Nothing Special   »   [go: up one dir, main page]

KR101415698B1 - 공인인증 시스템 및 방법 - Google Patents

공인인증 시스템 및 방법 Download PDF

Info

Publication number
KR101415698B1
KR101415698B1 KR1020130001306A KR20130001306A KR101415698B1 KR 101415698 B1 KR101415698 B1 KR 101415698B1 KR 1020130001306 A KR1020130001306 A KR 1020130001306A KR 20130001306 A KR20130001306 A KR 20130001306A KR 101415698 B1 KR101415698 B1 KR 101415698B1
Authority
KR
South Korea
Prior art keywords
wireless terminal
communication
security token
digital signature
security
Prior art date
Application number
KR1020130001306A
Other languages
English (en)
Inventor
이정엽
Original Assignee
주식회사 키페어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 키페어 filed Critical 주식회사 키페어
Priority to KR1020130001306A priority Critical patent/KR101415698B1/ko
Application granted granted Critical
Publication of KR101415698B1 publication Critical patent/KR101415698B1/ko

Links

Images

Classifications

    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21VFUNCTIONAL FEATURES OR DETAILS OF LIGHTING DEVICES OR SYSTEMS THEREOF; STRUCTURAL COMBINATIONS OF LIGHTING DEVICES WITH OTHER ARTICLES, NOT OTHERWISE PROVIDED FOR
    • F21V21/00Supporting, suspending, or attaching arrangements for lighting devices; Hand grips
    • F21V21/02Wall, ceiling, or floor bases; Fixing pendants or arms to the bases
    • F21V21/04Recessed bases
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21SNON-PORTABLE LIGHTING DEVICES; SYSTEMS THEREOF; VEHICLE LIGHTING DEVICES SPECIALLY ADAPTED FOR VEHICLE EXTERIORS
    • F21S8/00Lighting devices intended for fixed installation
    • F21S8/02Lighting devices intended for fixed installation of recess-mounted type, e.g. downlighters
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21VFUNCTIONAL FEATURES OR DETAILS OF LIGHTING DEVICES OR SYSTEMS THEREOF; STRUCTURAL COMBINATIONS OF LIGHTING DEVICES WITH OTHER ARTICLES, NOT OTHERWISE PROVIDED FOR
    • F21V17/00Fastening of component parts of lighting devices, e.g. shades, globes, refractors, reflectors, filters, screens, grids or protective cages
    • F21V17/10Fastening of component parts of lighting devices, e.g. shades, globes, refractors, reflectors, filters, screens, grids or protective cages characterised by specific fastening means or way of fastening
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F21LIGHTING
    • F21VFUNCTIONAL FEATURES OR DETAILS OF LIGHTING DEVICES OR SYSTEMS THEREOF; STRUCTURAL COMBINATIONS OF LIGHTING DEVICES WITH OTHER ARTICLES, NOT OTHERWISE PROVIDED FOR
    • F21V21/00Supporting, suspending, or attaching arrangements for lighting devices; Hand grips
    • F21V21/14Adjustable mountings
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S362/00Illumination
    • Y10S362/80Light emitting diode

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephone Function (AREA)

Abstract

본 발명은 공인인증 시스템 및 방법에 관한 것이다.
본 발명에 따른 공인인증 시스템은, 공인인증서를 구비하고, 상기 공인인증서에 기초하여 전자서명을 생성하며, 상기 전자서명을 근거리 무선통신을 통해 무선 단말로 전송하는 보안 토큰; 상기 보안 토큰으로부터 전송된 전자서명을 인증 서버로 전송하는 무선 단말; 및 상기 무선 단말로부터 전송된 전자서명을 검증하는 인증 서버를 포함하는 것을 특징으로 한다.

Description

공인인증 시스템 및 방법 {Certificate System and Method}
본 발명은 공인인증 시스템 및 방법에 관한 것으로, 보다 상세하게는 PC 환경과 스마트 폰 환경에서 공용으로 공인인증서를 안전하고 편리하게 사용할 수 있는 공인인증 시스템 및 방법에 관한 것이다.
공인인증서는 공신력이 있는 공인인증기관에서 발급한 전자서명 인증서로서, 우리나라의 경우 인터넷 뱅킹뿐만 아니라 온라인 증명서 발급, 전자상거래, 인터넷 주식거래 등 매우 다양한 분야에서 필수적으로 사용되고 있다. 그리고, 최근에는 급격히 보급된 스마트 폰(smart phone)에서의 금융거래가 급증하고 있어 스마트 폰에서의 공인인증서 사용도 점차 확대되고 있다.
기존의 PC 환경에서 공인인증서 사용 형태를 살펴보면, 공인인증서를 하드 디스크, 이동식 디스크, 휴대폰, 저장 토큰, 보안 토큰 등에 저장해 두고 있다가 인터넷 금융거래를 위해 공인인증이 필요한 경우 하드 디스크 등에 저장된 공인인증서를 통해 전자서명을 생성하고 이를 인증 서버가 검증함으로써 공인인증을 수행하는 방식이다.
하지만, 하드 디스크 또는 이동식 디스크 저장방식의 경우, 해킹 프로그램이 특정 폴더에 파일 형태로 저장되어 있는 공인인증서를 손쉽게 복사할 수 있고 또한 PC를 모니터링하여 공인인증서 비밀번호를 손쉽게 알아낼 수 있으므로, 보안이 취약하여 해킹으로 인한 금융사고가 빈번히 발생하는 문제점이 있다. 한편 이동식 디스크를 사용하면 PC에 연결되어 있을 때만 해킹에 노출될 수 있으므로 하드 디스크보다 안전하다고 생각할 수 있지만, 반면 이동식 디스크는 분실의 가능성이 높아 이로 인한 공인인증서의 유출 가능성이 높다. 그리고, 휴대폰, 저장 토큰 저장방식의 경우에도, 비록 공인인증서가 파일 형태로 저장되지는 않지만 공인인증서를 사용할 때 PC에서 전자서명을 수행해야 하므로, 공인인증서의 개인키가 PC 메모리에 노출되어 해킹될 수 있는 취약점이 여전히 존재한다.
그러므로, 공인인증서를 보안칩 안에 저장하고 보안칩 안에서 전자서명을 수행하는 보안 토큰(HSM; Hardware Security Module) 저장방식이 가장 안전하며, 한국인터넷진흥원에서도 보안 토큰의 사용을 권장하고 있다. 그러나, 현재 한국인터넷진흥원에서 인증받아 판매되고 있는 이러한 형태의 보안 토큰 제품들은 PC 환경에서만 동작하는 방식이므로 스마트 폰에서는 사용할 수 없는 문제점이 있다.
한편, 기존의 스마트 폰 환경에서 공인인증서를 사용하는 형태를 살펴보면, PC에서 발급된 공인인증서를 스마트 폰으로 복사하여 특정 폴더에 파일 형태로 저장해 두고 여러 애플리케이션(Application)들이 공용으로 사용하거나 또는 PC에서 발급된 공인인증서를 스마트 폰 애플리케이션마다 자신의 데이터 저장공간에 복사하여 저장해 두고 사용하는 방식이다.
하지만, 이 경우에도 PC 환경에서 하드 디스크 저장방식과 마찬가지로 스마트 폰에 저장되어 있는 공인인증서가 해킹될 수 있으며, 이동식 디스크 저장방식과 마찬가지로 스마트 폰 분실로 인하여 공인인증서가 유출될 수 있는 문제점이 있다.
그러므로, 해킹이 사실상 불가능하고 분실에 대해서도 안전한 보안 토큰을 스마트 폰에서도 사용할 수 있는 방안이 요구되며, 특히 이러한 보안 토큰을 PC 환경과 스마트 폰 환경에서 공용으로 안전하고 편안하게 사용할 수 있는 방안이 절실히 요구된다.
미국 특허출원공개공보 US2012/0072718호 한국 공개특허공보 제10-2011-0078601호
본 발명은 전술한 바와 같은 요구를 충족시키기 위해 창안된 것으로, 본 발명의 목적은 PC 환경과 스마트 폰 환경에서 공인인증서를 안전하고 편리하게 사용할 수 있는 공인인증 시스템 및 방법을 제공하는 것이다.
본 발명의 다른 목적은 근거리 무선통신을 이용하여 스마트 폰에서도 보안 토큰을 이용한 공인인증이 가능하게 하는 공인인증 시스템 및 방법을 제공하는 것이다.
본 발명의 또 다른 목적은 기존의 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서도 기존의 방식보다 더 안전하게 사용할 수 있는 공인인증 시스템 및 방법을 제공하는 것이다.
상기 목적을 위하여, 본 발명의 일 형태에 따른 공인인증 시스템은, 공인인증서를 구비하고, 상기 공인인증서에 기초하여 전자서명을 생성하며, 상기 전자서명을 근거리 무선통신을 통해 무선 단말로 전송하는 보안 토큰; 상기 보안 토큰으로부터 전송된 전자서명을 인증 서버로 전송하는 무선 단말; 및 상기 무선 단말로부터 전송된 전자서명을 검증하는 인증 서버를 포함하는 것을 특징으로 한다.
그리고, 본 발명의 다른 형태에 따른 공인인증 시스템은, 공인인증서를 구비하고, 상기 공인인증서를 근거리 무선통신을 통해 무선 단말로 전송하는 보안 토큰; 상기 보안 토큰으로부터 전송된 공인인증서에 기초하여 전자서명을 생성하며, 상기 전자서명을 인증 서버로 전송하는 무선 단말; 및 상기 무선 단말로부터 전송된 전자서명을 검증하는 인증 서버를 포함하는 것을 특징으로 한다.
그리고, 본 발명의 일 형태에 따른 공인인증 시스템을 위한 보안 토큰은, 공인인증서를 저장하고 전자서명을 생성하는 보안칩; 외부 컴퓨터의 USB 포트와 연결되는 USB 연결부; 및 상기 USB 연결부와 연결되어 상기 컴퓨터와의 USB 통신을 제어하며, 상기 보안칩과 연결되어 상기 보안칩과의 유선통신을 제어하는 내부 통신 제어부를 포함하고, 상기 보안칩은 근거리 무선통신을 통해 외부 무선 단말로부터 요청된 전자서명 또는 공인인증서을 전송하는 것을 특징으로 한다.
또한, 본 발명의 일 형태에 따른 공인인증 시스템을 위한 무선 단말은, 인증 서버와 무선 인터넷 통신을 수행하는 무선 인터넷 모듈; 보안 토큰과 근거리 무선통신을 수행하는 근거리 무선통신 모듈; 및 상기 무선 인터넷 모듈 및 근거리 무선통신 모듈과 연동하며, 애플리케이션의 구동에 의해 공인인증을 수행하는 제어부를 포함하고, 상기 제어부는 보안 토큰으로부터 전송된 공인인증서를 소정 시간 경과 후에 삭제하거나 또는 소정 회수의 공인인증 수행 후 삭제하는 것을 특징으로 한다.
한편, 본 발명의 일 형태에 따른 공인인증 방법은, 무선 단말이 근거리 무선통신을 통해 보안 토큰으로 전자서명을 요청하는 단계; 상기 보안 토큰으로부터 근거리 무선통신을 통해 상기 보안 토큰에 저장되어 있는 공인인증서에 기초하여 생성된 전자서명을 수신하는 단계; 상기 전자서명을 무선 인터넷을 통해 인증 서버로 전송하는 단계; 및 상기 인증 서버로부터 무선 인터넷을 통해 인증 결과를 수신하여 공인인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
그리고, 본 발명의 다른 형태에 따른 공인인증 방법은, 무선 단말이 근거리 무선통신을 통해 보안 토큰으로 공인인증서를 요청하는 단계; 상기 보안 토큰으로부터 근거리 무선통신을 통해 상기 보안 토큰에 저장되어 있는 공인인증서를 수신하는 단계; 상기 수신한 공인인증서에 기초하여 전자서명을 생성하는 단계; 상기 전자서명을 무선 인터넷을 통해 인증 서버로 전송하는 단계; 및 상기 인증 서버로부터 무선 인터넷을 통해 인증 결과를 수신하여 공인인증을 수행하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, PC 환경과 스마트 폰 환경 어디에서든지 공인인증서를 안전하고 편리하게 사용할 수 있는 효과를 가진다.
그리고, 본 발명에 따르면, 근거리 무선통신을 이용하여 스마트 폰에서도 보안 토큰을 이용한 공인인증이 가능한 효과를 가지며, 특히 근거리 무선통신을 이용하기 때문에 배터리가 필요없어 가볍고 휴대하기 편하며 제조단가가 낮은 효과를 가진다.
또한, 본 발명에 따르면, 스마트 폰의 여러 애플리케이션들이 근거리 무선통신으로 전자서명을 수행하는 기능을 지원하지 않더라도, 기존의 근거리 무선통신을 지원하는 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서, 보안 토큰으로부터 전송된 공인인증서를 소정 시간 후 자동 삭제함으로써, 기존의 방식보다 더 안전하게 공인인증서를 사용할 수 있는 효과를 가진다.
도 1은 본 발명에 따른 PC 환경과 스마트 폰 환경에서 공용으로 사용하는 공인인증 시스템의 개요도이다.
도 2는 본 발명의 일 실시예에 따른 보안 토큰의 상세 구성도이다.
도 3은 본 발명의 일 실시예에 따른 보안 토큰이 PC 환경에서 사용되는 방식을 설명하는 도면이다.
도 4는 본 발명의 일 실시예에 따른 USB 통신을 이용한 공인인증 방법의 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다.
도 6은 본 발명의 일 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.
도 7은 본 발명에 따른 보안칩이 전자서명을 생성하는 일 실시예의 흐름도이다.
도 8은 도 7의 실시예의 경우 보안칩의 전력 변화를 나타낸 도면이다.
도 9는 본 발명에 따른 보안칩이 전자서명을 생성하는 다른 실시예의 흐름도이다.
도 10은 도 9의 실시예의 경우 보안칩의 전력 변화를 나타낸 도면이다.
도 11은 본 발명의 다른 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다.
도 12는 본 발명의 다른 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.
이하에서는 첨부 도면 및 바람직한 실시예를 참조하여 본 발명을 상세히 설명한다. 참고로, 하기 설명에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.
먼저, 보안 토큰을 PC 환경과 스마트 폰 환경에서 공용으로 사용하는 방안으로는, 보안 토큰을 PC와는 USB로 연결하여 사용하고 스마트 폰(무선 단말)과는 와이파이(Wi-Fi), 블루투스(Bluetooth), 근거리 무선통신(NFC; Near Field Communication) 등으로 연결하여 사용하는 방안을 고려할 수 있다.
하지만, 보안 토큰을 와이파이 또는 블루투스로 스마트 폰과 연결하기 위해서는 반드시 배터리를 통한 전력 공급이 필요하며, 보안 토큰에 배터리를 내장하게 되면 제조사 입장에서는 제조 단가가 상승하고 사용자 입장에서는 충전 관리가 필요하다. 또한, 와이파이나 블루투스는 연결 거리가 길어 보안 취약점이 발생할 수 있는 문제점이 있다.
그러므로, 본 발명에서는 근거리 무선통신(NFC; Near Field Communication)을 이용하여 보안 토큰을 스마트 폰(무선 단말)과 연결하여 사용하는 방안을 제안한다.
도 1은 본 발명에 따른 PC 환경과 스마트 폰 환경에서 공용으로 사용하는 공인인증 시스템의 개요도이다.
도 1을 참조하면, 본 발명에 따른 공인인증 시스템은 크게 보안 토큰(100), 컴퓨터(200), 무선 단말(300), 인증 서버(400) 등으로 구성된다.
이를 간단히 설명하면, 보안 토큰(100)은 컴퓨터 및 무선 단말 모두에 접속될 수 있으며, 내부에 공인인증서를 구비하여 전자서명을 생성할 수 있는 HSM(Hardware Security Module)이다. 예컨대, 보안 토큰(100)은 컴퓨터(200)와는 USB(Universal Serial Bus) 통신을 수행하고 무선 단말(300)과는 근거리 무선통신(NFC; Near Field Communication)을 수행하여 컴퓨터 및 무선 단말과 모두 통신할 수 있으며, 내부의 공인인증서에 기초하여 생성된 전자서명을 컴퓨터(200) 및/또는 무선 단말(300)에 전송하거나 또는 내부의 공인인증서를 직접 컴퓨터(200) 및/또는 무선 단말(300)에 전송하여 공인인증을 수행한다.
컴퓨터(200)는 예컨대 USB 통신을 통해 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하여 공인인증을 수행하고, 이에 기초하여 금융, 발급, 게임, 교육 등의 서비스를 제공한다. 참고로, 본 발명에서 컴퓨터(200)는 PC(Personal Computer), 노트북 등과 같이 USB 포트를 구비하여 USB 통신이 가능하며 또한 유무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 컴퓨터를 포함하는 의미이다.
그리고, 무선 단말(300)은 예컨대 근거리 무선통신을 통해 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하거나 또는 보안 토큰(100)으로부터 전송된 공인인증서에 기초하여 전자서명을 생성하고 이를 인증 서버(400)로 전송하여 공인인증을 수행하고, 마찬가지로 이에 기초하여 금융, 발급, 게임, 교육 등의 서비스를 제공한다. 참고로, 본 발명에서 무선 단말(300)은 스마트 폰, 테블릿 PC 등과 같이 근거리 무선통신이 가능하며 또한 무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 무선 단말을 포함하는 의미이다.
마지막으로, 인증 서버(400)는 컴퓨터(200) 및/또는 무선 단말(300)로부터 전송된 전저서명을 검증하여 본인 인증을 수행하고 그 결과를 알려주는 장치이다.
도 2는 본 발명의 일 실시예에 따른 보안 토큰(100)의 상세 구성도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 보안 토큰(100)은 USB 연결부(110), 내부 통신 제어부(120), 보안칩(130), 안테나(140) 등을 포함하고, 보안칩(130)은 다시 접촉식 통신 모듈(131), 근거리 무선통신 모듈(132), 전자서명 모듈(133), 내부 메모리(134), 제어부(135) 등으로 구성된다.
USB 연결부(110)는 컴퓨터(200)의 USB 포트(220)와 보안 토큰(100)(구체적으로는, 내부 통신 제어부(120))을 연결하기 위한 장치이다. USB 포트의 모양은 일반적으로 가장 많이 사용되는 Type A가 바람직하지만, Type B, Mini-A, Mini-B, Micro-A, Micro-B 등으로 형성될 수도 있다.
내부 통신 제어부(120)는 컴퓨터(200)와 USB 통신을 제어하고 보안칩(130)과 접촉식 통신을 제어하는 장치로, USB 규격에 따라서 컴퓨터(200)로부터 전력을 공급받아 동작한다. 컴퓨터(200)와는 USB 규격을 준수하여 통신하고, 보안칩(130)의 접촉식 통신모듈(131)과는 예컨대 ISO7816 규격을 준수하여 통신하며, 컴퓨터(200)의 응용 소프트웨어(210)에서 전송된 명령어를 보안칩(130)으로 전송하고, 보안칩(130)의 응답을 컴퓨터(200)의 응용 소프트웨어(210)로 전송하는 역할을 한다. 내부 통신 제어부(120)는 하나의 칩으로 구성되는 것이 바람직하지만, USB 통신 제어부와 접촉식 통신 제어부가 독립된 칩으로 구성될 수도 있으며, 또한 내부 통신 제어부(120)가 범용 MCU(Micro Control Unit) 또는 보안칩(130)의 일부로 구성될 수도 있다. 내부 통신 제어부(120)가 보안칩(130)의 일부로 구성될 경우, 보안칩(130)의 접촉식 통신모듈(131)과 통신하지 않고 직접 보안칩(130)의 제어부(135)와 통신할 수도 있다.
보안칩(130)은 접촉식 통신 모듈(131), 근거리 무선통신 모듈(132), 전자서명 모듈(133), 내부 메모리(134), 제어부(135) 등으로 구성된다. 보안칩(130)은 보안 토큰(100)이 컴퓨터(200)에 연결된 경우에는 예컨대 ISO7816 규격에 따라서 컴퓨터(200) 및/또는 내부 통신 제어부(120)로부터 전력을 공급받아 동작하고, 컴퓨터(200)에 연결되지 않고 무선 단말(300)에 근접한 경우에는 예컨대 ISO14443 규격에 따라서 무선 단말(300)의 근거리 무선통신 모듈(330)로부터 안테나(140)로 유도된 전력으로 동작한다. 보안칩(130)은 보안 토큰(100)의 기판에 고정된 형태로 구현되는 것이 바람직하지만, SIM(Subscriber Identity Module) 타입으로 삽입되는 형태일 수도 있다.
접촉식 통신 모듈(131)은 내부 통신 제어부(120)와 접촉식 통신을 수행하는 모듈이다. 내부 통신 제어부(120)와는 예컨대 ISO7816 규격을 준수하여 통신하며, 컴퓨터(200)의 응용 소프트웨어(210)에서 전송된 명령어를 내부 통신 제어부(120)를 통해 보안칩(130)으로 수신하고, 보안칩(130)의 응답을 다시 내부 통신 제어부(120)를 통해 컴퓨터(200)의 응용 소프트웨어(210)로 전송하는 역할을 한다.
근거리 무선통신 모듈(132)은 무선 단말(300)의 근거리 무선통신 모듈(330)과 통신을 수행하는 모듈이다. 무선 단말(300)의 근거리 무선통신 모듈(330)과는 예컨대 ISO14443 규격을 준수하여 통신하며, 무선 단말(300)의 애플리케이션(320)에서 전송된 명령어를 무선 단말(300)의 근거리 무선통신 모듈(330)을 통해 보안칩(130)으로 수신하고, 보안칩(130)의 응답을 다시 무선 단말(300)의 근거리 무선통신 모듈(330)을 통해 무선 단말(300)의 애플리케이션(320)으로 전송하는 역할을 한다.
전자서명 모듈(133)은 보안칩(130) 내부에 저장되어 있는 공인인증서의 개인키를 사용하여 전자서명을 생성하는 모듈이다. 일반적으로는 보안칩(130) 내부의 암호연산가속기를 사용하여 전자서명을 생성한다.
내부 메모리(134)는 보안칩(130) 내부에 있는 메모리로서 공인인증서를 저장한다. 공인인증서는 보안칩(130) 내부에서 생성되는 것이 바람직하나, 보안칩(130) 외부에서 생성된 공인인증서를 보안칩(130) 내부 메모리로 복사하여 사용하는 것도 가능하다.
제어부(135)는 보안칩(130)의 접촉식 통신 모듈(131), 근거리 무선통신 모듈(132), 전자서명 모듈(133), 내부 메모리(134) 등을 전반적으로 제어하며, 공인인증서 발급 및 복사, 전자서명 생성 및 전송, 비밀번호 설정 및 변경, 보안 토큰 자동잠김, 보안 토큰 초기화 등 다양한 기능을 수행한다.
한편, 안테나(140)는 보안칩(130)의 근거리 무선통신 모듈(132)과 연결되어 무선 단말(300)과의 근거리 무선통신에 사용되는 장치이다. 안테나(140)는 보안 토큰(100)의 기판에 고정되는 것이 바람직하지만, 보안칩(130)이 SIM 타입으로 보안 토큰(100)에 삽입되는 형태일 경우에는 SIM에 삽입될 수도 있다.
이하에서는 도 3 내지 도 12를 참조하여 본 발명에 따른 보안 토큰이 PC 환경과 스마트 폰 환경에서 공용으로 사용되는 것에 대해 상세 설명한다.
먼저, 도 3은 본 발명의 일 실시예에 따른 보안 토큰이 PC 환경에서 사용되는 방식을 설명하는 도면이다. 그리고, 도 4는 본 발명의 일 실시예에 따른 USB 통신을 이용한 공인인증 방법의 흐름도이다.
전술한 바와 같이, 컴퓨터(200)는 PC(Personal Computer), 노트북 등과 같이 USB 포트(220)를 구비하여 USB 통신이 가능하며 유무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 컴퓨터가 해당될 수 있다. 컴퓨터(200)에는 응용 소프트웨어(210)가 설치되어 사용자에게 다양한 서비스를 제공하며, 공인인증이 필요한 경우 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하고, 금융, 발급, 게임, 교육 등의 서비스를 제공한다.
도 3 및 도 4를 참조하여 이를 상술하면, 컴퓨터의 응용 프로그램 실행 중 공인인증이 필요한 경우, 컴퓨터(200)의 응용 소프트웨어(210)는 USB 포트(220)에서 보안 토큰(100)을 찾는다(단계 S100 참조).
컴퓨터(200)의 응용 소프트웨어(210)가 보안 토큰(100) 찾기에 성공하면, 컴퓨터(200)의 응용 소프트웨어(210)와 보안칩(130)이 유선채널을 연결한다. 이때, 컴퓨터(200)의 응용소프트웨어(210)는 USB 통신으로 내부 통신 제어부(120)와 채널을 연결하고, 내부 통신 제어부(120)는 예컨대 ISO7816 통신으로 보안칩(130)과 채널을 연결한다(단계 S101 참조).
컴퓨터(200)의 응용 소프트웨어(210)가 연결된 유선채널을 통하여 보안칩(130)에게 전자서명에 사용할 키정보를 전송하며 전자서명을 요청하면(단계 S102 참조), 보안칩(130)은 키정보에 해당하는 내부 메모리(134)에 저장된 공인인증서의 개인키를 읽어와 전자서명 모듈(133)에서 개인키로 전자서명을 생성한다(단계 S103 참조).
보안칩(130)이 연결된 유선채널을 통하여 전자서명을 컴퓨터(200)의 응용 소프트웨어(210)로 전송하면(단계 S104 참조), 컴퓨터(200)의 응용 소프트웨어(210)는 전송된 전자서명을 유무선 인터넷을 통해 인증 서버(400)로 전송한다(단계 S105 참조).
그러면, 인증 서버(400)는 전송된 전자서명을 검증하여(단계 S106 참조), 검증 결과를 다시 유무선 인터넷을 통해 컴퓨터(200)의 응용 소프트웨어(210)로 전송한다(단계 S107 참조).
만약, 검증이 성공하였으면(단계 S108 참조), 컴퓨터(200)의 응용 소프트웨어(210)는 금융, 발급, 게임, 교육 등의 서비스를 제공하고(단계 S109 참조), 공인인증 과정은 종료된다.
한편, 단계 S100에서 컴퓨터(200)의 응용 소프트웨어(210)가 보안 토큰(100) 찾기에 실패하면, 컴퓨터(200)의 응용 소프트웨어(210)의 계속 찾기 조건을 검사한다(단계 S150 참조). 여기서, 계속 찾기 조건은 설정한 시간 또는 횟수, 무한반복 등을 사용할 수 있다. 그리고, 응용 소프트웨어(210)의 계속 찾기 조건을 만족하면, 다시 단계 S100으로 돌아가 그 이후의 단계를 진행한다.
그러나, 단계 S150에서 응용 소프트웨어(210)의 계속 찾기 조건을 만족하지 않으면, 컴퓨터(200)의 응용 소프트웨어(210)는 찾기 실패 메시지를 출력하고(단계 S151 참조), 인증과정을 종료한다.
한편, 만약 단계 S108에서 검증이 실패하였으면, 컴퓨터(200)의 응용 소프트웨어(210)는 검증 실패 메시지를 출력하고(단계 S160 참조), 인증과정을 종료한다.
도 5는 본 발명의 일 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다. 그리고, 도 6은 본 발명의 일 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.
전술한 바와 같이, 무선 단말(300)은 스마트 폰, 테블릿 PC 등과 같이 근거리 무선통신이 가능하며 무선 인터넷을 통해 인증 서버(400)와 통신할 수 있는 모든 종류의 단말이 해당될 수 있다. 무선 단말(300)은 무선 인터넷 모듈(310), 근거리 무선통신 모듈(330)을 포함하여 구성되며, 스마트 폰 애플리케이션(320)이 설치된다. 무선 인터넷 모듈(310)은 3G, 4G, 와이파이(WiFi), 블루투스(BT) 장치 등으로 구현될 수 있으며, 이 장치들 중에서 적어도 하나를 사용하여 무선으로 인터넷 망에 접속하는 무선통신 모듈이다. 그리고, 근거리 무선통신 모듈(330)은 바람직하게는 10cm이내의 가까운 거리(보통은 3~4cm)에서 무선통신이 가능한 NFC(Near Field Communication)를 사용한다. NFC는 카드 에뮬레이션 모드, 리더 모드, P2P 모드 등으로 동작할 수 있는데, 본 발명에서는 ISO14443 규격의 리더 모드로 사용하는 것이 바람직하다. 한편, 스마트 폰 애플리케이션(320)은 무선 단말(300)에 설치되어 사용자에게 다양한 서비스를 제공하며, 공인인증이 필요한 경우 보안 토큰(100)으로부터 전송된 전자서명을 인증 서버(400)로 전송하고, 금융, 발급, 게임, 교육 등의 서비스를 제공한다.
도 5 및 도 6을 참조하여 이를 상술하면, 무선 단말(300)의 애플리케이션 실행 중 공인인증이 필요한 경우, 무선 단말(300)의 애플리케이션(320)은 근거리 무선통신을 이용하여 보안 토큰(100)을 찾는다(단계 S200 참조).
무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 성공하면, 무선 단말(300)의 애플리케이션(320)과 보안칩(130)이 근거리 무선채널을 연결한다. 이때, 무선 단말(300)의 근거리 무선통신 모듈(330)은 예컨대 ISO14443 통신으로 보안칩(130)과 채널을 연결한다(단계 S201 참조).
무선 단말(300)의 애플리케이션(320)이 연결된 근거리 무선채널을 통하여 보안칩(130)에게 전자서명에 사용할 키정보를 전송하며 전자서명을 요청하면(단계 S202 참조), 보안칩(130)은 키정보에 해당하는 내부 메모리(134)에 저장된 공인인증서의 개인키를 읽어와 전자서명 모듈(133)에서 개인키로 전자서명을 생성한다(단계 S203 참조).
