[go: up one dir, main page]

KR102058035B1 - Security-enhanced wireless communication apparatus - Google Patents

Security-enhanced wireless communication apparatus Download PDF

Info

Publication number
KR102058035B1
KR102058035B1 KR1020170163721A KR20170163721A KR102058035B1 KR 102058035 B1 KR102058035 B1 KR 102058035B1 KR 1020170163721 A KR1020170163721 A KR 1020170163721A KR 20170163721 A KR20170163721 A KR 20170163721A KR 102058035 B1 KR102058035 B1 KR 102058035B1
Authority
KR
South Korea
Prior art keywords
security
file
operating system
wireless communication
payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020170163721A
Other languages
Korean (ko)
Other versions
KR20190064286A (en
Inventor
한남석
정희원
Original Assignee
주식회사 무한비트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 무한비트 filed Critical 주식회사 무한비트
Priority to KR1020170163721A priority Critical patent/KR102058035B1/en
Publication of KR20190064286A publication Critical patent/KR20190064286A/en
Application granted granted Critical
Publication of KR102058035B1 publication Critical patent/KR102058035B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/10Push-to-Talk [PTT] or Push-On-Call services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 보안이 강화된 무선 통신 장치에 관한 것으로, 복수의 보안 파티션(Partition)들로 구분된 메모리, 복수의 보안 알고리즘들을 제공하는 보안 가속기 및 각각이 독립적인 보안 서비스 어플리케이션과 연동하여 보안 시스템 호출 API(Application Programming Interface)를 제공하는 복수의 보안 엘리먼트 어댑터(Element Adapter)들 및 상기 보안 시스템 호출 API에 관해 보안정책을 강제하고 상기 보안정책에 따라 상기 보안 가속기의 사용권한을 제공하거나 또는 해당 보안 파티션에 관한 접근권한을 제공하는 가상 머신(Virtual Machine)을 제어하는 프로세서를 포함한다. 따라서, 본 발명은 가상 머신을 이용하여 다목적 서비스에 특화된 보안 솔루션을 제공할 수 있다.The present invention relates to a security-enhanced wireless communication device, comprising: a memory divided into a plurality of security partitions, a security accelerator providing a plurality of security algorithms, and a security system call in association with an independent security service application. Enforce a security policy for a plurality of secure element adapters and APIs for providing an application programming interface (API) and provide a right to use the security accelerator according to the security policy, or provide a corresponding security partition. It includes a processor that controls the virtual machine (Virtual Machine) that provides access rights for. Accordingly, the present invention can provide a security solution specialized for a multi-purpose service using a virtual machine.

Description

보안이 강화된 무선 통신 장치{SECURITY-ENHANCED WIRELESS COMMUNICATION APPARATUS}Security-enhanced wireless communications device {SECURITY-ENHANCED WIRELESS COMMUNICATION APPARATUS}

본 발명은 무선 통신 기술에 관한 것으로, 보다 상세하게는 가상 머신을 이용하여 다목적 서비스에 특화된 보안 솔루션을 제공할 수 있는 보안이 강화된 무선 통신 장치에 관한 것이다.TECHNICAL FIELD The present invention relates to wireless communication technology, and more particularly, to a security-enhanced wireless communication device capable of providing a security solution specialized for a multi-purpose service using a virtual machine.

무선 푸시-투-토크(PTT) 시스템은 다수의 사람들로 이루어진 그룹 간, 즉 멤버들 간의 서로 PTM 형식으로 통신하기를 요구하는 환경에서 사용될 수 있다. 푸시-투-토크(PTT) 어플리케이션이 사용되는 환경의 예로는 작업 그룹 통신, 보안 통신, 건설 현장 통신 및 지역 군대 통신 등이 포함될 수 있다. 푸시-투-토크(PTT) 서비스는 전형적인 하프-듀플렉스에 해당하고, 주어진 시간에 오직 하나의 멤버만이 다른 멤버에서 정보를 전송할 수 있다. 푸시-투-토크(PTT) 서비스 역시 보안이 중요하지만 보안 기능은 매우 취약한 편에 속한다.Wireless push-to-talk (PTT) systems can be used in environments that require a group of multiple people, ie members, to communicate with each other in a PTM format. Examples of environments in which push-to-talk (PTT) applications may be used may include workgroup communications, secure communications, construction site communications, and local military communications. Push-to-talk (PTT) service corresponds to a typical half-duplex, and only one member can transmit information from another member at a given time. Push-to-talk (PTT) services are also important for security, but they are very vulnerable.

한국등록특허 제10-0978987(2010.08.24)호는 하프-듀플렉스 AD-HOC 그룹 음성 셀룰라 네트워크채널에서의 고속 보안 세션 성립 방법 및 장치에 관한 것으로, 디바이스 그룹을 포함하는 무선 디스패치 시스템에서 보안 그룹 통신을 위한 기술이 제공되고, 디바이스 그룹은 채널을 통하여 복수의 제2 보안 디바이스와 통신하는 제1 보안 디바이스를 포함할 수 있다.Korean Patent Registration No. 10-0978987 (Aug. 24, 2010) relates to a method and apparatus for establishing a fast security session in a half-duplex AD-HOC group voice cellular network channel, and to a security group communication in a wireless dispatch system including a device group. A technique is provided, and a device group can include a first secure device in communication with a plurality of second secure devices via a channel.

한국등록특허 제10-1048523(2011.07.05)호는 다기능 무전기에 관한 것으로, 불루투스를 이용한 핸드폰과 통신이 가능하고, 라디오 수신이 가능하며, PTT(Push to talk) 스위치를 외부에 별도로 장착하여 본체와 PTT간에 무선으로 통신을 하여 양손이 자유롭지 못한 레저(예: 자전거, 인라인, 오토바이 등)를 즐길 때 유용하게 사용할 수 있도록 한 것이고, 이로 인해 제품의 품질과 신뢰성을 대폭 향상시켜 소비자로 하여금 좋은 이미지를 심어줄 수 있도록 한 것이다.Korean Patent No. 10-1048523 (2011.07.05) relates to a multi-function radio, which can communicate with a mobile phone using Bluetooth, can receive radio, and has a PTT (Push to talk) switch mounted outside Wireless communication between PTT and PTT is useful for enjoying leisurely activities (eg bicycles, inline, motorcycles, etc.) with both hands free. Will be planted.

한국등록특허 제10-0978987(2010.08.24)호Korea Patent Registration No. 10-0978987 (2010.08.24) 한국등록특허 제10-1048523(2011.07.05)호Korea Patent Registration No. 10-1048523 (2011.07.05)

본 발명의 일 실시예는 가상 머신을 이용하여 다목적 서비스에 특화된 보안 솔루션을 제공할 수 있는 보안이 강화된 무선 통신 장치를 제공하고자 한다.An embodiment of the present invention is to provide a security-enhanced wireless communication device that can provide a security solution specialized for multi-purpose services using a virtual machine.

본 발명의 일 실시예는 보안 서비스 별로 독립적인 보안 정책을 결정할 수 있고, 보안 정책에 따라 독립적인 보안 알고리즘을 적용할 수 있는 보안이 강화된 무선 통신 장치를 제공하고자 한다.An embodiment of the present invention is to provide a security-enhanced wireless communication device that can determine an independent security policy for each security service, and can apply an independent security algorithm according to the security policy.

