KR20150072884A - System and method for service providing using USIM authentication - Google Patents

System and method for service providing using USIM authentication Download PDF

Info

Publication number
KR20150072884A
KR20150072884A KR1020130160531A KR20130160531A KR20150072884A KR 20150072884 A KR20150072884 A KR 20150072884A KR 1020130160531 A KR1020130160531 A KR 1020130160531A KR 20130160531 A KR20130160531 A KR 20130160531A KR 20150072884 A KR20150072884 A KR 20150072884A
Authority
KR
South Korea
Prior art keywords
terminal
authentication
authentication request
server
user
Prior art date
Application number
KR1020130160531A
Other languages
Korean (ko)
Other versions
KR101550425B1 (en
Inventor
안병익
하태숙
이재화
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020130160531A priority Critical patent/KR101550425B1/en
Publication of KR20150072884A publication Critical patent/KR20150072884A/en
Application granted granted Critical
Publication of KR101550425B1 publication Critical patent/KR101550425B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Abstract

To provide an internet service through a service providing system, a mediating server transmits authentication request information transmitted from a first terminal to a second terminal including a USIM, receives encrypted authentication result transmitted from a second terminal, and transmits the encrypted authentication result or an access token generated corresponding to the encrypted authentication result. A service providing server provides an internet service to the first terminal according to an authentication result.

Description

유심 인증을 이용한 서비스 제공 시스템 및 방법{System and method for service providing using USIM authentication}Technical Field [0001] The present invention relates to a system and method for providing a service using wisdom authentication,

본 발명은 유심 인증을 이용한 서비스 제공 시스템 및 방법에 관한 것이다.The present invention relates to a service providing system and method using wired authentication.

현재 인터넷 상에서 사용자를 인증하는 방법은 크게 아이디(ID)와 비밀 번호를 통해 인증하는 방법과, 공인 인증서를 이용하는 방법으로 구분한다. Currently, a method of authenticating a user on the Internet is classified into a method of authenticating with an ID (ID) and a password, and a method using an authorized certificate.

아이디와 비밀 번호를 이용한 인증 방법은 사용자의 기억에 의존하는 방법으로, 암호를 설정할 때 타인이 쉽게 유추하지 못하도록 복잡한 비밀 번호를 설정하여야 한다. 그리고 하나의 사이트에 대한 비밀 번호가 유출되더라도 다른 사이트에 영향이 미치지 않도록 사이트마다 각각 다른 암호를 설정하여야 한다. The authentication method using the ID and the password is a method depending on the user's memory, and a complex password must be set so that the password can not be easily guessed by others. And, even if a password for one site is leaked, you must set a different password for each site so that it does not affect other sites.

그러나, 인터넷 이용자는 많은 사이트마다 각각 가입하여야 하기 때문에, 쉽게 기억할 수 있는 비밀 번호 몇 개를 반복적으로 재사용하는 경우가 대부분이다. 이에 따라 비밀 번호가 쉽게 유추할 수 있는 취약성을 가지는 경우가 많으며, 하나의 사이트에서 비밀 번호가 유출되면 많은 사이트의 비밀 번호가 동시에 알려지는 경우가 있기 때문에, 많은 문제점을 가지고 있다.However, since the Internet users have to subscribe to each site, it is often the case that several passwords that can be easily memorized are repeatedly reused. Accordingly, there are many vulnerabilities that can easily be guessed by a password, and when a password is leaked from one site, passwords of many sites are known at the same time.

이에 대응하기 위하여 대다수의 사이트에서 비밀 번호의 보안 강도를 높이도록 글자 수를 특정 문자 수 이상으로 제한하고, 평이한 비밀 번호가 설정되지 않도록 문자의 조합에 제약을 두는 경우가 많다. 또한 주기적으로 새로운 비밀 번호로 갱신하도록 권유하고는 있으나, 기억력에 의지해야 하는 비밀 번호의 특성상 이를 따르지 않는 경우가 많다.In order to cope with this, in many sites, the number of characters is limited to a specific number of characters or more so as to increase the security strength of the password, and a restriction is imposed on the combination of characters so that a plain password is not set. It also encourages you to renew with a new password periodically, but it often does not follow due to the nature of passwords that you rely on memory.