보안칩(130)이 연결된 근거리 무선채널을 통하여 전자서명을 무선 단말(300)의 애플리케이션(320)으로 전송하면(단계 S204 참조), 무선 단말(300)의 애플리케이션(320)은 전송된 전자서명을 무선 인터넷을 통해 인증 서버(400)로 전송한다(단계 S205 참조).
그러면, 인증 서버(400)는 전송된 전자서명을 검증하여(단계 S206 참조), 검증 결과를 다시 무선 인터넷을 통해 무선 단말(300)의 애플리케이션(320)으로 전송한다(단계 S207 참조).
만약, 검증이 성공하였으면(단계 S208 참조), 무선 단말(300)의 애플리케이션(320)은 금융, 발급, 게임, 교육 등의 서비스를 제공하고(단계 S209 참조), 공인인증 과정은 종료된다.
한편, 단계 S200에서 무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 실패하면, 무선 단말(300)의 애플리케이션(320)의 계속 찾기 조건을 검사한다(단계 S250 참조). 여기서, 계속 찾기 조건은 설정한 시간 또는 횟수, 무한반복 등을 사용할 수 있다. 그리고, 애플리케이션(320)의 계속 찾기 조건을 만족하면, 다시 단계 S200으로 돌아가 그 이후의 단계를 진행한다.
그러나, 단계 S250에서 애플리케이션(320)의 계속 찾기 조건을 만족하지 않으면, 무선 단말(300)의 애플리케이션(320)은 찾기 실패 메시지를 출력하고(단계 S251 참조), 인증과정을 종료한다.
한편, 만약 단계 S208에서 검증이 실패하였으면, 무선 단말(300)의 애플리케이션(320)은 검증 실패 메시지를 출력하고(단계 S260 참조), 인증과정을 종료한다.
이하에서는 상기 단계 S202, S203 및 S204과 관련하여 본 발명에 따른 보안칩(130)이 전자서명을 생성하는 과정에 대해 상세 설명한다.
먼저, 도 7은 본 발명에 따른 보안칩이 전자서명을 생성하는 일 실시예의 흐름도이다. 참고로, 도 7의 실시예는 보안칩(130)이 한 번의 전력 충전(즉, 한 번의 명령어 실행)으로 전자서명을 수행하는 경우를 예시한 것이다.
도 7을 참조하면, 무선 단말(300)은 "COMPUTE DIGITAL SIGNATURE 명령어"로 전자서명에 사용할 키정보와 서명될 데이터를 보안칩(130)으로 전송한다(단계 S202a 참조).
그러면, 보안칩(130)은 키정보에 해당하는 공인인증서의 개인키를 선택하고(단계 S203a 참조), 선택된 개인키로 전자서명 연산을 위한 초기화 작업을 수행한 후(단계 S203b 참조), 서명될 데이터에 대해서 전자서명 연산을 수행하여 전자서명 값을 생성한다(단계 S203c 참조).
그리고, 보안칩(130)은 "COMPUTE DIGITAL SIGNATURE 응답"으로 전자서명 값과 상태정보를 무선 단말(300)에 전송한다(단계 S204a 참조).
한편, 근거리 무선통신(NFC)은 무선 단말(300)에서 방출하는 전자기파로부터 보안 토큰(100)이 직접 전력을 생산하여 통신하는 방식이므로 배터리가 필요없고 연결 거리도 짧아 보안성이 뛰어나지만, 보안 토큰(100)이 전자서명을 수행할 만큼의 전력을 생산하기가 쉽지 않은 문제점이 있다.
예를 들어, 근거리 무선통신 방식의 일 형태인 교통카드 시스템은 버스 단말기에서 방출하는 전자기파로부터 교통카드가 직접 전력을 생산하여 통신하는데, 교통카드에서 수행되는 연산은 데이터를 읽고 쓰는 수준의 간단한 연산이어서 많은 전력을 요구하지 않는다. 하지만, 무선 단말(예, 스마트 폰)은 버스 단말기보다 전자기파의 출력이 약하며, 보안 토큰은 교통카드보다 크기가 작고 내부의 부품들이 전자기파의 유도를 방해하여 생산할 수 있는 전력이 작고, 전자서명에 필요한 2048비트의 RSA(Rivest Shamir Adleman) 연산은 많은 전력을 요구한다.
실제 실험한 결과, 보안 토큰의 구성 요소인 보안칩의 일 구현 형태인 금융결제원의 "금융IC카드 보안토큰 규격 v1.10"을 준수하는 보안칩은, 외부에서 전력을 공급받는 USB 연결 상태에서는 "COMPUTE DIGITAL SIGNATURE 명령어"로 전자서명을 정상적으로 수행하지만, 무선 단말(예, 스마트 폰)에서 방출하는 전자기파로부터 전력을 생산하는 근거리 무선통신 연결 상태에서는 상기 명령어로 전자서명을 정상적으로 수행하지 못하는 경우가 빈번하게 발생하였다.
도 8을 참조하여 이를 상술하면, 무선 단말(300)에서 방출하는 전자기파의 출력이 약한 경우, 비록 보안칩(130)이 무선 단말(300)에서 방출하는 전자기파로부터 생산한 전력을 최대로 충전하고 있더라도 "COMPUTE DIGITAL SIGNATURE 명령어"를 수행하는 과정에서 생산 전력보다 소비 전력이 더 많아져 전력이 점차 줄어들게 되고 결국 보안칩을 구동할 수 있는 최소 한계값 이하로 떨어져 리셋(reset)되게 된다.
그러므로, 무선 단말(300)에서 방출하는 전자기파의 출력이 약한 경우에도 보안칩(130)이 최소한의 전력을 이용해 전자서명을 수행할 수 있는 대안적인 방안이 필요한데, 이하에서는 도 9 및 도 10을 참조하여 이를 설명한다.
도 9는 본 발명에 따른 보안칩이 전자서명을 생성하는 다른 실시예의 흐름도이다. 참고로, 도 9의 실시예는, 한 번의 전자서명 명령어를 2개 이상의 전자서명 명령어로 분리하여 전력 사용을 분산시킨 것으로, 보안칩(130)이 2 이상의 전력 충전(즉, 2 이상의 명령어 실행)으로 전자서명을 수행하는 경우를 예시한 것이다.
도 9를 참조하면, 먼저 무선 단말(300)은 "INITIALIZE CRYPTO 명령어"로 전자서명에 사용할 키정보를 보안칩(130)으로 전송한다(단계 S202b 참조). 참고로, 이는 무선 단말(300)이 보안칩(130)에게 전자서명 생성의 준비를 요청하는 과정이다.
그러면, 보안칩(130)은 키정보에 해당하는 공인인증서의 개인키를 선택하고(단계 S203a 참조), 선택된 개인키로 전자서명 연산을 위한 초기화 작업을 수행한다(단계 S203b 참조). 그리고, 보안칩(130)은 "INITALIZE CRYPTO 응답"으로 상태정보를 무선 단말(300)에 전송한다(단계 S204b 참조).
이 후, 무선 단말(300)은 "PERFORM CRYPTO 명령어"로 서명될 데이터를 보안칩(130)으로 전송한다(단계 S202c 참조). 참고로, 이는 무선 단말(300)이 보안칩(130)에게 전자서명 생성의 실행을 요청하는 과정이다.
그러면, 보안칩(130)은 서명될 데이터에 대해서 전자서명 연산을 수행하여 전자서명 값을 생성하고(단계 S203c 참조), "PERFORM CRYPTO 응답"으로 전자서명 값과 상태정보를 무선 단말(300)에 전송한다(단계 S204c 참조).
도 10을 참조하면, "INITIALIZE CRYPTO 명령어"와 "PERFORM CRYPTO 명령어"로 전자서명을 수행하는 과정은, 보안칩(130)의 전력이 최소 한계값 이하로 떨어지기 전에 "INITIALIZE CRYPTO 명령어"를 수행하는 과정이 완료되고, 무선 단말(300)이 "INITIALIZE CRYPTO 응답"을 처리하고 "PERFORM CRYPTO 명령어"를 준비하는 동안 보안칩(130)은 다시 충전되며, 마찬가지로 보안칩(130)의 전력이 최소 한계값 이하로 떨어지기 전에 "PERFORM CRYPTO 명령어"를 수행하는 과정이 완료되어, 전자서명 과정을 정상적으로 수행할 수 있다.
한편, 전술한 본 발명에 따라서, 근거리 무선통신을 이용하여 무선 단말(300)에서 보안 토큰(100)을 이용한 공인인증이 가능하지만, 무선 단말(300)의 여러 애플리케이션들이 근거리 무선통신으로 전자서명을 수행하는 기능을 지원하여야 하므로, 실생활에 적용되기까지는 상당한 시간이 필요할 수 있다.
그러므로, 기존의 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서 기존의 형태보다 안전하게 사용할 수 있는 방안도 요구되는데, 이하에서는 도 11 및 도 12를 참조하여 이를 설명한다.
근거리 무선통신을 지원하는 무선 단말(예, 스마트 폰)은 주로 안드로이드 운영체제를 기반으로 하며, 안드로이드 운영체제에서는 주로 PC에서 발급된 공인인증서를 무선 단말로 복사하여 특정 폴더에 파일 형태로 저장해 두고 여러 애플리케이션들이 공용으로 사용하는 방식이 사용된다.
