된 시간 이후에 상기 제 2 단말이 상기 사전 설정된 동작 상태에서 사전 설정되지 않은 동작 상태로 전환되지 않는 경우, 상기 서비스 명령에 대응하는 서비스 동작을 승인하도록 더 구성되는,
    단말 장치.
  21. 단말 장치로서,
    서비스 명령을 제 1 단말로부터 수신하고, 사전 설정된 동작 상태에서, 상기 서비스 명령에 응답해서, 제 1 키를 사용하여 처리된 서비스 응답 메시지를 상기 제 1 단말에 송신하도록 구성된 제 2 송수신기 - 상기 서비스 응답 메시지는 사용자 신원 인증 정보를 포함하고, 상기 사용자 신원 인증 정보는 사용자 신원 인증 결과를 포함하고, 상기 제 1 키는 상기 제 2 단말과 상기 제 1 단말이 사전에 합의한 키임 - 와,
    상기 사용자 신원 인증 정보 및 상기 제 1 키를 저장하도록 구성된 보안 요소와,
    상기 단말 장치가 상기 사전 설정된 동작 상태에 들어가기 전에 상기 사용자 신원 인증 결과를 생성하도록 구성된 사용자 신원 인증 시스템 - 상기 사전 설정된 동작 상태는 상기 단말 장치의 상기 사용자 신원 인증 시스템이 신원 인증 결과를 생성할 수 없는 상태임 -
    을 포함하는, 단말 장치.
  22. 제 21 항에 있어서,
    상기 사용자 신원 인증 정보는 제 1 타임스탬프를 더 포함하고, 상기 제 1 타임스탬프는 상기 사용자 신원 인증 결과를 생성하는 시간을 나타내는 데 사용되는,
    단말 장치.
  23. 명령어를 포함하는 컴퓨터 판독가능 저장 매체로서, 상기 명령어는 컴퓨터 상에서 실행될 때, 상기 컴퓨터가 제 1 항 내지 제 14 항 중 어느 한 항에 따른 방법을 수행할 수 있게 하는, 컴퓨터 판독가능 저장 매체.
  24. 명령어를 포함하는 컴퓨터 판독가능 저장 매체로서, 상기 명령어는 컴퓨터 상에서 실행될 때, 상기 컴퓨터가 제 15 항 내지 제 18 항 중 어느 한 항에 따른 방법을 수행할 수 있게 하는, 컴퓨터 판독가능 저장 매체.
KR1020217035330A 2019-04-22 2020-04-17 디지털 키의 신원을 인증하는 방법, 단말 장치, 매체 KR20210145243A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201910324313.5A CN111835689B (zh) 2019-04-22 2019-04-22 数字钥匙的身份认证方法、终端设备及介质
CN201910324313.5 2019-04-22
PCT/CN2020/085225 WO2020216131A1 (zh) 2019-04-22 2020-04-17 数字钥匙的身份认证方法、终端设备及介质

Publications (1)

Publication Number Publication Date
KR20210145243A true KR20210145243A (ko) 2021-12-01

Family

ID=72912318

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020217035330A KR20210145243A (ko) 2019-04-22 2020-04-17 디지털 키의 신원을 인증하는 방법, 단말 장치, 매체

Country Status (6)

