KR20140112242A - User authentication system and method thereof, and apparatus applied to the same - Google Patents
User authentication system and method thereof, and apparatus applied to the same Download PDFInfo
- Publication number
- KR20140112242A KR20140112242A KR1020130026726A KR20130026726A KR20140112242A KR 20140112242 A KR20140112242 A KR 20140112242A KR 1020130026726 A KR1020130026726 A KR 1020130026726A KR 20130026726 A KR20130026726 A KR 20130026726A KR 20140112242 A KR20140112242 A KR 20140112242A
- Authority
- KR
- South Korea
- Prior art keywords
- service
- user
- user authentication
- authentication
- information
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Systems or methods specially adapted for specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Abstract
Description
본 발명은 트러스트존(TrustZone) 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치 차체에서 처리하며, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달하여도 사용자장치에서 서비스 이용이 가능하도록 하는 방법에 관한 것이다.The present invention relates to a method and apparatus for processing a user authentication required for a service using a trust zone (TrustZone) technology in a user equipment body and allowing a user device to use a service even if a user authentication process result is transmitted only to a service providing entity ≪ / RTI >
최근, 스마트폰은 애플리케이션 프로세서 및 디스플레이와 같은 하드웨어의 발전, 모바일 운영체제의 출현, 및 공개시장(Open market)의 활성화 등으로 인해 폭발적인 시장 확대가 이루어지고 있다.In recent years, smartphones have been expanding explosively due to the development of hardware such as application processors and displays, the emergence of mobile operating systems, and the revitalization of the open market.
그러나, 전술한 스마트폰과 같은 모바일 단말기의 경우, 운영체제의 개방성, 누구나 개발하여 참여할 수 있는 공개시장 생태계로 인한 개인정보(예: 주소록, 문자메시지, 금융 정보, 인증서 등)의 유출 위험성, 악성코드로 인한 단말기 오작동, 과도한 과금 유발 및 이동통신망에 대한 공격 가능성 등 기존 PC 상에서의 보안 위협이 재현될 수 있을 뿐만 아니라 무선 통신 환경에서의 새로운 유형의 보안 위협 요소가 존재하고 있다.However, in the case of a mobile terminal such as the above-mentioned smart phone, the risk of leakage of personal information (such as address book, text message, financial information, certificate, etc.) due to openness of the operating system, open market ecosystem that anyone can develop and participate in, There is a new type of security threat in a wireless communication environment as well as being able to reproduce a security threat on an existing PC such as a malfunction of a terminal due to a malfunction of the mobile communication network,
이에, 악의적인 공격에 의한 보안 위협 요소로부터 사용자 및 네트워크의 자산을 보호하기 위해 모바일 환경에서의 신뢰성을 제공할 수 있는 보안 플랫폼 기술이 필요하다.Accordingly, there is a need for a security platform technology capable of providing reliability in a mobile environment in order to protect users and network assets from security threats caused by malicious attacks.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은 트러스트존(TrustZone) 기술 기반의 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증을 확인하고, 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합하여 안전한 사용자 인증을 수행하는데 있다.SUMMARY OF THE INVENTION The present invention has been made in view of the above circumstances, and an object of the present invention is to provide a user equipment based on TrustZone technology, And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information and processes the user authentication based on the user authentication information, The user is allowed to use the service only with the result of the user authentication process without receiving the security service, thereby performing safe user authentication by combining the isolated execution environment not exposed from the security threat and the hardware security technology.
체기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 사용자장치는, 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증 요청하는 이용부; 및 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하고, 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 이용부가 상기 서비스를 이용할 수 있도록 하는 인증부를 포함하는 것을 특징으로 한다.A user device according to a first aspect of the present invention for achieving the object of the present invention includes a usage unit for requesting a user authentication requested from the service device in connection with using a service provided from the service device; And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information, processes the user authentication based on the user authentication information, and the service apparatus receives the user authentication information And allowing the use unit to use the service only with the result of the user authentication process.
보다 구체적으로, 상기 사용자장치는, 상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단부를 더 포함하며, 상기 판단부는, 상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 한다.More specifically, the user device further includes a determination unit that determines whether the service is the authentication process target, and the determination unit determines whether the service is included in the service list designated as the authentication process target, It is determined that the authentication processing is performed.
보다 구체적으로, 상기 사용자장치는, 상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장부를 더 포함하며, 상기 인증부는, 상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 한다.More specifically, the user device may further include a storage unit for storing user verification information specified in association with the user authentication process, and the authentication unit may determine whether the user authentication information and the user verification information coincide with each other Thereby processing the user authentication.
보다 구체적으로, 상기 사용자검증정보는, 상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 한다.More specifically, the user verification information is specified to correspond to each of the two or more services, or to correspond to both of the two or more services when the service is two or more.
보다 구체적으로, 상기 사용자장치는, 상기 서비스 이용 및 상기 사용자 인증 처리를 각각 지원하기 위한 제1운영체제 및 제2운영체제를 더 포함하며, 상기 제1운영체제는, 상기 서비스 이용과 관련하여 요구되는 상기 사용자 인증을 요청하도록 지원하기 위한 공개 API(Open Application Programmer Interface)를 제공하는 범용(汎用) 운영체제이며, 상기 제2운영체제는, 상기 서비스를 상기 인증처리대상으로 판단하도록 하고, 상기 인증처리대상으로 판단된 상기 서비스와 관련하여 상기 사용자 인증을 처리하도록 지원하기 위한 API(Open Application Programmer Interface)를 제공하는 전용(專用) 운영체제인 것을 특징으로 한다.More specifically, the user apparatus further comprises a first operating system and a second operating system for respectively supporting the service use and the user authentication processing, Wherein the second operating system is a general-purpose operating system that provides an Open Application Program Interface (API) for supporting authentication request, and the second operating system allows the service to be determined to be the object of the authentication processing, And an API (Open Application Program Interface) for supporting the user authentication processing in association with the service.
보다 구체적으로, 상기 인증부는, 상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하며, 상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 것을 특징으로 한다.More specifically, the authentication unit displays an information input screen for inputting the user authentication information when the service is determined to be the authentication processing target, and displays the user authentication information input from the user on the information input screen And receiving the data.
보다 구체적으로, 상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우, 상기 사용자인증정보는, 상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 한다.More specifically, when the service is included in at least one of execution of an application, connection of a web page, and execution of secure content, the user authentication information includes login information for execution of the application, The login information, and the authorization key for executing the secure content.
상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 사용자장치는, 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증 요청하는 이용부; 및 상기 서비스가 상기 인증처리대상으로 판단되면, 사용자인증정보를 수신하고, 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 이용부가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 인증부를 포함하는 것을 특징으로 한다.To achieve the above object, according to a second aspect of the present invention, there is provided a user apparatus comprising: a usage unit for requesting a user authentication requested from the service apparatus in connection with service use; And processing the user authentication based on the user authentication information when the service is determined to be the object of the authentication processing, And an authentication unit for enabling the service to be used.
