KR20140112242A - User authentication system and method thereof, and apparatus applied to the same - Google Patents

User authentication system and method thereof, and apparatus applied to the same Download PDF

Info

Publication number
KR20140112242A
KR20140112242A KR1020130026726A KR20130026726A KR20140112242A KR 20140112242 A KR20140112242 A KR 20140112242A KR 1020130026726 A KR1020130026726 A KR 1020130026726A KR 20130026726 A KR20130026726 A KR 20130026726A KR 20140112242 A KR20140112242 A KR 20140112242A
Authority
KR
South Korea
Prior art keywords
service
user
user authentication
authentication
information
Prior art date
Application number
KR1020130026726A
Other languages
Korean (ko)
Other versions
KR102082356B1 (en
Inventor
장도현
김세현
Original Assignee
에스케이플래닛 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이플래닛 주식회사 filed Critical 에스케이플래닛 주식회사
Priority to KR1020130026726A priority Critical patent/KR102082356B1/en
Publication of KR20140112242A publication Critical patent/KR20140112242A/en
Application granted granted Critical
Publication of KR102082356B1 publication Critical patent/KR102082356B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Abstract

The present invention relates to a user authentication system, a method thereof, and an apparatus applied to the same. The authentication of a user requested from a service device related to the use of a service provided from the service device is checked. If the service is determined as an authentication object to process the authentication of the user, the authentication information of the user is received and the authentication of the user is processed based on the authentication information of the user. The authentication of the user is safely performed by the combination of hardware security technology and an isolated execution environment which is not exposed to a security risk by using the service with only the authentication processing result of the user without receiving the authentication information of the user in the service device.

Description

사용자 인증 시스템 및 그 방법, 그리고 이에 적용되는 장치{USER AUTHENTICATION SYSTEM AND METHOD THEREOF, AND APPARATUS APPLIED TO THE SAME}USER AUTHENTICATION SYSTEM AND METHOD THEREOF, AND APPARATUS APPLIED TO THE SAME Technical Field [1] The present invention relates to a user authentication system,

본 발명은 트러스트존(TrustZone) 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치 차체에서 처리하며, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달하여도 사용자장치에서 서비스 이용이 가능하도록 하는 방법에 관한 것이다.The present invention relates to a method and apparatus for processing a user authentication required for a service using a trust zone (TrustZone) technology in a user equipment body and allowing a user device to use a service even if a user authentication process result is transmitted only to a service providing entity ≪ / RTI >

최근, 스마트폰은 애플리케이션 프로세서 및 디스플레이와 같은 하드웨어의 발전, 모바일 운영체제의 출현, 및 공개시장(Open market)의 활성화 등으로 인해 폭발적인 시장 확대가 이루어지고 있다.In recent years, smartphones have been expanding explosively due to the development of hardware such as application processors and displays, the emergence of mobile operating systems, and the revitalization of the open market.

그러나, 전술한 스마트폰과 같은 모바일 단말기의 경우, 운영체제의 개방성, 누구나 개발하여 참여할 수 있는 공개시장 생태계로 인한 개인정보(예: 주소록, 문자메시지, 금융 정보, 인증서 등)의 유출 위험성, 악성코드로 인한 단말기 오작동, 과도한 과금 유발 및 이동통신망에 대한 공격 가능성 등 기존 PC 상에서의 보안 위협이 재현될 수 있을 뿐만 아니라 무선 통신 환경에서의 새로운 유형의 보안 위협 요소가 존재하고 있다.However, in the case of a mobile terminal such as the above-mentioned smart phone, the risk of leakage of personal information (such as address book, text message, financial information, certificate, etc.) due to openness of the operating system, open market ecosystem that anyone can develop and participate in, There is a new type of security threat in a wireless communication environment as well as being able to reproduce a security threat on an existing PC such as a malfunction of a terminal due to a malfunction of the mobile communication network,

이에, 악의적인 공격에 의한 보안 위협 요소로부터 사용자 및 네트워크의 자산을 보호하기 위해 모바일 환경에서의 신뢰성을 제공할 수 있는 보안 플랫폼 기술이 필요하다.Accordingly, there is a need for a security platform technology capable of providing reliability in a mobile environment in order to protect users and network assets from security threats caused by malicious attacks.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은 트러스트존(TrustZone) 기술 기반의 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증을 확인하고, 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합하여 안전한 사용자 인증을 수행하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a user equipment based on TrustZone technology, And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information and processes the user authentication based on the user authentication information, The user is allowed to use the service only with the result of the user authentication process without receiving the security service, thereby performing safe user authentication by combining the isolated execution environment not exposed from the security threat and the hardware security technology.

체기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 사용자장치는, 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증 요청하는 이용부; 및 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하고, 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 이용부가 상기 서비스를 이용할 수 있도록 하는 인증부를 포함하는 것을 특징으로 한다.A user device according to a first aspect of the present invention for achieving the object of the present invention includes a usage unit for requesting a user authentication requested from the service device in connection with using a service provided from the service device; And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information, processes the user authentication based on the user authentication information, and the service apparatus receives the user authentication information And allowing the use unit to use the service only with the result of the user authentication process.

보다 구체적으로, 상기 사용자장치는, 상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단부를 더 포함하며, 상기 판단부는, 상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 한다.More specifically, the user device further includes a determination unit that determines whether the service is the authentication process target, and the determination unit determines whether the service is included in the service list designated as the authentication process target, It is determined that the authentication processing is performed.

보다 구체적으로, 상기 사용자장치는, 상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장부를 더 포함하며, 상기 인증부는, 상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 한다.More specifically, the user device may further include a storage unit for storing user verification information specified in association with the user authentication process, and the authentication unit may determine whether the user authentication information and the user verification information coincide with each other Thereby processing the user authentication.

보다 구체적으로, 상기 사용자검증정보는, 상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 한다.More specifically, the user verification information is specified to correspond to each of the two or more services, or to correspond to both of the two or more services when the service is two or more.

보다 구체적으로, 상기 사용자장치는, 상기 서비스 이용 및 상기 사용자 인증 처리를 각각 지원하기 위한 제1운영체제 및 제2운영체제를 더 포함하며, 상기 제1운영체제는, 상기 서비스 이용과 관련하여 요구되는 상기 사용자 인증을 요청하도록 지원하기 위한 공개 API(Open Application Programmer Interface)를 제공하는 범용(汎用) 운영체제이며, 상기 제2운영체제는, 상기 서비스를 상기 인증처리대상으로 판단하도록 하고, 상기 인증처리대상으로 판단된 상기 서비스와 관련하여 상기 사용자 인증을 처리하도록 지원하기 위한 API(Open Application Programmer Interface)를 제공하는 전용(專用) 운영체제인 것을 특징으로 한다.More specifically, the user apparatus further comprises a first operating system and a second operating system for respectively supporting the service use and the user authentication processing, Wherein the second operating system is a general-purpose operating system that provides an Open Application Program Interface (API) for supporting authentication request, and the second operating system allows the service to be determined to be the object of the authentication processing, And an API (Open Application Program Interface) for supporting the user authentication processing in association with the service.

보다 구체적으로, 상기 인증부는, 상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하며, 상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 것을 특징으로 한다.More specifically, the authentication unit displays an information input screen for inputting the user authentication information when the service is determined to be the authentication processing target, and displays the user authentication information input from the user on the information input screen And receiving the data.

보다 구체적으로, 상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우, 상기 사용자인증정보는, 상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 한다.More specifically, when the service is included in at least one of execution of an application, connection of a web page, and execution of secure content, the user authentication information includes login information for execution of the application, The login information, and the authorization key for executing the secure content.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 사용자장치는, 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증 요청하는 이용부; 및 상기 서비스가 상기 인증처리대상으로 판단되면, 사용자인증정보를 수신하고, 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 이용부가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 인증부를 포함하는 것을 특징으로 한다.To achieve the above object, according to a second aspect of the present invention, there is provided a user apparatus comprising: a usage unit for requesting a user authentication requested from the service apparatus in connection with service use; And processing the user authentication based on the user authentication information when the service is determined to be the object of the authentication processing, And an authentication unit for enabling the service to be used.