Country Link
US (1) US20220203933A1 (ko)
EP (1) EP3941014B1 (ko)
JP (1) JP7194847B2 (ko)
KR (1) KR20210145243A (ko)
CN (1) CN111835689B (ko)
WO (1) WO2020216131A1 (ko)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015101210A1 (zh) * 2013-12-31 2015-07-09 马要武 钥匙和锁
EP3614293A1 (en) * 2018-08-24 2020-02-26 Nagravision S.A. Securing data stored in a memory of an iot device during a low power mode
CN112396738B (zh) * 2020-12-01 2022-11-04 深圳市汇顶科技股份有限公司 共享设备的解锁方法及相关设备
CN113645045B (zh) * 2021-10-13 2022-01-04 北京创米智汇物联科技有限公司 Tee中的安全控制方法、装置及设备、存储介质
CN114268461B (zh) * 2021-11-26 2023-06-27 中国联合网络通信集团有限公司 用户身份认证方法、装置、服务器、终端及存储介质
CN116453242A (zh) * 2022-01-06 2023-07-18 北京小米移动软件有限公司 信息同步方法及装置、存储介质
CN116566594A (zh) * 2022-01-30 2023-08-08 华为技术有限公司 一种设备控制方法、设备和分布式数字钥匙系统
CN115021936B (zh) * 2022-06-10 2023-10-27 中国南方电网有限责任公司 一种远端站点的终端设备安全接入认证授权方法及系统
CN115230635A (zh) * 2022-08-25 2022-10-25 阿维塔科技(重庆)有限公司 远程控制车门解锁方法及装置
CN117676468A (zh) * 2022-08-26 2024-03-08 北京京东方技术开发有限公司 车辆安全认证方法
CN117527238B (zh) * 2024-01-03 2024-03-19 成都新希望金融信息有限公司 密钥生成方法、装置、电子设备及存储介质

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7340048B2 (en) * 2000-07-14 2008-03-04 Context Connect Llc System and method for directory services and e-commerce across multi-provider networks
CN1684411B (zh) * 2004-04-13 2010-04-28 华为技术有限公司 一种验证移动终端用户合法性的方法
JP2005273264A (ja) 2004-03-24 2005-10-06 Tokai Rika Co Ltd 作動制御装置及び電子キーシステム
JP2006227747A (ja) 2005-02-15 2006-08-31 Nec Corp 認証システム及び方法並びに認証用プログラム
JP5292862B2 (ja) 2008-03-11 2013-09-18 沖電気工業株式会社 セキュリティシステム、サーバ装置、セキュリティ方法、電子鍵管理方法及びプログラム
CN101593383B (zh) * 2008-05-26 2013-05-15 中国移动通信集团公司 一种电子钱包控制方法、系统以及sim卡
JP2009286343A (ja) 2008-05-30 2009-12-10 Fujitsu Ten Ltd 遠隔車両制御システム、乗員認証装置および遠隔車両制御方法
WO2011150405A2 (en) * 2010-05-28 2011-12-01 Suridx, Inc. Wireless encrypted control of physical access systems
JP2012215047A (ja) 2011-04-01 2012-11-08 Tokai Rika Co Ltd 電子キーシステム
US9405897B1 (en) * 2012-03-30 2016-08-02 Emc Corporation Authenticating an entity
US8768565B2 (en) * 2012-05-23 2014-07-01 Enterprise Holdings, Inc. Rental/car-share vehicle access and management system and method
CN102968864B (zh) * 2012-10-31 2015-05-20 中兴通讯股份有限公司 一种基于nfc的开机控制方法、装置及终端
US20140176301A1 (en) * 2012-12-20 2014-06-26 Lear Corporation Remote Function Fob for Enabling Communication Between a Vehicle and a Device and Method for Same
CN103178966B (zh) * 2013-03-19 2015-08-12 北京经纬恒润科技有限公司 车辆与智能钥匙的kpd认证方法、车辆基站及系统
CN103246839B (zh) 2013-04-27 2015-10-28 飞天诚信科技股份有限公司 一种智能密钥设备的工作方法
CN104378143A (zh) * 2013-08-16 2015-02-25 施耐德电器工业公司 在仪表与移动终端之间传输数据的方法、装置以及仪表
JP6151627B2 (ja) 2013-11-14 2017-06-21 Kddi株式会社 生体認証システム、生体認証方法およびコンピュータプログラム
CN104391712B (zh) * 2014-10-24 2018-10-19 小米科技有限责任公司 关机方法和装置
KR102318078B1 (ko) * 2015-04-15 2021-10-28 주식회사 만도모빌리티솔루션즈 원격 주차 제어 시스템 및 그의 제어 방법
KR102486275B1 (ko) * 2015-07-24 2023-01-09 엘지전자 주식회사 이동단말기 및 그 제어방법
US10112581B2 (en) * 2016-01-29 2018-10-30 Faraday&Future Inc. Remote control system for a vehicle
JP7027027B2 (ja) * 2016-03-17 2022-03-01 キヤノン株式会社 情報処理装置、制御方法、およびそのプログラム
JP2018071213A (ja) 2016-10-31 2018-05-10 株式会社デンソー 携帯機器、および携帯機器の制御方法
WO2018146777A1 (ja) 2017-02-09 2018-08-16 マクセル株式会社 携帯情報端末及びその制御方法
JP6922308B2 (ja) 2017-03-23 2021-08-18 日本電気株式会社 ワークフローシステム、処理システム、方法及びプログラム
CN108665337A (zh) * 2017-04-01 2018-10-16 重庆无线绿洲通信技术有限公司 一种车辆系统及其虚拟钥匙认证方法
CN107610278B (zh) * 2017-07-31 2020-09-08 宁波远景汽车零部件有限公司 智能钥匙学习方法及系统
CN109391597B (zh) * 2017-08-10 2021-04-30 中国电信股份有限公司 认证方法、认证系统以及通信系统
US10725791B2 (en) * 2017-08-16 2020-07-28 Harman International Industries, Incorporated Operating system boot up optimizations
CN107733652B (zh) * 2017-09-13 2021-05-25 捷德(中国)科技有限公司 用于共享交通工具的开锁方法和系统及车锁
CN109586915A (zh) * 2017-09-29 2019-04-05 国民技术股份有限公司 汽车无钥匙控制认证方法、用户终端、车载装置及服务器
CN107909358B (zh) * 2017-11-01 2021-08-17 北京融链科技有限公司 能源的结算方法、装置和系统
CN108725383A (zh) * 2018-05-22 2018-11-02 北京强大机电科技有限公司 一种公共交通车辆的管理方法、系统及公共交通车辆
BR112021016477A2 (pt) * 2019-03-06 2022-03-03 Greet Solutions Llc Sistema e método de identificação e autenticação de usuário baseada em proximidade
US20230096672A1 (en) * 2021-09-30 2023-03-30 The Toronto-Dominion Bank System and method of processing a data access request