상기 목적을 달성하기 위한 본 발명의 제 3 관점에 따른 사용자 인증 방법은, 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 사용자 인증이 요구되는 것을 확인하는 확인단계; 상기 사용자장치가 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하는 인증처리단계; 및 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 사용자장치가 상기 서비스를 이용할 수 있도록 하는 이용허가단계를 포함하는 것을 특징으로 한다.According to a third aspect of the present invention, there is provided a method for authenticating a user, the method comprising: a confirmation step of confirming that a user authentication is requested from the service device in association with a service provided from a service device; An authentication processing step of receiving the user authentication information and processing the user authentication based on the user authentication information when the user device determines that the service is an authentication processing object capable of processing the user authentication; And a use permission step of allowing the user apparatus to use the service only by the result of the user authentication process without the service apparatus receiving the user authentication information.
상기 목적을 달성하기 위한 본 발명의 제 4 관점에 따른 사용자장치의 동작 방법은, 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 사용자 인증이 요구되는 것을 확인하는 확인단계; 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하는 수신단계; 및 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 인증처리단계를 포함하는 것을 특징으로 한다.According to a fourth aspect of the present invention, there is provided a method for operating a user equipment, the method comprising: a confirmation step of confirming that user authentication is required from the service device in connection with using a service provided from the service device; A receiving step of receiving user authentication information if the service is determined to be an authentication processing object capable of processing the user authentication; And an authentication processing step of processing the user authentication based on the user authentication information and allowing the service device to use the service only by the user authentication processing result without receiving the user authentication information .
보다 구체적으로, 상기 방법은, 상기 수신단계 이전에, 상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단단계를 더 포함하며, 상기 판단단계는, 상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 한다.More specifically, the method may further include a determining step of determining whether the service is an object of the authentication process before the receiving step, and the determining step may include determining whether the service is a service list And determines that the service is an object of the authentication process.
보다 구체적으로, 상기 수신단계는, 상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하는 표시단계; 및 상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 수신단계를 포함하는 것을 특징으로 한다.More specifically, the receiving step may include: a display step of displaying an information input screen for receiving the user authentication information when the service is determined to be the object of the authentication processing; And a receiving step of receiving the user authentication information input from the user through the information input screen.
보다 구체적으로, 상기 방법은, 상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장단계를 더 포함하며, 상기 인증처리단계는, 상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 한다.More specifically, the method further includes a storing step of storing user verification information specified in connection with the processing of the user authentication, wherein the authentication processing step determines whether or not the user authentication information and the user verification information coincide with each other And processes the user authentication.
보다 구체적으로, 상기 사용자검증정보는, 상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 한다.More specifically, the user verification information is specified to correspond to each of the two or more services, or to correspond to both of the two or more services when the service is two or more.
보다 구체적으로, 상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우, 상기 사용자인증정보는, 상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 한다.More specifically, when the service is included in at least one of execution of an application, connection of a web page, and execution of secure content, the user authentication information includes login information for execution of the application, The login information, and the authorization key for executing the secure content.
상기 목적을 달성하기 위한 본 발명의 제 5 관점에 따른 사용자 인증 시스템은, 사용자장치에 사용자 인증이 요구되는 서비스를 제공하는 서비스장치; 및 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 사용자장치를 포함하는 것을 특징으로 하는 사용자 인증 시스템.According to a fifth aspect of the present invention, there is provided a user authentication system comprising: a service device for providing a service requiring user authentication to a user device; And processing the user authentication based on the user authentication information upon receiving the user authentication information if the service is determined to be an authentication processing object capable of processing the user authentication, And a user device that enables the service to be used only based on the result of the user authentication process.
이에, 본 발명의 사용자 인증 시스템 및 그 방법, 그리고 이에 적용되는 장치에 의하면, 트러스트존(TrustZone) 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치 차체에서 처리하고, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달하여도 사용자장치에서 서비스 이용이 가능하도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합에 따른 안전한 사용자 인증을 수행할 수 있다.According to the user authentication system and method of the present invention and the device applied thereto, the user authentication required for the service use based on the TrustZone technology is processed in the user equipment body, It is possible to perform the secure user authentication by combining the isolated execution environment and the hardware security technology that are not exposed from the security threat.
도 1은 본 발명의 일 실시예에 따른 사용자 인증 시스템의 개략적인 구성도.
도 2은 본 발명의 일 실시예에 따른 사용자장치의 구성도.
도 3은 본 발명의 일 실시예에 따른 트러스트존(TrustZone) 기술 기반 사용자장치의 구성도.
도 4는 본 발명의 일 실시예에 따른 사용자 인증 시스템에서의 동작 흐름을 설명하기 위한 개략적인 순서도.
도 5는 본 발명의 일 실시예에 따른 사용자장치의 동작을 설명하기 위한 개략적인 순서도.1 is a schematic configuration diagram of a user authentication system according to an embodiment of the present invention;
2 is a configuration diagram of a user apparatus according to an embodiment of the present invention;
3 is a block diagram of a TrustZone technology based user device in accordance with an embodiment of the present invention.
FIG. 4 is a schematic flowchart for explaining an operational flow in a user authentication system according to an embodiment of the present invention; FIG.
5 is a schematic flow diagram illustrating operation of a user device according to an embodiment of the present invention;
이하, 첨부된 도면을 참조하여 본 발명의 일 실시예에 대하여 설명한다.Hereinafter, an embodiment of the present invention will be described with reference to the accompanying drawings.
도 1은 본 발명의 일 실시예에 따른 사용자 인증 시스템을 도시한 도면이다. 1 is a diagram illustrating a user authentication system according to an embodiment of the present invention.
도 1에 도시된 바와 같이, 본 발명의 일 실시예에 따른 사용자 인증 시스템은, 사용자장치(200)를 대상으로 서비스를 제공하는 서비스장치(100) 및 서비스 이용과 관련하여 요구되는 사용자 인증을 처리하는 사용자장치(200)를 포함하는 구성을 갖는다.1, a user authentication system according to an exemplary embodiment of the present invention includes a
서비스장치(100)는 접속된 사용장치(200)를 대상으로 사용자장치(200)로부터 요청되는 서비스를 제공하기 위한 서비스 서버를 지칭하는 것으로, 사용자 인증 과정을 거친 후 사용자장치(200)에서 정상적인 서비스 이용이 가능하도록 한다.The
여기서, 서비스장치(100)가 제공하는 서비스로는 예컨대, 접속된 사용자장치(200)를 대상으로 하는 어플리케이션 실행 서비스, 웹페이지 접속 서비스, 내지는 보안컨텐츠의 실행 서비스 등이 해당될 수 있다.Here, the service provided by the
이에, 상기 서비스 이용과 관련하여 요구되는 사용자 인증의 경우, 각각의 서비스 이용을 위해 사용자로부터 입력되는 사용자인증정보 즉, 로그인정보(예: ID/PASSWORD, 인증서 암호)를 확인하는 방식으로 이루어질 수 있으며, 한편 보안컨텐츠 실행 서비스와 관련해서는, 보안컨텐츠에 설정된 권한키를 확인하는 방식을 통해 이루어질 수 있다.Accordingly, in the case of the user authentication required for the use of the service, the user authentication information input from the user, that is, the login information (e.g., ID / PASSWORD, certificate password) . Meanwhile, with respect to the secure content execution service, it can be done through a method of confirming the rights key set in the secure content.