상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 사용자 인증 방법은, 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 사용자 인증이 요구되는 것을 확인하는 확인단계; 상기 사용자장치가 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하는 인증처리단계; 및 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 사용자장치가 상기 서비스를 이용할 수 있도록 하는 이용허가단계를 포함하는 것을 특징으로 한다.According to a third aspect of the present invention, there is provided a method for authenticating a user, the method comprising: a confirmation step of confirming that a user authentication is requested from the service device in association with a service provided from a service device; An authentication processing step of receiving the user authentication information and processing the user authentication based on the user authentication information when the user device determines that the service is an authentication processing object capable of processing the user authentication; And a use permission step of allowing the user apparatus to use the service only by the result of the user authentication process without the service apparatus receiving the user authentication information.

상기 목적을 달성하기 위한 본 발명의 제 4 관점에 따른 사용자장치의 동작 방법은, 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 사용자 인증이 요구되는 것을 확인하는 확인단계; 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하는 수신단계; 및 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 인증처리단계를 포함하는 것을 특징으로 한다.According to a fourth aspect of the present invention, there is provided a method for operating a user equipment, the method comprising: a confirmation step of confirming that user authentication is required from the service device in connection with using a service provided from the service device; A receiving step of receiving user authentication information if the service is determined to be an authentication processing object capable of processing the user authentication; And an authentication processing step of processing the user authentication based on the user authentication information and allowing the service device to use the service only by the user authentication processing result without receiving the user authentication information .

보다 구체적으로, 상기 방법은, 상기 수신단계 이전에, 상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단단계를 더 포함하며, 상기 판단단계는, 상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 한다.More specifically, the method may further include a determining step of determining whether the service is an object of the authentication process before the receiving step, and the determining step may include determining whether the service is a service list And determines that the service is an object of the authentication process.

보다 구체적으로, 상기 수신단계는, 상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하는 표시단계; 및 상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 수신단계를 포함하는 것을 특징으로 한다.More specifically, the receiving step may include: a display step of displaying an information input screen for receiving the user authentication information when the service is determined to be the object of the authentication processing; And a receiving step of receiving the user authentication information input from the user through the information input screen.

보다 구체적으로, 상기 방법은, 상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장단계를 더 포함하며, 상기 인증처리단계는, 상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 한다.More specifically, the method further includes a storing step of storing user verification information specified in connection with the processing of the user authentication, wherein the authentication processing step determines whether or not the user authentication information and the user verification information coincide with each other And processes the user authentication.

보다 구체적으로, 상기 사용자검증정보는, 상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 한다.More specifically, the user verification information is specified to correspond to each of the two or more services, or to correspond to both of the two or more services when the service is two or more.

보다 구체적으로, 상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우, 상기 사용자인증정보는, 상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 한다.More specifically, when the service is included in at least one of execution of an application, connection of a web page, and execution of secure content, the user authentication information includes login information for execution of the application, The login information, and the authorization key for executing the secure content.

상기 목적을 달성하기 위한 본 발명의 제 5 관점에 따른 사용자 인증 시스템은, 사용자장치에 사용자 인증이 요구되는 서비스를 제공하는 서비스장치; 및 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 사용자장치를 포함하는 것을 특징으로 하는 사용자 인증 시스템.According to a fifth aspect of the present invention, there is provided a user authentication system comprising: a service device for providing a service requiring user authentication to a user device; And processing the user authentication based on the user authentication information upon receiving the user authentication information if the service is determined to be an authentication processing object capable of processing the user authentication, And a user device that enables the service to be used only based on the result of the user authentication process.

이에, 본 발명의 사용자 인증 시스템 및 그 방법, 그리고 이에 적용되는 장치에 의하면, 트러스트존(TrustZone) 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치 차체에서 처리하고, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달하여도 사용자장치에서 서비스 이용이 가능하도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합에 따른 안전한 사용자 인증을 수행할 수 있다.According to the user authentication system and method of the present invention and the device applied thereto, the user authentication required for the service use based on the TrustZone technology is processed in the user equipment body, It is possible to perform the secure user authentication by combining the isolated execution environment and the hardware security technology that are not exposed from the security threat.

도 1은 본 발명의 일 실시예에 따른 사용자 인증 시스템의 개략적인 구성도.
도 2은 본 발명의 일 실시예에 따른 사용자장치의 구성도.
도 3은 본 발명의 일 실시예에 따른 트러스트존(TrustZone) 기술 기반 사용자장치의 구성도.
도 4는 본 발명의 일 실시예에 따른 사용자 인증 시스템에서의 동작 흐름을 설명하기 위한 개략적인 순서도.
도 5는 본 발명의 일 실시예에 따른 사용자장치의 동작을 설명하기 위한 개략적인 순서도.1 is a schematic configuration diagram of a user authentication system according to an embodiment of the present invention;
2 is a configuration diagram of a user apparatus according to an embodiment of the present invention;
3 is a block diagram of a TrustZone technology based user device in accordance with an embodiment of the present invention.
FIG. 4 is a schematic flowchart for explaining an operational flow in a user authentication system according to an embodiment of the present invention; FIG.
5 is a schematic flow diagram illustrating operation of a user device according to an embodiment of the present invention;

이하, 첨부된 도면을 참조하여 본 발명의 일 실시예에 대하여 설명한다.Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 사용자 인증 시스템을 도시한 도면이다. 1 is a diagram illustrating a user authentication system according to an embodiment of the present invention.

도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 사용자 인증 시스템은, 사용자장치(200)를 대상으로 서비스를 제공하는 서비스장치(100) 및 서비스 이용과 관련하여 요구되는 사용자 인증을 처리하는 사용자장치(200)를 포함하는 구성을 갖는다.1, a user authentication system according to an exemplary embodiment of the present invention includes a service device 100 that provides a service to a user device 200, And a user device 200 for performing a predetermined operation.

서비스장치(100)는 접속된 사용장치(200)를 대상으로 사용자장치(200)로부터 요청되는 서비스를 제공하기 위한 서비스 서버를 지칭하는 것으로, 사용자 인증 과정을 거친 후 사용자장치(200)에서 정상적인 서비스 이용이 가능하도록 한다.The service device 100 refers to a service server for providing a service requested from the user device 200 to the connected device 200. After the user authentication process, So that it can be used.

여기서, 서비스장치(100)가 제공하는 서비스로는 예컨대, 접속된 사용자장치(200)를 대상으로 하는 어플리케이션 실행 서비스, 웹페이지 접속 서비스, 내지는 보안컨텐츠의 실행 서비스 등이 해당될 수 있다.Here, the service provided by the service apparatus 100 may be, for example, an application execution service, a web page access service, or a security contents execution service for the connected user apparatus 200.

이에, 상기 서비스 이용과 관련하여 요구되는 사용자 인증의 경우, 각각의 서비스 이용을 위해 사용자로부터 입력되는 사용자인증정보 즉, 로그인정보(예: ID/PASSWORD, 인증서 암호)를 확인하는 방식으로 이루어질 수 있으며, 한편 보안컨텐츠 실행 서비스와 관련해서는, 보안컨텐츠에 설정된 권한키를 확인하는 방식을 통해 이루어질 수 있다.Accordingly, in the case of the user authentication required for the use of the service, the user authentication information input from the user, that is, the login information (e.g., ID / PASSWORD, certificate password) . Meanwhile, with respect to the secure content execution service, it can be done through a method of confirming the rights key set in the secure content.