또 다른 인증 방법인 공인 인증서를 이용한 방법은 사용자 인증, 정보처리 시스템 인증, 통신 채널 암호화, 금융거래의 무결성 및 거래내역의 부인 방지 수단을 제공하여, 전자 상거래의 필수 요소 중 하나이다. 그러나, 서명 암호화 키가 사용자 컴퓨터의 저장 장치에 보관되기 때문에 외부로 유출될 가능성이 존재하며, 공인 인증서를 이용하기 위해서는 액티브엑스(ActiveX)와 같은 확장 플러그인(plug-in)을 설치하여야 한다. 이에 따라 악성 바이러스가 유포되는 수단으로 악용될 소지가 있어 문제점으로 지적되고 있다.Another authentication method, which uses a public certificate, is one of the essential elements of electronic commerce, providing user authentication, information processing system authentication, communication channel encryption, integrity of financial transactions, and means of preventing denial of transactions. However, since the signature encryption key is stored in the storage device of the user's computer, there is a possibility of leakage to the outside. In order to use the authorized certificate, an extension plug-in such as ActiveX should be installed. Therefore, it is pointed out that the malicious virus is misused as a means of spreading the virus.

한편 이동 단말기의 가입자 인증은 비밀 정보를 이동 단말기에 장착된 안전요소(Secure element)인 유심(USIM)의 사용을 통해 해결한다. 물리적으로 분해가 불가능한 기억장치에 은닉하고, 내부에서 데이터를 처리하는 안전 요소는 보안 토큰, 메모리 카드 등의 형태로도 보급될 수 있고, 휴대가 불편하여 보급이 널리 이루어지지 못한다. 이동 단말기의 유심(USIM)은 사용자가 항상 휴대하는 장점은 있으나, 전자상거래가 이루어지는 브라우저와의 연동이 이루어지지 않기 때문에 사용하기 어렵다는 문제점이 있다.Meanwhile, the subscriber authentication of the mobile terminal solves the secret information through the use of a secure element (USIM) installed in the mobile terminal. A security element for hiding in a memory device which can not be physically disassembled and for processing data in the inside can be spread in the form of a security token and a memory card and is not widely spread due to inconvenience of carrying. The USIM of the mobile terminal is advantageous in that the user always carries it, but it is difficult to use the USIM because it is not linked to the browser where the electronic commerce is performed.

따라서, 본 발명은 이동통신망의 유심 인증 체계를 이용하여 개방형 서비스를 제공하는 유심 인증을 이용한 서비스 제공 시스템 및 방법을 제공한다.Accordingly, the present invention provides a system and method for providing a service using wisdom authentication, which provides an open service using a wisdom authentication scheme of a mobile communication network.

상기 본 발명의 기술적 과제를 달성하기 위한 본 발명의 하나의 특징인 서비스 제공 시스템이 유심 인증을 수행하여 서비스를 제공하기 위하여,According to another aspect of the present invention, there is provided a service providing system,

제1 단말 및 유심이 포함된 제2 단말과 연동하는 상기 서비스 제공 시스템은 중개 서버, 서비스 제공 서버 및 공인 인증 서버를 포함하며, 상기 중개 서버는 상기 제1 단말로부터 전송되는 인증 요청 정보를 상기 제2 단말로 전송하는 단계; 상기 중개 서버는 상기 제2 단말로부터 전송되는 인증 결과를 수신하고, 인증 결과 또는 상기 인증 결과에 대응되어 생성한 접근 토큰을 상기 제1 단말로 전송하는 단계; 및 상기 서비스 제공 서버는 상기 인증 결과에 따라 상기 제1 단말로 인터넷 서비스를 제공하는 단계를 포함한다.The service providing system interworking with a first terminal and a second terminal including wormhole includes an intermediary server, a service providing server, and a public authentication server, and the intermediary server transmits authentication request information transmitted from the first terminal 2 terminal; The mediation server receiving an authentication result transmitted from the second terminal and transmitting the authentication result or the access token generated in correspondence with the authentication result to the first terminal; And the service providing server providing the Internet service to the first terminal according to the authentication result.