사용자장치(200)는 서비스 이용과 관련하여 요구되는 사용자 인증을 처리하는 모바일 디바이스를 지칭하는 것으로서, 예를 들어, 스마트폰, 테블릿 PC, 및 PDA, 등이 해당될 수 있으며, 이에 제한되는 것이 아닌 서비스장치(100)로부터 제공되는 서비스를 이용하거나, 자체 서비스 이용이 가능한 장치는 모두 포함될 수 있다.The
한편, 본 발명의 일 실시예에 따르면, 사용자장치(200)에서는 모바일 서비스 환경에서 악의적인 공격에 의한 보안 위협 요소로부터 높은 보안성을 제공하기 위한 보안 플랫폼 기술로서, 하드웨어 보안 솔루션을 채택하게 된다.Meanwhile, according to an embodiment of the present invention, the
이와 관련하여, 사용자장치(200)와 같은 모바일 단말기에서 높은 보안성을 제공하는 하드웨어 보안 솔루션으로서는, UICC(Universal Integrated Circuit Card), Mobile TPM(Trusted Platform Module) 등이 존재한다.In this regard, there are UICC (Universal Integrated Circuit Card), Mobile TPM (Trusted Platform Module), and the like as a hardware security solution that provides high security in a mobile terminal such as the
여기서, UICC는 3G 모바일 네트워크에서의 가입자, 네트워크, 인증 정보뿐만 아니라 메시지, 이메일, 주소록과 같은 개인정보도 저장할 수 있도록 하는 스마트카드로서 일반적으로 'USIM(Universal Subscriber Identity Module) 카드'라고 불린다.Here, the UICC is a smart card for storing personal information such as messages, e-mail and address book as well as subscriber, network and authentication information in 3G mobile network, and is generally called a 'Universal Subscriber Identity Module (USIM) card'.
그리고, Mobile TPM은 하드웨어 기반의 신뢰 컴퓨팅 및 보안 기술에 대한 사업 표준을 개발하는 표준화 단체인 TCG(Trusted Computing Group)에서 정의한 TPM(Trusted Platform Module)을 모바일 단말기에서도 사용할 수 있도록 하는 Mobile TPM으로서 다양한 암호 알고리즘을 지원하고 사용자, 단말 인증 및 단말 무결성 검증, 및 사용자 데이터 보호 기능을 제공한다.The Mobile TPM is a Mobile TPM that enables the TPM (Trusted Platform Module) defined by TCG (Trusted Computing Group), a standardization organization developing business standards for hardware-based trusted computing and security technologies, to be used in mobile terminals as well. Algorithm, and provides user, terminal authentication and terminal integrity verification, and user data protection.
그러나, UICC는 제한된 성능의 프로세서, 낮은 전송 속도 등으로 인해 모바일 단말기에서의 보안 관련 애플리케이션의 안전한 실행 환경을 제공하는 보안 하드웨어와 소프트웨어 기능을 정의하고 있는 Trusted Execution Environment(TEE)를 만족할 수 없다.UICC, however, can not satisfy the Trusted Execution Environment (TEE), which defines security hardware and software functions that provide a secure execution environment for security-related applications on mobile terminals due to limited performance processors and low transfer rates.
또한, Mobile TPM의 경우에는 별도의 칩 이용으로 인한 원가 상승 및 애플리케이션 코드 보호가 어렵다는 단점을 가지고 있다.In addition, in the case of Mobile TPM, it has a disadvantage that cost increase due to the use of a separate chip and application code protection are difficult.
따라서, 본 발명의 일 실시예에서는, 전술한 UICC, 및 Mobile TPM과 같이 별도의 하드웨어 보안 칩을 사용하는 방식이 아닌, 보안 위협으로부터 하드웨어적으로 격리된 환경을 제공하는 트러스트존(TrustZone) 기술을 적용하게 된다.Therefore, in an embodiment of the present invention, a TrustZone technology that provides a hardware isolated environment from security threats, rather than using a separate hardware security chip such as the UICC and the Mobile TPM, .
여기서, 트러스트존은 도 3에 도시한 바와 같이, 하나의 CPU에 'Normal World'와 'Secure World'가 존재하도록 하드웨어적으로 구분하고, 일반 어플리케이션은 'Normal World'에서 작동되고 보안이 필요한 어플리케이션은 'Secure World'에서 작동되도록 하는 실행 환경을 제공하게 된다.Here, as shown in FIG. 3, the trust zone is divided into hardware such that 'Normal World' and 'Secure World' exist in one CPU, and general application is operated in 'Normal World' It will provide an execution environment that will work in 'Secure World'.
즉, 'Normal World'와 'Secure World'은 상호 하드웨어적으로 격리됨과 아울러, 각각 개별적인 운영체제(제1운영체제, 제2운영체제)에 의해서만 동작하게 되며, 이에, 'Normal World'가 악성코드로부터 공격받은 상황에서도 'Secure World' 상의 애플릿 및 저장 데이터는 악성코드로부터의 안전한 관리, 및 실행을 보장받게 된다.That is, the 'Normal World' and the 'Secure World' are isolated from each other in hardware and operate only by the respective operating systems (the first operating system and the second operating system), and the 'Normal World' Even in situations, applets and stored data on 'Secure World' will be securely managed and run from malicious code.
다시 말해, 'Normal World'의 경우 타인에게 공개된 범용(汎用) 운영체제(제1운영체제)를 기반으로 동작함에 따라 다양한 보안위협으로부터 안전을 보장할 수 없으나, 'Secure World'의 경우 'Normal World'와는 하드웨어적으로 격리된 환경에서, 추가로 'Normal World'와는 다르게 타인에게 공개되지 않은 전용(專用) 운영체제(제2운영체제)를 기반으로 동작함에 따라, 'Normal World'에 존재하는 다양한 보안위협으로부터 안전을 보장받게 되는 것이다.In other words, 'Normal World' can not guarantee security against various security threats because it operates based on a general-purpose operating system (first operating system) disclosed to others. However, 'Secure World' (Second Operating System), which is different from 'Normal World' and is not disclosed to others in a hardware-isolated environment. Therefore, various security threats existing in 'Normal World' You will be assured of safety.
이렇듯, 본 발명의 일 실시예에서는 전술한 바와 트러스트존 기술을 적용하고 있는바, 이하에서는 상기 트러스트존 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치(200) 차체에서 처리하고, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달하기 위한 방안을 제안하고자 하며, 이를 구체적으로 설명하면 다음과 같다.As described above, according to the embodiment of the present invention, the trust zone technique is applied. Hereinafter, the user authentication required for the service use based on the trust zone technology is processed in the
서비스장치(100)는 서비스 이용과 관련한 사용자 인증을 처리하는 기능을 수행하다.The
보다 구체적으로, 서비스장치(100)는 접속된 사용자장치(200)에서 요청되는 서비스를 제공하게 되며, 서비스 이용과 관련하여 사용자 인증이 요구되면, 해당 사용자 인증을 사용자장치(200)에서 처리할 수 있도록 한다.More specifically, the
이때, 서비스장치(100)는 사용자장치(200)로부터 사용자 인증에 대한 보안 처리가 통지되는 경우에만, 사용자장치(200) 자체에서 사용자 인증이 처리될 수 있도록 한다.At this time, the
즉, 서비스장치(100)는 사용자장치(100)로부터 사용자 인증에 대한 보안 처리가 통지되는 경우, 사용자장치(200)에서 사용자 인증이 처리되도록 함으로써, 사용자 인증에 필요한 사용자인증정보(예: ID/PASSWORD, 인증서 암호)가 사용자장치(200)로부터 전달되지 않도록 한다.That is, when the security processing for the user authentication is notified from the
이는, 사용자 인증에 대한 보안 처리가 요구됨에도 불구하고 서비스장치(100)에서 사용자 인증을 자체 처리하는 경우, 사용자장치(200)로부터 전달되는 사용자인증정보(예: ID/PASSWORD, 인증서 암호)가 외부로 노출되는 것을 방지하기 위함이다.This is because the user authentication information (for example, ID / PASSWORD, certificate password) transmitted from the
이에, 서비스장치(100)에서는 사용자 인증 과정에서 사용자로부터 입력된 사용자인증정보를 검증하기 위한 사용자검증정보(사용자인증정보와 동일한 정보)를 자체 저장하고 있지 않아도 되므로, 해킹 등의 위험으로부터 개인 정보를 보호할 수 있게 된다.Accordingly, since the
또한, 서비스장치(100)는 사용자장치(200)의 서비스 이용을 허용하는 기능을 수행한다.In addition, the
보다 구체적으로, 서비스장치(100)는 사용자장치(200)로부터 사용자 인증 처리 결과를 수신하게 되며, 상기 사용자 인증 처리 결과로부터 상기 사용자장치(200)가 인증된 사용자임을 확인하여 사용자장치(200)로 하여금 서비스를 정상적으로 이용할 수 있도록 한다.More specifically, the
즉, 서비스장치(100)는 사용자 인증에 필요한 사용자인증정보를 사용자장치(200)로부터 수신하지 않고도, 사용자장치(200)로부터 수신되는 사용자 인증 처리 결과만으로도 사용자장치(200)에 대한 서비스 이용을 허용할 수 있게 되는 것이다. That is, the
사용자장치(200)는 서비스 이용과 관련하여 사용자 인증이 요구되는 것을 확인하는 기능을 수행한다.The
보다 구체적으로, 사용자장치(200)는 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 상기 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것을 확인하게 된다.More specifically, the
즉, 도 3을 참조하여 설명하면, 'Normal World'에 탑재된 어플리케이션(APP)을 실행함으로써 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 상기 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것을 확인하게 된다.3, the service provided by the
또한, 사용자장치(200)는 사용자 인증의 처리가 가능한지를 판단하는 기능을 수행한다.In addition, the
보다 구체적으로, 사용자장치(200)는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되면, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지 여부를 판단하게 된다.More specifically, the
이를 위해, 사용자장치(200)는 인증처리대상에 해당하는 서비스 목록을 사전에 지정하여 관리하게 되며, 서비스장치(100)로부터 제공되는 서비스가 상기 서비스 목록에 포함되는 것이 확인되면, 해당 서비스를 인증처리대상으로 판단하게 된다.To this end, the
그리고, 사용자장치(200)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스 이용과 관련하여 요구되는 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 알리게 된다.When the service provided from the
즉, 도 3을 참조하여 설명하면, 서비스장치(100)가 제공하는 서비스 이용을 위해 'Normal World'에서 실행중인 어플리케이션을 통해 'Secure World'에 사용자 인증을 요청하게 되며, 해당 요청을 수신한 'Secure World'의 애플릿(Applet)에서는 인증처리대상으로 기 지정된 서비스 목록을 확인함으로써, 서비스장치(100)로부터 제공되는 서비스가, 인증처리대상인지를 판단하게 되는 것이다.3, in order to utilize the service provided by the
또한, 사용자장치(200)는 사용자 인증을 처리하는 기능을 수행한다.In addition, the
보다 구체적으로, 사용자장치(200)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다.More specifically, when the service provided from the
이를 위해, 서비스장치(100)는 인증처리대상인 서비스 목록 각각에 대한 사용자검증정보를 사전에 지정하여 저장하게 되며, 사용자 인증 처리 과정에서 사용자로부터 수신되는 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인함으로써, 서비스장치(100)로부터 제공되는 서비스 이용과 관련한 사용자 인증을 처리하게 된다.To this end, the
여기서, 사용자검증정보는 사용자가 지정한 인증정보(예: ID/PASSWORD, 인증서 암호)를 지칭하게 되며, 이러한 사용자검증정보는 서비스 목록 각각에 대응하도록 지정되거나, 또는 서비스 목록 모두에 대응하는 하나의 대표인증정보('Secure World'에 접근하기 위해 지정된 암호)로서 지정되어 관리될 수 있다.Here, the user verification information may refer to authentication information (e.g., ID / PASSWORD, certificate password) designated by the user, and the user verification information may be designated to correspond to each of the service lists, Can be designated and managed as authentication information (a password designated to access 'Secure World').
즉, 도 3을 참조하여 설명하면, 'Secure World'에 탑재된 애플릿의 실행을 통해 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시함으로써, 상기 정보입력화면을 통해 사용자로부터 사용자인증정보를 수신하게 되며, 'Secure World'의 저장 영역에 기 저장된 사용자검증정보와 수신된 사용자인증정보를 상호 비교함으로써, 사용자 인증을 처리하게 되는 것이다.That is, referring to FIG. 3, an information input screen for receiving the user authentication information through the execution of an applet mounted on the 'Secure World' is displayed to receive user authentication information from the user through the information input screen , And the user authentication is processed by comparing the user verification information previously stored in the storage area of 'Secure World' with the received user authentication information.