사용자장치(200)는 서비스 이용과 관련하여 요구되는 사용자 인증을 처리하는 모바일 디바이스를 지칭하는 것으로서, 예를 들어, 스마트폰, 테블릿 PC, 및 PDA, 등이 해당될 수 있으며, 이에 제한되는 것이 아닌 서비스장치(100)로부터 제공되는 서비스를 이용하거나, 자체 서비스 이용이 가능한 장치는 모두 포함될 수 있다.The user device 200 refers to a mobile device that handles the user authentication required in connection with the use of the service, for example, a smart phone, a tablet PC, and a PDA, etc., A service provided from the non-service device 100, or a device capable of using the self-service may all be included.

한편, 본 발명의 일 실시예에 따르면, 사용자장치(200)에서는 모바일 서비스 환경에서 악의적인 공격에 의한 보안 위협 요소로부터 높은 보안성을 제공하기 위한 보안 플랫폼 기술로서, 하드웨어 보안 솔루션을 채택하게 된다.Meanwhile, according to an embodiment of the present invention, the user device 200 adopts a hardware security solution as a security platform technology for providing high security from a security threat element caused by a malicious attack in a mobile service environment.

이와 관련하여, 사용자장치(200)와 같은 모바일 단말기에서 높은 보안성을 제공하는 하드웨어 보안 솔루션으로서는, UICC(Universal Integrated Circuit Card), Mobile TPM(Trusted Platform Module) 등이 존재한다.In this regard, there are UICC (Universal Integrated Circuit Card), Mobile TPM (Trusted Platform Module), and the like as a hardware security solution that provides high security in a mobile terminal such as the user device 200.

여기서, UICC는 3G 모바일 네트워크에서의 가입자, 네트워크, 인증 정보뿐만 아니라 메시지, 이메일, 주소록과 같은 개인정보도 저장할 수 있도록 하는 스마트카드로서 일반적으로 'USIM(Universal Subscriber Identity Module) 카드'라고 불린다.Here, the UICC is a smart card for storing personal information such as messages, e-mail and address book as well as subscriber, network and authentication information in 3G mobile network, and is generally called a 'Universal Subscriber Identity Module (USIM) card'.

그리고, Mobile TPM은 하드웨어 기반의 신뢰 컴퓨팅 및 보안 기술에 대한 사업 표준을 개발하는 표준화 단체인 TCG(Trusted Computing Group)에서 정의한 TPM(Trusted Platform Module)을 모바일 단말기에서도 사용할 수 있도록 하는 Mobile TPM으로서 다양한 암호 알고리즘을 지원하고 사용자, 단말 인증 및 단말 무결성 검증, 및 사용자 데이터 보호 기능을 제공한다.The Mobile TPM is a Mobile TPM that enables the TPM (Trusted Platform Module) defined by TCG (Trusted Computing Group), a standardization organization developing business standards for hardware-based trusted computing and security technologies, to be used in mobile terminals as well. Algorithm, and provides user, terminal authentication and terminal integrity verification, and user data protection.

그러나, UICC는 제한된 성능의 프로세서, 낮은 전송 속도 등으로 인해 모바일 단말기에서의 보안 관련 애플리케이션의 안전한 실행 환경을 제공하는 보안 하드웨어와 소프트웨어 기능을 정의하고 있는 Trusted Execution Environment(TEE)를 만족할 수 없다.UICC, however, can not satisfy the Trusted Execution Environment (TEE), which defines security hardware and software functions that provide a secure execution environment for security-related applications on mobile terminals due to limited performance processors and low transfer rates.

또한, Mobile TPM의 경우에는 별도의 칩 이용으로 인한 원가 상승 및 애플리케이션 코드 보호가 어렵다는 단점을 가지고 있다.In addition, in the case of Mobile TPM, it has a disadvantage that cost increase due to the use of a separate chip and application code protection are difficult.

따라서, 본 발명의 일 실시예에서는, 전술한 UICC, 및 Mobile TPM과 같이 별도의 하드웨어 보안 칩을 사용하는 방식이 아닌, 보안 위협으로부터 하드웨어적으로 격리된 환경을 제공하는 트러스트존(TrustZone) 기술을 적용하게 된다.Therefore, in an embodiment of the present invention, a TrustZone technology that provides a hardware isolated environment from security threats, rather than using a separate hardware security chip such as the UICC and the Mobile TPM, .

여기서, 트러스트존은 도 3에 도시한 바와 같이, 하나의 CPU에 'Normal World'와 'Secure World'가 존재하도록 하드웨어적으로 구분하고, 일반 어플리케이션은 'Normal World'에서 작동되고 보안이 필요한 어플리케이션은 'Secure World'에서 작동되도록 하는 실행 환경을 제공하게 된다.Here, as shown in FIG. 3, the trust zone is divided into hardware such that 'Normal World' and 'Secure World' exist in one CPU, and general application is operated in 'Normal World' It will provide an execution environment that will work in 'Secure World'.

즉, 'Normal World'와 'Secure World'은 상호 하드웨어적으로 격리됨과 아울러, 각각 개별적인 운영체제(제1운영체제, 제2운영체제)에 의해서만 동작하게 되며, 이에, 'Normal World'가 악성코드로부터 공격받은 상황에서도 'Secure World' 상의 애플릿 및 저장 데이터는 악성코드로부터의 안전한 관리, 및 실행을 보장받게 된다.That is, the 'Normal World' and the 'Secure World' are isolated from each other in hardware and operate only by the respective operating systems (the first operating system and the second operating system), and the 'Normal World' Even in situations, applets and stored data on 'Secure World' will be securely managed and run from malicious code.

다시 말해, 'Normal World'의 경우 타인에게 공개된 범용(汎用) 운영체제(제1운영체제)를 기반으로 동작함에 따라 다양한 보안위협으로부터 안전을 보장할 수 없으나, 'Secure World'의 경우 'Normal World'와는 하드웨어적으로 격리된 환경에서, 추가로 'Normal World'와는 다르게 타인에게 공개되지 않은 전용(專用) 운영체제(제2운영체제)를 기반으로 동작함에 따라, 'Normal World'에 존재하는 다양한 보안위협으로부터 안전을 보장받게 되는 것이다.In other words, 'Normal World' can not guarantee security against various security threats because it operates based on a general-purpose operating system (first operating system) disclosed to others. However, 'Secure World' (Second Operating System), which is different from 'Normal World' and is not disclosed to others in a hardware-isolated environment. Therefore, various security threats existing in 'Normal World' You will be assured of safety.

이렇듯, 본 발명의 일 실시예에서는 전술한 바와 트러스트존 기술을 적용하고 있는바, 이하에서는 상기 트러스트존 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치(200) 차체에서 처리하고, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달하기 위한 방안을 제안하고자 하며, 이를 구체적으로 설명하면 다음과 같다.As described above, according to the embodiment of the present invention, the trust zone technique is applied. Hereinafter, the user authentication required for the service use based on the trust zone technology is processed in the vehicle body 200, A method for delivering only the result of user authentication processing to a service providing entity is proposed, which will be described in detail as follows.

서비스장치(100)는 서비스 이용과 관련한 사용자 인증을 처리하는 기능을 수행하다.The service device 100 performs a function of processing a user authentication related to service use.

보다 구체적으로, 서비스장치(100)는 접속된 사용자장치(200)에서 요청되는 서비스를 제공하게 되며, 서비스 이용과 관련하여 사용자 인증이 요구되면, 해당 사용자 인증을 사용자장치(200)에서 처리할 수 있도록 한다.More specifically, the service device 100 provides a service requested by the connected user device 200. When the user authentication is requested with respect to the use of the service, the user device 200 can process the corresponding user authentication .

이때, 서비스장치(100)는 사용자장치(200)로부터 사용자 인증에 대한 보안 처리가 통지되는 경우에만, 사용자장치(200) 자체에서 사용자 인증이 처리될 수 있도록 한다.At this time, the service apparatus 100 allows the user apparatus 200 itself to process user authentication only when the security process for user authentication is notified from the user apparatus 200. [

즉, 서비스장치(100)는 사용자장치(100)로부터 사용자 인증에 대한 보안 처리가 통지되는 경우, 사용자장치(200)에서 사용자 인증이 처리되도록 함으로써, 사용자 인증에 필요한 사용자인증정보(예: ID/PASSWORD, 인증서 암호)가 사용자장치(200)로부터 전달되지 않도록 한다.That is, when the security processing for the user authentication is notified from the user device 100, the service device 100 allows the user device 200 to process user authentication information (e.g., ID / PASSWORD, certificate password) from the user device 200.

이는, 사용자 인증에 대한 보안 처리가 요구됨에도 불구하고 서비스장치(100)에서 사용자 인증을 자체 처리하는 경우, 사용자장치(200)로부터 전달되는 사용자인증정보(예: ID/PASSWORD, 인증서 암호)가 외부로 노출되는 것을 방지하기 위함이다.This is because the user authentication information (for example, ID / PASSWORD, certificate password) transmitted from the user device 200 is transmitted to the external device 100 in the case where the service device 100 itself processes the user authentication, As shown in FIG.

이에, 서비스장치(100)에서는 사용자 인증 과정에서 사용자로부터 입력된 사용자인증정보를 검증하기 위한 사용자검증정보(사용자인증정보와 동일한 정보)를 자체 저장하고 있지 않아도 되므로, 해킹 등의 위험으로부터 개인 정보를 보호할 수 있게 된다.Accordingly, since the service device 100 does not have to store user verification information (information identical to the user authentication information) for verifying the user authentication information input from the user in the user authentication process, It becomes possible to protect it.

또한, 서비스장치(100)는 사용자장치(200)의 서비스 이용을 허용하는 기능을 수행한다.In addition, the service apparatus 100 performs a function of allowing use of the service of the user apparatus 200. [

보다 구체적으로, 서비스장치(100)는 사용자장치(200)로부터 사용자 인증 처리 결과를 수신하게 되며, 상기 사용자 인증 처리 결과로부터 상기 사용자장치(200)가 인증된 사용자임을 확인하여 사용자장치(200)로 하여금 서비스를 정상적으로 이용할 수 있도록 한다.More specifically, the service apparatus 100 receives the result of the user authentication process from the user device 200, determines from the user authentication process result that the user device 200 is an authenticated user, So that the service can be used normally.

즉, 서비스장치(100)는 사용자 인증에 필요한 사용자인증정보를 사용자장치(200)로부터 수신하지 않고도, 사용자장치(200)로부터 수신되는 사용자 인증 처리 결과만으로도 사용자장치(200)에 대한 서비스 이용을 허용할 수 있게 되는 것이다. That is, the service apparatus 100 permits the use of the service for the user device 200 only by the user authentication process result received from the user device 200 without receiving the user authentication information required for user authentication from the user device 200 It will be possible to do.

사용자장치(200)는 서비스 이용과 관련하여 사용자 인증이 요구되는 것을 확인하는 기능을 수행한다.The user device 200 performs a function of confirming that user authentication is required in connection with service use.

보다 구체적으로, 사용자장치(200)는 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 상기 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것을 확인하게 된다.More specifically, the user device 200 uses the service provided by the service device 100, and confirms that user authentication is required from the service device 100 in connection with the use of the service.

즉, 도 3을 참조하여 설명하면, 'Normal World'에 탑재된 어플리케이션(APP)을 실행함으로써 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 상기 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것을 확인하게 된다.3, the service provided by the service apparatus 100 is used by executing an application (APP) installed in the 'Normal World', and the service provided by the service apparatus 100 It is confirmed that user authentication is required.

또한, 사용자장치(200)는 사용자 인증의 처리가 가능한지를 판단하는 기능을 수행한다.In addition, the user device 200 performs a function of determining whether or not user authentication processing is possible.

보다 구체적으로, 사용자장치(200)는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되면, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지 여부를 판단하게 된다.More specifically, the user device 200 determines whether the service provided from the service device 100 is an authentication process target that can perform its own user authentication process, if user authentication is requested from the service device 100, .

이를 위해, 사용자장치(200)는 인증처리대상에 해당하는 서비스 목록을 사전에 지정하여 관리하게 되며, 서비스장치(100)로부터 제공되는 서비스가 상기 서비스 목록에 포함되는 것이 확인되면, 해당 서비스를 인증처리대상으로 판단하게 된다.To this end, the user device 200 pre-designates and manages a service list corresponding to an authentication process target. When it is confirmed that a service provided from the service device 100 is included in the service list, the user device 200 authenticates the service It is determined to be a processing object.

그리고, 사용자장치(200)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스 이용과 관련하여 요구되는 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 알리게 된다.When the service provided from the service device 100 is determined to be an authentication target, the user device 200 notifies the service device 100 of the security process, thereby processing the user authentication required in association with the service use And notifies the service apparatus 100 of the request.

즉, 도 3을 참조하여 설명하면, 서비스장치(100)가 제공하는 서비스 이용을 위해 'Normal World'에서 실행중인 어플리케이션을 통해 'Secure World'에 사용자 인증을 요청하게 되며, 해당 요청을 수신한 'Secure World'의 애플릿(Applet)에서는 인증처리대상으로 기 지정된 서비스 목록을 확인함으로써, 서비스장치(100)로부터 제공되는 서비스가, 인증처리대상인지를 판단하게 되는 것이다.3, in order to utilize the service provided by the service apparatus 100, the user is requested to authenticate the 'Secure World' through an application running in 'Normal World' The Applet of the Secure World checks the pre-designated service list to be authenticated, thereby determining whether the service provided from the service apparatus 100 is an authentication object.

또한, 사용자장치(200)는 사용자 인증을 처리하는 기능을 수행한다.In addition, the user device 200 performs a function of processing user authentication.

보다 구체적으로, 사용자장치(200)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다.More specifically, when the service provided from the service device 100 is determined to be an authentication target, the user device 200 receives the user authentication information from the user and processes the user authentication based on the received user authentication information .

이를 위해, 서비스장치(100)는 인증처리대상인 서비스 목록 각각에 대한 사용자검증정보를 사전에 지정하여 저장하게 되며, 사용자 인증 처리 과정에서 사용자로부터 수신되는 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인함으로써, 서비스장치(100)로부터 제공되는 서비스 이용과 관련한 사용자 인증을 처리하게 된다.To this end, the service apparatus 100 pre-specifies and stores user verification information for each service list to be authenticated. In the user authentication process, the user authentication information received from the user and the user verification information coincide with each other The user terminal 100 processes the user authentication related to the use of the service provided from the service device 100. [

여기서, 사용자검증정보는 사용자가 지정한 인증정보(예: ID/PASSWORD, 인증서 암호)를 지칭하게 되며, 이러한 사용자검증정보는 서비스 목록 각각에 대응하도록 지정되거나, 또는 서비스 목록 모두에 대응하는 하나의 대표인증정보('Secure World'에 접근하기 위해 지정된 암호)로서 지정되어 관리될 수 있다.Here, the user verification information may refer to authentication information (e.g., ID / PASSWORD, certificate password) designated by the user, and the user verification information may be designated to correspond to each of the service lists, Can be designated and managed as authentication information (a password designated to access 'Secure World').

즉, 도 3을 참조하여 설명하면, 'Secure World'에 탑재된 애플릿의 실행을 통해 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시함으로써, 상기 정보입력화면을 통해 사용자로부터 사용자인증정보를 수신하게 되며, 'Secure World'의 저장 영역에 기 저장된 사용자검증정보와 수신된 사용자인증정보를 상호 비교함으로써, 사용자 인증을 처리하게 되는 것이다.That is, referring to FIG. 3, an information input screen for receiving the user authentication information through the execution of an applet mounted on the 'Secure World' is displayed to receive user authentication information from the user through the information input screen , And the user authentication is processed by comparing the user verification information previously stored in the storage area of 'Secure World' with the received user authentication information.