상기 제2 단말로 전송하는 단계는, 상기 제1 단말은 사용자에 의해 선택된 인터넷 서비스 발생을 확인하는 단계; 상기 제1 단말은 상기 인터넷 서비스 발생에 따라 인증 요청 정보를 중개 서버로 전송하는 단계; 상기 중개 서버는 수신한 인증 요청 정보에 대한 인증 요청 식별자 생성하고, 생성한 인증 요청 식별자와 상기 수신한 인증 요청 정보를 저장하는 단계; 상기 중개 서버는 상기 인증 요청 정보를 식별할 수 있는 식별 번호가 포함된 메시지를 상기 제2 단말로 전송하고, 사용자에 의해 상기 메시지에 대한 확인 입력 신호를 수신하면 상기 제2 단말이 상기 중개 서버로부터 상기 식별 번호에 대응되는 인증 요청 정보를 수신하여 상기 제2 단말로 전달하는 단계를 포함할 수 있다.The step of transmitting to the second terminal may include: confirming occurrence of the Internet service selected by the user; The first terminal transmitting authentication request information to an intermediary server according to the occurrence of the Internet service; The intermediary server generates an authentication request identifier for the received authentication request information, stores the generated authentication request identifier and the received authentication request information, The intermediary server transmits a message including an identification number for identifying the authentication request information to the second terminal, and when the second terminal receives the confirmation input signal for the message from the user, And receiving the authentication request information corresponding to the identification number and transmitting the authentication request information to the second terminal.

상기 제2 단말로 전송하는 단계는, 상기 제1 단말은 사용자에 의해 선택된 인터넷 서비스 발생을 확인하는 단계; 상기 제1 단말은 상기 인터넷 서비스 발생에 따라 인증 요청 정보를 중개 서버로 전송하는 단계; 상기 중개 서버는 수신한 인증 요청 정보에 대한 인증 요청 식별자 생성하고, 생성한 인증 요청 식별자와 상기 수신한 인증 요청 정보를 저장하는 단계; 상기 중개 서버는 상기 인증 요청 정보 및 인증 요청 식별자를 상기 제1 단말로 전송하는 단계; 상기 제1 단말은 인증 요청 식별자를 화면에 표시하는 단계; 사용자 입력에 의해 제2 단말의 관리부가 활성화되면, 상기 제2 단말은 상기 사용자에 의해 입력되는 상기 제1 단말에 표시된 인증 요청 식별자를 수신하는 단계; 및 상기 제2 단말은 상기 중개 서버로부터 상기 인증 식별 번호에 대응되는 인증 요청 정보를 수신하는 단계를 포함할 수 있다.The step of transmitting to the second terminal may include: confirming occurrence of the Internet service selected by the user; The first terminal transmitting authentication request information to an intermediary server according to the occurrence of the Internet service; The intermediary server generates an authentication request identifier for the received authentication request information, stores the generated authentication request identifier and the received authentication request information, The intermediary server transmitting the authentication request information and the authentication request identifier to the first terminal; Wherein the first terminal displays an authentication request identifier on a screen; When the management unit of the second terminal is activated by user input, the second terminal receives the authentication request identifier displayed on the first terminal input by the user; And the second terminal may receive authentication request information corresponding to the authentication identification number from the intermediary server.

상기 생성한 접근 토큰을 상기 제1 단말로 전송하는 단계는, 상기 제2 단말은 상기 인증 요청 정보 및 인증 요청 식별자를 수신하면, 관리부를 실행하는 단계; 상기 제2 단말은 상기 인증 요청 정보, 사용자에 의해 입력된 입력 정보를 토대로 대한 인증 시나리오를 수행하는 단계; 상기 인증 시나리오를 수행한 인증 결과를 상기 인증 요청 정보 및 인증 요청 식별자와 함께 저장하는 단계; 상기 제2 단말은 인증 결과를 상기 중개 서버로 전송하는 단계; 및 상기 중개 서버는 상기 인증 결과 또는 상기 인증 결과에 대응되어 생성한 접근 토큰을 상기 제1 단말로 전송하는 단계를 포함할 수 있다.Wherein the transmitting the generated access token to the first terminal comprises: executing the management unit upon receiving the authentication request information and the authentication request identifier; The second terminal performing an authentication scenario based on the authentication request information and the input information input by the user; Storing an authentication result that has performed the authentication scenario together with the authentication request information and the authentication request identifier; The second terminal transmitting an authentication result to the mediation server; And the intermediary server may transmit the access token generated in correspondence with the authentication result or the authentication result to the first terminal.