본 발명의 일 실시예는 보안 정책에 따라 보안 가속기의 사용권한 또는 보안 파티션에 관한 접근권한을 제어할 수 있는 보안이 강화된 무선 통신 장치를 제공하고자 한다.An embodiment of the present invention is to provide a security-enhanced wireless communication device that can control the use rights of the security accelerator or the access rights to the security partition according to the security policy.

실시예들 중에서, 보안이 강화된 무선 통신 장치는 복수의 보안 파티션(Partition)들로 구분된 메모리, 복수의 보안 알고리즘들을 제공하는 보안 가속기 및 각각이 독립적인 보안 서비스 어플리케이션과 연동하여 보안 시스템 호출 API(Application Programming Interface)를 제공하는 복수의 보안 엘리먼트 어댑터(Element Adapter)들 및 상기 보안 시스템 호출 API에 관해 보안정책을 강제하고 상기 보안정책에 따라 상기 보안 가속기의 사용권한을 제공하거나 또는 해당 보안 파티션에 관한 접근권한을 제공하는 가상 머신(Virtual Machine)을 제어하는 프로세서를 포함한다.Among the embodiments, the security-enhanced wireless communication device includes a memory divided into a plurality of security partitions, a security accelerator providing a plurality of security algorithms, and a security system call API in association with each independent security service application. Enforces a security policy with respect to a plurality of secure element adapters and the security system call API providing an application programming interface, and provides a right to use the security accelerator according to the security policy, or to a corresponding security partition. It includes a processor that controls a virtual machine that provides access rights.

상기 프로세서는 상기 복수의 보안 엘리먼트 어댑터들 중 하나를 스마트 카드에 관한 서비스를 위한 칩운영체제로 설정하고, 다른 하나를 원격 파일 처리에 관한 서비스를 위한 파일운영체제로 설정할 수 있다.The processor may set one of the plurality of secure element adapters as a chip operating system for a service relating to a smart card, and set the other as a file operating system for a service regarding remote file processing.

상기 칩운영체제는 상기 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드 메시지로 결제 승인 기기에 전송하여 클라우드 서버에 상기 결제 요청을 저장할 수 있다.The chip operating system may store the payment request in a cloud server by transmitting a payment request to a payment approval device as a cloud message through a security system call API used in the payment process of the smart card.

상기 칩운영체제는 상기 결제 요청의 승인이 성공적으로 수신되면 상기 보안 가속기를 통한 상기 복수의 보안 파티션들 중 하나인 스마트 카드용 보안 파티션의 접근을 허용하여 해당 보안 서비스 어플리케이션이 상기 스마트 카드용 보안 파티션에 있는 결제수단에 접근하는 것을 방지할 수 있다.When the chip operating system successfully receives the approval of the payment request, the chip operating system permits access to the security partition for the smart card, which is one of the plurality of security partitions, through the security accelerator, so that the corresponding security service application is connected to the security partition for the smart card. It is possible to prevent access to a payment method.

상기 칩운영체제는 상기 결제수단으로부터 파생되고 상기 보안 가속기에 의해 전부 암호화된 결제정보를 결제 처리 장치에 제공할 수 있다.The chip operating system may provide the payment processing device with payment information derived from the payment means and fully encrypted by the security accelerator.

상기 파일운영체제는 직접 P2P 파일의 전송 과정에서 보안 시스템 호출 API를 사용함으로써 상기 보안 가속기를 통해 부분적으로 암호화된 파일을 생성하도록 하여 파일 수신저장 기기에 상기 부분적으로 암호화된 파일을 전송할 수 있다.The file operating system may transmit the partially encrypted file to a file receiving and storage device by generating a partially encrypted file through the security accelerator by using a security system call API in a process of directly transmitting a P2P file.

상기 파일운영체제는 원본 파일을 복수의 절편들로 분할하고 원본 절편과 암호화된 절편을 교번하여 상기 부분적으로 암호화된 파일을 생성할 수 있다.The file operating system may generate the partially encrypted file by dividing the original file into a plurality of fragments and alternating the original fragment and the encrypted fragment.

상기 프로세서는 상기 복수의 보안 엘리먼트 어댑터들 중 또 다른 하나를 PTT 서비스를 위한 PTT 운영체제로 설정하고, 상기 PTT 운영체제는 PTT의 전송 과정 전에 사용되는 보안 시스템 호출 API를 통해 파일운영체제에 의한 직접 P2P 파일의 전송에 끼어들어 상기 보안 가속기를 통해 가변적 암호화된 PTT 메시지의 전송을 우선 처리하며, 상기 가변적 암호화는 상기 프로세서의 업무부하에 따라 차별적인 보안 알고리즘으로 수행할 수 있다.The processor sets another one of the plurality of secure element adapters as a PTT operating system for a PTT service, and the PTT operating system directly accesses the P2P file by the file operating system through a secure system call API used before the PTT transmission process. Interfering with the transmission, the transmission of the variable encrypted PTT message is first processed through the security accelerator, and the variable encryption may be performed by a differential security algorithm according to the workload of the processor.

개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.The disclosed technique can have the following effects. However, since a specific embodiment does not mean to include all of the following effects or only the following effects, it should not be understood that the scope of the disclosed technology is limited by this.

본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치는 보안 서비스 별로 독립적인 보안 정책을 결정할 수 있고, 보안 정책에 따라 독립적인 보안 알고리즘을 적용할 수 있다.The wireless communication device with enhanced security according to an embodiment of the present invention may determine an independent security policy for each security service, and apply an independent security algorithm according to the security policy.

본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치는 보안 정책에 따라 보안 가속기의 사용권한 또는 보안 파티션에 관한 접근권한을 제어할 수 있다.The wireless communication device with enhanced security according to an embodiment of the present invention may control the use rights of the security accelerator or the access right for the security partition according to the security policy.

도 1은 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 시스템을 설명하는 도면이다.
도 2는 도 1에 있는 무선 통신 장치를 설명하는 블록도이다.
도 3은 도 2에 있는 보안 엘리먼트를 설명하는 블록도이다.
도 4는 본 발명의 일 실시예에 따른 무선 통신 장치가 칩운영체제를 통해 스마트 카드 결제 서비스를 제공하는 과정을 설명하는 순서도이다.
도 5는 파일운영체제에서 부분적으로 암호화된 파일을 생성하는 과정을 설명하는 예시도이다.
도 6는 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치에서 제공되는 주요 기능을 설명하는 도면이다.1 is a diagram illustrating a security enhanced wireless communication system according to an embodiment of the present invention.
FIG. 2 is a block diagram illustrating the wireless communication device in FIG. 1.
3 is a block diagram illustrating the secure element in FIG. 2.
4 is a flowchart illustrating a process of providing a smart card payment service through a chip operating system by a wireless communication device according to an embodiment of the present invention.
5 is an exemplary diagram illustrating a process of generating a partially encrypted file in a file operating system.
6 is a view for explaining the main functions provided in the security-enhanced wireless communication device according to an embodiment of the present invention.

본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.Description of the present invention is only an embodiment for structural or functional description, the scope of the present invention should not be construed as limited by the embodiments described in the text. That is, since the embodiments may be variously modified and may have various forms, the scope of the present invention should be understood to include equivalents capable of realizing the technical idea. In addition, the objects or effects presented in the present invention does not mean that a specific embodiment should include all or only such effects, the scope of the present invention should not be understood as being limited thereby.

한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.On the other hand, the meaning of the terms described in the present application should be understood as follows.

"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are intended to distinguish one component from another component, and the scope of rights should not be limited by these terms. For example, the first component may be named a second component, and similarly, the second component may also be named a first component.

어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that there may be other components in between, although it may be directly connected to the other component. On the other hand, when a component is referred to as being "directly connected" to another component, it should be understood that there is no other component in between. On the other hand, other expressions describing the relationship between the components, such as "between" and "immediately between" or "neighboring to" and "directly neighboring to", should be interpreted as well.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions should be understood to include plural expressions unless the context clearly indicates otherwise, and terms such as "comprise" or "have" refer to a feature, number, step, operation, component, part, or feature thereof. It is to be understood that the combination is intended to be present and does not exclude in advance the possibility of the presence or addition of one or more other features or numbers, steps, operations, components, parts or combinations thereof.

각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, an identification code (e.g., a, b, c, etc.) is used for convenience of description, and the identification code does not describe the order of the steps, and each step clearly indicates a specific order in context. Unless stated otherwise, they may occur out of the order noted. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.

본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The present invention can be embodied as computer readable code on a computer readable recording medium, and the computer readable recording medium includes all kinds of recording devices in which data can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art unless otherwise defined. Generally, the terms defined in the dictionary used are to be interpreted to coincide with the meanings in the context of the related art, and should not be interpreted as having ideal or excessively formal meanings unless clearly defined in the present application.

도 1은 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 시스템을 설명하는 도면이다.1 is a diagram illustrating a security-enhanced wireless communication system according to an embodiment of the present invention.

도 1을 참조하면, 보안이 강화된 무선 통신 시스템(이하, 무선 통신 시스템이라 한다.)(100)은 적어도 두개의 무선 통신 장치(110)를 포함할 수 있다.Referring to FIG. 1, a security enhanced wireless communication system (hereinafter, referred to as a wireless communication system) 100 may include at least two wireless communication devices 110.

무선 통신 장치(110)는 일대일 또는 일대다수가 즉시 간단한 의사소통을 포함하는 실시간 무선 통신 서비스를 이용할 수 있는 푸시-투-토크(Push-To-Talk, PTT) 단말에 해당할 수 있다. 무선 통신 시스템(100)을 구성하는 복수의 무선 통신 장치(110) 중 어느 하나의 무선 통신 장치(111)는 나머지 무선 통신 장치(112, 113) 중 적어도 하나의 무선 통신 장치(112 또는 113)와 네트워크를 통해 연결될 수 있고, 메시지를 주고 받을 수 있다.The wireless communication device 110 may correspond to a push-to-talk (PTT) terminal capable of using a real-time wireless communication service including one-to-one or one-to-many instant communication. The wireless communication device 111 of any one of the plurality of wireless communication devices 110 constituting the wireless communication system 100 may be connected to at least one wireless communication device 112 or 113 of the other wireless communication devices 112 and 113. It can be connected via a network and can send and receive messages.

도 2는 도 1에 있는 무선 통신 장치를 설명하는 블록도이다.FIG. 2 is a block diagram illustrating the wireless communication device in FIG. 1.

도 2를 참조하면, 무선 통신 장치(110)는 보안 서비스 어플리케이션(210), 보안 엘리먼트 어댑터(Element Adapter)(220), 가상 머신(Virtual Mation)(230) 및 보안 엘리먼트(Security Element)(240)를 포함할 수 있다.Referring to FIG. 2, the wireless communication device 110 may include a security service application 210, a security element adapter 220, a virtual machine 230, and a security element 240. It may include.

보안 서비스 어플리케이션(210)은 무선 통신 장치(110)에서 제공하는 독립적인 보안 서비스를 제공하기 위한 응용 프로그램에 해당할 수 있다. 무선 통신 장치(110)는 복수의 보안 서비스를 제공할 수 있고, 각각의 보안 서비스를 제공하기 위해서 각 보안 서비스를 위한 동작을 독립적으로 수행하는 보안 서비스 어플리케이션(210)을 포함할 수 있다.The security service application 210 may correspond to an application program for providing an independent security service provided by the wireless communication device 110. The wireless communication device 110 may provide a plurality of security services, and may include a security service application 210 that independently performs an operation for each security service to provide each security service.

예를 들어, 보안 서비스 어플리케이션(210)은 스마트 카드 솔루션 서비스, 클라우드 네트워크 서비스, P2P 다이렉트 통신(Direct Communication) 서비스, P2P 릴레이 통신(Relay Communication) 서비스 및 파일 전송/저장 서비스를 제공하기 위한 어플리케이션에 해당할 수 있고, 반드시 이에 한정되지 않고, 무선 통신 장치(110)가 제공하는 다양한 형태의 보안 서비스를 직접적으로 수행할 수 있는 어플리케이션에 해당할 수 있다.For example, the security service application 210 corresponds to an application for providing smart card solution service, cloud network service, P2P direct communication service, P2P relay communication service, and file transfer / storage service. In addition, the present invention is not limited thereto and may correspond to an application capable of directly performing various types of security services provided by the wireless communication device 110.

보안 서비스 어플리케이션(210)은 무선 통신 장치(110)에 기본적으로 설치될 수 있고, 무선 통신 장치(110)가 네트워크를 통해 설치 관련 파일을 다운로드 받아 직접 설치할 수 있다. 무선 통신 장치(110)는 업데이트 서버(도 1에 미도시함.)에 접속하여 주기적으로 각 보안 서비스 어플리케이션(210)에 대한 업데이트 여부를 확인할 수 있고, 업데이트 파일이 존재하는 경우 자동으로 업데이트를 수행할 수 있다.The security service application 210 may be basically installed in the wireless communication device 110, and the wireless communication device 110 may directly download and install an installation related file through a network. The wireless communication device 110 may access an update server (not shown in FIG. 1) and periodically check whether the security service application 210 is updated, and automatically update when an update file exists. can do.

보안 엘리먼트 어댑터(Element Adapter)(220)는 보안 서비스 어플리케이션(210)과 일대일로 연동할 수 있고, 보안 시스템 호출 API(Application Programming Interface)를 제공할 수 있다. 보안 엘리먼트 어댑터(220)는 보안정책에 따라 보안 시스템 호출 API를 해당 보안 엘리먼트 어댑터(220)와 연동하고 있는 보안 서비스 어플리케이션(210)에 제공할 수 있다.The secure element adapter 220 may interoperate one-to-one with the security service application 210 and may provide a secure system call application programming interface (API). The secure element adapter 220 may provide the security system call API to the security service application 210 that is interoperable with the corresponding secure element adapter 220 according to the security policy.

무선 통신 장치(110)는 특정 보안 서비스 어플리케이션(210)이 실행되면 보안 엘리먼트 어댑터(220)를 생성하고, 특정 보안 서비스 어플리케이션(210)과 생성된 보안 엘리먼트 어댑터(220)를 일대일로 연동시킬 수 있다. 무선 통신 장치(110)는 해당 보안 서비스 어플리케이션(210)에 적합한 보안 정책을 결정할 수 있고, 결정된 보안 정책을 보안 엘리먼트 어댑터(220)에 적용할 수 있다. 무선 통신 장치(110)는 보안 서비스 어플리케이션(210)이 동작을 완료하고 종료되는 경우 해당 보안 서비스 어플리케이션(210)과 연동된 보안 엘리먼트 어댑터(220)를 삭제할 수 있다.When the specific security service application 210 is executed, the wireless communication device 110 may generate a secure element adapter 220 and interwork the generated secure element adapter 220 with the generated secure element adapter 220 in a one-to-one manner. . The wireless communication device 110 may determine a security policy suitable for the corresponding security service application 210 and apply the determined security policy to the secure element adapter 220. The wireless communication device 110 may delete the secure element adapter 220 associated with the corresponding security service application 210 when the security service application 210 completes its operation and terminates.

가상 머신(Virtual Mation)(230)은 보안 엘리먼트 어댑터(220)의 동작을 관리할 수 있다. 가상 머신(230)은 보안 엘리먼트(240)에 포함되어 있는 프로세서(도 2에서 미도시함.)에 의해 제어될 수 있다. 프로세서에 대해서는 도 3에서 자세히 설명한다.The virtual machine 230 may manage the operation of the secure element adapter 220. The virtual machine 230 may be controlled by a processor (not shown in FIG. 2) included in the secure element 240. The processor will be described in detail with reference to FIG. 3.

가상 머신(230)은 복수의 보안 엘리먼트 어댑터(230)들 및 보안 시스템 호출 API에 관해 보안정책을 강제할 수 있다. 보다 구체적으로, 가상 머신(230)은 복수의 보안 엘리먼트 어댑터(230)들이 각각에 적용된 보안정책에 따라 보안 시스템 호출 API를 보안 서비스 어플리케이션(210)에 제공하도록 강제할 수 있다.The virtual machine 230 may enforce a security policy with respect to the plurality of secure element adapters 230 and the secure system call API. More specifically, the virtual machine 230 may force the plurality of secure element adapters 230 to provide a secure system call API to the secure service application 210 according to the security policy applied to each.

일 실시예에서, 가상 머신(230)은 보안 서비스 어플리케이션(210)이 제공하는 보안 서비스의 내용을 기초로 차등적으로 보안 정책을 결정할 수 있다. 보다 구체적으로, 가상 머신(230)은 서비스의 성질상 높은 보안이 필요한 순서에 따라 차등적인 보안 정책을 결정할 수 있다. 예를 들어, 가상 머신(230)은 높은 보안 기준을 적용하는 순서에 따라 스마트 카드 솔루션 서비스, 파일 전송/저장 서비스, P2P 릴레이 통신 서비스, P2P 다이렉트 통신 서비스 및 클라우드 네트워크 서비스 순서로 차등적인 보안 정책을 결정할 수 있다.In one embodiment, the virtual machine 230 may differentially determine the security policy based on the content of the security service provided by the security service application 210. More specifically, the virtual machine 230 may determine the differential security policy in the order in which high security is required due to the nature of the service. For example, the virtual machine 230 may set a differential security policy in order of smart card solution service, file transfer / storage service, P2P relay communication service, P2P direct communication service, and cloud network service in order of applying high security standards. You can decide.

가상 머신(230)은 보안 정책에 따라 보안 가속기(도 2에서 미도시함.)의 사용권한을 제공하거나 메모리(도 2에서 미도시함.)의 해당 보안 파티션에 관한 접근권한을 제공할 수 있다. 여기에서, 보안 가속기 및 메모리에 대해서는 도 3에서 자세히 설명한다.The virtual machine 230 may provide permission to use a security accelerator (not shown in FIG. 2) or access to a corresponding security partition of a memory (not shown in FIG. 2) according to a security policy. . Here, the security accelerator and the memory will be described in detail with reference to FIG. 3.

보안 엘리먼트(Security Element)(240)는 무선 통신 장치(110)의 전체적인 보안 처리를 담당할 수 있다. 보안 엘리먼트(240)는 가상 머신(230)이 동작할 수 있는 실행 환경을 제공할 수 있고, 가상 머신(230)의 동작을 제어할 수 있다. 보안 엘리먼트(240)는 가상 머신(230)을 통해 각각의 보안 서비스 어플리케이션(210)들이 동작하는 환경을 제공할 수 있고, 보안 서비스 어플리케이션(210)들이 수행되는 과정에서 보안 가속기에 대한 사용권한 또는 메모리에 관한 접근권한을 제어할 수 있다.The security element 240 may be responsible for overall security processing of the wireless communication device 110. The secure element 240 can provide an execution environment in which the virtual machine 230 can operate and can control the operation of the virtual machine 230. The secure element 240 may provide an environment in which the respective security service applications 210 operate through the virtual machine 230, and use rights or memory for the security accelerator in the process of performing the security service applications 210. You can control access rights for.

도 3은 도 2에 있는 보안 엘리먼트를 설명하는 블록도이다.3 is a block diagram illustrating the secure element in FIG. 2.

보안 엘리먼트(240)는 메모리(310), 보안 가속기(330) 및 프로세서(350)를 포함할 수 있다.The secure element 240 can include a memory 310, a security accelerator 330, and a processor 350.

메모리(310)는 플래시 메모리(Flash Memory)로 구현될 수 있고, 복수의 보안 파티션(Partition)들로 구분될 수 있다. 여기에서, 보안 파티션(Partition)은 메모리(310)의 일부분에 해당할 수 있고, 특정 보안 서비스 어플리케이션(210)과 연관되어 해당 보안 서비스 제공을 위해서는 사용되도록 접근이 제한될 수 있다. 메모리(310)를 구성하는 각각의 보안 파티션들은 보안 엘리먼트(240)의 통제를 받는 가상 머신(230)의 제어에 따라 특정 보안 서비스 어플리케이션(210)과 연관될 수 있다.The memory 310 may be implemented as a flash memory, and may be divided into a plurality of security partitions. Herein, the security partition may correspond to a portion of the memory 310, and access may be restricted to be used for providing a corresponding security service in association with a specific security service application 210. Each of the secure partitions constituting the memory 310 may be associated with a particular secure service application 210 under the control of the virtual machine 230 under the control of the secure element 240.

메모리(310)는 SSD(Solid State Disk) 또는 HDD(Hard Disk Drive)와 같은 비휘발성 메모리로 구현되어 무선 통신 장치(110)에 필요한 데이터 전반을 저장하는데 사용되는 보조기억장치를 포함할 수 있고, RAM(Random Access Memory)과 같은 휘발성 메모리로 구현된 주기억장치를 포함할 수 있다. 메모리(310)는 RAM 또는 ROM(Read Only Memory)과 독립적으로 구현될 수 있다.The memory 310 may include a secondary memory device which is implemented as a nonvolatile memory such as a solid state disk (SSD) or a hard disk drive (HDD), and is used to store overall data necessary for the wireless communication device 110. It may include a main memory implemented with volatile memory such as random access memory (RAM). The memory 310 may be implemented independently of RAM or read only memory (ROM).

보안 가속기(330)는 복수의 보안 알고리즘들을 제공할 수 있다. 보안 서비스 어플리케이션(210)은 가상 머신(230)에 의해 보안 정책이 적용될 수 있고, 적용된 보안 정책에 따라 보안 가속기(330)를 사용함으로써 해당 보안 알고리즘이 적용된 서비스 동작을 수행할 수 있다. 무선 통신 장치(110)는 가상 머신(230)을 통해 각각의 보안 서비스 어플리케이션(210)들이 보안 가속기(330)를 사용할 수 있는 사용권한을 제어할 수 있다.The security accelerator 330 may provide a plurality of security algorithms. The security service application 210 may apply a security policy by the virtual machine 230, and perform a service operation to which a corresponding security algorithm is applied by using the security accelerator 330 according to the applied security policy. The wireless communication device 110 may control usage rights for each security service application 210 to use the security accelerator 330 through the virtual machine 230.

프로세서(350)는 무선 통신 장치(110)의 주요 기능과 연관된 보안 서비스 어플리케이션(210)을 실행할 수 있고, 그 과정 전반에서 읽혀지거나 작성되는 메모리(310)를 관리할 수 있으며, 메모리(310)에 있는 휘발성 메모리와 비휘발성 메모리 간의 동기화 시간을 스케줄할 수 있다. 프로세서(350)는 무선 통신 장치(110)의 동작 전반을 제어할 수 있고, 메모리(310) 및 보안 가속기(330)와 전기적으로 연결되어 이들 간의 데이터 흐름을 제어할 수 있다. 프로세서(350)는 무선 통신 장치(130)의 CPU(Central Processing Unit)로 구현될 수 있다.The processor 350 may execute the security service application 210 associated with the main functions of the wireless communication device 110, manage the memory 310 that is read or written throughout the process, and may store the memory 310 in the memory 310. The synchronization time between volatile and nonvolatile memory can be scheduled. The processor 350 may control overall operations of the wireless communication device 110 and may be electrically connected to the memory 310 and the security accelerator 330 to control data flow therebetween. The processor 350 may be implemented as a central processing unit (CPU) of the wireless communication device 130.

일 실시예에서, 프로세서(350)는 복수의 보안 엘리먼트 어댑터(220)들 중 하나를 스마트 카드(Smart Card)에 관한 서비스를 위한 칩운영체제로 설정하고, 다른 하나를 원격 파일 처리에 관한 서비스를 위한 파일운영체제로 설정할 수 있다. 여기에서, 칩운영체제는 무선 통신 장치(110)를 통해 스마트 카드 솔루션 서비스를 제공하기 위해 필요한 시스템 소프트웨어에 해당할 수 있고, 파일운영체제는 무선 통신 장치(110)를 통해 파일 전송 및 저장 서비스를 제공하기 위해 필요한 시스템 소프트웨어에 해당할 수 있다. 칩운영체제 및 파일운영체제는 가상 머신(230)의 통제 하에서 각각 연관된 보안 서비스 어플리케이션(210)의 동작을 제어할 수 있다.In one embodiment, the processor 350 sets one of the plurality of secure element adapters 220 as a chip operating system for services relating to a smart card, and the other for services related to remote file processing. Can be set as a file operating system. Here, the chip operating system may correspond to system software required to provide a smart card solution service through the wireless communication device 110, and the file operating system may provide a file transfer and storage service through the wireless communication device 110. This may correspond to the system software required for the purpose. The chip operating system and the file operating system may control the operation of the associated security service application 210 under the control of the virtual machine 230.

일 실시예에서, 칩운영체제는 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드 메시지로 결제 승인 기기에 전송하여 클라우드 서버에 결제 요청을 저장할 수 있다. 보다 구체적으로, 칩운영체제는 무선 통신 장치(110)에 내장된 스마트 카드 정보를 기초로 결제 요청 신호를 수신하면 해당 결제 요청 정보를 보안 시스템 호출 API를 통해 보안 처리한 후 클라우드 메시지로서 클라우드 네트워크를 통해 결제 승인 기기로 전송할 수 있다.In one embodiment, the chip operating system may store the payment request in the cloud server by transmitting the payment request to the payment approval device as a cloud message through a secure system call API used in the payment process of the smart card. More specifically, when the chip operating system receives the payment request signal based on the smart card information embedded in the wireless communication device 110, the payment request information is secured through the security system call API and then through the cloud network as a cloud message. The payment can be sent to the approved device.

여기에서, 칩운영체제에 의한 보안 처리는 개인 정보가 포함된 결제 요청 정보에 대해 보안 시스템 호출 API를 통해 보안 알고리즘을 적용하여 암호화함으로써 결제 요청 정보를 보호하기 위한 작업에 해당할 수 있다. 이 경우, 적용되는 보안 알고리즘은 가상 머신(230)에 의해 강제되는 보안 정책에 따라 칩운영체제는 보안 처리된 결제 요청 정보를 클라우드 메시지로서 클라우드 네트워크를 통해 결제 승인 기기로 전송할 수 있다. 결제 승인 기기는 무선 통신 장치(110)와 클라우드 네트워크를 통해 연결될 수 있고, 다른 작업을 수행하는 도중 특정 무선 통신 장치(110)로부터 결제 요청을 수신한 경우에는 클라우드 서버에 수신한 순서대로 결제 요청을 저장할 수 있다. 결제 승인 기기는 클라우드 서버에 저장된 순서에 따라 결제 요청을 처리할 수 있다.Here, the security processing by the chip operating system may correspond to an operation for protecting the payment request information by applying a security algorithm and encrypting the payment request information including the personal information through a security system call API. In this case, the applied security algorithm may transmit the secured payment request information as a cloud message to the payment approval device through the cloud network according to the security policy enforced by the virtual machine 230. The payment approval device may be connected to the wireless communication device 110 through a cloud network, and when a payment request is received from a specific wireless communication device 110 while performing another task, the payment approval device transmits the payment request to the cloud server in the order received. Can be stored. The payment approval device may process the payment request in the order stored in the cloud server.

일 실시예에서, 칩운영체제는 결제 요청의 승인이 성공적으로 수신되면 보안 가속기(330)를 통한 복수의 보안 파티션들 중 하나인 스마트 카드용 보안 파티션의 접근을 허용하여 해당 보안 서비스 어플리케이션(210)이 스마트 카드용 보안 파티션에 있는 결제수단의 접근을 방지할 수 있다.In one embodiment, the chip operating system permits access to the security partition for the smart card, which is one of a plurality of security partitions, via the security accelerator 330 upon successful receipt of the payment request. Access to payment methods in the security partition for smart cards can be prevented.

스마트 카드 결제 서비스는 고도의 보안이 요구되는 서비스에 해당하므로, 칩운영체제는 스마트 카드 결제 서비스를 제공하는 보안 서비스 어플리케이션(210)이라고 하더라도 결제수단이 저장된 스마트 카드용 보안 파티션으로의 접근을 매우 엄격히 제한함으로써 보안성을 강화할 수 있다.Since the smart card payment service corresponds to a service requiring high security, even if the chip operating system is a security service application 210 that provides the smart card payment service, the access to the secure partition for the smart card in which the payment method is stored is very strictly restricted. This can enhance security.

일 실시예에서, 칩운영체제는 결제수단으로부터 파생되고 보안 가속기(330)에 의해 전부 암호화된 결제정보를 결제 처리 장치에 제공할 수 있다. 칩운영체제는 결제수단으로부터 파생된 결제 정보를 보호하기 위해 보안 가속기(330)를 통해 가장 엄격한 보안 기준을 가진 보안 알고리즘을 적용하여 암호화할 수 있다. 최종적으로 암호화된 결제정보는 결제 처리 장치에 제공되고, 결제 처리 장치는 결제정보를 기초로 결제 처리를 수행하게 된다.In one embodiment, the chip operating system may provide the payment processing device with payment information derived from the payment means and fully encrypted by the security accelerator 330. In order to protect payment information derived from a payment method, the chip operating system may encrypt the application by using a security algorithm having the strictest security standard through the security accelerator 330. Finally, the encrypted payment information is provided to the payment processing device, and the payment processing device performs the payment processing based on the payment information.

일 실시예에서, 파일운영체제는 직접 P2P(Peer To Peer) 파일의 전송 과정에서 보안 시스템 호출 API를 사용함으로써 보안 가속기(330)를 통해 부분적으로 암호화된 파일을 생성하도록 하여 파일 수신저장 기기에 부분적으로 암호화된 파일을 전송할 수 있다.In one embodiment, the file operating system generates a partially encrypted file through the security accelerator 330 by using a security system call API in the process of transmitting a peer to peer (P2P) file directly, partially in a file receiving storage device. You can transfer encrypted files.

일 실시예에서, 파일운영체제는 원본 파일을 복수의 절편들로 분할하고 원본 절편과 암호화된 절편을 교번하여 부분적으로 암호화된 파일을 생성할 수 있다. 도 5는 파일운영체제에서 부분적으로 암호화된 파일을 생성하는 과정을 설명하는 예시도이다. 도 5를 참조하면, 파일운영체제는 원본 파일(510)을 복수의 절편(551, 553)들로 분할할 수 있다. 파일 운영체제는 복수의 절편들 중 일부 절편들을 보안 가속기(330)를 통해 보안 알고리즘을 적용하여 암호화된 절편(553)들을 생성할 수 있다. 파일 운영체제는 원본 절편(551)과 암호화된 절편(553)들을 교번하여 부분적으로 암호화된 파일(530)을 생성할 수 있다.In one embodiment, the file operating system may generate the partially encrypted file by dividing the original file into a plurality of fragments and alternating the original fragment and the encrypted fragment. 5 is an exemplary diagram illustrating a process of generating a partially encrypted file in a file operating system. Referring to FIG. 5, the file operating system may divide the original file 510 into a plurality of fragments 551 and 553. The file operating system may apply the security algorithm through the security accelerator 330 to some of the plurality of fragments to generate encrypted fragments 553. The file operating system may generate the partially encrypted file 530 by alternating the original slice 551 and the encrypted slice 553.

일 실시예에서, 파일운영체제는 원본 파일을 다음 수학식을 통해 산출된 개수만큼의 절편들로 분할할 수 있고, 원본 절편과 암호화된 절편을 교번하여 상기 부분적으로 암호화된 파일을 생성할 수 있다.In one embodiment, the file operating system may divide the original file into as many fragments as calculated through the following equation, and alternately generate the partially encrypted file by alternating the original fragment and the encrypted fragment.

[수학식][Equation]

Figure 112017120008902-pat00001
Figure 112017120008902-pat00001

여기에서, k는 비례 상수를, N은 분할되는 절편의 수를, P는 프로세서의 업무부하량을, F는 원본 파일의 크기를, S는 보안 정책의 보안 수준을 나타낸다. S는 보안 정책의 보안 수준에 따라 일정 점수로 정규화될 수 있고, 보안 수준이 높을수록 높은 점수을 가질 수 있다.Where k is the proportional constant, N is the number of segments to be split, P is the workload of the processor, F is the size of the original file, and S is the security level of the security policy. S may be normalized to a certain score according to the security level of the security policy, and the higher the security level may have a higher score.

파일운영체제는 원본 파일의 크기가 클수록, 프로세서의 업무부하량을 적을수록, 보안 정책의 보안 수준이 높을수록 보다 많은 절편들로 원본 파일을 분할할 수 있다. 파일운영체제는 상기 수학식에 따라 적절한 수로 분할된 절편들 중 일부는 보안 알고리즘을 적용하여 암호화할 수 있고, 원본 절편과 암호화된 절편들을 교번하여 부분적으로 암호화된 파일을 생성함으로써 원본 파일을 그대로 전송하는 것보다 보안성을 강화할 수 있다. The larger the size of the original file, the less workload the processor has, and the higher the level of security in the security policy, the more fragments the original file can have. The file operating system may encrypt some of the fragments divided into appropriate numbers according to the above equation by applying a security algorithm, and transfer the original file as it is by generating the partially encrypted file by alternating the original fragment and the encrypted fragments. It can be more secure than that.

일 실시예에서, 파일운영체제는 원본 파일 전체에 보안 알고리즘을 적용하여 암호화할 수 있다. 또한, 프로세서(350)의 업무부하를 고려하여 원본 파일의 일부만 암호화함으로써 프로세서의 업무부하 가중에 따른 손실을 파일의 보안성 강화를 통해 보충할 수 있다. 결과적으로, 파일운영체제는 파일 처리 관련 서비스의 안전성을 전체적으로 일정한 수준으로 유지할 수 있다.In one embodiment, the file operating system may encrypt the entire file by applying a security algorithm. In addition, by considering only the part of the original file in consideration of the workload of the processor 350, the loss due to the workload of the processor may be compensated for by enhancing the security of the file. As a result, the file operating system can maintain a certain level of safety of file processing-related services as a whole.

일 실시예에서, 프로세서(350)는 복수의 보안 엘리먼트 어댑터(220)들 중 또 다른 하나를 PTT(Push To Talk) 서비스를 위한 PTT 운영체제로 설정할 수 있다. 여기에서, PTT 운영체제는 무선 통신 장치(110)를 통해 PTT 서비스를 제공하기 위해 필요한 시스템 소프트웨어에 해당할 수 있다.In one embodiment, the processor 350 may set another one of the plurality of secure element adapters 220 as a PTT operating system for Push To Talk (PTT) service. Here, the PTT operating system may correspond to system software necessary to provide a PTT service through the wireless communication device 110.

일 실시예에서, PTT 운영체제는 PTT의 전송 과정 전에 사용되는 보안 시스템 호출 API를 통해 파일운영체제에 의한 직접 P2P 파일의 전송에 끼어들어 보안 가속기(330)를 통해 가변적 암호화된 PTT 메시지의 전송을 우선 처리할 수 있다.In one embodiment, the PTT operating system first interrupts the transmission of the P2P file by the file operating system via the security system call API used before the PTT transmission process and preferentially processes the transmission of the variable encrypted PTT message through the security accelerator 330. can do.

PTT 운영체제는 PTT 서비스를 직접 P2P 파일의 전송과 독립적으로 제공할 수 있고, 파일운영체제에 의하여 직접 P2P 파일의 전송이 이루어지는 중간 과정에 직접 P2P 파일의 전송을 멈추고 PTT 메시지의 전송을 우선 처리할 수 있다. 가상 머신(230)은 보안 엘리먼트 어댑터(220)들 간의 동작 뿐만 아니라 동작의 우선순위를 결정할 수 있고, 우선순위에 따라 보안 엘리먼트 어댑터(220)의 동작을 관리할 수 있다.The PTT operating system can provide the PTT service independently of the P2P file transfer, and can stop the P2P file transfer and process the PTT message first in the middle of the P2P file transfer process by the file operating system. . The virtual machine 230 may determine the priority of the operation as well as the operation between the secure element adapters 220, and manage the operation of the secure element adapter 220 according to the priority.

일 실시예에서, PTT 운영체제는 보안 가속기(330)를 통해 프로세서(350)의 업무부하에 따라 차별적인 보안 알고리즘으로 수행되는 가변적 암호화를 적용하여 PTT 메시지를 생성할 수 있다. 보다 구체적으로, PTT 운영체제는 프로세서(350)의 업무부하를 실시간으로 감시할 수 있고, 프로세서(350)의 업무부하가 많은 경우 상대적으로 보안 기준이 낮은 보안 알고리즘을 적용하고, 프로세서(350)의 업무부하가 적은 경우 상대적으로 보안 기준이 높은 보안 알고리즘을 적용하여 암호화를 수행함으로써 프로세서(350)의 업무부하에 독립적인 PTT 서비스를 제공할 수 있다.In one embodiment, the PTT operating system may generate a PTT message by applying a variable encryption that is performed by a different security algorithm according to the workload of the processor 350 through the security accelerator 330. More specifically, the PTT operating system may monitor the workload of the processor 350 in real time, and when the workload of the processor 350 is large, a security algorithm having a relatively low security standard is applied, and the work of the processor 350 is performed. When the load is small, encryption may be performed by applying a security algorithm having a relatively high security standard, thereby providing an independent PTT service to a work load of the processor 350.

도 4는 본 발명의 일 실시예에 따른 무선 통신 장치가 칩운영체제를 통해 스마트 카드 결제 서비스를 제공하는 과정을 설명하는 순서도이다.4 is a flowchart illustrating a process of providing a smart card payment service through a chip operating system by a wireless communication device according to an embodiment of the present invention.

도 4를 참조하면, 무선 통신 장치(110)는 프로세서(350)를 통해 복수의 보안 엘리먼트 어댑터(220)들 중 하나를 스마트 카드에 관한 서비스를 위한 칩운영체제로 설정할 수 있다(단계 S410). 무선 통신 장치(110)는 칩운영체제가 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드 메시지로 결제 승인 기기에 전송하도록 할 수 있다(단계 S430).Referring to FIG. 4, the wireless communication device 110 may set one of the plurality of secure element adapters 220 as a chip operating system for a service related to a smart card through the processor 350 (step S410). The wireless communication device 110 may allow the chip operating system to transmit a payment request to the payment approval device as a cloud message through a security system call API used in the payment process of the smart card (step S430).

이 때, 결제 요청을 수신하는 결제 승인 기기가 다른 결제 요청을 처리 중에 있는 경우에는 결제 요청 메시지를 클라우드 서버에 저장할 수 있다. 클라우드 서버에 저장된 결제 요청 메시지는 저장 순서에 따라 차례대로 결제 승인 기기에 의해 처리될 수 있다.At this time, when the payment approval device receiving the payment request is processing another payment request, the payment request message may be stored in the cloud server. The payment request message stored in the cloud server may be processed by the payment approval device in order according to the storage order.

무선 통신 장치(110)는 칩운영체제가 결제 요청의 승인이 수신되면 보안 가속기(330)를 통해 스마트 카드 보안 파티션으로의 접근을 허용하도록 할 수 있다(단계 S470). 무선 통신 장치(110)는 칩운영체제가 스마트 카드 보안 파티션에 있는 결제수단으로부터 파생되고 보안 가속기(330)에 의해 전부 암호화된 결제 정보를 결제 처리 장치에 제공하도록 할 수 있다(단계 S490).The wireless communication device 110 may allow the chip operating system to allow access to the smart card security partition through the security accelerator 330 when the approval of the payment request is received (step S470). The wireless communication device 110 may allow the chip operating system to provide the payment processing device with payment information derived from the payment means in the smart card security partition and fully encrypted by the security accelerator 330 (step S490).

도 6는 본 발명의 일 실시예에 따른 보안이 강화된 무선 통신 장치에서 제공되는 주요 기능을 설명하는 도면이다.6 is a view for explaining the main functions provided in the security-enhanced wireless communication device according to an embodiment of the present invention.

도 6을 참조하면, 무선 통신 장치(660)는 5가지의 보안 서비스를 제공할 수 있고, 각각의 보안 서비스를 제공하기 위해서 각 보안 서비스를 위한 동작을 독립적으로 수행하는 보안 서비스 어플리케이션(210)을 포함할 수 있다. (220)와 연동하고 있는 보안 서비스 어플리케이션(210)에 제공할 수 있다.Referring to FIG. 6, the wireless communication device 660 may provide five security services, and provide a security service application 210 that independently performs an operation for each security service to provide each security service. It may include. It may be provided to the security service application 210 that is linked with the 220.

무선 통신 장치(660)는 특정 보안 서비스 어플리케이션(210)이 실행되면 보안 엘리먼트 어댑터(220)를 생성하고, 특정 보안 서비스 어플리케이션(210)과 생성된 보안 엘리먼트 어댑터(220)를 일대일로 연동시킬 수 있다. 무선 통신 장치(660)는 가상 머신(Virtual Mation)(230)을 통해 보안 엘리먼트 어댑터(220)의 동작을 관리할 수 있다.When the specific security service application 210 is executed, the wireless communication device 660 may generate the secure element adapter 220 and may interwork the generated secure element adapter 220 with the generated secure element adapter 220 one-to-one. . The wireless communication device 660 may manage the operation of the secure element adapter 220 through the virtual machine 230.

무선 통신 장치(660)에서 제공하는 보안 서비스로는 스마트 카드 솔루션 서비스(610), 클라우드 네트워크 서비스(620), P2P 다이렉트 통신(Direct Communication) 서비스(630), P2P 릴레이 통신(Relay Communication) 서비스(640) 및 파일 전송/저장 서비스(650)가 해당될 수 있다. 무선 통신 장치(660)는 보안 서비스 별로 독립적인 보안 정책을 결정할 수 있고, 각 보안 정책에 따라 독립적인 보안 알고리즘을 적용할 수 있다.The security services provided by the wireless communication device 660 include smart card solution service 610, cloud network service 620, P2P direct communication service 630, and P2P relay communication service 640. ) And file transfer / storage service 650. The wireless communication device 660 may determine an independent security policy for each security service, and apply an independent security algorithm according to each security policy.

상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to a preferred embodiment of the present invention, those skilled in the art will be variously modified and changed within the scope of the invention without departing from the spirit and scope of the invention described in the claims below I can understand that you can.

100: 보안이 강화된 무선 통신 시스템
110: 무선 통신 장치
210: 보안 서비스 어플리케이션 220: 보안 엘리먼트 어댑터
230: 가상 머신 240: 보안 엘리먼트
310: 메모리 330: 보안 가속기
350: 프로세서
510: 원본 파일 530: 암호화된 파일
551: 원본 절편 553: 암호화된 절편
660: 무선 통신 장치100: security enhanced wireless communication system
110: wireless communication device
210: security service application 220: secure element adapter
230: virtual machine 240: secure element
310: memory 330: security accelerator
350: processor
510: Source file 530: Encrypted file
551: original intercept 553: encrypted intercept
660: wireless communication device

Claims (8)

복수의 보안 파티션(Partition)들로 구분된 메모리;
복수의 보안 알고리즘들을 제공하는 보안 가속기; 및
각각이 독립적인 보안 서비스 어플리케이션과 연동하여 보안 시스템 호출 API(Application Programming Interface)를 제공하는 복수의 보안 엘리먼트 어댑터(Element Adapter)들 및 상기 보안 시스템 호출 API에 관해 보안정책을 강제하고 상기 보안정책에 따라 상기 보안 가속기의 사용권한을 제공하거나 또는 해당 보안 파티션에 관한 접근권한을 제공하는 가상 머신(Virtual Machine)을 제어하는 프로세서를 포함하되,
상기 프로세서는 상기 복수의 보안 엘리먼트 어댑터들 중 하나를 스마트 카드(Smart Card)에 관한 서비스를 위한 칩운영체제로 설정하고, 다른 하나를 원격 파일 처리에 관한 서비스를 위한 파일운영체제로 설정하며, 또 다른 하나를 PTT(Push To Talk) 서비스를 위한 PTT 운영체제로 설정하고,
상기 칩운영체제는 상기 복수의 보안 파티션들 중 하나인 스마트 카드용 보안 파티션에 있는 결제수단으로부터 파생되고 상기 보안 가속기에 의해 전부 암호화된 결제정보를 결제 처리 장치에 제공하고, 상기 파일운영체제는 원본 파일을 상기 프로세서의 업무부하 및 보안 정책의 보안 수준을 기초로 산출되는 개수만큼의 절편들로 분할하며, 상기 PTT 운영체제는 PTT의 전송 과정 전에 사용되는 보안 시스템 호출 API를 통해 파일운영체제에 의한 직접 P2P 파일의 전송에 끼어들어 상기 보안 가속기를 통해 가변적 암호화된 PTT 메시지의 전송을 우선 처리하며, 상기 가변적 암호화는 상기 프로세서의 업무부하에 따라 차별적인 보안 알고리즘으로 수행되는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
Memory divided into a plurality of secure partitions;
A security accelerator for providing a plurality of security algorithms; And
A security policy is enforced with respect to the security system call API and a plurality of security element adapters, each of which provides a security system call API in conjunction with an independent security service application. It includes a processor for controlling the virtual machine (Virtual Machine) that provides the use rights of the security accelerator or access rights for the security partition,
The processor sets one of the plurality of secure element adapters as a chip operating system for a service related to a smart card, the other as a file operating system for a service related to a remote file processing, and another one. To the PTT operating system for PTT (Push To Talk) service,
The chip operating system provides the payment processing device with payment information derived from a payment means in a security partition for a smart card, which is one of the plurality of security partitions, and fully encrypted by the security accelerator, and the file operating system provides an original file. The PTT operating system is divided into a number of fragments calculated based on the security load of the processor and the security policy of the processor. A security-enhanced wireless communication device, characterized in that it first processes transmission of a variable encrypted PTT message through the security accelerator, wherein the variable encryption is performed by a different security algorithm according to the workload of the processor. .
삭제delete 제1항에 있어서, 상기 칩운영체제는
상기 스마트 카드의 결제 과정에서 사용되는 보안 시스템 호출 API를 통해 결제 요청을 클라우드(Cloud) 메시지로 결제 승인 기기에 전송하여 클라우드 서버에 상기 결제 요청을 저장하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
The method of claim 1, wherein the chip operating system
Security-enhanced wireless communication device, characterized in that for transmitting the payment request as a cloud message to the payment approval device through a secure system call API used in the payment process of the smart card to store the payment request in the cloud server. .
제3항에 있어서, 상기 칩운영체제는
상기 결제 요청의 승인이 성공적으로 수신되면 상기 보안 가속기를 통한 상기 복수의 보안 파티션들 중 하나인 스마트 카드용 보안 파티션의 접근을 허용하여 해당 보안 서비스 어플리케이션이 상기 스마트 카드용 보안 파티션에 있는 결제수단에 접근하는 것을 방지하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
The method of claim 3, wherein the chip operating system
If the approval of the payment request is successfully received, allowing access to the security partition for the smart card, which is one of the plurality of security partitions, through the security accelerator to allow the corresponding security service application to the payment means in the security partition for the smart card. Security-enhanced wireless communication device, characterized in that preventing access.
삭제delete 제1항에 있어서, 상기 파일운영체제는
직접 P2P(Direct Peer To Peer) 파일의 전송 과정에서 보안 시스템 호출 API를 사용함으로써 상기 보안 가속기를 통해 부분적으로 암호화된 파일을 생성하도록 하여 파일 수신저장 기기에 상기 부분적으로 암호화된 파일을 전송하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
The method of claim 1, wherein the file operating system
In the process of direct P2P (Direct Peer To Peer) file transmission, the security system call API is used to generate a partially encrypted file through the security accelerator to transmit the partially encrypted file to a file receiving storage device. Security-enhanced wireless communication device.
제6항에 있어서, 상기 파일운영체제는
원본 파일을 복수의 절편들로 분할하고 원본 절편과 암호화된 절편을 교번하여 상기 부분적으로 암호화된 파일을 생성하는 것을 특징으로 하는 보안이 강화된 무선 통신 장치.
The system of claim 6, wherein the file operating system
And dividing an original file into a plurality of fragments and alternating an original fragment and an encrypted fragment to generate the partially encrypted file.
삭제delete
KR1020170163721A 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus Expired - Fee Related KR102058035B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170163721A KR102058035B1 (en) 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170163721A KR102058035B1 (en) 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus

Publications (2)

Publication Number Publication Date
KR20190064286A KR20190064286A (en) 2019-06-10
KR102058035B1 true KR102058035B1 (en) 2019-12-20

Family

ID=66848487

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170163721A Expired - Fee Related KR102058035B1 (en) 2017-11-30 2017-11-30 Security-enhanced wireless communication apparatus

Country Status (1)

Country Link
KR (1) KR102058035B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102423178B1 (en) * 2020-11-24 2022-07-20 부산대학교 산학협력단 Agent based cryptographic module interworking system and its method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7643817B2 (en) 2005-05-18 2010-01-05 General Dynamics C4 Systems, Inc. Method and apparatus for rapid secure session establishment on half-duplex AD-hoc group voice cellular network channels
KR101048523B1 (en) 2010-10-04 2011-07-11 유성호 Multifunction walkie talkie

Also Published As

Publication number Publication date
KR20190064286A (en) 2019-06-10

Similar Documents

Publication Publication Date Title
CN108183972B (en) File processing method and terminal
US20150350068A1 (en) Client applications communicating via a user tunnel
JP2021509561A (en) Systems and methods for end-to-end secure communication in device-to-device communication networks
KR101824895B1 (en) Secure connection for wireless devices via network records
CN103999120A (en) Sharing user information with proximate devices
WO2016145820A1 (en) Near field communication data transmission method, device, computer storage medium
US12149507B2 (en) Proxy network with self-erasing processing elements
CN102473214A (en) Collaborative agent encryption and decryption
CN104427496A (en) TD-LTE cluster communication system encryption transmission method, device and system
CN109075966B (en) Communication security system and method
KR102058035B1 (en) Security-enhanced wireless communication apparatus
US9219712B2 (en) WAN optimization without required user configuration for WAN secured VDI traffic
US20240340270A1 (en) Verified Anonymous Persona for a Distributed Token
CN112231308B (en) Method, device, equipment and medium for de-duplication of transverse federal modeling sample data
JP5670386B2 (en) Data management system
WO2014107060A1 (en) Apparatus for securing mobile data and method therefor
KR20190050159A (en) Method and apparatus for providing security status of communication block
KR102474855B1 (en) Method, system and non-transitory computer-readable recording medium for providing messenger service
US20230135920A1 (en) Network device authentication
CN111163102A (en) Data processing method and apparatus, network device, and readable storage medium
CN109862027A (en) Data transmission method, data reception method and device, and data transmission system
CN113949516B (en) Unified authentication permission method, system and storage medium
KR20170080570A (en) User side device and network side device in communication system and wireless communication method
KR102224974B1 (en) Service server, and operating method thereof
CN107431905B (en) Multimedia messaging service delivery system

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20171130

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20190314

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20190927

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20191216

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20191217

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
PC1903 Unpaid annual fee

Termination category: Default of registration fee

Termination date: 20230927