이에, 본 발명에서는 공인인증서가 필요할 때에만 무선 단말(300)이 보안 토큰(100)의 보안칩(130)에 안전하게 저장되어 있는 공인인증서를 근거리 무선통신으로 읽어와서 특정 폴더에 파일 형태로 저장한 후 사용하도록 하고, 소정 시간 경과 후에 또는 소정 회수의 공인인증 수행 후에는 무선 단말(300)에 저장된 공인인증서를 자동으로 삭제함으로써 해킹, 분실 등 보안상의 문제점들을 해결하고자 한다.
도 11은 본 발명의 다른 실시예에 따른 보안 토큰이 스마트 폰 환경에서 사용되는 방식을 설명하는 도면이다. 그리고, 도 12는 본 발명의 다른 실시예에 따른 근거리 무선통신을 이용한 공인인증 방법의 흐름도이다.
전술한 바와 같이, 무선 단말(300)은 도 5 및 도 6에서 설명한 본 발명의 일 실시예에 따른 무선 단말을 사용할 수 있으며, 또한 무선 단말(300)의 특정 폴더(340)에 파일 형태로 저장되어 있는 공인인증서를 소정 시간 경과 후에 삭제하거나 또는 소정 회수의 공인인증 수행 후 삭제하기 위하여 타이머, 프로세서 감시기 등의 기능을 가지고 있는 것이 바람직하다. 한편, 스마트 폰 애플리케이션(320)은 무선 단말(300)에 설치되어 사용자에게 다양한 서비스를 제공하며, 공인인증이 필요한 경우 보안 토큰(100)으로부터 전송된 공인인증서에 기초하여 전자서명을 생성하고, 생성된 전자서명을 인증 서버(400)로 전송하고, 금융, 발급, 게임, 교육 등의 서비스를 제공한다.
도 11 및 도 12를 참조하여 이를 상술하면, 무선 단말(300)의 애플리케이션 실행 중 공인인증이 필요한 경우, 무선 단말(300)의 애플리케이션(320)은 근거리 무선통신을 이용하여 보안 토큰(100)을 찾는다(단계 S300 참조).
무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 성공하면, 무선 단말(300)의 애플리케이션(320)과 보안칩(130)이 근거리 무선채널을 연결한다. 이때, 무선 단말(300)의 근거리 무선통신 모듈(330)은 예컨대 ISO14443 통신으로 보안칩(130)과 채널을 연결한다(단계 S301 참조).
무선 단말(300)의 애플리케이션(320)이 연결된 근거리 무선채널을 통하여 보안칩(130)에게 공인인증서를 요청하면(단계 S302 참조), 보안칩(130)은 연결된 근거리 무선채널을 통하여 공인인증서를 무선 단말(300)의 애플리케이션(320)으로 전송한다(단계 S303 참조).
무선 단말(300)의 애플리케이션(320)은 전송된 공인인증서를 무선 단말(300)의 특정 폴더(340)에 파일 형태로 저장하고, 저장된 공인인증서의 개인키로 전자서명을 생성한다(단계 S304 참조).
참고로, 단계 S304 이후의 무선 단말(300)의 애플리케이션(320)과 단계 S303 이전의 무선 단말(300)의 애플리케이션(320)은 서로 다를 수 있다. 예컨대, 단계 S303 이전의 무선 단말(300)의 애플리케이션(320)은 보안 토큰(100)의 공인인증서를 읽어오기 위한 전용 애플리케이션이고, 단계 S304 이후의 무선 단말(300)의 애플리케이션(320)은 기존의 금융 애플리케이션일 수 있다.
그리고, 무선 단말(300)의 애플리케이션(320)은 생성된 전자서명을 무선 인터넷을 통해 인증 서버(400)로 전송한다(단계 S305 참조).
그러면, 인증 서버(400)는 전송된 전자서명을 검증하여(단계 S306 참조), 검증 결과를 다시 무선 인터넷을 통해 무선 단말(300)의 애플리케이션(320)으로 전송한다(단계 S307 참조).
만약, 검증이 성공하였으면(단계 S308 참조), 무선 단말(300)의 애플리케이션(320)은 금융, 발급, 게임, 교육 등의 서비스를 제공하고(단계 S309 참조), 공인인증 과정은 종료된다.
한편, 단계 S300에서 무선 단말(300)의 애플리케이션(320)이 보안 토큰(100) 찾기에 실패하면, 무선 단말(300)의 애플리케이션(320)의 계속 찾기 조건을 검사한다(단계 S350 참조). 여기서, 계속 찾기 조건은 설정한 시간 또는 횟수, 무한반복 등을 사용할 수 있다. 그리고, 애플리케이션(320)의 계속 찾기 조건을 만족하면, 다시 단계 S300으로 돌아가 그 이후의 단계를 진행한다.
그러나, 단계 S350에서 애플리케이션(320)의 계속 찾기 조건을 만족하지 않으면, 무선 단말(300)의 애플리케이션(320)은 찾기 실패 메시지를 출력하고(단계 S351 참조), 인증과정을 종료한다.
한편, 만약 단계 S308에서 검증이 실패하였으면, 무선 단말(300)의 애플리케이션(320)은 검증 실패 메시지를 출력하고(단계 S360 참조), 인증과정을 종료한다.
또 한편, 무선 단말(300)의 애플리케이션(320)은 공인인증서 저장 시 저장된 공인인증서를 자동으로 삭제하기 위한 타이머(timer)를 시작하고, 무선 단말(300)의 타이머는 지정된 시간이 경과하면 무선 단말(300)의 특정 폴더(340)에 파일 형태로 저장되어 있는 공인인증서를 삭제하도록 구현될 수도 있다. 또한 대안적으로, 무선 단말(320)은 타이머를 사용하는 대신 공인인증 수행 횟수를 감시하여, 소정 회수의 공인인증이 수행된 후에 공인인증서를 삭제할 수도 있다.
참고로, 전술한 방식은, 공인인증서를 사용할 때에만 무선 단말(300)에 공인인증서가 존재하므로 공인인증서가 해킹될 수 있는 가능성을 현저히 낮추어주고 무선 단말(300)의 분실에 대해서도 안전하여, 기존의 근거리 무선통신을 지원하는 스마트 폰 환경에서 공인인증서를 사용하는 형태를 그대로 유지하면서도 기존의 형태보다 안전한 장점을 가진다.
다시 도 2를 참조하면, 본 발명의 바람직한 실시예에 따르면, 본 발명의 보안 토큰(100)은 전술한 공인인증 기능 외에도, 비밀번호 설정 및 변경 기능, 공인인증서 복사 및 백업 기능, 보안 토큰 자동잠김 기능, 보안 토큰 초기화 기능 등을 수행할 수 있다.
구체적으로, 보안칩(130)의 제어부(135)는 예컨대 USB 통신을 통해 사용자로부터 비밀번호를 입력받아 내부 메모리(134)에 저장하고, 공인인증 요청 시 비밀번호 입력을 요구하여 정당한 사용자임을 확인할 수 있다. 또한, 사용자로부터 비밀번호 변경이 있는 경우에는 이전의 비밀번호를 확인한 후 변경된 비밀번호를 내부 메모리(134)에 저장하여 비밀번호 변경 기능을 수행한다. 한편, 보안칩(130)의 제어부(135)는 사용자로부터 입력된 비밀번호가 소정 회수(예, 5회) 이상 오류난 경우 자동으로 보안 토큰을 비활성화시켜 자동잠금 기능을 수행할 수 있다. 그리고, 보안칩(130)의 제어부(135)는 사용자로부터 입력된 초기화 명령에 의해 보안 토큰을 초기화함으로써 초기화 기능을 수행할 수도 있다.
한편, 본 발명에 따른 공인인증 방법의 전체 및/또는 일부 단계는 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독가능 기록매체를 통하여 실시될 수 있다. 상기 컴퓨터 판독가능 기록매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기록매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독가능 기록매체의 예로는 하드디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
또한, 전술한 본 발명에 따른 공인인증 방법의 전체 및/또는 일부 단계를 수행하는 프로그램은 애플리케이션(application) 형태로 제작되어 유무선 통신(예, 인터넷)을 통해 개별 무선 단말(예, 스마트 폰)로 전송될 수 있으며, 본 발명은 이와 같은 공인인증 방법을 수행하는 프로그램을 전송하는 장치(예, 서버)로 구현될 수도 있다.
지금까지 본 발명을 바람직한 실시예를 참조하여 상세히 설명하였지만, 본 발명이 속하는 기술분야의 당업자는 본 발명의 기술적 사상이나 필수적 특징들을 변경하지 않고서 다른 구체적인 다양한 형태로 실시할 수 있는 것이므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다.
그리고, 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 특정되는 것이며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태는 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (22)

  1. 공인인증 시스템에 있어서,
    공인인증서를 구비하고, 상기 공인인증서에 기초하여 전자서명을 생성하며, 상기 전자서명을 NFC(Near Field Communication) 통신을 통해 무선 단말로 전송하는 보안 토큰;
    상기 보안 토큰으로부터 전송된 전자서명을 인증 서버로 전송하는 무선 단말; 및
    상기 무선 단말로부터 전송된 전자서명을 검증하는 인증 서버를 포함하고,
    상기 보안 토큰은
    상기 무선 단말로부터 전자서명의 생성의 준비를 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 키정보에 해당하는 공인인증서의 개인키를 선택하여 상기 선택된 개인키로 전자서명 연산을 초기화한 후 상기 무선 단말로 상태정보를 전송하고,
    상기 무선 단말로부터 전자서명의 생성의 실행을 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 재충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 서명될 데이터에 대해서 전자서명 연산을 수행하고 전자서명 값을 상기 무선 단말로 전송하는 것을 특징으로 하는 시스템.
  2. 제1항에 있어서, 상기 보안 토큰은
    상기 공인인증서를 저장하고 전자서명을 생성하는 보안칩;
    외부 컴퓨터의 USB 포트와 연결되는 USB 연결부; 및
    상기 USB 연결부와 연결되어 상기 컴퓨터와의 USB 통신을 제어하며, 상기 보안칩의 일부로 구성되거나 또는 상기 보안칩과 연결되어 상기 보안칩과의 유선통신을 제어하는 내부 통신 제어부를 포함하는 것을 특징으로 하는 시스템.
  3. 제2항에 있어서, 상기 보안칩은
    상기 내부 통신 제어부와 접촉식 통신을 수행하는 접촉식 통신 모듈;
    상기 무선 단말과 근거리 무선통신을 수행하는 근거리 무선통신 모듈;
    상기 공인인증서에 기초하여 전자서명을 생성하는 전자서명 모듈;
    상기 공인인증서를 저장하고 있는 내부 메모리; 및
    상기 접촉식 통신 모듈, 근거리 무선통신 모듈, 전자서명 모듈, 내부 메모리를 제어하는 제어부를 포함하는 것을 특징으로 하는 시스템.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 공인인증 시스템을 위한 보안 토큰에 있어서,
    공인인증서를 저장하고 있는 내부 메모리, 상기 공인인증서에 기초하여 전자서명을 생성하는 전자서명 모듈, 무선 단말과 NFC(Near Field Communication) 통신을 수행하는 근거리 무선통신 모듈, 및 상기 내부 메모리, 전자서명 모듈, 근거리 무선통신 모듈을 제어하는 제어부를 포함하는 보안칩을 구비하고,
    상기 보안칩은
    상기 무선 단말로부터 전자서명의 생성의 준비를 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 키정보에 해당하는 공인인증서의 개인키를 선택하여 상기 선택된 개인키로 전자서명 연산을 초기화한 후 상기 무선 단말로 상태정보를 전송하고,
    상기 무선 단말로부터 전자서명의 생성의 실행을 요청받으면, 상기 무선 단말로부터 방출된 전자기파를 통해 재충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 서명될 데이터에 대해서 전자서명 연산을 수행하고 전자서명 값을 상기 무선 단말로 전송하는 것을 특징으로 하는 보안 토큰.
  11. 제10항에 있어서, 상기 보안 토큰은
    외부 컴퓨터의 USB 포트와 연결되는 USB 연결부; 및
    상기 USB 연결부와 연결되어 상기 컴퓨터와의 USB 통신을 제어하는 내부 통신 제어부를 더 포함하는 것을 특징으로 하는 보안 토큰.
  12. 제10항 또는 제11항에 있어서,
    상기 보안칩은 사용자로부터 입력된 비밀번호가 소정 회수 이상 오류난 경우 보안 토큰을 비활성화시키는 것을 특징으로 하는 보안 토큰.
  13. 제10항 또는 제11항에 있어서,
    상기 보안칩은 사용자로부터 입력된 초기화 명령에 의해 보안 토큰을 초기화하는 것을 특징으로 하는 보안 토큰.
  14. 삭제
  15. 공인인증 방법에 있어서,
    보안 토큰이 NFC(Near Field Communication) 통신을 통해 무선 단말로부터 전자서명의 생성의 준비를 요청받는 단계;
    상기 보안 토큰이, 상기 무선 단말로부터 방출된 전자기파를 통해 충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 키정보에 해당하는 공인인증서의 개인키를 선택하여 상기 선택된 개인키로 전자서명 연산을 초기화한 후 NFC 통신을 통해 상기 무선 단말로 상태정보를 전송하는 단계;
    상기 보안 토큰이 NFC 통신을 통해 상기 무선 단말로부터 전자서명의 생성의 실행을 요청받는 단계; 및
    상기 보안 토큰이, 상기 무선 단말로부터 방출된 전자기파를 통해 재충전된 전력을 이용하여, 상기 무선 단말로부터 수신된 서명될 데이터에 대해서 전자서명 연산을 수행하고 전자서명 값을 NFC 통신을 통해 상기 무선 단말로 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
  16. 제15항에 있어서,
    상기 무선 단말이 상기 전자서명 값을 무선 인터넷을 통해 인증 서버로 전송하는 단계; 및
    상기 무선 단말이 상기 인증 서버로부터 무선 인터넷을 통해 인증 결과를 수신하여 공인인증을 수행하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 제15항 또는 제16항에 따른 공인인증 방법을 수행하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
  22. 삭제
KR1020130001306A 2013-01-04 2013-01-04 공인인증 시스템 및 방법 KR101415698B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130001306A KR101415698B1 (ko) 2013-01-04 2013-01-04 공인인증 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130001306A KR101415698B1 (ko) 2013-01-04 2013-01-04 공인인증 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR101415698B1 true KR101415698B1 (ko) 2014-07-09

Family

ID=51741284

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130001306A KR101415698B1 (ko) 2013-01-04 2013-01-04 공인인증 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101415698B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170037435A (ko) * 2015-09-25 2017-04-04 삼성전자주식회사 호스트의 정당성 여부에 따라 선택적으로 결제 기능을 온(on)하는 결제 장치의 동작 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007174633A (ja) 2005-12-22 2007-07-05 Mitsubishi Electric Research Laboratories Inc トークンデバイス及びセキュアメモリデバイスのためのバインディング鍵をセキュアに取得するためのコンピュータ実施方法、および、トークンデバイスとセキュアメモリデバイスとをセキュアにバインドするシステム
JP2008097263A (ja) 2006-10-11 2008-04-24 Nec Corp 認証システム、認証方法およびサービス提供サーバ
KR20110078601A (ko) * 2009-12-31 2011-07-07 서정훈 안전한 비밀번호 입출력기능을 가진 usb보안장치 및 인증방법
US20120072718A1 (en) * 2008-11-04 2012-03-22 Troy Jacob Ronda System And Methods For Online Authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007174633A (ja) 2005-12-22 2007-07-05 Mitsubishi Electric Research Laboratories Inc トークンデバイス及びセキュアメモリデバイスのためのバインディング鍵をセキュアに取得するためのコンピュータ実施方法、および、トークンデバイスとセキュアメモリデバイスとをセキュアにバインドするシステム
JP2008097263A (ja) 2006-10-11 2008-04-24 Nec Corp 認証システム、認証方法およびサービス提供サーバ
US20120072718A1 (en) * 2008-11-04 2012-03-22 Troy Jacob Ronda System And Methods For Online Authentication
KR20110078601A (ko) * 2009-12-31 2011-07-07 서정훈 안전한 비밀번호 입출력기능을 가진 usb보안장치 및 인증방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170037435A (ko) * 2015-09-25 2017-04-04 삼성전자주식회사 호스트의 정당성 여부에 따라 선택적으로 결제 기능을 온(on)하는 결제 장치의 동작 방법
KR102453705B1 (ko) 2015-09-25 2022-10-11 삼성전자주식회사 호스트의 정당성 여부에 따라 선택적으로 결제 기능을 온(on)하는 결제 장치의 동작 방법

Similar Documents

Publication Publication Date Title
KR101604009B1 (ko) 공인인증을 위한 보안 토큰 및 그 구동 방법
US11212674B2 (en) Control method of secure module connected to a plurality of processors and electronic device for implementing the same
KR101375820B1 (ko) 배터리 온 및 배터리 오프 모드들에서 nfc 보안 애플리케이션 지원을 제공하기 위한 시스템들 및 방법들
RU2639690C2 (ru) Способ, устройство и защищенный элемент для выполнения безопасной финансовой транзакции в устройстве
US9589160B2 (en) Working method for smart card reader
US11763289B2 (en) Method of operating payment device for selectively enabling payment function according to validity of host
US20220038899A1 (en) Method for duplicating near field communication card and electronic device therefor
KR20170050055A (ko) 근거리 무선 통신을 사용하는 휴대용 생체 인증 장치 및 단말 장치
KR20160068833A (ko) 전자 디바이스 상의 크리덴셜의 프로비저닝 및 인증
Alattar et al. Host-based card emulation: Development, security, and ecosystem impact analysis
KR101542111B1 (ko) 카드를 이용한 결제방법, 이를 위한 디지털 시스템, 및 결제측 시스템
US10805802B1 (en) NFC-enhanced firmware security
US20190172051A1 (en) Electronic device and method for processing remote payment
KR101415698B1 (ko) 공인인증 시스템 및 방법
KR102149042B1 (ko) 암호화폐 거래 인증 장치 및 이를 이용하는 암호화폐 지갑 어플리케이션
US20240063660A1 (en) Transaction device capable of managing and routing power from an external power source
US20130326591A1 (en) Wireless communication device and wireless communication method
JPWO2019155792A1 (ja) 情報処理装置、情報処理方法、およびプログラム
JP6746244B2 (ja) 情報処理装置、情報処理方法、プログラム、および情報処理システム
EP2996368B1 (en) Mobile electronic device
KR20190138463A (ko) 복수의 nfc 동작 모드를 지원하는 전자 장치 및 전자 장치의 동작 방법
KR101385224B1 (ko) 보안 로그인을 수행하는 디지털 시스템 및 그 제공방법
KR20140148161A (ko) 보안 로그인을 수행하는 디지털 시스템 및 그 제공방법
KR100727866B1 (ko) 원 타임 패스워드 생성용 스마트카드 리더 장치
KR20150074820A (ko) 금융 마이크로 sd 카드를 구비한 보안 결제 장치 및 이의 실행 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170623

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180425

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190410

Year of fee payment: 6

R401 Registration of restoration