상기 인증 요청 식별자가 응용 서비스 자동 로그인인 경우, 상기 인증 결과를 암호화하는 단계는, 상기 제2 단말은 사용자에 의해 입력되는 자동 로그인 의사 확인 신호를 수신하는 단계; 및 상기 제2 단말은 상기 유심에 저장된 복수의 로그인 아이디와 암호 중 상기 사용자가 로그인하고자 하는 응용 서비스에 대한 로그인 아이디 및 암호가 저장되어 있는지 확인하고, 상기 확인한 로그인 아이디와 암호를 상기 인증 결과에 포함하는 단계를 포함할 수 있다.Wherein the step of encrypting the authentication result when the authentication request identifier is an application service automatic login comprises: receiving an automatic login pseudo confirmation signal input by a user; And the second terminal checks whether a login ID and a password for the application service to which the user wants to log in are stored among the plurality of login IDs and passwords stored in the wisdom and stores the login ID and the password in the authentication result .

상기 인증 요청 식별자가 전자 결제인 경우, 상기 인증 결과를 암호화하는 단계는, 상기 제2 단말은 결제 내역을 포함하는 상기 인증 요청 정보를 수신하는 단계; 상기 결제 내역을 유심에 저장된 비밀키로 암호화하는 단계; 및 상기 암호화된 결제 내역을 상기 인증 결과에 포함하는 단계를 포함할 수 있다.Wherein if the authentication request identifier is electronic payment, the step of encrypting the authentication result comprises: receiving the authentication request information including the payment details of the second terminal; Encrypting the payment history with a secret key stored in the secret key; And including the encrypted payment details in the authentication result.

상기 제1 단말로 인터넷 서비스를 제공하는 단계는, 상기 서비스 제공 서버가 상기 제1 단말로부터 상기 접근 토크를 수신하면, 상기 접근 토크를 토대로 상기 중개 서버로 인증 결과를 요청하는 단계; 상기 서비스 제공 서버가 상기 중개 서버로부터 수신한 인증 결과가 암호화된 인증 결과이면, 상기 공인 인증 서버로 사용자 공개키를 요청하는 단계; 상기 공인 인증 서버로부터 수신한 상기 사용자 공개키를 이용하여 상기 암호화된 인증 결과를 복호하여 인증 결과를 확인하는 단계; 및 상기 인증 결과를 토대로 상기 서비스 제공 서버는 상기 제1 단말로 인터넷 서비스를 사용자에게 제공하는 단계를 포함할 수 있다.Wherein the step of providing the Internet service to the first terminal comprises the steps of: when the service providing server receives the approach torque from the first terminal, requesting the authentication result to the intermediary server based on the approach torque; Requesting a public key from the public authentication server if the authentication result received from the intermediary server is an encrypted authentication result; Decrypting the encrypted authentication result using the user public key received from the authorized authentication server and confirming the authentication result; And providing the Internet service to the first terminal through the service providing server based on the authentication result.

상기 본 발명의 기술적 과제를 달성하기 위한 본 발명의 또 다른 특징인 서비스 제공 시스템은,According to another aspect of the present invention, there is provided a service providing system including:

사용자에 의해 입력되는 인증 요청 정보를 수집하고, 사용자에 의해 요청된 서비스를 제공하는 제1 단말과 내부에 포함된 유심을 통해 상기 제1 단말에서 수집된 인증 요청 정보를 인증하는 제2 단말이 상기 서비스 제공 시스템에 연동하며, 접근 토큰을 수신하여 상기 제2 단말에서 인증 결과를 확인하고, 상기 제1 단말을 통해 인터넷 서비스를 제공하는 서비스 제공 서버; 및 상기 제1 단말, 제2 단말 및 서비스 제공 서버와 연동하여 정보를 중개하고, 상기 제2 단말로부터 전송된 인증 결과를 임시 저장하며 상기 서비스 제공 서버의 요청에 의해 저장된 인증 결과를 제공하는 중개 서버를 포함한다.A second terminal for collecting authentication request information input by a user and authenticating authentication request information collected at the first terminal through a first terminal that provides a service requested by a user and a wake-up included in the first terminal; A service providing server interworking with the service providing system, receiving an access token to confirm an authentication result in the second terminal, and providing an Internet service through the first terminal; And a mediation server for interfacing information with the first terminal, the second terminal and the service providing server, temporarily storing the authentication result transmitted from the second terminal, and providing the stored authentication result at the request of the service providing server, .