Also Published As

Publication number Publication date
WO2020216131A1 (zh) 2020-10-29
EP3941014A1 (en) 2022-01-19
CN111835689A (zh) 2020-10-27
JP7194847B2 (ja) 2022-12-22
EP3941014B1 (en) 2023-07-26
JP2022529725A (ja) 2022-06-23
US20220203933A1 (en) 2022-06-30
EP3941014A4 (en) 2022-04-20
CN111835689B (zh) 2021-06-15

Similar Documents

Publication Publication Date Title
KR20210145243A (ko) 디지털 키의 신원을 인증하는 방법, 단말 장치, 매체
US10856148B2 (en) Methods and apparatus for user authentication and human intent verification in mobile devices
EP3312750B1 (en) Information processing device, information processing system, and information processing method
US10102524B2 (en) Access control and mobile security app
EP2372597B1 (en) Methods and systems for secure remote wake, boot, and login to a computer from a mobile device
EP3014507B1 (en) Continuous multi-factor authentication
CN104641669B (zh) 用于在不要求网络访问的情况下的电子访问客户端的控制切换的装置和方法
US20130237190A1 (en) Method and apparatus for remote portable wireless device authentication
JP6949064B2 (ja) 認証及び承認方法並びに認証サーバー
US20130183936A1 (en) Method and apparatus for remote portable wireless device authentication
KR20160097323A (ko) Nfc 인증 메커니즘
CN105325021B (zh) 用于远程便携式无线设备认证的方法和装置
EP2806370A1 (en) Portable authentication tool and method
CN114978689A (zh) 存储设备远程管理方法、系统和存储设备
CN116226946A (zh) 用于计算设备中的硬件改变或覆盖物打开的策略

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal