KR101611872B1 - Fido와 인증서를 이용한 인증 방법 - Google Patents

Fido와 인증서를 이용한 인증 방법 Download PDF

Info

Publication number
KR101611872B1
KR101611872B1 KR1020150155256A KR20150155256A KR101611872B1 KR 101611872 B1 KR101611872 B1 KR 101611872B1 KR 1020150155256 A KR1020150155256 A KR 1020150155256A KR 20150155256 A KR20150155256 A KR 20150155256A KR 101611872 B1 KR101611872 B1 KR 101611872B1
Authority
KR
South Korea
Prior art keywords
authentication
fido
certificate
server
user
Prior art date
Application number
KR1020150155256A
Other languages
English (en)
Inventor
강신명
최영철
Original Assignee
에스지에이솔루션즈 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스지에이솔루션즈 주식회사 filed Critical 에스지에이솔루션즈 주식회사
Priority to KR1020150155256A priority Critical patent/KR101611872B1/ko
Application granted granted Critical
Publication of KR101611872B1 publication Critical patent/KR101611872B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 FIDO와 인증서를 이용한 인증 방법에 관한 것으로서, (a) 상기 서비스단말이 상기 서비스서버로 서비스를 요청하면, 상기 서비스서버가 상기 FIDO 인증서버에 인증요청 생성을 요청하는 단계; (b) 상기 FIDO 인증서버가 사용자의 인증을 위한 인증요청을 생성하여 상기 사용자인증장치로 인증요청을 전송하는 단계; (c) 상기 사용자인증장치가 지역 사용자인증 후 인증응답을 생성하는 단계; (d) 상기 사용자인증장치가 상기 FIDO 인증서버 및 상기 인증서 인증서버로 인증응답을 전송하는 단계; (e) 상기 FIDO 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (f) 상기 인증서 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (g) 상기 서비스서버가 상기 FIDO 인증서버와 상기 인증서 인증서버로부터의 인증응답 검증 결과를 이용하여 인증검증결과를 판단하는 단계; 및, (h) 상기 서비스서버가 인증검증결과에 대한 판단에 따라 상기 서비스단말에 서비스를 제공하는 단계를 포함하는 구성을 마련한다.
상기와 같은 방법에 의하여, FIDO 인증 외에 인증서를 이용한 전자서명 및 인증서 검증을 이용함으로써, 사용자 인증 외에 사용자의 신원확인 또는, 사용자 행위에 대한 부인방지를 할 수 있다.

Description

FIDO와 인증서를 이용한 인증 방법 { An authentication method using FIDO(Fast IDentity Online) and certificates }
본 발명은 사용자가 서비스 제공자의 서비스를 이용하기 위해 서비스에 접근 시 계정 인증에 파이도(FIDO, Fast Identity Online)를 이용하는, FIDO와 인증서를 이용한 인증 방법에 관한 것이다.
일반적으로, 파이도(FIDO, Fast Identity Online)는 아이디와 비밀번호 대신 지문 인식, 홍채 인식 또는, 얼굴 인식등을 통해 대체가 불가능 하면서도 간단한 절차를 통해 인증을 처리할 수 있도록 해주는 새로운 인증 시스템의 표준 규격이다. FIDO 인증은 기본적으로 아이디(ID)와 패스워드를 사용하는 시스템의 취약성을 해결하기 위해 사용되는 인증 체계로서, 사용자가 기억해야 하는 패스워드가 아닌 자신이 지니고 있는 것, 예를 들어, 지문과 같은 생체 인식을 패스워드로 하여 더욱 보안성을 높이고 있다.
FIDO는 공개키 암호화 방식을 사용한다. 즉, 사용자가 인증방식을 선택하고 그것을 등록할 때 새로운 키 쌍이 생성되어 저장된다. 이때, 인증 자료가 서버로 전송되지 않는다. 예를 들어, 지문으로 인증을 하게 되면, 이에 맞는 개인키로 인증정보를 생성하고, 서버에 저장되어 있는 공개키로 검증하여 개인키와 맞는지를 확인한다. 그래서 일치하면 인증을 확인하는 방식이다. 따라서 파이도(FIDO)는 인증으로 사용한 지문을 서버로 전송하여 이전에 등록되었던 지문과 일치하는지 확인하는 방식이 아니다.
즉, FIDO 인증은 사용자가 서비스 제공 시스템에 접근하기 위해 기반 기술로 공개키 기반 구조(PKI) 기술을 사용하지만 사용자는 PKI 사용 여부나 사용하는 공개키 및 개인키를 몰라도 된다. 이러한 특성으로 인하여 인증 시에 인증기(Authenticator)라고 하는 부가적인 사용자 장치(이하 FIDO 사용자인증장치)가 필요하다. FIDO 사용자 인증장치는 서비스 제공 시스템에 로그인하기 위한 공개키 및 개인키를 안전하게 저장한다.
상기 FIDO 사용자 인증장치는 H/W나 S/W등 형태에 제한을 두지 않아, 이를 서비스 제공자가 직접 정할 수 있다. 이때, 서비스 제공자는 FIDO 사용자 인증장치 허용 및 차단 정책을 이용하여, FIDO 사용자 인증장치가 제공할 수 있는 보안수준 대비, 서비스 제공에 필요한 보안 수준을 설정할 수 있다.
또한, FIDO 인증 시스템 하에서는 공개키 및 개인키의 생성에 사용자가 관여하지 않음으로써, 서비스 제공자는 차후 사용자 장치가 등록하는 공개키 만으로 사용자를 특정할 수 없기 때문에, 개인정보보호에 유리하다. 사용자는 사용하고자 하는 서비스의 접근을 위해서 FIDO 사용자 인증장치 내의 개인키에 접근해야 하고, 해당 개인키에 접근하기 위해 FIDO 사용자 인증장치에 대한 인증을 수행한다. 이때, FIDO는 이러한 인증의 수단(이하 지역 사용자 인증장치)에 제한을 두지 않지만 지문 등 생체정보를 이용한 인증을 이용함으로써 각광을 받고 있다. 다만, 개인정보보호에 유리한 특성이 금융 거래 등 사용자를 특정해야 하는 경우에는 서비스 제공자가 사용자에 대한 신원확인 및 사용자의 행위에 대한 부인을 방지할 수 없게 되는 부작용을 낳을 수 있다.
한편, 은행 등의 서비스 제공자는 사용자의 공인인증서를 등록 받아 사용자의 신원확인 및 사용자 행위에 대한 부인을 방지하고 있다. 그러나 공인인증서에 의한 인증 방식은 해킹이나 피싱 등의 위협에 노출되고 있고, 공인인증서를 사용하기 위한 확장 프로그램을 추가로 설치해야 한다는 문제점이 있다. 특히, 액티브엑스(ActiveX)와 같은 플러그인 기술에 대한 반감 및 크롬(Chrome) 브라우저가 플러그인 형태의 확장 프로그램을 지원하지 않는 등의 이유로 사용자의 이용에 불편함이 늘어나고 있다. 이 문제를 해결하기 위해 액티브엑스(ActiveX) 등의 프로그램을 사용하지 않고 서비스 또는, 실행파일 형태(예 : Windows의 경우 exe)의 확장 프로그램을 이용하고 있으나, 사용자가 프로그램을 설치해야 하는 불편함은 여전히 존재한다. 그래서 설치 프로그램에 대한 무결성 검증 등 플러그인 프로그램 설치 시에 발생하는 보안 이슈는 줄어들지 않고 있다.
또한, 생체 정보를 이용한 인증기술들이 제시되고 있다[특허문헌 1,2].
한국공개특허 제2015-0118566호 (2015.10.22.공개) 한국공개특허 제2015-0073082호 (2015.06.30.공개)
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 사용자가 서비스 단말을 통해 서비스 서버에 서비스를 요청하면, FIDO 인증서버가 사용자 인증장치로 인증을 요청하고, 사용자 인증장치가 인증 요청에 대한 인증응답을 FIDO 인증서버로 전송하여, 서비스에 대한 인증을 수행하는, FIDO와 인증서를 이용한 인증 방법을 제공하는 것이다.
또한, 본 발명의 목적은 먼저 FIDO 인증으로 사용자의 개인정보보호를 보호하면서 사용자를 인증한 후, 필요 시에 인증서 인증으로 사용자의 신원을 확인하고, 사용자 행위에 대한 부인을 방지하는, FIDO와 인증서를 이용한 인증 방법을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 네트워크로 연결된 사용자인증장치, 서비스단말, 서비스서버, FIDO 인증서버 및 인증서 인증서버에 의해 수행되는 FIDO와 인증서를 이용한 인증 방법에 관한 것으로서, (a) 상기 서비스단말이 상기 서비스서버로 서비스를 요청하면, 상기 서비스서버가 상기 FIDO 인증서버에 인증요청 생성을 요청하는 단계; (b) 상기 FIDO 인증서버가 사용자의 인증을 위한 인증요청을 생성하여 상기 사용자인증장치로 인증요청을 전송하는 단계; (c) 상기 사용자인증장치가 지역 사용자인증 후 인증응답을 생성하는 단계; (d) 상기 사용자인증장치가 상기 FIDO 인증서버 및 상기 인증서 인증서버로 인증응답을 전송하는 단계; (e) 상기 FIDO 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (f) 상기 인증서 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (g) 상기 서비스서버가 상기 FIDO 인증서버와 상기 인증서 인증서버로부터의 인증응답 검증 결과를 이용하여 인증검증결과를 판단하는 단계; 및, (h) 상기 서비스서버가 인증검증결과에 대한 판단에 따라 상기 서비스단말에 서비스를 제공하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은 네트워크로 연결된 사용자인증장치, 서비스단말, 서비스서버, FIDO 인증서버 및 인증서 인증서버에 의해 수행되는 FIDO와 인증서를 이용한 인증 방법에 관한 것으로서, (a) 상기 서비스단말이 상기 서비스서버로 서비스를 요청하면, 상기 서비스서버가 상기 FIDO 인증서버에 인증요청 생성을 요청하는 단계; (b) 상기 FIDO 인증서버가 사용자의 인증을 위한 인증요청을 생성하여 상기 사용자인증장치로 인증요청을 전송하는 단계; (c) 상기 사용자인증장치가 지역 사용자인증 후 인증응답을 생성하는 단계; (d) 상기 사용자인증장치가 상기 FIDO 인증서버로 인증응답을 전송하는 단계; (e) 상기 FIDO 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (f) 상기 서비스서버가 상기 FIDO 인증서버로부터의 인증응답 검증 결과를 이용하여 인증검증결과를 판단하는 단계; (g) 상기 서비스서버가 인증검증결과에 대한 판단에 따라 서비스 실행에 필요한 서명요청을 생성하는 단계; (h) 상기 서비스서버가 상기 사용자인증장치로 서명요청을 전송하는 단계; (i) 상기 사용자인증장치가 지역 사용자인증 후 서명응답을 생성하는 단계; (j) 상기 사용자인증장치가 상기 인증서인증서버로 서명응답을 전송하는 단계; (k) 상기 인증서 인증서버가 서명응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (l) 상기 서비스서버가 상기 인증서 인증서버로부터의 서명응답 검증 결과를 이용하여 서명검증결과를 판단하는 단계; 및, (m) 상기 서비스서버가 서명검증결과에 대한 판단에 따라 상기 서비스단말에 서비스를 제공하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은 네트워크로 연결된 사용자인증장치, 서비스단말, 서비스서버, FIDO 인증서버 및 인증서 인증서버에 의해 수행되는 FIDO와 인증서를 이용한 인증 방법에 관한 것으로서, (a) 상기 서비스단말이 상기 서비스서버로 서비스를 요청하면, 상기 서비스서버가 상기 FIDO 인증서버에 인증요청 생성을 요청하는 단계; (b) 상기 FIDO 인증서버가 사용자의 인증에 필요한 인증요청을 생성하여 상기 사용자인증장치로 인증요청을 전송하는 단계; (c) 상기 사용자인증장치가 지역 사용자인증 후 인증응답을 생성하는 단계; (d) 상기 사용자인증장치가 상기 FIDO 인증서버 및 상기 인증서인증서버로 인증응답을 전송하는 단계; (e) 상기 FIDO 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (f) 상기 인증서 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (g) 상기 서비스서버가 상기 FIDO 인증서버와 상기 인증서 인증서버로부터의 인증응답 검증 결과를 이용하여 인증검증결과를 판단하는 단계; (h) 상기 서비스서버가 인증검증결과에 대한 판단에 따라 서비스 실행을 위한 서명요청을 생성하는 단계; (i) 상기 서비스서버가 상기 사용자인증장치로 서명요청을 전송하는 단계; (j) 상기 사용자인증장치가 지역 사용자인증 후 서명응답을 생성하는 단계; (k) 상기 사용자인증장치가 상기 인증서인증서버로 서명응답을 전송하는 단계; (l) 상기 인증서 인증서버가 서명응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계; (m) 상기 서비스서버가 상기 인증서 인증서버로부터의 서명응답 검증 결과를 이용하여 서명검증결과를 판단하는 단계; 및, (n) 상기 서비스서버가 서명검증결과에 대한 판단에 따라 상기 서비스단말에 서비스를 제공하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 사용자인증장치는, 사용자에 대한 지역 인증을 수행하는 지역 사용자인증장치; 상기 지역 인증이 통과되면, 인증요청에 대한 FIDO 인증응답을 생성하는 FIDO 인증장치; 및, 상기 지역 인증이 통과되면, 인증요청에 포함되는 서명응답 또는 서명요청에 의한 서명응답을 생성하되, 사용자의 인증서 및 개인키를 저장하여, 개인키로 전자서명을 하여 서명응답을 생성하는 인증서 인증장치를 포함하는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 (b)단계에서, 상기 인증요청은 상기 FIDO 인증서버에 의해 직접 상기 사용자인증장치로 전송되거나, 상기 서비스단말, 상기 서비스서버, 또는 상기 서비스서버 및 상기 서비스단말을 경유하여 상기 사용자인증장치로 전송되는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 (c)단계에서, 상기 사용자인증장치로 인증응답을 생성할 때, 상기 FIDO 인증장치의 접근을 위한 사용자 지역인증과 상기 인증서 인증장치에 접근하기 위한 사용자 지역인증을 각각 수행하거나 혹은 한번만 수행할 수 있는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 (c)단계에서, 상기 인증응답은, 상기 FIDO 인증장치에 의하여 생성된 FIDO 인증응답으로 구성되거나, 상기 FIDO 인증응답과 상기 인증서 인증장치에 의하여 전자서명한 서명응답으로 구성되고, 상기 서명응답은 상기 FIDO 인증응답, 또는, 사전에 정해진 부가정보를 전자서명하여 획득되는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 (d)단계에서, 상기 사용자인증장치가 인증응답을 상기 FIDO 인증서버 또는 상기 인증서 인증서버로 전송할 때, 상기 서비스단말 또는 상기 서비스단말 및 상기 서비스서버를 경유하거나, 소유하거나 전송받은 접속정보를 이용하여 직접 상기 FIDO 인증서버 또는 상기 인증서 인증서버로 인증응답을 전송하는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 (e)단계에서, 상기 FIDO 인증서버는 인증응답 중 FIDO 인증응답을 FIDO 규격에 따라 검증하되, FIDO 인증장치의 등록과정 중 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치의 사용자 인증서 및 개인키로 등록한 경우, FIDO 인증응답 검증 중 전자서명 검증 혹은 전자서명 검증에 필요한 공개키 혹은 해당 인증서 획득, 및 인증서 검증을 상기 인증서 인증서버를 이용하여 수행하는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 (f)단계에서, 상기 인증서 인증서버가 인증응답 중 서명응답을 검증할 때, FIDO 인증장치의 등록과정 중 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치의 사용자 인증서 및 개인키로 등록한 경우, FIDO 인증응답 검증 중 전자서명 검증 혹은 전자서명 검증에 필요한 공개키 혹은 해당 인증서 획득, 및 인증서 검증을 수행하고, FIDO 인증장치의 등록 과정 중 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, 전자서명대상 및 서명응답으로 전자서명 검증 및 인증서 검증을 수행하는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 FIDO 인증장치와 상기 인증서 인증장치가 상기 지역 사용자인증장치를 공유하거나, 상기 FIDO 인증장치를 위한 지역 사용자인증장치와 상기 인증서 인증장치를 위한 지역 사용자인증장치가 각각 존재하거나, 상기 지역 사용자인증장치가 상기 FIDO 인증장치와 상기 인증서 인증장치에 각각 포함될 수 있는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 FIDO 인증장치에 접근하기 위한 지역 사용자인증장치로 상기 인증서 인증장치의 지역 사용자인증장치를 이용할 수 있거나, 상기 인증서 인증장치에 접근하기 위한 지역 사용자인증장치로 상기 FIDO 인증장치의 지역 사용자인증장치를 이용할 수 있는 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 지역 사용자인증장치의 지역 사용자인증 방법은 PIN, 패스워드, 인증서 인증장치 내 개인키 패스워드, 토큰 PIN, OTP(일회용 비밀번호), 그래픽인증, 및, 생체인증 중 어느 하나 이상인 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 생체인증은 지문인식, 얼굴인식, 음성인식, 뇌파인증, 및, 심박인증 중 어느 하나 이상인 것을 특징으로 한다.
또한, 본 발명은 FIDO와 인증서를 이용한 인증 방법에 있어서, 상기 사용자인증장치 중 FIDO 인증장치의 등록과정 중 FIDO 규격에 따라 공개키 및 개인키를 생성하거나, 인증서 인증장치의 사용자 인증서 혹은 공개키 및 개인키를 이용하거나, 미리 생성된 공개키 및 개인키의 키 쌍을 이용할 수 있는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 FIDO와 인증서를 이용한 인증 방법에 의하면, 사용자가 서비스 제공자의 서비스에 접근 시 계정 인증에 FIDO를 이용함으로써, 플러그인에 대한 반감 및 불편함을 회피할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 FIDO와 인증서를 이용한 인증 방법에 의하면, FIDO 인증 외에 인증서를 이용한 전자서명 및 인증서 검증을 이용함으로써, 사용자 인증 외에 사용자의 신원확인 또는, 사용자 행위에 대한 부인방지를 할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 FIDO와 인증서를 이용한 인증 방법에 의하면, 먼저 FIDO 인증을 수행하고 필요 시에 인증서 인증을 수행함으로써, 사용자의 개인정보보호를 강화하면서 사용자의 신원 확인 및 사용자 행위의 부인방지를 할 수 있고, 인증의 편리성을 제고할 수 있는 효과가 얻어진다.
도 1은 본 발명에 따른 FIDO와 인증서를 이용한 인증 방법을 수행하기 위한 전체 시스템의 구성에 대한 블록도.
도 2는 본 발명의 실시예에 따른 사용자인증장치의 구성에 대한 블록도.
도 3은 본 발명의 제1 실시예에 따른 FIDO와 인증서를 이용한 인증 방법을 설명하는 흐름도.
도 4는 본 발명의 제2 실시예에 따른 FIDO와 인증서를 이용한 인증 방법을 설명하는 흐름도.
도 5는 본 발명의 제3 실시예에 따른 FIDO와 인증서를 이용한 인증 방법을 설명하는 흐름도.
도 6은 본 발명의 실시예에 따른 인증 방법에서의 인증응답 구성의 예시도
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명에 따른 FIDO와 인증서를 이용한 인증 방법을 수행하기 위한 전체 시스템의 구성을 도 1을 참조하여 설명한다.
도 1에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자인증장치(10), 서비스단말(20), 서비스서버(30), FIDO 인증서버(40) 및 인증서 인증서버(50)로 구성된다. 서비스단말 및 서비스서버(20, 30) 사이, 서비스서버 및 FIDO 인증서버, 인증서 인증서버(30, 40, 50) 사이, 사용자인증장치 및 서비스단말(10, 20) 사이는 네트워크(60)를 통해 데이터를 송수신한다. 또한 구성에 따라 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 직접 사용자인증장치, FIDO 인증서버, 인증서 인증서버(10, 40, 50) 사이에 네트워크(60)를 통해 데이터를 송수신한다.
사용자인증장치(10)는 얼굴인식장치, 음성인식장치, 뇌파인증 장치, 심박인증장치, 지문인식장치, 홍채인식장치 등 생체인식 장치, 혹은 PIN, 인증번호 등 사용자 입력장치 등으로 구비되며, 별도의 장치로 구성되거나, 서비스단말(20)에 부착되어 구성될 수 있다. 예를 들어 삼성페이의 경우는 지문인식장치는 이동 단말(또는 서비스단말)에 부착된다. 이때, 사용자인증장치(10)는 저장소로서 자체 저장매체를 사용하거나, 서비스단말(20) 내의 저장장치를 사용할 수 있다. 예를 들어, 사용자인증장치(10)는 저장소로서, 안드로이드의 보안영역 등 서비스단말(20) 내의 저장장치를 사용할 수 있다. 또한, 보안이 되는 채널이면 사용자인증장치(10)와 저장소의 로밍(roaming)도 허용된다. 사용자인증장치(10)의 구현 형태가 제약되지 않는다.
사용자인증장치(10)는 FIDO 인증 공개키 및 개인키의 키쌍, FIDO 인증장치 제조사 개인키 및 인증서, 사용자 인증서 및 개인키가 저장된 장치이다. 사용자인증장치(10)는 저장된 FIDO 인증 개인키, FIDO 인증장치 제조사 개인키, 또는 사용자 개인키로 전자서명을 수행하고, FIDO 인증서버(40)로부터의 인증요청에 대한 인증응답을 생성한다.
FIDO 인증 개인키는 지역 사용자 인증 후 접근이 가능한 저장소에 저장이 되는데, 서비스 제공자가 정책을 통해 정할 수 있다. 예를 들어 서비스 제공자가 지문으로 인증하는 인증장치만 허용한다 등을 설정할 수 있다. 또한 키 저장은 안드로이드 등 모바일 장치의 운영체제의 보안영역을 사용할 수 있다. 나중에 인증장치나 저장소에 보안 홀이 발생하는 경우 서비스 제공자가 정책으로 차단할 수도 있다.
사용자 개인키(또는 인증서 개인키)는 사용자 인증서와 매칭되는 개인키를 말한다. 이는 인증서 발급 시 인증서 내의 공개키와 같이 생성된다. FIDO 개인키는 사이트의 계정에 FIDO 인증장치를 등록할 때 공개키(FIDO 공개키)와 같이 생성이 된다. 사용자 개인키는 발급된 인증서의 유효기간에 따라 사용 기간이 정해지지만 FIDO 개인키는 FIDO 인증장치를 등록해지(및 키 삭제)하기 전까지 사용할 수 있다. 개인키와 달리 공개키는 다른 사람이나 기관에 공개하기 위한 키라서 개인키와 달리 지역 사용자 인증 없이 접근할 수도 있다. 단, 키의 아이디(ID) 등 어떤 개인키와 매칭이 되는지에 대한 정보는 있어야 한다.
제조사 개인키는 제조사가 FIDO 인증장치에 대한 인증을 위해 제조 단계에서 설정된다. FIDO 인증서버에 FIDO 인증장치 등록 시 옵션 사항으로 제조사 개인키로 등록 메시지 일부를 전자서명을 하고, FIDO 인증서버에 있는 제조사 정보와 FIDO 인증장치 내 제조사 인증서로 검증할 수 있다.
제조사 개인키는 FIDO 인증장치의 제조사에서 선택할 수 있는 사항이다. FIDO 인증장치를 등록할 때, 등록 시 생성한 FIDO 인증 개인키 혹은 제조사 개인키로 등록 메시지 일부를 전자서명한다. 둘 중 하나를 제조사에서 선택한다.
또한, 사용자인증장치(10)는 서비스단말(20)로부터 FIDO 인증서버(40)에서 생성된 인증요청을 수신한다. 또는, 서비스서버(30)로부터 FIDO 인증서버(40)에서 생성된 인증요청을 수신하기 위해 서비스단말(20)로 접근 정보를 전송한다. 또는, 서비스서버(30)로부터 FIDO 인증서버(40)에서 생성된 인증요청을 수신하기 위해 서비스서버(30)로 접근 정보를 전송한다. 또는, FIDO 인증서버(40)로부터 인증요청을 수신하기 위해 서비스단말(20)로 접근 정보를 전송한다. 또는, FIDO 인증서버(40)로부터 인증요청을 수신하기 위해 서비스서버(30)로 접근 정보를 전송한다. 또는, FIDO 인증서버(40)로부터 인증요청을 수신하기 위해 FIDO 인증서버(40)로 접근 정보를 전송한다.
접근정보는, 네트워크에 따라 달라지겠지만 사용자 인증장치가 인증서버로부터 데이터를 수신할 수 있는 정보를 말한다. 일반적인 인터넷 환경에서는 URI가 될 수 있고, TCP/IP 망에서는 IP/Port가 될 수도 있으며, 이더넷 환경에서는 MAC 주소도 될 수 있다. 또는, FIDO 인증장치에서 FIDO 인증서버로 TCP/IP 소켓(socket) 접속을 하는 경우, 소켓 아이디(socket id)가 될 수 있다. 또한, 사전에 인증서버가 이동통신 단말기 정보(전화번호)로 접속 주소(IP/Port)를 FIDO 인증장치로 전송할 수 있다.
또한, 다른 실시예로서, 서비스단말(20), 서비스서버(30), FIDO 인증서버(40)가 사용자인증장치의 접근 정보를 사전에 저장하고, 필요한 경우 저장된 접근정보를 불러와서 사용할 수 있다.
사용자인증장치(10)는 서비스단말(20)로 생성한 인증응답을 전송한다. 또는, 사용자인증장치(10)는 저장된 또는, 서비스단말(20)로부터 수신한 서비스서버 접근 정보를 이용하여 인증응답을 서비스서버(30)로 전송한다. 또는, 사용자인증장치(10)는 저장된 또는, 서비스단말(20)로부터 수신한 FIDO 인증서버(40) 또는, 인증서 인증서버(50)의 접근 정보를 이용하여 인증응답을 FIDO 인증서버(40) 또는, 인증서 인증서버(50)로 전송한다.
인증응답을 생성하기 위해서는 먼저 키(개인키)에 대한 접근이 필요하다. 키 접근을 위해서는 지역 인증(local authentication)을 해야 키에 접근할 수 있다. 예를 들어 지문인식을 이용한 인증장치에서 인증요청에 대한 인증응답을 생성해야 한다면, 인증요청 수신 -> 키 접근을 위한 지문인식 -> 통과 시 키 접근 가능 -> 해당 키로 인증응답 생성 및 서명의 과정으로 수행된다. 요청 수신 후 지문인식 혹은 지문인증에 실패하면 키 접근을 할 수 없으므로 인증응답을 생성할 수 없다. 만약 안면인식으로 지역인증을 한다면 인증요청 수신 -> 키 접근을 위한 안면인식 -> 통과 시 키 접근 가능 -> 해당 키로 인증응답 생성 및 서명의 과정으로 수행된다.
다음으로, 서비스단말(20)은 사용자가 서비스를 받기 위해 사용하는 단말로서, 개인용 컴퓨터(PC), 태블릿PC, 스마트폰 등 컴퓨팅 기능을 가지는 통상의 컴퓨터 단말이나 전용 단말이다.
또한, 서비스단말(20)은 서비스 제공자가 제공하는 서비스를 이용하기 위해 서비스서버(30)에 접근한다. 서비스이용을 위해 인증이 필요한 경우 서비스서버(30)로부터 수신한 인증요청을 사용자인증장치(10)로 전송한다. 또는, 서비스단말(20)은 서비스서버(30)가 인증요청을 전송할 수 있도록 사용자인증장치의 접근 정보를 서비스서버(30)에 전송한다. 또한 서비스단말(20)은 인증요청에 대해 사용자인증장치(10)가 생성하여 전송한 인증응답을 서비스서버(30)로 전송하거나, 사용자인증장치(10)가 FIDO 인증서버(40) 또는, 인증서 인증서버(50)에 전송할 수 있도록 접근 정보(FIDO 인증서버 또는 인증서 인증서버의 접근정보)를 사용자인증장치(10)에 전송한다.
다음으로, 서비스서버(30)는 서비스 제공자가 서비스를 제공하기 위한 서버로서, 접속하는 서비스단말(20)의 요청에 따라 서비스를 제공한다. 서비스단말(20)이 요청하는 서비스 제공에 인증이 필요한 경우, 서비스서버(30)는 FIDO 인증서버(40)에 인증요청의 생성을 요청한다. 서비스서버(30)는 FIDO 인증서버(40)로부터 수신한 인증요청을 서비스단말(20)에 전송한다. 또는, 서비스서버(30)는 서비스서버(30)에 저장된 또는, 서비스단말(20)로부터 수신한 사용자인증장치 접근 정보를 FIDO 인증서버(40)에 전송하여 인증요청을 사용자인증장치(10)로 전송하게 한다. 또는, 서비스서버(30)는 서비스단말의 접근 정보를 FIDO 인증서버(40)에 전송하여 생성된 인증요청을 서비스단말(20)로 전송하여 서비스단말(20)이 사용자인증장치(10)로 인증요청을 전송하게 한다.
FIDO 규격에 의하면, FIDO 프로토콜 메시지를 서비스제공자가 전송할 때 래핑(wrapping)할 수 있다. 이때 서명을 위한 서명대상 정보를 부가적으로 보낼 수 있다. 예를 들어, FIDO 인증요청에 대한 응답과 함께 옵션으로 서비스 제공자가 정한 정보 혹은 전송한 정보를 서명한다.
또한, 서비스서버(30)는 서비스단말(20)로부터 수신한 인증응답을 FIDO 인증서버(40) 또는, 인증서 인증서버(50)로 전송한다. 또는, 서비스서버(30)는 서비스단말(20)이 FIDO 인증서버(40) 또는, 인증서 인증서버(50)로 인증응답을 직접 전송할 수 있도록 FIDO 인증서버 또는 인증서 인증서버의 접근 정보를 서비스단말(20)로 전송한다. 또는, 서비스서버(30)는 사용자인증장치(10)가 FIDO 인증서버(40) 또는, 인증서 인증서버(50)로 인증응답을 직접 전송할 수 있도록 FIDO 인증서버(40) 또는, 인증서 인증서버(50)의 접근 정보를 사용자인증장치(10)로 전송한다.
또한, 서비스서버(30)는 서비스단말(20)로부터의 서비스 접근요청에 대해 FIDO 인증서버(40) 및/또는, 인증서 인증서버(50)로부터 사용자인증장치(10)에서 생성한 인증응답에 대한 검증결과를 수신하여 접근 허용 및 차단을 판단한다. 서비스서버(30)는 인증서 인증서버(50)로부터 사용자인증장치(10)에서 생성한 인증응답에 대한 검증결과를 수신하여 사용자에 대한 신원확인 또는, 사용자행위에 대한 부인방지를 검증한다.
인증응답은 FIDO 규격에 따른 FIDO 인증응답과 인증서와 개인키를 이용하여 전자서명한 인증서 인증응답으로 구성된다. 메시지 구성은 도 6과 같다. 두 응답 메시지를 동시에, 혹은 FIDO 인증응답과 전자서명대상/서명응답으로 나누어 FIDO 인증서버 및 인증서 인증서버로 각각 전송 후 검증한다. 신원확인과 부인방지는 전자서명에 사용된 인증서와 개인키의 소유확인으로 이뤄진다. 인증서에 있는 공개키와 짝을 이룬 개인키로 서명했다는 것은 일반 공인인증의 경우 암호화된 개인키의 패스워드를 알고 있어서 개인키를 복호화하여 전자서명에 사용할 수 있다거나 보안토큰의 PIN을 알고 있어서 개인키에 접근이 가능하다는 것으로, 이를 통해 해당 개인키를 사용자가 소유하고 있다고 확인할 수 있다. 인증서와 소유자의 관계는 인증기관이 확인을 하고 인증서를 발급했고, 인증서와 개인키의 관계는 전자서명 검증으로 확인한다. 이런 관계를 통해 소유자만 개인키를 이용할 수 있으므로 개인키를 이용한 행위에 대해 부인을 방지하거나 신원을 확인할 수 있다.
다음으로, FIDO 인증서버(40)는 서비스서버(30)로부터 수신한 인증요청 생성 요청에 대해 인증요청을 생성한다. FIDO 인증서버(40)는 생성된 인증요청을 서비스서버(30) 또는, 서비스단말(20) 또는, 사용자인증장치(10)로 전송한다.
FIDO 인증서버(40)는 사용자인증장치(10)가 생성하고 서비스서버(30) 또는, 서비스단말(20) 또는, 사용자인증장치(10)로부터 수신한 인증응답을 검증한다. FIDO 인증서버(40)는 인증응답 검증 결과를 서비스서버(30)로 전송한다.
특히, FIDO 인증서버(40)는 인증응답 중 FIDO 인증응답을 FIDO 규격에 따라 검증한다. FIDO 인증서버(40)는 인증응답 중 FIDO 인증응답을 검증할 때, FIDO 인증장치의 등록과정 중 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치의 사용자 인증서 및 개인키로 등록한 경우, FIDO 인증응답 검증 중 전자서명 검증 혹은 전자서명 검증에 필요한 공개키 혹은 해당 인증서 획득 부분, 및 인증서 검증 부분을 인증서 인증서버를 이용하여 수행하고, 그 외는 FIDO 규격에 따라 검증한다.
다음으로, 인증서 인증서버(50)는 사용자인증장치(10)가 생성하고 서비스서버(30) 또는, 서비스단말(20) 또는, 사용자인증장치(10)로부터 수신한 인증응답을 검증한다. FIDO 인증서버(40)에서 검증하는 인증응답 외에 사용자인증장치(10)에서 생성한 전자서명 검증 및 사용자 인증서 검증을 수행한다.
FIDO 인증서버(40)가 생성하는 인증요청은 FIDO 규격에 의한 FIDO 인증요청이다. FIDO 인증요청 외의 서명요청은 단말이나 서버 등 위치나 내용을 정하지 않고 서비스 제공자가 정하는 혹은 수신한 정보로 수행한 것이다. 즉, FIDO 인증요청에 대한 인증응답에는 FIDO 인증응답과 서명응답(또는 전자서명 대상에 대한 서명응답)이 모두 포함될 수 있고, 각각은 나누어서 각각 FIDO 인증서버 및 인증서 인증서버로 전송된다.
또한, 도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 사용자인증장치(10)는 제어/처리장치(100), 지역 사용자인증장치(110), FIDO 인증장치(120) 및 인증서 인증장치(130)로 구성된다. 지역 사용자인증장치(110), FIDO 인증장치(120) 및 인증서 인증장치(130) 사이는 인증장치 네트워크(140)를 통해 데이터를 송수신한다.
제어/처리장치(100)는 사용자인증장치(10)의 내/외부 인터페이스를 정의하고 실행한다. 제어/처리장치(100)는 인증장치 네트워크(140)를 통하여 지역 사용자인증장치(110), FIDO 인증장치(120), 및 인증서 인증장치(130)를 제어하고 구동하며, 결과를 얻는다.
네트워크(140)는 랜이나 인터넷 등 네트워크일 수도 있고, 회로 내의 라인(전송 라인)일 수도 있다. 네트워크(140)는 데이터 송신 라인으로서, 그 형태가 제한되지 않는다.
지역 사용자인증장치(110)는 사용자가 FIDO 인증장치(120) 또는, 인증서 인증장치(130)에 접근하기 위해 필요한 사용자 지역인증을 수행한다. 사용자가 서비스를 이용하기 위해 서비스서버(30)에 접근하려면 사용자인증장치(10)는 FIDO 인증서버(40)에서 생성한 인증요청을 수신하고, 이에 대응되는 인증응답을 생성해야 한다. 이를 위해, 사용자인증장치(10)는 FIDO 인증장치(120) 내의 FIDO 인증 공개키 및 개인키, FIDO 인증장치 제조사 인증서 및 개인키, 또는, 인증서 인증장치(130) 내의 사용자 인증서 및 개인키에 접근해야 한다. 그런데 지역 사용자인증장치(110)를 이용한 사용자 인증을 수행하여 접근 권한을 획득한 경우에 한하여 이들을 접근할 수 있게 한다. 즉, 지역 사용자인증장치(110)에 의해 인증되어야만, FIDO 인증장치(120) 및 인증서 인증장치(130)의 접근 권한을 획득할 수 있다.
한편, 지역 사용자인증장치(110)는 FIDO 인증장치(120)와 인증서 인증장치(130)가 공유할 수도 있고, 각각 독립적으로 존재할 수도 있다. 또는, 지역 사용자인증장치(110)는 FIDO 인증장치(120)와 인증서인증장치(130)에 각각 포함될 수도 있다. 지역 사용자인증장치(110)에서 사용하는 지역 사용자인증 방법은 PIN, 패스워드, 지문, 얼굴인식, 음성인식, 인증서 인증장치(130) 내 개인키 패스워드, 토큰 PIN 등 통상의 사용자 인증 방식이다.
다음으로, FIDO 인증장치(120)는 사용자가 지역 사용자인증장치(110) 또는, FIDO 인증장치(120)가 독립적인 인증 장치를 갖고 있는 경우에 해당 인증 장치를 이용하여 접근 권한을 획득한 경우, FIDO 인증서버(40)에서 생성한 FIDO 인증요청에 대응하는 FIDO 인증응답을 생성한다.
다음으로 인증서 인증장치(130)는 사용자가 지역 사용자인증장치(110) 또는, 인증서 인증장치(130)가 독립적인 인증 장치를 갖고 있는 경우 해당 인증 장치를 이용하여 접근 권한을 획득한 경우, 서비스서버(30)에서 정하거나 또는, 요청한 정보에 대해 사용자 인증서 및 개인키를 이용하여 전자서명을 생성하고 해당 전자서명으로 또는, 해당 전자서명과 사용자 인증서를 이용하여 서명응답을 생성한다.
인증서 인증장치(130)는 사용자 인증서 및 개인키들을 보관한다. 전자서명은 사용자 개인키(여러 개일 경우는 사용자가 선택한 하나)로 수행한다. 인증서 인증장치(130)의 경우 사용자 인증서가 있는데 이를 인증응답과 같이 보내거나 해야 할 경우가 있다. 전자서명 대상은 FIDO 인증응답이 될 수도 있고 그 외 서비스 제공자가 정하는 정보가 될 수도 있다.
FIDO 인증장치(120)와 인증서 인증장치(130)는 접근 권한 획득을 위한 인증장치로써의 지역 사용자인증장치(110)를 공유하거나 독립적으로 가질 수 있다. FIDO 인증장치(120)와 인증서 인증장치(130)는 FIDO 인증 공개키 및 개인키, FIDO 인증장치 제조사 인증서 및 개인키, 사용자 인증서 및 개인키를 저장하기 위한 저장소를 공유하거나 독립적으로 가질 수 있다. FIDO 인증장치(120)와 인증서 인증장치(130)는 FIDO 인증 공개키 및 개인키, FIDO 인증장치 제조사 인증서 및 개인키, 사용자 인증서 및 개인키를 이용하거나 암호연산을 수행하는 연산장치를 공유하거나 독립적으로 가질 수 있다.
지역 사용자인증장치(110)는 로컬 사용자 인증을 위한 것이고, 로컬 사용자 인증이 되면, FIDO인증장치(120)와 인증서 인증장치(130)는 인증요청에 대한 인증응답을 생성한다. 즉, FIDO인증장치(120)와 인증서 인증장치(130)는 인증응답을 생성한다.
또한 FIDO 인증장치(120)와 지역 사용자인증장치(110)를 이용하여 FIDO 인증 시스템에 있어서의 FIDO 사용자 인증장치로 이용할 수 있다.
또한 FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하여 해당 공개키를 등록하는데 있어서 공개키 및 개인키를 생성하여 등록할 수 있다. 또한 FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하여 해당 공개키를 등록하는데 있어서 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130) 내에 존재하는 사용자 인증서 내의 공개키 및 해당 사용자 개인키를 이용하여 등록할 수 있다. 또한 FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하여 해당 공개키를 등록하는데 있어서 공개키 및 개인키를 생성하는 대신에 미리 생성된 공개키 및 개인키 키쌍들 중 하나를 이용하여 등록할 수 있다.
서비스서버(30)는 초기에 아이디/패스워드 등 로그인한 계정에 대해 등록받을 인증장치를 제한하기 위해 인증장치에 대한 정보로 허용/차단할 목록을 정책으로 설정한다. 그러면 서비스단말 등 FIDO 클라이언트는 인식되는 인증장치 중 서비스 서버가 허용하는 정책에 해당하는 인증장치를 사용자가 선택하게 하고 로컬 인증에 사용할 지역 인증 수단으로 소유 확인을 하게 한다(최초로 인증장치를 사용할 때에는 로컬 인증도 등록하게 함), 공개키와 개인키를 생성한 후 해당 공개키를 포함하는 등록 정보를 제조사 개인키 혹은 같이 생성된 개인키로 전자서명하여 서버로 전송한다. 서버는 전송받은 등록 응답을 생성한 인증장치(인증응답 내에 인증장치에 대한 정보가 존재)가 해당 정책에 부합되는지, 또 전자서명은 올바른지 등을 검증하고 성공 시 등록한다.
즉, FIDO 규격에 따라 FIDO 인증장치를 인증에 사용하려면 먼저 FIDO 서버에 사용자가 해당 계정에 어떤 (어떤 특성을 가진) FIDO 인증장치를 사용하는지, 어떤 공개키를 등록했는지 정보가 필요하다(계정 정보 및 대응되는 KeyID 등). 따라서 인증 이전에 앞서 설명한 바와 같이 등록한다.
또한, 서비스 제공자는 서비스서버(30), 또는, FIDO 인증서버(40), 또는, 인증서 인증서버(50)에 사용자의 인증서 또는, 인증서 정보를 등록할 수 있다. 또한 서비스 제공자는 서비스서버(30), 또는, FIDO 인증서버(40), 또는, 인증서 인증서버(50)에 FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는지, 또는, 미리 생성된 공개키 및 개인키로 등록하는지, 또는, 인증서 인증장치(130)내 사용자 인증서 및 개인키를 이용하는지에 대한 정보를 등록할 수 있다.
FIDO 인증 공개키와 개인키는 인증서 인증서버에 등록할 필요는 없다. FIDO 인증 공개키 및 제조사 인증서는 FIDO 인증서버에 등록되지만 제조사 개인키 및 FIDO 인증 개인키는 FIDO 인증장치에만 저장되고, 사용자 인증서만 서비스에 따라 인증서 인증서버에 등록되어 있다.
한편, 서비스서버(30), 또는, FIDO 인증서버(40), 또는, 인증서 인증서버(50)는 기능상 구분하여 설명한 것이며, 하나의 물리적 서버 내에서 서로 다른 기능으로 구분하여 구현될 수 있다.
다음으로, 본 발명의 제1 실시예에 따른 FIDO와 인증서를 이용한 인증 방법을 도 3을 참조하여 보다 구체적으로 설명한다.
도 3에서 보는 바와 같이 본 발명의 제1 실시예에 따른 FIDO와 인증서를 이용한 인증 방법은 서비스 요청 단계(S111, S112); 인증 요청 단계(S121, S122, S123); 인증 응답 단계(S131, S132, S133, S134); 인증응답 검증 단계(S141, S142, S143, S151); 서비스 단계(S161, S162, S163)로 구성된다.
먼저, 사용자는 서비스단말(20)을 이용하여 서비스서버(30)에 서비스를 요청한다(S111, S112). 서비스서버(30)는 사용자가 요청한 서비스가 인증이 필요한 서비스인지 판단하고, 인증이 필요한 경우 FIDO 인증서버(40)로 인증요청에 필요한 정보를 전송하고, 인증요청의 생성을 요청한다(S121).
다음으로 FIDO 인증서버(40)는 서비스서버(30)의 요청에 따라 인증요청을 생성한다(S122). FIDO 인증서버(40)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 사용자인증장치(10)으로 인증요청을 전송한다(S123). 이 때 사용자인증장치(10)가 인증응답을 생성할 때 사용할 부가정보가 있으면 추가하여 전송할 수도 있고, 사용자가 입력할 수도 있고, 서비스 제공자가 미리 대상을 정하거나 약속할 수도 있다.
예를 들어, 부가정보로서, 인터넷 뱅킹에서 이체정보, 로그인 시 사용자 인증서정보, 세션정보, 온라인쇼핑에서 구매목록 및 가격, 재생공격(Replay Attack) 방지를 위한 난스(nonce) 등을 사용한다.
다음으로 사용자인증장치(10)는 사용자에게 지역 사용자인증을 요청한다(S131). 지역 사용자인증은 사용자인증장치(10)의 제어/처리장치(100)를 통하여 지역 사용자인증장치(110)를 이용해 이뤄지며 지역 사용자인증 성공 시 FIDO 인증장치(120) 및 인증서 인증장치(130)의 접근이 가능해 진다(S132). 이 때 FIDO 인증장치(120) 및 인증서 인증장치(130)는 지역 사용자인증장치(110)를 각각 가질 수도, 또는, 공유할 수도 있으며 지역 사용자인증 방법은 PIN, 패스워드, 지문, 얼굴인식, 음성인식, 인증서 인증장치(130) 내 개인키 패스워드, 토큰 PIN 등 제약이 없다. 또한 FIDO 인증장치(120) 접근을 위한 지역 사용자인증과 인증서 인증장치(130) 접근을 위한 지역 사용자인증을 동시에 수행할 수도, 각각 수행할 수도 있다. 지역 사용자인증에 모두 성공하면 사용자인증장치(10) 중 FIDO 인증장치(120) 및 인증서 인증장치(130)에 접근이 허가된 것으로 인증응답을 생성할 수 있다.
다음으로 사용자인증장치(10)는 FIDO 인증장치(120)에서 생성한 FIDO 인증응답과 인증서 인증장치(130)에서 생성한 서명응답을 제어/처리장치(110)에서 결합하여 인증응답을 생성한다(S133).
인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록한 경우, FIDO 인증장치(120)는 인증서 인증장치(130)를 이용하여 해당 개인키로 FIDO 인증응답을 생성하고 FIDO 인증응답으로 인증응답을 생성할 수 있다(도6의 M10).
또는, 인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, FIDO 인증장치(120)를 이용하여 생성된 FIDO 인증응답에 대해 인증서 인증장치(130)를 이용, 전자서명을 수행하여 서명응답을 생성하고 상기 생성된 FIDO 인증응답과 결합하여 생성할 수 있다(도6의 M11).
또는, 인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보에 대해 인증서 인증장치(130)를 이용, 전자서명을 수행하여 생성한 서명응답과 FIDO 인증장치(120)를 이용하여 생성된 FIDO 인증응답을 결합하여 생성할 수도 있다(도6의 M12).
또는, 인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, FIDO 인증장치(120)를 이용하여 생성된 FIDO 인증응답에 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보를 추가하여 인증서 인증장치(130)를 이용, 전자서명을 수행하여 생성할 수도 있다(도6의 M13).
본 발명에서 인증응답의 구조 및 순서, 전송방식에 대해 도 6은 예시이며 FIDO 인증응답이 FIDO 규약을 따른다는 것 외에는 제약 사항이 없다. 또한 FIDO 인증응답과 서명응답을 동시에 전송하거나 분리해 보내는 것에 대한 제약 사항도 없다. 또한 인증응답에 있어서 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보의 포함 여부도 제약사항이 없다.
바람직하게는, 인증서 인증장치(130)에 다수의 사용자 인증서 및 개인키가 저장된 경우, 제어/처리장치(100) 또는, 인증서 인증장치(130)는 어느 인증서 및 개인키를 이용하여 전자서명을 수행할 것인가를 사용자에게 요청하고, 사용자에 의해 선택된 인증서 및 개인키와 인증서 인증장치(130)를 이용하여 전자서명을 수행한다.
다음으로 사용자인증장치(10)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 FIDO 인증서버(40)와 인증서 인증서버(50)로 인증응답을 전송한다(S134).
다음으로 FIDO 인증서버(40)는 사용자인증장치(10)로부터 수신한 인증응답 중 FIDO 인증응답을 검증한다(S141). FIDO 인증응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M11, M12, M13), FIDO 규격의 FIDO 인증응답 검증 과정을 수행한 후 검증 결과를 서비스서버(30)로 전송한다(S143). 또는, FIDO 인증응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M10), FIDO 인증응답 검증 중 전자서명 검증 또는, 전자서명 검증에 필요한 공개키 또는, 해당 인증서 획득 부분, 및 인증서 검증 부분을 인증서 인증서버(50)를 이용하여 수행하고, 그 외는 FIDO 규격에 따라 FIDO 인증응답 검증 과정을 수행한 후 검증 결과를 서비스서버(30)로 전송한다(S143).
다음으로 인증서 인증서버(50)는 사용자인증장치(10)로부터 수신한 인증응답 중 서명응답을 검증한다(S142). 서명응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M10), FIDO 인증응답 검증 중 전자서명 검증 또는, 전자서명 검증에 필요한 공개키 또는, 해당 인증서 획득 부분, 및 인증서 검증 부분을 수행하고 검증 결과를 서비스서버(30)로 전송한다(S143). 또한 서명응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M11, M12, M13), 전자서명대상 및 서명응답으로 전자서명 검증 및 인증서 검증 부분을 수행하고 검증 결과를 서비스서버(30)로 전송한다(S143).
인증서 인증서버(50)에서 서명응답에 대한 검증 시 수행하는 전자서명 검증 및 인증서 검증으로 인해 사용자의 신원확인 및 서비스 이용에 있어서 사용자 행위에 대한 부인방지를 할 수 있다.
다음으로, 서비스서버(30)는 FIDO 인증서버(40) 및 인증서 인증서버(50)로부터의 검증결과를 토대로 서비스 제공 여부를 판단한다(S151). 이후 서비스서버(30)는 서비스 실행(S161) 후 서비스단말(20)로 서비스 결과를 전송(S162)하며 서비스단말(20)은 사용자에게 서비스 결과를 출력한다(S163).
다음으로, 본 발명의 제2 실시예에 따른 FIDO와 인증서를 이용한 인증 방법을 도 4를 참조하여 보다 구체적으로 설명한다.
도 4에서 보는 바와 같이 본 발명의 제2 실시예에 따른 FIDO와 인증서를 이용한 인증 방법은 서비스 요청 단계(S211, S212); 인증 요청 단계(S221, S222, S223); 인증 응답 단계(S231, S232, S233, S234); 인증응답 검증 단계(S241, S242, S243); 서명 요청 단계(S251, S252); 서명 응답 단계(S261, S262, S263, S264); 서명응답 검증 단계(S271, S272, S273); 서비스 단계(S281, S282, S283)로 구성된다.
먼저, 사용자는 서비스단말(20)을 이용하여 서비스서버(30)에 서비스를 요청한다(S211, S212). 서비스서버(30)는 사용자가 요청한 서비스가 인증이 필요한 서비스인지 판단하고, 인증이 필요한 경우 FIDO 인증서버(40)로 인증요청에 필요한 정보를 전송하고, 인증요청의 생성을 요청한다(S221)
다음으로 FIDO 인증서버(40)는 서비스서버(30)의 요청에 따라 인증요청을 생성한다(S222). FIDO 인증서버(40)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 사용자인증장치(10)으로 인증요청을 전송한다(S223). 이 때 사용자인증장치(10)가 인증응답을 생성할 때 사용할 부가정보가 있으면 추가하여 전송할 수도 있고, 사용자가 입력할 수도 있고, 서비스 제공자가 미리 대상을 정하거나 약속할 수도 있다.
다음으로 사용자인증장치(10)는 사용자에게 지역 사용자인증을 요청한다(S231). 지역 사용자인증은 사용자인증장치(10)의 제어/처리장치(100)를 통하여 지역 사용자인증장치(110)를 이용해 이뤄지며 지역 사용자인증 성공 시 FIDO 인증장치(120의 접근이 가능해 진다(S232). 이 때 FIDO 인증장치(120) 및 인증서 인증장치(130)는 지역 사용자인증장치(110)를 각각 가질 수도, 또는, 공유할 수도 있으며 지역 사용자인증 방법은 PIN, 패스워드, 지문, 얼굴인식, 음성인식, 인증서 인증장치(130) 내 개인키 패스워드, 토큰 PIN 등 제약이 없다. 또한 FIDO 인증장치(120) 접근을 위한 지역 사용자인증과, 이후 서명요청에 대한 서명응답을 생성하기 위한 인증서 인증장치(130) 접근을 위한 지역 사용자인증을 동시에 수행할 수도, 각각 수행할 수도 있다. 여기서, 동시 수행은 S263을 위한 단계 S261, S262(이하에서 설명함)를 S231, S232의 결과로 대체할 수도 있다는 의미이다.
지역 사용자인증에 성공하면 사용자인증장치(10) 중 FIDO 인증장치(120)에 접근이 허가된 것으로 인증응답을 생성할 수 있다. 이 경우, 도 6의 M10 형태이다.
다음으로 사용자인증장치(10)는 FIDO 인증장치(120)에서 생성한 FIDO 인증응답으로 인증응답을 생성한다(S233). 또는, 사용자인증장치(10)는 FIDO 인증장치(120)에서 생성한 FIDO 인증응답과 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보를 결합하여 인증응답을 생성한다. FIDO 인증응답 생성 시, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록한 경우, FIDO 인증장치(120)는 인증서 인증장치(130)를 이용하여 해당 개인키로 FIDO 인증응답을 생성할 수 있다. 또는, FIDO 인증응답 생성 시, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, FIDO 인증장치(120)를 이용하여 등록된 개인키로 FIDO 인증응답을 생성할 수 있다.
다음으로 사용자인증장치(10)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 FIDO 인증서버(40)로 인증응답을 전송한다(S234).
다음으로 FIDO 인증서버(40)는 사용자인증장치(10)로부터 수신한 인증응답 중 FIDO 인증응답을 검증한다(S241). FIDO 인증응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우, FIDO 규격의 FIDO 인증응답 검증 과정을 수행한 후 검증 결과를 서비스서버(30)로 전송한다(S242). 또는, FIDO 인증응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우, FIDO 인증응답 검증 중 전자서명 검증 또는, 전자서명 검증에 필요한 공개키 또는, 해당 인증서 획득 부분, 및 인증서 검증 부분을 인증서 인증서버(50)를 이용하여 수행하고, 그 외는 FIDO 규격에 따라 FIDO 인증응답 검증 과정을 수행한 후 검증 결과를 서비스서버(30)로 전송한다(S242). 이 때 인증서 인증서버(50)에서 FIDO 인증응답에 대한 검증 시 수행하는 인정서 검증 및/또는, 전자서명 검증으로 인해 사용자의 신원확인 및 서비스 이용에 있어서 사용자 행위에 대한 부인방지를 할 수 있다.
다만, 여기서의 인증서 인증서버(50)에서의 검증은, FIDO 규격 상 원래는 FIDO 인증 공개키 및 개인키는 등록 시 생성해야 하는데, 생성 대신 사용자 인증서 내의 공개키 및 사용자 개인키를 대신 사용하는 경우에 해당한다. 사용자 인증서는 인증서 인증서버(50)에 등록되기 때문이다.
다음으로 서비스서버(30)는 FIDO 인증서버(40로부터의 검증결과를 토대로 인증검증결과를 판단한다(S243).
다음으로 서비스서버(30)는 또는, 서비스서버(30)의 요청에 따라 인증서 인증서버(50)는 서비스 제공에 필요한 서명요청을 생성한다(S251). 서명요청에는 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보를 포함할 수 있다.
다음으로 서비스서버(30) 또는, 인증서 인증서버(50)는 서비스단말(20) 또는, 서비스단말(20) 및 서비스서버(30)를 경유하거나 직접 사용자인증장치로 생성된 서명요청을 전송한다(S252).
다음으로 사용자인증장치(10)는 사용자에게 지역 사용자인증을 요청한다(S261). 지역 사용자인증은 사용자인증장치(10)의 제어/처리장치(100)를 통하여 지역 사용자인증장치(110)를 이용해 이뤄지며 지역 사용자인증 성공 시 인증서 인증장치(130)의 접근이 가능해 진다(S262). 이 때 FIDO 인증장치(120) 및 인증서 인증장치(130)는 지역 사용자인증장치(110)를 각각 가질 수도, 또는, 공유할 수도 있으며 지역 사용자인증 방법은 PIN, 패스워드, 지문, 얼굴인식, 음성인식, 인증서 인증장치(130) 내 개인키 패스워드, 토큰 PIN 등 제약이 없다. 또한 FIDO 인증장치(120) 접근을 위한 지역 사용자인증을 실시하고 통과한 경우(S231, S232), 서명요청에 대한 서명응답을 생성하기 위한 인증서 인증장치(130) 접근을 위한 지역 사용자인증을 서비스 제공자가 정한 정책에 따라 생략할 수도, 각각 수행할 수도 있다. 지역 사용자인증에 성공하면 사용자인증장치(10) 중 인증서 인증장치(130)에 접근이 허가된 것으로 서명응답을 생성할 수 있다.
다음으로 사용자인증장치(10)는 서명응답을 생성한다(S263). 서비스단말(20), 또는, 서비스서버(30),또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보에 대해 인증서 인증장치(130)를 이용, 전자서명을 수행하여 생성한 서명응답을 생성한다. 본 발명에서 서명응답의 구조 및 순서, 전송방식에 대해서는 제약 사항이 없다. 또한 서명응답에 있어서 서비스단말(20), 서비스서버(30), 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보의 포함 여부도 제약사항이 없다.
바람직하게는, 인증서 인증장치(130)에 다수의 사용자 인증서 및 개인키가 저장된 경우, 제어/처리장치(100) 또는, 인증서 인증장치(130)는 어느 인증서 및 개인키를 이용하여 전자서명을 수행할 것인가를 사용자에게 요청하고, 사용자에 의해 선택된 인증서 및 개인키와 인증서 인증장치(130)를 이용하여 전자서명을 수행한다.
다음으로 사용자인증장치(10)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 인증서 인증서버(50)로 서명응답을 전송한다(S264).
다음으로 인증서 인증서버(50)는 사용자인증장치(10)로부터 수신한 서명응답을 검증한다(S271). 서명응답 검증은, 서비스단말(20), 또는, 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보 및 서명응답으로 전자서명 검증 및 인증서 검증 부분을 수행하고 검증 결과를 서비스서버(30)로 전송한다(S272).
인증서 인증서버(50)에서 서명응답에 대한 검증 시 수행하는 전자서명 검증 및 인증서 검증으로 인해 사용자의 신원확인 및 서비스 이용에 있어서 사용자 행위에 대한 부인방지를 할 수 있다.
다음으로 서비스서버(30)는 인증서 인증서버(50)로부터의 검증결과를 토대로 서명검증결과를 판단한다(S273). 이후 서비스서버(30)는 서명검증결과에 따라 서비스 실행(S281) 후 서비스단말(20)로 서비스 결과를 전송(S282)하며 서비스단말(20)은 사용자에게 서비스 결과를 출력한다(S283).
다음으로, 본 발명의 제3 실시예에 따른 FIDO와 인증서를 이용한 인증 방법을 도 5를 참조하여 보다 구체적으로 설명한다. 본 발명의 제3 실시예는 제1 실시예와 제2 실시예의 결합된 형태이다.
도 5에서 보는 바와 같이 본 발명의 제3 실시예에 따른 FIDO와 인증서를 이용한 인증 방법은 서비스 요청 단계(S311, S312); 인증 요청 단계(S321, S322, S323); 인증 응답 단계(S331, S332, S333, S334); 인증응답 검증 단계(S341, S342, S343, S344); 서명 요청 단계(S351, S352); 서명 응답 단계(S361, S362, S363, S364); 서명응답 검증 단계(S371, S372, S373); 서비스 단계(S381, S382, S383)로 구성된다.
먼저, 사용자는 서비스단말(20)을 이용하여 서비스서버(30)에 서비스를 요청한다(S311, S312). 서비스서버(30)는 사용자가 요청한 서비스가 인증이 필요한 서비스인지 판단하고, 인증이 필요한 경우 FIDO 인증서버(40)로 인증요청에 필요한 정보를 전송하고, 인증요청의 생성을 요청한다(S321)
다음으로 FIDO 인증서버(40)는 서비스서버(30)의 요청에 따라 인증요청을 생성한다(S322). FIDO 인증서버(40)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 사용자인증장치(10)으로 인증요청을 전송한다(S323). 이 때 사용자인증장치(10)가 인증응답을 생성할 때 사용할 부가정보가 있으면 추가하여 전송할 수도 있고, 사용자가 입력할 수도 있고, 서비스 제공자가 미리 대상을 정하거나 약속할 수도 있다.
다음으로 사용자인증장치(10)는 사용자에게 지역 사용자인증을 요청한다(S331). 지역 사용자인증은 사용자인증장치(10)의 제어/처리장치(100)를 통하여 지역 사용자인증장치(110)를 이용해 이뤄지며 지역 사용자인증 성공 시 FIDO 인증장치(120) 및 인증서 인증장치(130)의 접근이 가능해 진다(S332). 이 때 FIDO 인증장치(120) 및 인증서 인증장치(130)는 지역 사용자인증장치(110)를 각각 가질 수도, 또는, 공유할 수도 있으며 지역 사용자인증 방법은 PIN, 패스워드, 지문, 얼굴인식, 음성인식, 인증서 인증장치(130) 내 개인키 패스워드, 토큰 PIN 등 제약이 없다. 또한 FIDO 인증장치(120) 접근을 위한 지역 사용자인증과, 이후 서명요청에 대한 서명응답을 생성하기 위한 인증서 인증장치(130) 접근을 위한 지역 사용자인증을 동시에 수행할 수도, 각각 수행할 수도 있다. 지역 사용자인증에 성공하면 사용자인증장치(10) 중 FIDO 인증장치(120) 및 인증서 인증장치(130)에 접근이 허가된 것으로 인증응답을 생성할 수 있다.
다음으로 사용자인증장치(10)는 FIDO 인증장치(120)에서 생성한 FIDO 인증응답과 인증서 인증장치(130)에서 생성한 서명응답을 제어/처리장치(110)에서 결합하여 인증응답을 생성한다(S333). 인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록한 경우, FIDO 인증장치(120)는 인증서 인증장치(130)를 이용하여 해당 개인키로 FIDO 인증응답을 생성하고 FIDO 인증응답으로 인증응답을 생성할 수 있다(도6의 M10). 또는,, 인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, FIDO 인증장치(120)를 이용하여 생성된 FIDO 인증응답에 대해 인증서 인증장치(130)를 이용, 전자서명을 수행하여 서명응답을 생성하고 상기 생성된 FIDO 인증응답과 결합하여 생성할 수 있다(도6의 M11). 또는,, 인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보에 대해 인증서 인증장치(130)를 이용, 전자서명을 수행하여 생성한 서명응답과 FIDO 인증장치(120)를 이용하여 생성된 FIDO 인증응답을 결합하여 생성할 수도 있다(도6의 M12). 또는,, 인증응답의 결합은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록한 경우, FIDO 인증장치(120)를 이용하여 생성된 FIDO 인증응답에 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보를 추가하여 인증서 인증장치(130)를 이용, 전자서명을 수행하여 생성할 수도 있다(도6의 M13). 본 발명에서 인증응답의 구조 및 순서, 전송방식에 대해 도6는 예시이며 FIDO 인증응답이 FIDO 규약을 따른 다는 것 외에는 제약 사항이 없다. 또한 FIDO 인증응답과 서명응답을 동시에 전송하거나 분리해 보내는 것에 대한 제약 사항도 없다. 또한 인증응답에 있어서 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보의 포함 여부도 제약사항이 없다.
바람직하게는, 인증서 인증장치(130)에 다수의 사용자 인증서 및 개인키가 저장된 경우, 제어/처리장치(100) 또는, 인증서 인증장치(130)는 어느 인증서 및 개인키를 이용하여 전자서명을 수행할 것인가를 사용자에게 요청하고, 사용자에 의해 선택된 인증서 및 개인키와 인증서 인증장치(130)를 이용하여 전자서명을 수행한다.
다음으로 사용자인증장치(10)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 FIDO 인증서버(40)와 인증서 인증서버(50)로 인증응답을 전송한다(S334).
다음으로 FIDO 인증서버(40)는 사용자인증장치(10)로부터 수신한 인증응답 중 FIDO 인증응답을 검증한다(S341). FIDO 인증응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M11, M12, M13), FIDO 규격의 FIDO 인증응답 검증 과정을 수행한 후 검증 결과를 서비스서버(30)로 전송한다(S343). 또는, FIDO 인증응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M10), FIDO 인증응답 검증 중 전자서명 검증 또는, 전자서명 검증에 필요한 공개키 또는, 해당 인증서 획득 부분, 및 인증서 검증 부분을 인증서 인증서버(50)를 이용하여 수행하고, 그 외는 FIDO 규격에 따라 FIDO 인증응답 검증 과정을 수행한 후 검증 결과를 서비스서버(30)로 전송한다(S343). 이 때 인증서 인증서버(50)에서 FIDO 인증응답에 대한 검증 시 수행하는 인정서 검증 및/또는, 전자서명 검증으로 인해 사용자의 신원확인 및 서비스 이용에 있어서 사용자 행위에 대한 부인방지를 할 수 있다.
다음으로 인증서 인증서버(50)는 사용자인증장치(10)로부터 수신한 인증응답 중 서명응답을 검증한다(S342). 서명응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하는 대신에 인증서 인증장치(130)의 사용자 인증서 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M10), FIDO 인증응답 검증 중 전자서명 검증 또는, 전자서명 검증에 필요한 공개키 또는, 해당 인증서 획득 부분, 및 인증서 검증 부분을 수행하고 검증 결과를 서비스서버(30)로 전송한다(S343). 또한 서명응답 검증은, FIDO 인증장치(120)를 FIDO 인증서버(40)에 등록할 때 FIDO 인증 공개키 및 개인키를 생성하거나 미리 생성된 공개키 및 개인키로 등록하고 사용자인증장치(10)가 인증응답을 생성한 경우(예를 들어, 도6의 M11, M12, M13), 전자서명대상 및 서명응답으로 전자서명 검증 및 인증서 검증 부분을 수행하고 검증 결과를 서비스서버(30)로 전송한다(S343).
인증서 인증서버(50)에서 서명응답에 대한 검증 시 수행하는 전자서명 검증 및 인증서 검증으로 인해 사용자의 신원확인 및 서비스 이용에 있어서 사용자 행위에 대한 부인방지를 할 수 있다.
다음으로 서비스서버(30)는 FIDO 인증서버(40) 및 인증서 인증서버(50)로부터의 검증결과를 토대로 인증검증결과를 판단한다(S344).
다음으로 서비스서버(30)는 또는, 서비스서버(30)의 요청에 따라 인증서 인증서버(50)는 서비스 제공에 필요한 서명요청을 생성한다(S351). 서명요청에는 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보를 포함할 수 있다.
다음으로 서비스서버(30) 또는, 인증서 인증서버(50)는 서비스단말(20) 또는, 서비스단말(20) 및 서비스서버(30)를 경유하거나 직접 사용자인증장치로 생성된 서명요청을 전송한다(S352).
다음으로 사용자인증장치(10)는 사용자에게 지역 사용자인증을 요청한다(S361). 지역 사용자인증은 사용자인증장치(10)의 제어/처리장치(100)를 통하여 지역 사용자인증장치(110)를 이용해 이뤄지며 지역 사용자인증 성공 시 인증서 인증장치(130)의 접근이 가능해 진다(S362). 이 때 FIDO 인증장치(120) 및 인증서 인증장치(130)는 지역 사용자인증장치(110)를 각각 가질 수도, 또는, 공유할 수도 있으며 지역 사용자인증 방법은 PIN, 패스워드, 지문, 얼굴인식, 음성인식, 인증서 인증장치(130) 내 개인키 패스워드, 토큰 PIN 등 제약이 없다. 또한 FIDO 인증장치(120) 접근을 위한 지역 사용자인증을 실시하고 통과한 경우(S331, S332), 서명요청에 대한 서명응답을 생성하기 위한 인증서 인증장치(130) 접근을 위한 지역 사용자인증을 서비스 제공자가 정한 정책에 따라 생략할 수도, 각각 수행할 수도 있다. 지역 사용자인증에 성공하면 사용자인증장치(10) 중 인증서 인증장치(130)에 접근이 허가된 것으로 서명응답을 생성할 수 있다.
다음으로 사용자인증장치(10)는 서명응답을 생성한다(S363). 서비스단말(20), 또는, 서비스서버(30), 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보에 대해 인증서 인증장치(130)를 이용, 전자서명을 수행하여 생성한 서명응답을 생성한다. 본 발명에서 서명응답의 구조 및 순서, 전송방식에 대해서는 제약 사항이 없다. 또한 서명응답에 있어서 서비스단말(20), 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보의 포함 여부도 제약사항이 없다.
바람직하게는, 인증서 인증장치(130)에 다수의 사용자 인증서 및 개인키가 저장된 경우, 제어/처리장치(100) 또는, 인증서 인증장치(130)는 어느 인증서 및 개인키를 이용하여 전자서명을 수행할 것인가를 사용자에게 요청하고, 사용자에 의해 선택된 인증서 및 개인키와 인증서 인증장치(130)를 이용하여 전자서명을 수행한다.
다음으로 사용자인증장치(10)는 서비스단말(20) 또는 서비스단말(20) 및 서비스서버(30)를 경유하여, 또는, 소유하거나 전송 받은 접속정보를 이용하여 직접 인증서 인증서버(50)로 서명응답을 전송한다(S364).
다음으로 인증서 인증서버(50)는 사용자인증장치(10)로부터 수신한 서명응답을 검증한다(S371). 서명응답 검증은, 서비스단말(20), 또는, 서비스서버(30) 또는, 인증서 인증서버(50)에서 수신한 정보 또는, 서비스 제공자가 미리 정한 정보 또는, 사용자가 입력한 정보 등 부가정보 및 서명응답으로 전자서명 검증 및 인증서 검증 부분을 수행하고 검증 결과를 서비스서버(30)로 전송한다(S372).
인증서 인증서버(50)에서 서명응답에 대한 검증 시 수행하는 전자서명 검증 및 인증서 검증으로 인해 사용자의 신원확인 및 서비스 이용에 있어서 사용자 행위에 대한 부인방지를 할 수 있다.
다음으로 서비스서버(30)는 인증서 인증서버(50)로부터의 검증결과를 토대로 서명검증결과를 판단한다(S373). 이후 서비스서버(30)는 서명검증결과에 따라 서비스 실행(S381) 후 서비스단말(20)로 서비스 결과를 전송(S382)하며 서비스단말(20)은 사용자에게 서비스 결과를 출력한다(S383).
이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 사용자 인증장치 20 : 서비스 단말
30 : 서비스 서버 40 : FIDO 인증서버
50 : 인증서 인증서버 60 : 네트워크
100 : 사용자인증장치 제어/처리장치
110 : 지역 사용자인증장치 120 : FIDO 인증장치
130 : 인증서 인증장치 140 : 인증장치 네트워크

Claims (15)

  1. 네트워크로 연결된 사용자인증장치, 서비스단말, 서비스서버, FIDO 인증서버 및 인증서 인증서버에 의해 수행되는 FIDO와 인증서를 이용한 인증 방법에 있어서,
    (a) 상기 서비스단말이 상기 서비스서버로 서비스를 요청하면, 상기 서비스서버가 상기 FIDO 인증서버에 인증요청 생성을 요청하는 단계;
    (b) 상기 FIDO 인증서버가 사용자의 인증을 위한 인증요청을 생성하여 상기 사용자인증장치로 인증요청을 전송하는 단계;
    (c) 상기 사용자인증장치가 지역 사용자인증 후 인증응답을 생성하는 단계;
    (d) 상기 사용자인증장치가 상기 FIDO 인증서버 및 상기 인증서 인증서버로 인증응답을 전송하는 단계;
    (e) 상기 FIDO 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계;
    (f) 상기 인증서 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계;
    (g) 상기 서비스서버가 상기 FIDO 인증서버와 상기 인증서 인증서버로부터의 인증응답 검증 결과를 이용하여 인증검증결과를 판단하는 단계; 및,
    (h) 상기 서비스서버가 인증검증 결과에 대한 판단에 따라 상기 서비스단말에 서비스를 제공하는 단계를 포함하고,
    상기 사용자인증장치는,
    사용자에 대한 지역 인증을 수행하는 지역 사용자인증장치;
    상기 지역 인증이 통과되면, 인증요청에 대한 FIDO 인증응답을 생성하는 FIDO 인증장치; 및,
    사용자의 인증서 및 개인키를 저장하고, 상기 지역 인증이 통과되면 인증요청에 포함되는 서명응답 또는 서명요청에 의한 서명응답을 생성하되, 상기 저장된 개인키로 전자서명을 하여 서명응답을 생성하는 인증서 인증장치를 포함하고,
    상기 (c)단계에서, 상기 인증응답은, 상기 FIDO 인증장치에 의하여 생성된 FIDO 인증응답과 상기 인증서 인증장치에 의하여 전자서명한 서명응답으로 구성되고,
    상기 서명응답은 상기 FIDO 인증응답을 전자서명하여 획득되고,
    상기 사용자 인증서 및 개인키는 인증서 인증서버에 의해 발급된 것이고,
    상기 (e)단계에서, 상기 FIDO 인증서버는 인증응답 중 FIDO 인증응답을 FIDO 규격에 따라 검증하고,
    상기 FIDO 인증장치의 등록과정 중 FIDO 인증 공개키 및 개인키를 생성하되, 상기 FIDO 인증 공개키 및 개인키는 사용자 인증서 및 개인키와는 다른 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  2. 삭제
  3. 네트워크로 연결된 사용자인증장치, 서비스단말, 서비스서버, FIDO 인증서버 및 인증서 인증서버에 의해 수행되는 FIDO와 인증서를 이용한 인증 방법에 있어서,
    (a) 상기 서비스단말이 상기 서비스서버로 서비스를 요청하면, 상기 서비스서버가 상기 FIDO 인증서버에 인증요청 생성을 요청하는 단계;
    (b) 상기 FIDO 인증서버가 사용자의 인증에 필요한 인증요청을 생성하여 상기 사용자인증장치로 인증요청을 전송하는 단계;
    (c) 상기 사용자인증장치가 지역 사용자인증 후 인증응답을 생성하는 단계;
    (d) 상기 사용자인증장치가 상기 FIDO 인증서버 및 상기 인증서인증서버로 인증응답을 전송하는 단계;
    (e) 상기 FIDO 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계;
    (f) 상기 인증서 인증서버가 인증응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계;
    (g) 상기 서비스서버가 상기 FIDO 인증서버와 상기 인증서 인증서버로부터의 인증응답 검증 결과를 이용하여 인증검증결과를 판단하는 단계;
    (h) 상기 서비스서버가 인증검증결과에 대한 판단에 따라 서비스 실행을 위한 서명요청을 생성하는 단계;
    (i) 상기 서비스서버가 상기 사용자인증장치로 서명요청을 전송하는 단계;
    (j) 상기 사용자인증장치가 지역 사용자인증 후 서명응답을 생성하는 단계;
    (k) 상기 사용자인증장치가 상기 인증서인증서버로 서명응답을 전송하는 단계;
    (l) 상기 인증서 인증서버가 서명응답을 검증하여 검증 결과를 상기 서비스서버로 전송하는 단계;
    (m) 상기 서비스서버가 상기 인증서 인증서버로부터의 서명응답 검증 결과를 이용하여 서명검증결과를 판단하는 단계; 및,
    (n) 상기 서비스서버가 서명검증결과에 대한 판단에 따라 상기 서비스단말에 서비스를 제공하는 단계를 포함하고,
    상기 사용자인증장치는,
    사용자에 대한 지역 인증을 수행하는 지역 사용자인증장치;
    상기 지역 인증이 통과되면, 인증요청에 대한 FIDO 인증응답을 생성하는 FIDO 인증장치; 및,
    사용자의 인증서 및 개인키를 저장하고, 상기 지역 인증이 통과되면 인증요청에 포함되는 서명응답 또는 서명요청에 의한 서명응답을 생성하되, 상기 저장된 개인키로 전자서명을 하여 서명응답을 생성하는 인증서 인증장치를 포함하고,
    상기 (c)단계에서, 상기 인증응답은, 상기 FIDO 인증장치에 의하여 생성된 FIDO 인증응답과 상기 인증서 인증장치에 의하여 전자서명한 서명응답으로 구성되고,
    상기 서명응답은 상기 FIDO 인증응답을 전자서명하여 획득되고,
    상기 사용자 인증서 및 개인키는 인증서 인증서버에 의해 발급된 것이고,
    상기 (e)단계에서, 상기 FIDO 인증서버는 인증응답 중 FIDO 인증응답을 FIDO 규격에 따라 검증하고,
    상기 FIDO 인증장치의 등록과정 중 FIDO 인증 공개키 및 개인키를 생성하되, 상기 FIDO 인증 공개키 및 개인키는 사용자 인증서 및 개인키와는 다른 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  4. 삭제
  5. 제1항 또는 제3항에 있어서,
    상기 (b)단계에서, 상기 인증요청은 상기 FIDO 인증서버에 의해 직접 상기 사용자인증장치로 전송되거나, 상기 서비스단말, 상기 서비스서버, 또는 상기 서비스서버 및 상기 서비스단말을 경유하여 상기 사용자인증장치로 전송되는 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  6. 제1항 또는 제3항에 있어서,
    상기 (c)단계에서, 상기 사용자인증장치로 인증응답을 생성할 때, 상기 FIDO 인증장치의 접근을 위한 사용자 지역인증과 상기 인증서 인증장치에 접근하기 위한 사용자 지역인증을 각각 수행하거나 혹은 한번만 수행할 수 있는 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  7. 삭제
  8. 제1항 또는 제3항에 있어서,
    상기 (d)단계에서, 상기 사용자인증장치가 인증응답을 상기 FIDO 인증서버 또는 상기 인증서 인증서버로 전송할 때, 상기 서비스단말 또는 상기 서비스단말 및 상기 서비스서버를 경유하거나, 소유하거나 전송받은 접속정보를 이용하여 직접 상기 FIDO 인증서버 또는 상기 인증서 인증서버로 인증응답을 전송하는 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  9. 삭제
  10. 삭제
  11. 제1항 또는 제3항에 있어서,
    상기 FIDO 인증장치와 상기 인증서 인증장치가 상기 지역 사용자인증장치를 공유하거나, 상기 FIDO 인증장치를 위한 지역 사용자인증장치와 상기 인증서 인증장치를 위한 지역 사용자인증장치가 각각 존재하거나, 상기 지역 사용자인증장치가 상기 FIDO 인증장치와 상기 인증서 인증장치에 각각 포함될 수 있는 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  12. 제11항에 있어서,
    상기 FIDO 인증장치에 접근하기 위한 지역 사용자인증장치로 상기 인증서 인증장치의 지역 사용자인증장치를 이용할 수 있거나, 상기 인증서 인증장치에 접근하기 위한 지역 사용자인증장치로 상기 FIDO 인증장치의 지역 사용자인증장치를 이용할 수 있는 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  13. 제1항 또는 제3항에 있어서,
    상기 지역 사용자인증장치의 지역 사용자인증 방법은 PIN, 패스워드, 인증서 인증장치 내 개인키 패스워드, 토큰 PIN, OTP(일회용 비밀번호), 그래픽인증, 및, 생체인증 중 어느 하나 이상인 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  14. 제13항에 있어서,
    상기 생체인증은 지문인식, 얼굴인식, 음성인식, 뇌파인증, 및, 심박인증 중 어느 하나이상인 것을 특징으로 하는 FIDO와 인증서를 이용한 인증 방법.
  15. 삭제
KR1020150155256A 2015-11-05 2015-11-05 Fido와 인증서를 이용한 인증 방법 KR101611872B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150155256A KR101611872B1 (ko) 2015-11-05 2015-11-05 Fido와 인증서를 이용한 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150155256A KR101611872B1 (ko) 2015-11-05 2015-11-05 Fido와 인증서를 이용한 인증 방법

Publications (1)

Publication Number Publication Date
KR101611872B1 true KR101611872B1 (ko) 2016-04-12

Family

ID=55801268

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150155256A KR101611872B1 (ko) 2015-11-05 2015-11-05 Fido와 인증서를 이용한 인증 방법

Country Status (1)

Country Link
KR (1) KR101611872B1 (ko)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101690989B1 (ko) 2016-07-29 2017-01-02 한국스마트아이디 주식회사 Fido 인증모듈을 이용한 전자서명 방법
WO2018021708A1 (ko) * 2016-07-28 2018-02-01 (주)이스톰 공개키 기반의 서비스 인증 방법 및 시스템
CN108064440A (zh) * 2017-05-25 2018-05-22 深圳前海达闼云端智能科技有限公司 基于区块链的fido认证方法、装置及系统
KR20180065694A (ko) * 2016-12-08 2018-06-18 (주)아이티 노매즈 다중 생체 인식을 이용한 본인 인증 시스템 및 방법
KR20180087739A (ko) 2017-01-25 2018-08-02 주식회사 하이마루 신원확인 또는 부인방지가 가능한 fido 인증 장치 및 그 방법
KR20190049177A (ko) 2017-11-01 2019-05-09 삼성카드 주식회사 웹브라우저를 이용한 fido 인증방법 및 그 장치
KR102007809B1 (ko) 2019-03-05 2019-08-06 에스지에이솔루션즈 주식회사 이미지를 이용한 신경망 기반 익스플로잇킷 탐지 시스템
EP3499795A4 (en) * 2016-08-10 2020-01-22 Samsung SDS Co., Ltd. AUTHENTICATION SYSTEM AND METHOD, AND USER EQUIPMENT, AUTHENTICATION SERVER, AND SERVICE SERVER FOR EXECUTING SAID METHOD
KR20200017748A (ko) 2018-08-09 2020-02-19 주식회사 와이키키소프트 생체인증표준 기반 비플러그인 전자서명 방법 및 장치
KR20200018546A (ko) * 2020-02-12 2020-02-19 (주)이스톰 공개키 기반의 서비스 인증 방법 및 시스템
KR20200035147A (ko) * 2016-09-13 2020-04-01 쿼랄트, 아이엔씨. 디지털 인증서에 대한 모바일 인증 상호 운용성
US11343072B2 (en) 2019-01-15 2022-05-24 Electronics And Telecommunications Research Institute Method and apparatus for providing service using kiosk
US11431509B2 (en) 2016-09-13 2022-08-30 Queralt, Inc. Bridging digital identity validation and verification with the FIDO authentication framework

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100929488B1 (ko) 2009-02-20 2009-12-03 주식회사 한국무역정보통신 서버 기반의 전자서명 위임 시스템 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100929488B1 (ko) 2009-02-20 2009-12-03 주식회사 한국무역정보통신 서버 기반의 전자서명 위임 시스템 및 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김재중, FIDO(Fast IDentity Online)를 이용한 비밀번호 없는 공인인증시스템에 관한 연구, 정보과학회지 33(5), 9-12 페이지 (2015.05.)*

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018021708A1 (ko) * 2016-07-28 2018-02-01 (주)이스톰 공개키 기반의 서비스 인증 방법 및 시스템
KR101690989B1 (ko) 2016-07-29 2017-01-02 한국스마트아이디 주식회사 Fido 인증모듈을 이용한 전자서명 방법
EP3499795A4 (en) * 2016-08-10 2020-01-22 Samsung SDS Co., Ltd. AUTHENTICATION SYSTEM AND METHOD, AND USER EQUIPMENT, AUTHENTICATION SERVER, AND SERVICE SERVER FOR EXECUTING SAID METHOD
KR20200035147A (ko) * 2016-09-13 2020-04-01 쿼랄트, 아이엔씨. 디지털 인증서에 대한 모바일 인증 상호 운용성
US11824995B2 (en) 2016-09-13 2023-11-21 Queralt Inc. Bridging digital identity validation and verification with the FIDO authentication framework
KR102564842B1 (ko) * 2016-09-13 2023-08-08 쿼랄트, 아이엔씨. 디지털 인증서에 대한 모바일 인증 상호 운용성
US11431509B2 (en) 2016-09-13 2022-08-30 Queralt, Inc. Bridging digital identity validation and verification with the FIDO authentication framework
EP3665856A4 (en) * 2016-09-13 2020-12-09 Queralt, Inc. MOBILE AUTHENTICATION INTEROPERABILITY FOR DIGITAL CERTIFICATES
KR20180065694A (ko) * 2016-12-08 2018-06-18 (주)아이티 노매즈 다중 생체 인식을 이용한 본인 인증 시스템 및 방법
KR20180087739A (ko) 2017-01-25 2018-08-02 주식회사 하이마루 신원확인 또는 부인방지가 가능한 fido 인증 장치 및 그 방법
WO2018214133A1 (zh) * 2017-05-25 2018-11-29 深圳前海达闼云端智能科技有限公司 基于区块链的fido认证方法、装置及系统
CN108064440A (zh) * 2017-05-25 2018-05-22 深圳前海达闼云端智能科技有限公司 基于区块链的fido认证方法、装置及系统
KR20190049177A (ko) 2017-11-01 2019-05-09 삼성카드 주식회사 웹브라우저를 이용한 fido 인증방법 및 그 장치
KR20200017748A (ko) 2018-08-09 2020-02-19 주식회사 와이키키소프트 생체인증표준 기반 비플러그인 전자서명 방법 및 장치
US11343072B2 (en) 2019-01-15 2022-05-24 Electronics And Telecommunications Research Institute Method and apparatus for providing service using kiosk
KR102007809B1 (ko) 2019-03-05 2019-08-06 에스지에이솔루션즈 주식회사 이미지를 이용한 신경망 기반 익스플로잇킷 탐지 시스템
US10872270B2 (en) 2019-03-05 2020-12-22 Sga Solutions Co., Ltd. Exploit kit detection system based on the neural network using image
KR20200018546A (ko) * 2020-02-12 2020-02-19 (주)이스톰 공개키 기반의 서비스 인증 방법 및 시스템
KR102160892B1 (ko) * 2020-02-12 2020-09-29 (주)이스톰 공개키 기반의 서비스 인증 방법 및 시스템

Similar Documents

Publication Publication Date Title
KR101611872B1 (ko) Fido와 인증서를 이용한 인증 방법
KR102362456B1 (ko) 권한 위양 시스템, 그 제어 방법 및 저장 매체
KR101666374B1 (ko) 사용자 인증서 발급과 사용자 인증을 위한 방법, 장치 및 컴퓨터 프로그램
CN110334503B (zh) 利用一个设备解锁另一个设备的方法
CN108809659B (zh) 动态口令的生成、验证方法及系统、动态口令系统
KR102202547B1 (ko) 액세스 요청을 검증하기 위한 방법 및 시스템
JP5844001B2 (ja) マルチパーティシステムにおける安全な認証
KR101718824B1 (ko) 액세스 제어
US8532620B2 (en) Trusted mobile device based security
KR101941227B1 (ko) 신원확인 또는 부인방지가 가능한 fido 인증 장치 및 그 방법
KR101451359B1 (ko) 사용자 계정 회복
KR20200107931A (ko) 멀티 포인트 인증을 위한 키 생성 및 보관을 위한 시스템 및 방법
CN108880822A (zh) 一种身份认证方法、装置、系统及一种智能无线设备
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
KR20210006329A (ko) 원격 생체 식별
KR20220167366A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
KR102313868B1 (ko) Otp를 이용한 상호 인증 방법 및 시스템
KR102123405B1 (ko) 보안 회원가입 및 로그인 호스팅 서비스 제공 시스템 및 그 방법
KR102657533B1 (ko) Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법
CN114500074B (zh) 单点系统安全访问方法、装置及相关设备
US20220417020A1 (en) Information processing device, information processing method, and non-transitory computer readable storage medium
US20240121098A1 (en) Scalable Authentication System with Synthesized Signed Challenge
EP4341834A1 (en) Custody service for authorising transactions

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190314

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20200213

Year of fee payment: 5