상기 중개 서버는, 상기 제1 단말, 제2 단말 및 서비스 제공 서버와 연동하여 메시지를 송수신하는 메시지 송수신부; 상기 제2 단말로부터 인증 결과를 수신하면, 수신한 인증 결과에 대한 접근 토큰을 생성하고, 상기 제1 단말로 제공하도록 상기 메시지 송수신부로 전달하는 토큰 생성부; 상기 제1 단말로부터 전송되는 인증 요청 정보를 토대로 식별 번호를 생성하고, 생성한 식별 번호를 상기 제1 단말을 통해 상기 사용자에게 제공되도록 상기 메시지 송수신부로 전달하는 식별 번호 생성부; 및 상기 제1 단말로부터 전송되는 인증 요청 정보, 상기 인증 요청 정보에 대응하여 생성된 식별 번호, 상기 제2 단말에서 인증이 완료된 인증 결과를 저장하는 임시 저장부를 포함할 수 있다.Wherein the mediation server comprises: a message transmission / reception unit for transmitting / receiving a message in cooperation with the first terminal, the second terminal and the service providing server; A token generation unit for generating an access token for the received authentication result upon receiving the authentication result from the second terminal and transmitting the access token to the first terminal; An identification number generator for generating an identification number based on the authentication request information transmitted from the first terminal and transmitting the generated identification number to the message transmission / reception unit to be provided to the user through the first terminal; And a temporary storage unit for storing authentication request information transmitted from the first terminal, an identification number generated corresponding to the authentication request information, and an authentication result of the second terminal.

상기 제2 단말은, 상기 제1 단말로 제공되는 서비스에 따른 인증 시나리오를 저장, 관리하고, 상기 제2 단말이 상기 중개 서버로부터 인증 요청 식별자가 포함된 메시지를 수신하면 활성화되고, 상기 중개 서버에 접속하여 상기 인증 요청 식별자에 대응하며 응용 식별자를 포함하는 인증 요청 정보를 수신하며, 상기 응용 식별자에 대응하는 인증 시나리오를 실행하는 관리부; 상기 중개 서버로부터 전송되는 인증 요청 정보를 수신하는 메시지 수신부; 유심에 포함되며, 상기 제2 단말의 사용자에 대한 보안 정보를 저장, 관리하고, 상기 응용 식별자에 따라 상기 인증 요청 정보를 인증하기 위해 필요한 정보를 상기 보안 처리부로 제공하는 보안 정보 저장부; 및 유심에 포함되며, 상기 보안 정보 저장부에 암호화되어 저장된 보안 정보를 이용하여 상기 인증 요청 정보를 보안 처리하는 보안 처리부를 포함할 수 있다.Wherein the second terminal stores and manages an authentication scenario according to a service provided to the first terminal and is activated when the second terminal receives a message including an authentication request identifier from the intermediary server, A management unit for accessing authentication request information corresponding to the authentication request identifier and including an application identifier, and executing an authentication scenario corresponding to the application identifier; A message receiving unit for receiving authentication request information transmitted from the mediation server; A security information storage unit for storing and managing security information for a user of the second terminal and providing the security processing unit with information necessary for authenticating the authentication request information according to the application identifier; And a security processing unit that is included in the victim and securely processes the authentication request information using the security information encrypted and stored in the security information storage unit.

상기 서비스 제공 서버로부터 사용자 식별 정보를 수신하여 상기 사용자에 대한 사용자 공개키 제공을 요청받으면, 상기 서비스 제공 서버로 사용자 공개키를 제공하는 공인 인증 서버를 더 포함할 수 있다.The service providing server may further include a public authentication server for receiving the user identification information from the service providing server and providing the user public key to the service providing server upon receiving a request for providing the user public key for the user.

본 발명에 따르면 이동통신 단말에 탑재된 유심의 인증 기능을 다양한 인터넷 서비스로 확장하여 제공함으로써, 안전한 인증 솔루션을 제공할 수 있다.According to the present invention, a secure authentication solution can be provided by extending the authentication function installed in the mobile communication terminal to various Internet services.

또한 브라우저에 액티브엑스와 같은 플러그인 설치 없이도 단말에서 인증 서비스를 제공할 수 있으므로, 악성 프로그램의 전파 경로를 미연에 차단할 수 있다.In addition, since the authentication service can be provided at the terminal without installing a plug-in such as ActiveX in the browser, the propagation path of the malicious program can be blocked in advance.