또한, 사용자장치(200)는 사용자 인증 처리 결과를 서비스장치(100)에 전달하는 기능을 수행한다.In addition, the user device 200 performs a function of transmitting the result of the user authentication process to the service device 100. [

보다 구체적으로, 사용자장치(200)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과 만으로 사용자장치(200)의 서비스 이용을 허용할 수 있도록 한다.More specifically, when it is confirmed that the user authentication information and the user verification information coincide with each other as a result of the user authentication process, the user device 200 transmits the user authentication process result to the service device 100, Allowing the user device 200 to use the service only by the user authentication process result.

즉, 도 3을 참조하여 설명하면, 'Secure World'에 탑재된 애플릿을 통해 사용자 인증 처리 결과를, 'Normal World'에서 실행중인 어플리케이션에 전달함으로써, 이를 수신한 어플리케이션이 전달된 사용자 인증 처리 결과를 서비스장치(100)에 전송하도록 하거나, 또는 상기 사용자 인증 처리 결과를 서비스장치(100)에 직접 전송함으로써, 'Normal World'에서 실행중인 어플리케이션에서 서비스장치(100)에서 제공하는 서비스를 정상적으로 이용할 수 있도록 한다.In other words, referring to FIG. 3, the user authentication processing result is transmitted to the application executing in the 'Normal World' through the applet mounted on the 'Secure World' So that the service provided by the service device 100 can be used normally in the application running in the 'Normal World' by transmitting the user authentication process result to the service device 100 or directly transmitting the user authentication process result to the service device 100 do.

이하에서는, 도 2를 참조하여 본 발명의 일 실시예에 따른 사용자장치(200) 구성을 보다 구체적으로, 설명하도록 한다.Hereinafter, the configuration of the user apparatus 200 according to an embodiment of the present invention will be described in more detail with reference to FIG.

즉, 본 발명의 일 실시예에 따른 사용자장치(200)는 서비스 이용을 위한 이용부(210), 인증처리대상을 판단하기 위한 판단부(220), 사용자검증정보를 저장하기 위한 저장부(230), 및 사용자 인증을 처리하기 위한 인증부(240)를 포함하는 구성을 갖는다.That is, the user apparatus 200 according to an exemplary embodiment of the present invention includes a use unit 210 for using a service, a determination unit 220 for determining an authentication processing target, a storage unit 230 for storing user verification information And an authentication unit 240 for processing user authentication.

전술한 이용부(210)는 하드웨어적으로 구분된 'Normal World'와 'Secure World' 중 'Normal World'에 탑재된 어플리케이션(APP)에 대응하는 구성으로서, 제1운영체제가 제공하는 공개 API를 호출하여 동작하는 소프트웨어 모듈 형태로서 구현된다.The usage unit 210 described above corresponds to an application (APP) installed in a 'Normal World' classified in hardware and a 'Normal World' among 'Secure World', and calls a public API provided by the first operating system And the like.

여기서, 제1운영체제는, 'Normal World'에 위치한 이용부(210)의 동작을 지원하기 위한 공개 API(Open Application Programmer Interface)를 제공하는 범용(汎用) 운영체제를 지칭하게 된다.Here, the first operating system refers to a general-purpose operating system that provides an Open Application Program Interface (API) to support the operation of the usage unit 210 located in the 'Normal World'.

그리고, 판단부(220), 저장부(230) 및 인증부(240) 각각의 경우 'Secure World'에 탑재된 애플릿에 대응하는 구성으로서 제2운영체제가 제공하는 API를 호출하여 동작하는 소프트웨어 모듈 형태로서 구현되게 된다.In the case of each of the determination unit 220, the storage unit 230, and the authentication unit 240, a software module functioning by calling an API provided by the second operating system as a configuration corresponding to an applet installed in the 'Secure World' .

여기서, 제2운영체제는, 'Secure World'에 위치하는 판단부(220), 저장부(230) 및 인증부(240) 각각의 동작만을 지원하기 위한 API를 제공하는 전용(專用) 운영체제를 지칭하게 된다.Here, the second operating system refers to a dedicated operating system that provides an API for supporting only the operation of each of the determination unit 220, the storage unit 230, and the authentication unit 240 located in the 'Secure World' do.

이용부(210)는 서비스 이용과 관련하여 사용자 인증이 요구되는 것을 확인하는 기능을 수행한다.The use unit 210 performs a function of confirming that user authentication is required with respect to service use.

보다 구체적으로, 이용부(210)는 서비스장치(100)가 제공하는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것이 확인되면, 해당 사용자인증을 인증부(240)에 요청하게 된다.More specifically, when the use unit 210 confirms that the user authentication is requested from the service apparatus 100 with respect to the use of the service provided by the service apparatus 100, the use unit 210 requests the authentication unit 240 to perform the user authentication do.

이때, 이용부(210)는 제1운영체제가 제공하는 공개 API를 호출하여 서비스장치(100)에 접속하여 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 아울러, 서비스 이용과 관련하여 사용자 인증이 요구되는 것이 확인되면, 'Secure World'에 위치하는 인증부(240)에 사용자 인증을 요청하게 된다.At this time, the use unit 210 calls the open API provided by the first operating system and accesses the service apparatus 100 to use the service provided by the service apparatus 100. In addition, Is requested, the authentication unit 240 located in the 'Secure World' requests the user authentication.

여기서, 이용부(210)는 'Normal World'에 탑재된 어플리케이션(APP)에 대응하는 구성이므로, 서비스장치(100)로부터 제공되는 서비스의 이용뿐만이 아니라, 자체 실행되는 서비스의 이용 또한 가능하다.Here, since the use unit 210 corresponds to the application (APP) installed in the 'Normal World', not only the service provided from the service apparatus 100 but also the self-executed service can be used.

판단부(220)는 사용자 인증의 처리가 가능한지를 판단하는 기능을 수행한다.The determination unit 220 performs a function of determining whether or not user authentication processing is possible.

보다 구체적으로, 판단부(220)는 이용부(210)로부터 수신되는 사용자 인증 요청과 관련하여, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지를 판단하게 된다.More specifically, the determination unit 220 determines whether the service provided from the service device 100 is an authentication process target that can perform its own user authentication process in association with the user authentication request received from the use unit 210 do.

이를 위해, 판단부(220)는 인증처리대상에 해당하는 서비스 목록을 사전에 지정하여 관리하게 되며, 사용자 인증을 요구하는 서비스가 상기 서비스 목록에 포함되는 것이 확인되면, 해당 서비스를 인증처리대상으로 판단하게 된다.For this, the determination unit 220 pre-designates and manages a service list corresponding to an authentication processing target. When it is confirmed that a service requesting user authentication is included in the service list, .

이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 인증처리대상으로 기 지정된 서비스 목록을 확인함으로써, 서비스장치(100)로부터 제공되는 서비스를 인증처리대상으로 판단하는 것이다.At this time, the determination unit 230 calls the API provided by the second operating system and determines a service provided from the service apparatus 100 as an authentication target by confirming a previously designated service list to be subjected to authentication processing.

그리고, 판단부(220)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스장치(100)로 하여금 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치(200)에서 자체적으로 처리하겠음을 인지할 수 있도록 한다.When the service provided from the service apparatus 100 is determined to be an authentication target, the determination unit 220 notifies the service apparatus 100 of the security processing, thereby causing the service apparatus 100 to make a request So that the user device 200 can recognize that the user authentication is to be handled by the user device 200 itself.

이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 판단 결과를 'Normal World'에 위치하는 이용부(210)에 전달함으로써, 이용부(210)로 하여금 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 통지할 수 있도록 한다.At this time, the determination unit 230 calls the API provided by the second operating system and transmits the determination result to the use unit 210 located in 'Normal World', thereby allowing the use unit 210 to perform user authentication on its own And notify the service apparatus 100 of the request.

인증부(240)는 사용자 인증을 처리하는 기능을 수행한다.The authentication unit 240 performs a function of processing user authentication.

보다 구체적으로, 인증부(240)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다.More specifically, when the service provided from the service device 100 is determined to be an authentication target, the authentication unit 240 receives the user authentication information from the user and processes the user authentication based on the received user authentication information .

이를 위해, 인증부(240)는 인증처리대상인 서비스 목록 각각에 대한 사용자검증정보를 사전에 지정하여 저장부(230)에 저장되며, 사용자로부터 수신되는 사용자인증정보와 상기 저장된 사용자검증정보가 상호 일치하는지 여부를 확인함으로써, 사용자 인증을 처리하게 된다.For this, the authentication unit 240 stores the user verification information for each of the service lists subject to authentication processing in advance in the storage unit 230, and the user authentication information received from the user and the stored user verification information coincide with each other , Thereby processing the user authentication.

이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시함으로써, 상기 정보입력화면을 통해 사용자로부터 사용자인증정보를 수신하게 되며, 'Secure World'에 위치하는 저장부(230)에 기 저장된 사용자검증정보와 수신된 사용자인증정보를 상호 비교함으로써, 사용자 인증을 처리하게 되는 것이다.At this time, the authentication unit 240 receives the user authentication information from the user through the information input screen by calling the API provided by the second operating system and displaying the information input screen for receiving the user authentication information, User authentication information stored in the storage unit 230 located in the Secure World is compared with the received user authentication information to process the user authentication.

여기서, 사용자검증정보의 경우 전술한 바와 같이 'Normal World'에 위치하는 일반적인 메모리 영역이 아닌 'Secure World'에 위치하는 저장부(230)에 저장하여 관리하게 되며, 이는 'Normal World'와는 하드웨어적으로 격리된 환경에서, 추가로 'Normal World'와는 독립적인 제2운영체제를 기반으로 한 사용자검증정보의 저장 관리를 통해 'Normal World'에 존재하는 다양한 보안위협으로부터 사용자검증정보를 안전하게 보호하기 위함이다.Here, in the case of the user verification information, the user verification information is stored and managed in the storage unit 230 located in the 'Secure World' rather than the general memory area located in the 'Normal World' In order to protect user verification information from various security threats existing in 'Normal World' through storage management of user verification information based on a second operating system independent of 'Normal World' .

또한, 인증부(240)는 사용자 인증 처리 결과를 서비스장치(100)에 전달하는 기능을 수행한다.The authentication unit 240 also performs a function of transmitting the user authentication processing result to the service device 100. [

보다 구체적으로, 인증부(240)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과 만으로 이용부(210)의 서비스 이용을 허용할 수 있도록 한다.More specifically, when it is confirmed that the user authentication information and the user verification information match each other as a result of the user authentication process, the authentication unit 240 transmits the user authentication process result to the service device 100, So that the use of the use unit 210 can be permitted only by the result of the user authentication process.

이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 사용자 인증 처리 결과를 'Normal World'에 위치한 이용부(210)에 전달하여 서비스장치(100)에 전송하도록 하거나, 또는 'Secure World' 상에서 통신 기능을 활성화하여 사용자 인증 처리 결과를 서비스장치(100)에 직접 제공함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과만으로 이용부(210)의 서비스 이용을 허용하도록 하는 것이다.At this time, the authentication unit 240 calls the API provided by the second operating system to transmit the user authentication processing result to the usage unit 210 located in the 'Normal World' and transmit the result to the service device 100, or 'Secure The communication function is activated on the World and the user authentication processing result is directly provided to the service apparatus 100 so that the service apparatus 100 permits the use of the use unit 210 only by the result of the user authentication process.

한편, 인증부(240)는 이용부(210)에서 이용하고자 하는 서비스가 서비스장치(100)에서 제공하는 서비스가 아닌 이용부(210)에서 자체 실행중인 서비스인 경우에는, 사용자 인증 처리 결과를 인증부(210)에만 전달함으로써, 인증부(210) 하여금 사용자 인증 처리 결과만으로도 서비스를 이용할 수 있도록 하게 된다. On the other hand, in the case where the service to be used by the use unit 210 is a service that is being executed by the use unit 210, rather than a service provided by the service apparatus 100, the authentication unit 240 authenticates the user authentication processing result Unit 210, thereby allowing the authentication unit 210 to use the service only with the result of the user authentication process.

이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 사용자 인증 시스템에 따르면, 트러스트존(TrustZone) 기술 기반의 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증을 확인하고, 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로도 서비스를 정상적으로 이용할 수 있도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합에 따른 안전한 사용자 인증을 수행할 수 있다.As described above, according to the user authentication system according to an embodiment of the present invention, when a user device based on a trust zone (TrustZone) technology transmits a user authentication required from the service device in connection with use of a service provided from the service device And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information and processes the user authentication based on the user authentication information, and when the service apparatus receives the user authentication information It is possible to perform secure user authentication according to the combination of the isolated execution environment not exposed from the security threat and the hardware security technology by allowing the service to be normally used only with the result of the user authentication process.

이하에서는 도 4 및 도 5를 참조하여, 본 발명의 일 실시예에 따른 광고 서비스 방법을 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 및 도 2에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다. Hereinafter, an advertisement service method according to an embodiment of the present invention will be described with reference to FIGS. 4 and 5. FIG. Here, for convenience of explanation, the configurations shown in FIGS. 1 and 2 will be described with reference to corresponding reference numerals.

우선, 도 4를 참조하여 본 발명의 일 실시예에 따른 사용자 인증 시스템에서의 동작 흐름을 설명하도록 한다.First, the operation flow in the user authentication system according to an embodiment of the present invention will be described with reference to FIG.

먼저, 사용자장치(200)는 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 상기 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것을 확인하게 된다(S110-S130).First, the user device 200 uses the service provided by the service device 100 and confirms that the user authentication is requested from the service device 100 in relation to the use of the service (S110 - S130).

그리고 나서, 사용자장치(200)는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되면, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지 여부를 판단하게 된다(S140).Then, when the user authentication is requested from the service device 100 in connection with the service use, the user device 200 determines whether or not the service provided from the service device 100 is an authentication process target that can perform its own user authentication process (S140).

이때, 사용자장치(200)는 인증처리대상에 해당하는 서비스 목록을 사전에 지정하여 관리하게 되며, 서비스장치(100)로부터 제공되는 서비스가 상기 서비스 목록에 포함되는 것이 확인되면, 해당 서비스를 인증처리대상으로 판단하게 된다.At this time, the user device 200 prescribes and manages a service list corresponding to the authentication process target. When it is confirmed that the service provided from the service device 100 is included in the service list, It is judged as an object.

그리고, 사용자장치(200)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스 이용과 관련하여 요구되는 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 알리게 된다(S150).When the service provided from the service device 100 is determined to be an authentication target, the user device 200 notifies the service device 100 of the security process, thereby processing the user authentication required in association with the service use And notifies the service apparatus 100 of the request (S150).

그런 다음, 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다(S160-S170).Then, if it is determined that the service provided from the service device 100 is an object of authentication processing, the user authentication information is received from the user, and the user authentication is processed based on the received user authentication information (S160-S170).

이때, 서비스장치(100)는 인증처리대상인 서비스 목록 각각에 대한 사용자검증정보를 사전에 지정하여 저장하게 되며, 사용자 인증 처리 과정에서 사용자로부터 수신되는 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인함으로써, 서비스장치(100)로부터 제공되는 서비스 이용과 관련한 사용자 인증을 처리하게 된다.At this time, the service device 100 pre-specifies and stores user verification information for each service list to be authenticated. In the user authentication process, whether the user authentication information received from the user and the user verification information coincide with each other Thereby processing user authentication related to the use of the service provided from the service apparatus 100. [

다음으로, 사용자장치(200)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달한다(S180).Next, when it is determined that the user authentication information and the user verification information coincide with each other as a result of the user authentication process, the user device 200 transmits the user authentication process result to the service device 100 (S180).

이후, 서비스장치(100)는 사용자장치(200)로부터 사용자 인증 처리 결과를 수신하게 되며, 상기 사용자 인증 처리 결과만으로 상기 사용자장치(200)가 인증된 사용자임을 확인하여 사용자장치(200)로 하여금 서비스를 정상적으로 이용할 수 있도록 한다(S190).Thereafter, the service apparatus 100 receives the result of the user authentication process from the user apparatus 200, confirms that the user apparatus 200 is an authorized user based only on the result of the user authentication process, (S190).

이하에서는 도 5를 참조하여 본 발명의 일 실시예에 따른 사용자장치(200)의 동작을 구체적으로 설명하도록 한다.Hereinafter, the operation of the user apparatus 200 according to an embodiment of the present invention will be described in detail with reference to FIG.

먼저, 이용부(210)는 서비스장치(100)가 제공하는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것이 확인되면, 해당 사용자인증을 인증부(240)에 요청하게 된다(S210-S220).First, when the use unit 210 confirms that user authentication is requested from the service apparatus 100 with respect to service use provided by the service apparatus 100, the use unit 210 requests the user authentication unit 240 to authenticate the user S210-S220).

이때, 이용부(210)는 제1운영체제가 제공하는 공개 API를 호출하여 서비스장치(100)에 접속하여 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 아울러, 서비스 이용과 관련하여 사용자 인증이 요구되는 것이 확인되면, 'Secure World'에 위치하는 인증부(240)에 사용자 인증을 요청하게 되는 것이다.At this time, the use unit 210 calls the open API provided by the first operating system and accesses the service apparatus 100 to use the service provided by the service apparatus 100. In addition, Is requested, the authentication unit 240 located in the 'Secure World' requests the user authentication.

그리고 나서, 판단부(220)는 이용부(210)로부터 수신되는 사용자 인증 요청과 관련하여, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지를 판단하게 된다(S230).Then, the determination unit 220 determines whether the service provided from the service device 100 is an authentication process object capable of performing a user authentication process in association with the user authentication request received from the use unit 210 (S230).

이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 인증처리대상으로 기 지정된 서비스 목록을 확인함으로써, 서비스장치(100)로부터 제공되는 서비스를 인증처리대상으로 판단하는 것이다.At this time, the determination unit 230 calls the API provided by the second operating system and determines a service provided from the service apparatus 100 as an authentication target by confirming a previously designated service list to be subjected to authentication processing.

그리고, 판단부(220)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스장치(100)로 하여금 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치(200)에서 자체적으로 처리하겠음을 인지할 수 있도록 한다(S240-S250).When the service provided from the service apparatus 100 is determined to be an authentication target, the determination unit 220 notifies the service apparatus 100 of the security processing, thereby causing the service apparatus 100 to make a request (S240-S250) so that the user device 200 can recognize that the user authentication is to be performed by the user device 200 itself.

이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 판단 결과를 'Normal World'에 위치하는 이용부(210)에 전달함으로써, 이용부(210)로 하여금 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 통지할 수 있도록 한다.At this time, the determination unit 230 calls the API provided by the second operating system and transmits the determination result to the use unit 210 located in 'Normal World', thereby allowing the use unit 210 to perform user authentication on its own And notify the service apparatus 100 of the request.

다음으로, 인증부(240)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다(S260-S280).Next, when it is determined that the service provided from the service apparatus 100 is an object of authentication processing, the authentication unit 240 receives the user authentication information from the user and processes the user authentication based on the received user authentication information ( S260-S280).

이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시함으로써, 상기 정보입력화면을 통해 사용자로부터 사용자인증정보를 수신하게 되며, 'Secure World'에 위치하는 저장부(230)에 기 저장된 사용자검증정보와 수신된 사용자인증정보를 상호 비교함으로써, 사용자 인증을 처리하게 되는 것이다.At this time, the authentication unit 240 receives the user authentication information from the user through the information input screen by calling the API provided by the second operating system and displaying the information input screen for receiving the user authentication information, User authentication information stored in the storage unit 230 located in the Secure World is compared with the received user authentication information to process the user authentication.

그런 다음, 인증부(240)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과 만으로 이용부(210)의 서비스 이용을 허용할 수 있도록 한다(S290-S310).Then, when it is confirmed that the user authentication information and the user verification information coincide with each other as a result of the user authentication process, the authentication unit 240 transmits the user authentication process result to the service device 100, The use of the service of the use unit 210 can be permitted only by the result of the user authentication process (S290 - S310).

이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 사용자 인증 처리 결과를 'Normal World'에 위치한 이용부(210)에 전달하여 서비스장치(100)에 전송하도록 하거나, 또는 'Secure World' 상에서 통신 기능을 활성화하여 사용자 인증 처리 결과를 서비스장치(100)에 직접 제공함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과만으로 이용부(210)의 서비스 이용을 허용하도록 하는 것이다.At this time, the authentication unit 240 calls the API provided by the second operating system to transmit the user authentication processing result to the usage unit 210 located in the 'Normal World' and transmit the result to the service device 100, or 'Secure The communication function is activated on the World and the user authentication processing result is directly provided to the service apparatus 100 so that the service apparatus 100 permits the use of the use unit 210 only by the result of the user authentication process.

이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 사용자 인증 방법에 따르면, 트러스트존(TrustZone) 기술 기반의 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증을 확인하고, 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로도 서비스를 정상적으로 이용할 수 있도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합에 따른 안전한 사용자 인증을 수행할 수 있다.As described above, according to the user authentication method according to an embodiment of the present invention, when a user apparatus based on TrustZone technology transmits user authentication required from the service apparatus in association with use of a service provided from the service apparatus, And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information and processes the user authentication based on the user authentication information, and when the service apparatus receives the user authentication information It is possible to perform secure user authentication according to the combination of the isolated execution environment not exposed from the security threat and the hardware security technology by allowing the service to be normally used only with the result of the user authentication process.

한편, 여기에 제시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Meanwhile, the steps of a method or algorithm described in connection with the embodiments disclosed herein may be embodied directly in hardware, or may be embodied in a computer readable medium, in the form of a program instruction, which may be carried out through various computer means. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

본 발명의 사용자 인증 시스템 및 그 방법, 그리고 이에 적용되는 장치에 따르면, 트러스트존(TrustZone) 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치 차체에서 처리하고, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달함으로써, 사용자장치에서 서비스 이용이 가능하도록 한다는 점에서 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the user authentication system and method of the present invention, and the device applied thereto, user authentication required in connection with service use based on TrustZone technology is processed in the user equipment body, It is possible to use the service on the user device, thereby overcoming the limitations of the existing technology. Therefore, it is not only the use of the related technology, but also the possibility of marketing or operating the applicable device is sufficient. This is an invention that is industrially applicable because it can be done.

100: 서비스장치
200: 사용자장치
210: 이용부 220: 판단부
230: 저장부 240: 인증부100: Service device
200: User device
210: Usage unit 220:
230: storage unit 240: authentication unit

Claims (14)

서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증 요청하는 이용부; 및
상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하고, 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 이용부가 상기 서비스를 이용할 수 있도록 하는 인증부를 포함하는 것을 특징으로 하는 사용자장치.A use unit for requesting a user authentication requested from the service apparatus in connection with using the service provided from the service apparatus; And
And when the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information, processes the user authentication based on the user authentication information, And an authentication unit that allows the use unit to use the service based only on the result of the user authentication process. 제 1 항에 있어서,
상기 사용자장치는,
상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단부를 더 포함하며,
상기 판단부는,
상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
The user device comprising:
Further comprising a determination unit for determining whether the service is an object of the authentication process,
Wherein,
And judges that the service is the object of the authentication processing if the service is included in the service list designated as the object of the authentication processing. 제 1 항에 있어서,
상기 사용자장치는,
상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장부를 더 포함하며,
상기 인증부는,
상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
The user device comprising:
And a storage unit for storing the user verification information specified in association with the processing of the user authentication,
Wherein,
And verifies whether the user authentication information and the user verification information coincide with each other, and processes the user authentication. 제 3 항에 있어서,
상기 사용자검증정보는,
상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 하는 사용자장치.The method of claim 3,
Wherein the user verification information comprises:
And when the service is two or more, is designated to correspond to each of the two or more services, or to correspond to both of the two or more services. 제 1 항에 있어서,
상기 사용자장치는,
상기 서비스 이용 및 상기 사용자 인증 처리를 각각 지원하기 위한 제1운영체제 및 제2운영체제를 더 포함하며,
상기 제1운영체제는,
상기 서비스 이용과 관련하여 요구되는 상기 사용자 인증을 요청하도록 지원하기 위한 공개 API(Open Application Programmer Interface)를 제공하는 범용(汎用) 운영체제이며,
상기 제2운영체제는,
상기 서비스를 상기 인증처리대상으로 판단하도록 하고, 상기 인증처리대상으로 판단된 상기 서비스와 관련하여 상기 사용자 인증을 처리하도록 지원하기 위한 API(Open Application Programmer Interface)를 제공하는 전용(專用) 운영체제인 것을 특징으로 하는 사용자장치.The method according to claim 1,
The user device comprising:
Further comprising a first operating system and a second operating system for respectively supporting the service use and the user authentication processing,
Wherein the first operating system comprises:
A general-purpose operating system that provides an Open Application Program Interface (API) for requesting the user authentication requested in connection with the use of the service,
Wherein the second operating system comprises:
A dedicated operating system that provides an API (Open Application Program Interface) for determining the service as the object of the authentication processing and for supporting the user authentication processing in relation to the service determined as the object of the authentication processing / RTI > 제 1 항에 있어서,
상기 인증부는,
상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하며, 상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
Wherein,
And displays the information input screen for receiving the user authentication information when the service is determined to be the object of the authentication processing and receives the user authentication information inputted from the user through the information input screen . 제 1 항에 있어서,
상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우,
상기 사용자인증정보는,
상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
If the service is included in at least one of execution of an application, connection of a web page, and execution of secure content,
Wherein the user authentication information includes:
The login information for execution of the application, the login information for connection of the web page, and the authorization key for executing the secure content. 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 사용자 인증이 요구되는 것을 확인하는 확인단계;
상기 사용자장치가 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하는 인증처리단계; 및
상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 사용자장치가 상기 서비스를 이용할 수 있도록 하는 이용허가단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.A confirmation step of confirming that the user apparatus is required to authenticate the user from the service apparatus in relation to the use of the service provided from the service apparatus;
An authentication processing step of receiving the user authentication information and processing the user authentication based on the user authentication information when the user device determines that the service is an authentication processing object capable of processing the user authentication; And
And allowing the user apparatus to use the service only by the result of the user authentication process without the service apparatus receiving the user authentication information. 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 사용자 인증이 요구되는 것을 확인하는 확인단계;
상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하는 수신단계; 및
상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 인증처리단계를 포함하는 것을 특징으로 하는 사용자장치의 동작 방법.A confirming step of confirming that user authentication is required from the service apparatus in connection with the use of the service provided from the service apparatus;
A receiving step of receiving user authentication information if the service is determined to be an authentication processing object capable of processing the user authentication; And
And an authentication processing step of processing the user authentication based on the user authentication information and allowing the service device to use the service only by the result of the user authentication processing without receiving the user authentication information. Method of operation of the device. 제 9 항에 있어서,
상기 방법은,
상기 수신단계 이전에, 상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단단계를 더 포함하며,
상기 판단단계는,
상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
The method comprises:
Further comprising a determining step of determining whether or not the service is an object of the authentication process before the receiving step,
Wherein,
If the service is included in the service list designated for the authentication process, determines the service as the authentication process target. 제 9 항에 있어서,
상기 수신단계는,
상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하는 표시단계; 및
상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 수신단계를 포함하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
Wherein the receiving step comprises:
A display step of displaying an information input screen for receiving the user authentication information when the service is determined to be the object of the authentication processing; And
And receiving the user authentication information input from the user through the information input screen. 제 9 항에 있어서,
상기 방법은,
상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장단계를 더 포함하며,
상기 인증처리단계는,
상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
The method comprises:
Further comprising a storing step of storing the user verification information specified in connection with the processing of the user authentication,
Wherein the authentication processing step comprises:
Wherein the user authentication is performed by checking whether the user authentication information and the user verification information coincide with each other. 제 12 항에 있어서,
상기 사용자검증정보는,
상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 하는 사용자장치의 동작 방법.13. The method of claim 12,
Wherein the user verification information comprises:
And when the service is two or more, the service is designated to correspond to each of the two or more services, or to correspond to both of the two or more services. 제 9 항에 있어서,
상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우,
상기 사용자인증정보는,
상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
If the service is included in at least one of execution of an application, connection of a web page, and execution of secure content,
Wherein the user authentication information includes:
The login information for execution of the application, the login information for accessing the web page, and the authorization key for executing the secure content.
KR1020130026726A 2013-03-13 2013-03-13 User authentication system and method thereof, and apparatus applied to the same KR102082356B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130026726A KR102082356B1 (en) 2013-03-13 2013-03-13 User authentication system and method thereof, and apparatus applied to the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130026726A KR102082356B1 (en) 2013-03-13 2013-03-13 User authentication system and method thereof, and apparatus applied to the same

Publications (2)

Publication Number Publication Date
KR20140112242A true KR20140112242A (en) 2014-09-23
KR102082356B1 KR102082356B1 (en) 2020-02-27

Family

ID=51757288

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130026726A KR102082356B1 (en) 2013-03-13 2013-03-13 User authentication system and method thereof, and apparatus applied to the same

Country Status (1)

Country Link
KR (1) KR102082356B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080051753A (en) * 2006-12-06 2008-06-11 삼성전자주식회사 System and method for providing security

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080051753A (en) * 2006-12-06 2008-06-11 삼성전자주식회사 System and method for providing security

Also Published As

Publication number Publication date
KR102082356B1 (en) 2020-02-27

Similar Documents

Publication Publication Date Title
EP3061027B1 (en) Verifying the security of a remote server
Jain et al. Addressing security and privacy risks in mobile applications
EP3029593B1 (en) System and method of limiting the operation of trusted applications in the presence of suspicious programs
KR101700171B1 (en) Authentication for network access related applications
US20150302201A1 (en) Device and method for processing transaction request in processing environment of trust zone
CN105447406A (en) Method and apparatus for accessing storage space
CN103843303A (en) Management control method, device and system for virtual machine
KR101403626B1 (en) Method of integrated smart terminal security management in cloud computing environment
CN113841145A (en) Lexus software in inhibit integration, isolation applications
RU2583710C2 (en) System and method for providing privacy of information used during authentication and authorisation operations using trusted device
JP2019510316A (en) Method and device for providing account linking and service processing
CN112446033A (en) Software trusted starting method and device, electronic equipment and storage medium
CN113239397A (en) Information access method, device, computer equipment and medium
KR20140112785A (en) Financial service system and method thereof, and apparatus applied to the same
US20190268161A1 (en) Secure policy ingestion into trusted execution environments
US9973527B2 (en) Context-aware proactive threat management system
US20150106871A1 (en) System and method for controlling access to security engine of mobile terminal
Lee et al. A study on realtime detecting smishing on cloud computing environments
CN102542698B (en) Safety protective method of electric power mobile payment terminal
US11861582B2 (en) Security protection of association between a user device and a user
KR102201218B1 (en) Access control system and method to security engine of mobile terminal
CN111046440B (en) Tamper verification method and system for secure area content
EP3036674B1 (en) Proof of possession for web browser cookie based security tokens
KR20160102915A (en) Security platform management device for smart work based on mobile virtualization
CN111209561B (en) Application calling method and device of terminal equipment and terminal equipment

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)