또한, 사용자장치(200)는 사용자 인증 처리 결과를 서비스장치(100)에 전달하는 기능을 수행한다.In addition, the
보다 구체적으로, 사용자장치(200)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과 만으로 사용자장치(200)의 서비스 이용을 허용할 수 있도록 한다.More specifically, when it is confirmed that the user authentication information and the user verification information coincide with each other as a result of the user authentication process, the
즉, 도 3을 참조하여 설명하면, 'Secure World'에 탑재된 애플릿을 통해 사용자 인증 처리 결과를, 'Normal World'에서 실행중인 어플리케이션에 전달함으로써, 이를 수신한 어플리케이션이 전달된 사용자 인증 처리 결과를 서비스장치(100)에 전송하도록 하거나, 또는 상기 사용자 인증 처리 결과를 서비스장치(100)에 직접 전송함으로써, 'Normal World'에서 실행중인 어플리케이션에서 서비스장치(100)에서 제공하는 서비스를 정상적으로 이용할 수 있도록 한다.In other words, referring to FIG. 3, the user authentication processing result is transmitted to the application executing in the 'Normal World' through the applet mounted on the 'Secure World' So that the service provided by the
이하에서는, 도 2를 참조하여 본 발명의 일 실시예에 따른 사용자장치(200) 구성을 보다 구체적으로, 설명하도록 한다.Hereinafter, the configuration of the
즉, 본 발명의 일 실시예에 따른 사용자장치(200)는 서비스 이용을 위한 이용부(210), 인증처리대상을 판단하기 위한 판단부(220), 사용자검증정보를 저장하기 위한 저장부(230), 및 사용자 인증을 처리하기 위한 인증부(240)를 포함하는 구성을 갖는다.That is, the
전술한 이용부(210)는 하드웨어적으로 구분된 'Normal World'와 'Secure World' 중 'Normal World'에 탑재된 어플리케이션(APP)에 대응하는 구성으로서, 제1운영체제가 제공하는 공개 API를 호출하여 동작하는 소프트웨어 모듈 형태로서 구현된다.The
여기서, 제1운영체제는, 'Normal World'에 위치한 이용부(210)의 동작을 지원하기 위한 공개 API(Open Application Programmer Interface)를 제공하는 범용(汎用) 운영체제를 지칭하게 된다.Here, the first operating system refers to a general-purpose operating system that provides an Open Application Program Interface (API) to support the operation of the
그리고, 판단부(220), 저장부(230) 및 인증부(240) 각각의 경우 'Secure World'에 탑재된 애플릿에 대응하는 구성으로서 제2운영체제가 제공하는 API를 호출하여 동작하는 소프트웨어 모듈 형태로서 구현되게 된다.In the case of each of the
여기서, 제2운영체제는, 'Secure World'에 위치하는 판단부(220), 저장부(230) 및 인증부(240) 각각의 동작만을 지원하기 위한 API를 제공하는 전용(專用) 운영체제를 지칭하게 된다.Here, the second operating system refers to a dedicated operating system that provides an API for supporting only the operation of each of the
이용부(210)는 서비스 이용과 관련하여 사용자 인증이 요구되는 것을 확인하는 기능을 수행한다.The
보다 구체적으로, 이용부(210)는 서비스장치(100)가 제공하는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것이 확인되면, 해당 사용자인증을 인증부(240)에 요청하게 된다.More specifically, when the
이때, 이용부(210)는 제1운영체제가 제공하는 공개 API를 호출하여 서비스장치(100)에 접속하여 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 아울러, 서비스 이용과 관련하여 사용자 인증이 요구되는 것이 확인되면, 'Secure World'에 위치하는 인증부(240)에 사용자 인증을 요청하게 된다.At this time, the
여기서, 이용부(210)는 'Normal World'에 탑재된 어플리케이션(APP)에 대응하는 구성이므로, 서비스장치(100)로부터 제공되는 서비스의 이용뿐만이 아니라, 자체 실행되는 서비스의 이용 또한 가능하다.Here, since the
판단부(220)는 사용자 인증의 처리가 가능한지를 판단하는 기능을 수행한다.The
보다 구체적으로, 판단부(220)는 이용부(210)로부터 수신되는 사용자 인증 요청과 관련하여, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지를 판단하게 된다.More specifically, the
이를 위해, 판단부(220)는 인증처리대상에 해당하는 서비스 목록을 사전에 지정하여 관리하게 되며, 사용자 인증을 요구하는 서비스가 상기 서비스 목록에 포함되는 것이 확인되면, 해당 서비스를 인증처리대상으로 판단하게 된다.For this, the
이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 인증처리대상으로 기 지정된 서비스 목록을 확인함으로써, 서비스장치(100)로부터 제공되는 서비스를 인증처리대상으로 판단하는 것이다.At this time, the
그리고, 판단부(220)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스장치(100)로 하여금 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치(200)에서 자체적으로 처리하겠음을 인지할 수 있도록 한다.When the service provided from the
이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 판단 결과를 'Normal World'에 위치하는 이용부(210)에 전달함으로써, 이용부(210)로 하여금 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 통지할 수 있도록 한다.At this time, the
인증부(240)는 사용자 인증을 처리하는 기능을 수행한다.The
보다 구체적으로, 인증부(240)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다.More specifically, when the service provided from the
이를 위해, 인증부(240)는 인증처리대상인 서비스 목록 각각에 대한 사용자검증정보를 사전에 지정하여 저장부(230)에 저장되며, 사용자로부터 수신되는 사용자인증정보와 상기 저장된 사용자검증정보가 상호 일치하는지 여부를 확인함으로써, 사용자 인증을 처리하게 된다.For this, the
이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시함으로써, 상기 정보입력화면을 통해 사용자로부터 사용자인증정보를 수신하게 되며, 'Secure World'에 위치하는 저장부(230)에 기 저장된 사용자검증정보와 수신된 사용자인증정보를 상호 비교함으로써, 사용자 인증을 처리하게 되는 것이다.At this time, the
여기서, 사용자검증정보의 경우 전술한 바와 같이 'Normal World'에 위치하는 일반적인 메모리 영역이 아닌 'Secure World'에 위치하는 저장부(230)에 저장하여 관리하게 되며, 이는 'Normal World'와는 하드웨어적으로 격리된 환경에서, 추가로 'Normal World'와는 독립적인 제2운영체제를 기반으로 한 사용자검증정보의 저장 관리를 통해 'Normal World'에 존재하는 다양한 보안위협으로부터 사용자검증정보를 안전하게 보호하기 위함이다.Here, in the case of the user verification information, the user verification information is stored and managed in the
또한, 인증부(240)는 사용자 인증 처리 결과를 서비스장치(100)에 전달하는 기능을 수행한다.The
보다 구체적으로, 인증부(240)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과 만으로 이용부(210)의 서비스 이용을 허용할 수 있도록 한다.More specifically, when it is confirmed that the user authentication information and the user verification information match each other as a result of the user authentication process, the
이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 사용자 인증 처리 결과를 'Normal World'에 위치한 이용부(210)에 전달하여 서비스장치(100)에 전송하도록 하거나, 또는 'Secure World' 상에서 통신 기능을 활성화하여 사용자 인증 처리 결과를 서비스장치(100)에 직접 제공함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과만으로 이용부(210)의 서비스 이용을 허용하도록 하는 것이다.At this time, the
한편, 인증부(240)는 이용부(210)에서 이용하고자 하는 서비스가 서비스장치(100)에서 제공하는 서비스가 아닌 이용부(210)에서 자체 실행중인 서비스인 경우에는, 사용자 인증 처리 결과를 인증부(210)에만 전달함으로써, 인증부(210) 하여금 사용자 인증 처리 결과만으로도 서비스를 이용할 수 있도록 하게 된다. On the other hand, in the case where the service to be used by the
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 사용자 인증 시스템에 따르면, 트러스트존(TrustZone) 기술 기반의 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증을 확인하고, 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로도 서비스를 정상적으로 이용할 수 있도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합에 따른 안전한 사용자 인증을 수행할 수 있다.As described above, according to the user authentication system according to an embodiment of the present invention, when a user device based on a trust zone (TrustZone) technology transmits a user authentication required from the service device in connection with use of a service provided from the service device And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information and processes the user authentication based on the user authentication information, and when the service apparatus receives the user authentication information It is possible to perform secure user authentication according to the combination of the isolated execution environment not exposed from the security threat and the hardware security technology by allowing the service to be normally used only with the result of the user authentication process.
이하에서는 도 4 및 도 5를 참조하여, 본 발명의 일 실시예에 따른 광고 서비스 방법을 설명하도록 한다. 여기서, 설명의 편의를 위해 전술한 도 1 및 도 2에 도시된 구성은 해당 참조번호를 언급하여 설명하겠다. Hereinafter, an advertisement service method according to an embodiment of the present invention will be described with reference to FIGS. 4 and 5. FIG. Here, for convenience of explanation, the configurations shown in FIGS. 1 and 2 will be described with reference to corresponding reference numerals.
우선, 도 4를 참조하여 본 발명의 일 실시예에 따른 사용자 인증 시스템에서의 동작 흐름을 설명하도록 한다.First, the operation flow in the user authentication system according to an embodiment of the present invention will be described with reference to FIG.
먼저, 사용자장치(200)는 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 상기 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것을 확인하게 된다(S110-S130).First, the
그리고 나서, 사용자장치(200)는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되면, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지 여부를 판단하게 된다(S140).Then, when the user authentication is requested from the
이때, 사용자장치(200)는 인증처리대상에 해당하는 서비스 목록을 사전에 지정하여 관리하게 되며, 서비스장치(100)로부터 제공되는 서비스가 상기 서비스 목록에 포함되는 것이 확인되면, 해당 서비스를 인증처리대상으로 판단하게 된다.At this time, the
그리고, 사용자장치(200)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스 이용과 관련하여 요구되는 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 알리게 된다(S150).When the service provided from the
그런 다음, 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다(S160-S170).Then, if it is determined that the service provided from the
이때, 서비스장치(100)는 인증처리대상인 서비스 목록 각각에 대한 사용자검증정보를 사전에 지정하여 저장하게 되며, 사용자 인증 처리 과정에서 사용자로부터 수신되는 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인함으로써, 서비스장치(100)로부터 제공되는 서비스 이용과 관련한 사용자 인증을 처리하게 된다.At this time, the
다음으로, 사용자장치(200)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달한다(S180).Next, when it is determined that the user authentication information and the user verification information coincide with each other as a result of the user authentication process, the
이후, 서비스장치(100)는 사용자장치(200)로부터 사용자 인증 처리 결과를 수신하게 되며, 상기 사용자 인증 처리 결과만으로 상기 사용자장치(200)가 인증된 사용자임을 확인하여 사용자장치(200)로 하여금 서비스를 정상적으로 이용할 수 있도록 한다(S190).Thereafter, the
이하에서는 도 5를 참조하여 본 발명의 일 실시예에 따른 사용자장치(200)의 동작을 구체적으로 설명하도록 한다.Hereinafter, the operation of the
먼저, 이용부(210)는 서비스장치(100)가 제공하는 서비스 이용과 관련하여 서비스장치(100)로부터 사용자 인증이 요구되는 것이 확인되면, 해당 사용자인증을 인증부(240)에 요청하게 된다(S210-S220).First, when the
이때, 이용부(210)는 제1운영체제가 제공하는 공개 API를 호출하여 서비스장치(100)에 접속하여 서비스장치(100)가 제공하는 서비스를 이용하게 되며, 아울러, 서비스 이용과 관련하여 사용자 인증이 요구되는 것이 확인되면, 'Secure World'에 위치하는 인증부(240)에 사용자 인증을 요청하게 되는 것이다.At this time, the
그리고 나서, 판단부(220)는 이용부(210)로부터 수신되는 사용자 인증 요청과 관련하여, 서비스장치(100)로부터 제공되는 서비스가, 자체적인 사용자 인증 처리가 가능한 인증처리대상인지를 판단하게 된다(S230).Then, the
이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 인증처리대상으로 기 지정된 서비스 목록을 확인함으로써, 서비스장치(100)로부터 제공되는 서비스를 인증처리대상으로 판단하는 것이다.At this time, the
그리고, 판단부(220)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 서비스장치(100)에 보안 처리를 통지함으로써, 서비스장치(100)로 하여금 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치(200)에서 자체적으로 처리하겠음을 인지할 수 있도록 한다(S240-S250).When the service provided from the
이때, 판단부(230)는 제2운영체제가 제공하는 API를 호출하여 판단 결과를 'Normal World'에 위치하는 이용부(210)에 전달함으로써, 이용부(210)로 하여금 사용자 인증을 자체적으로 처리하겠음을 서비스장치(100)에 통지할 수 있도록 한다.At this time, the
다음으로, 인증부(240)는 서비스장치(100)로부터 제공되는 서비스가 인증처리대상으로 판단되면, 사용자로부터 사용자인증정보를 수신하고, 수신된 사용자인증정보를 기초로 사용자 인증을 처리하게 된다(S260-S280).Next, when it is determined that the service provided from the
이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시함으로써, 상기 정보입력화면을 통해 사용자로부터 사용자인증정보를 수신하게 되며, 'Secure World'에 위치하는 저장부(230)에 기 저장된 사용자검증정보와 수신된 사용자인증정보를 상호 비교함으로써, 사용자 인증을 처리하게 되는 것이다.At this time, the
그런 다음, 인증부(240)는 사용자 인증 처리 결과, 사용자인증정보와 사용자검증정보가 상호 일치하는 것으로 확인되면, 사용자 인증 처리 결과를 서비스장치(100)에 전달함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과 만으로 이용부(210)의 서비스 이용을 허용할 수 있도록 한다(S290-S310).Then, when it is confirmed that the user authentication information and the user verification information coincide with each other as a result of the user authentication process, the
이때, 인증부(240)는 제2운영체제가 제공하는 API를 호출하여 사용자 인증 처리 결과를 'Normal World'에 위치한 이용부(210)에 전달하여 서비스장치(100)에 전송하도록 하거나, 또는 'Secure World' 상에서 통신 기능을 활성화하여 사용자 인증 처리 결과를 서비스장치(100)에 직접 제공함으로써, 서비스장치(100)로 하여금 사용자 인증 처리 결과만으로 이용부(210)의 서비스 이용을 허용하도록 하는 것이다.At this time, the
이상에서 살펴본 바와 같이, 본 발명의 일 실시예에 따른 사용자 인증 방법에 따르면, 트러스트존(TrustZone) 기술 기반의 사용자장치가 서비스장치로부터 제공되는 서비스 이용과 관련하여 상기 서비스장치로부터 요구되는 사용자 인증을 확인하고, 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로도 서비스를 정상적으로 이용할 수 있도록 함으로써, 보안 위협으로부터 노출되지 않는 격리된 실행 환경과 하드웨어적 보안 기술을 결합에 따른 안전한 사용자 인증을 수행할 수 있다.As described above, according to the user authentication method according to an embodiment of the present invention, when a user apparatus based on TrustZone technology transmits user authentication required from the service apparatus in association with use of a service provided from the service apparatus, And if the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information and processes the user authentication based on the user authentication information, and when the service apparatus receives the user authentication information It is possible to perform secure user authentication according to the combination of the isolated execution environment not exposed from the security threat and the hardware security technology by allowing the service to be normally used only with the result of the user authentication process.
한편, 여기에 제시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계들은 하드웨어로 직접 구현되거나, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Meanwhile, the steps of a method or algorithm described in connection with the embodiments disclosed herein may be embodied directly in hardware, or may be embodied in a computer readable medium, in the form of a program instruction, which may be carried out through various computer means. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.
본 발명의 사용자 인증 시스템 및 그 방법, 그리고 이에 적용되는 장치에 따르면, 트러스트존(TrustZone) 기술을 기반으로 서비스 이용과 관련하여 요구되는 사용자 인증을 사용자장치 차체에서 처리하고, 사용자 인증 처리 결과만을 서비스 제공 주체에게 전달함으로써, 사용자장치에서 서비스 이용이 가능하도록 한다는 점에서 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.According to the user authentication system and method of the present invention, and the device applied thereto, user authentication required in connection with service use based on TrustZone technology is processed in the user equipment body, It is possible to use the service on the user device, thereby overcoming the limitations of the existing technology. Therefore, it is not only the use of the related technology, but also the possibility of marketing or operating the applicable device is sufficient. This is an invention that is industrially applicable because it can be done.
100: 서비스장치
200: 사용자장치
210: 이용부 220: 판단부
230: 저장부 240: 인증부100: Service device
200: User device
210: Usage unit 220:
230: storage unit 240: authentication unit
Claims (14)
상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하고, 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 이용부가 상기 서비스를 이용할 수 있도록 하는 인증부를 포함하는 것을 특징으로 하는 사용자장치.A use unit for requesting a user authentication requested from the service apparatus in connection with using the service provided from the service apparatus; And
And when the service is judged to be an authentication processing object capable of processing the user authentication, the authentication processing unit receives the user authentication information, processes the user authentication based on the user authentication information, And an authentication unit that allows the use unit to use the service based only on the result of the user authentication process.
상기 사용자장치는,
상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단부를 더 포함하며,
상기 판단부는,
상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
The user device comprising:
Further comprising a determination unit for determining whether the service is an object of the authentication process,
Wherein,
And judges that the service is the object of the authentication processing if the service is included in the service list designated as the object of the authentication processing.
상기 사용자장치는,
상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장부를 더 포함하며,
상기 인증부는,
상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
The user device comprising:
And a storage unit for storing the user verification information specified in association with the processing of the user authentication,
Wherein,
And verifies whether the user authentication information and the user verification information coincide with each other, and processes the user authentication.
상기 사용자검증정보는,
상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 하는 사용자장치.The method of claim 3,
Wherein the user verification information comprises:
And when the service is two or more, is designated to correspond to each of the two or more services, or to correspond to both of the two or more services.
상기 사용자장치는,
상기 서비스 이용 및 상기 사용자 인증 처리를 각각 지원하기 위한 제1운영체제 및 제2운영체제를 더 포함하며,
상기 제1운영체제는,
상기 서비스 이용과 관련하여 요구되는 상기 사용자 인증을 요청하도록 지원하기 위한 공개 API(Open Application Programmer Interface)를 제공하는 범용(汎用) 운영체제이며,
상기 제2운영체제는,
상기 서비스를 상기 인증처리대상으로 판단하도록 하고, 상기 인증처리대상으로 판단된 상기 서비스와 관련하여 상기 사용자 인증을 처리하도록 지원하기 위한 API(Open Application Programmer Interface)를 제공하는 전용(專用) 운영체제인 것을 특징으로 하는 사용자장치.The method according to claim 1,
The user device comprising:
Further comprising a first operating system and a second operating system for respectively supporting the service use and the user authentication processing,
Wherein the first operating system comprises:
A general-purpose operating system that provides an Open Application Program Interface (API) for requesting the user authentication requested in connection with the use of the service,
Wherein the second operating system comprises:
A dedicated operating system that provides an API (Open Application Program Interface) for determining the service as the object of the authentication processing and for supporting the user authentication processing in relation to the service determined as the object of the authentication processing / RTI >
상기 인증부는,
상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하며, 상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
Wherein,
And displays the information input screen for receiving the user authentication information when the service is determined to be the object of the authentication processing and receives the user authentication information inputted from the user through the information input screen .
상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우,
상기 사용자인증정보는,
상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 하는 사용자장치.The method according to claim 1,
If the service is included in at least one of execution of an application, connection of a web page, and execution of secure content,
Wherein the user authentication information includes:
The login information for execution of the application, the login information for connection of the web page, and the authorization key for executing the secure content.
상기 사용자장치가 상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면 사용자인증정보를 수신하여 상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하는 인증처리단계; 및
상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 사용자장치가 상기 서비스를 이용할 수 있도록 하는 이용허가단계를 포함하는 것을 특징으로 하는 사용자 인증 방법.A confirmation step of confirming that the user apparatus is required to authenticate the user from the service apparatus in relation to the use of the service provided from the service apparatus;
An authentication processing step of receiving the user authentication information and processing the user authentication based on the user authentication information when the user device determines that the service is an authentication processing object capable of processing the user authentication; And
And allowing the user apparatus to use the service only by the result of the user authentication process without the service apparatus receiving the user authentication information.
상기 서비스가 상기 사용자 인증의 처리가 가능한 인증처리대상으로 판단되면, 사용자인증정보를 수신하는 수신단계; 및
상기 사용자인증정보를 기초로 상기 사용자 인증을 처리하며, 상기 서비스장치가 상기 사용자인증정보를 수신하지 않고도 상기 사용자 인증 처리 결과만으로 상기 서비스를 이용할 수 있도록 하는 인증처리단계를 포함하는 것을 특징으로 하는 사용자장치의 동작 방법.A confirming step of confirming that user authentication is required from the service apparatus in connection with the use of the service provided from the service apparatus;
A receiving step of receiving user authentication information if the service is determined to be an authentication processing object capable of processing the user authentication; And
And an authentication processing step of processing the user authentication based on the user authentication information and allowing the service device to use the service only by the result of the user authentication processing without receiving the user authentication information. Method of operation of the device.
상기 방법은,
상기 수신단계 이전에, 상기 서비스가 상기 인증처리대상 인지 여부를 판단하는 판단단계를 더 포함하며,
상기 판단단계는,
상기 서비스가 상기 인증처리대상으로 지정된 서비스 목록에 포함되면, 상기 서비스를 상기 인증처리대상으로 판단하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
The method comprises:
Further comprising a determining step of determining whether or not the service is an object of the authentication process before the receiving step,
Wherein,
If the service is included in the service list designated for the authentication process, determines the service as the authentication process target.
상기 수신단계는,
상기 서비스가 상기 인증처리대상으로 판단되는 경우, 상기 사용자인증정보를 입력받기 위한 정보입력화면을 표시하는 표시단계; 및
상기 정보입력화면을 통해 사용자로부터 입력되는 상기 사용자인증정보를 수신하는 수신단계를 포함하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
Wherein the receiving step comprises:
A display step of displaying an information input screen for receiving the user authentication information when the service is determined to be the object of the authentication processing; And
And receiving the user authentication information input from the user through the information input screen.
상기 방법은,
상기 사용자 인증의 처리와 관련하여 지정된 사용자검증정보를 저장하는 저장단계를 더 포함하며,
상기 인증처리단계는,
상기 사용자인증정보와 상기 사용자검증정보가 상호 일치하는지 여부를 확인하여 상기 사용자 인증을 처리하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
The method comprises:
Further comprising a storing step of storing the user verification information specified in connection with the processing of the user authentication,
Wherein the authentication processing step comprises:
Wherein the user authentication is performed by checking whether the user authentication information and the user verification information coincide with each other.
상기 사용자검증정보는,
상기 서비스가 2 이상인 경우, 상기 2 이상의 서비스 각각에 대응하도록 지정되거나, 또는 상기 2 이상의 서비스 모두에 대응하도록 지정되는 것을 특징으로 하는 사용자장치의 동작 방법.13. The method of claim 12,
Wherein the user verification information comprises:
And when the service is two or more, the service is designated to correspond to each of the two or more services, or to correspond to both of the two or more services.
상기 서비스가 어플리케이션의 실행, 웹페이지의 접속, 및 보안컨텐츠의 실행 중 적어도 하나에 포함되는 경우,
상기 사용자인증정보는,
상기 어플리케이션의 실행을 위한 로그인정보, 웹페이지의 접속을 위한 로그인정보, 및 상기 보안컨텐츠 실행을 위한 권한키 중 적어도 하나에 대응하는 것을 특징으로 하는 사용자장치의 동작 방법.10. The method of claim 9,
If the service is included in at least one of execution of an application, connection of a web page, and execution of secure content,
Wherein the user authentication information includes:
The login information for execution of the application, the login information for accessing the web page, and the authorization key for executing the secure content.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130026726A KR102082356B1 (en) | 2013-03-13 | 2013-03-13 | User authentication system and method thereof, and apparatus applied to the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020130026726A KR102082356B1 (en) | 2013-03-13 | 2013-03-13 | User authentication system and method thereof, and apparatus applied to the same |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140112242A true KR20140112242A (en) | 2014-09-23 |
KR102082356B1 KR102082356B1 (en) | 2020-02-27 |
Family
ID=51757288
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020130026726A KR102082356B1 (en) | 2013-03-13 | 2013-03-13 | User authentication system and method thereof, and apparatus applied to the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102082356B1 (en) |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080051753A (en) * | 2006-12-06 | 2008-06-11 | 삼성전자주식회사 | System and method for providing security |
-
2013
- 2013-03-13 KR KR1020130026726A patent/KR102082356B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20080051753A (en) * | 2006-12-06 | 2008-06-11 | 삼성전자주식회사 | System and method for providing security |
Also Published As
Publication number | Publication date |
---|---|
KR102082356B1 (en) | 2020-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3061027B1 (en) | Verifying the security of a remote server | |
Jain et al. | Addressing security and privacy risks in mobile applications | |
EP3029593B1 (en) | System and method of limiting the operation of trusted applications in the presence of suspicious programs | |
KR101700171B1 (en) | Authentication for network access related applications | |
US20150302201A1 (en) | Device and method for processing transaction request in processing environment of trust zone | |
CN105447406A (en) | Method and apparatus for accessing storage space | |
CN103843303A (en) | Management control method, device and system for virtual machine | |
KR101403626B1 (en) | Method of integrated smart terminal security management in cloud computing environment | |
CN113841145A (en) | Lexus software in inhibit integration, isolation applications | |
RU2583710C2 (en) | System and method for providing privacy of information used during authentication and authorisation operations using trusted device | |
JP2019510316A (en) | Method and device for providing account linking and service processing | |
CN112446033A (en) | Software trusted starting method and device, electronic equipment and storage medium | |
CN113239397A (en) | Information access method, device, computer equipment and medium | |
KR20140112785A (en) | Financial service system and method thereof, and apparatus applied to the same | |
US20190268161A1 (en) | Secure policy ingestion into trusted execution environments | |
US9973527B2 (en) | Context-aware proactive threat management system | |
US20150106871A1 (en) | System and method for controlling access to security engine of mobile terminal | |
Lee et al. | A study on realtime detecting smishing on cloud computing environments | |
CN102542698B (en) | Safety protective method of electric power mobile payment terminal | |
US11861582B2 (en) | Security protection of association between a user device and a user | |
KR102201218B1 (en) | Access control system and method to security engine of mobile terminal | |
CN111046440B (en) | Tamper verification method and system for secure area content | |
EP3036674B1 (en) | Proof of possession for web browser cookie based security tokens | |
KR20160102915A (en) | Security platform management device for smart work based on mobile virtualization | |
CN111209561B (en) | Application calling method and device of terminal equipment and terminal equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
AMND | Amendment | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
X091 | Application refused [patent] | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) |