도 1은 본 발명의 실시예에 따른 유심 인증을 통한 서비스 제공 환경을 나타낸 예시도이다.
도 2는 본 발명의 실시예에 따른 인증 단말의 구조도이다.
도 3은 본 발명의 실시예에 따른 중개 서버의 구조도이다.
도 4는 본 발명의 제1 실시예에 따른 인증 방법을 나타낸 흐름도이다.
도 5는 본 발명의 제2 실시예에 따른 인증 방법을 나타낸 흐름도이다.
도 6은 본 발명의 실시예에 따른 관리부의 활성화 방법을 나타낸 흐름도이다.
도 7은 본 발명의 실시예에 따른 결제 방법에 대한 흐름도이다.
도 8은 본 발명의 실시예에 따른 응용 서비스 자동 로그인 방법에 대한 흐름도이다.FIG. 1 is an exemplary view illustrating a service providing environment through wick authentication according to an embodiment of the present invention. Referring to FIG.
2 is a structural diagram of an authentication terminal according to an embodiment of the present invention.
3 is a structural diagram of an intermediary server according to an embodiment of the present invention.
4 is a flowchart illustrating an authentication method according to the first embodiment of the present invention.
5 is a flowchart illustrating an authentication method according to a second embodiment of the present invention.
6 is a flowchart illustrating a method of activating a management unit according to an embodiment of the present invention.
7 is a flowchart of a payment method according to an embodiment of the present invention.
8 is a flowchart illustrating a method of automatically logging in an application service according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when an element is referred to as "comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

본 명세서에서 단말(terminal)은, 이동국(Mobile Station, MS), 이동 단말(Mobile Terminal, MT), 가입자국(Subscriber Station, SS), 휴대 가입자국(Portable Subscriber Station, PSS), 사용자 장치(User Equipment, UE), 접근 단말(Access Terminal, AT) 등을 지칭할 수도 있고, 이동 단말, 가입자국, 휴대 가입자 국, 사용자 장치 등의 전부 또는 일부의 기능을 포함할 수도 있다.In this specification, a terminal includes a mobile station (MS), a mobile terminal (MT), a subscriber station (SS), a portable subscriber station (PSS) An access terminal (AT), and the like, and may include all or some of functions of a mobile terminal, a subscriber station, a mobile subscriber station, a user equipment, and the like.

본 명세서에서 기지국(Base Station, BS)은 접근점(Access Point, AP), 무선 접근국(Radio Access Station, RAS), 노드B(Node B), 송수신 기지국(Base Transceiver Station, BTS), MMR(Mobile Multihop Relay)-BS 등을 지칭할 수도 있고, 접근점, 무선 접근국, 노드B, 송수신 기지국, MMR-BS 등의 전부 또는 일부의 기능을 포함할 수도 있다.In this specification, a base station (BS) is an access point (AP), a radio access station (RAS), a node B, a base transceiver station (BTS) Mobile Multihop Relay) -BS, and may include all or some of the functions of an access point, a radio access station, a Node B, a base transceiver station, and an MMR-BS.

이하 도면을 참조로 하여 본 발명의 실시예에 따른 유심 인증을 이용한 서비스 제공 시스템 및 방법에 대해 설명한다.Hereinafter, a system and method for providing a service using in-circuit authentication according to an embodiment of the present invention will be described with reference to the drawings.

도 1은 본 발명의 실시예에 따른 유심 인증을 통한 서비스 제공 환경을 나타낸 예시도이다.FIG. 1 is an exemplary view illustrating a service providing environment through wick authentication according to an embodiment of the present invention. Referring to FIG.

도 1에 도시된 바와 같이, 유심 인증을 통해 인터넷 서비스 또는 응용 서비스를 제공하기 위한 환경은, PC 등과 같은 제1 단말(100), 유심 및 유심 관리부가 탑재되어 있으며 제1 단말(100)을 통해 인터넷 서비스를 이용하는 사용자를 유심 인증하는 제2 단말(200), 제1 단말(100)로 인터넷 서비스를 제공하는 서비스 제공 서버(400), 제1 단말(100)에서 요청하는 유심 인증 요청을 제2 단말(200)에 전달하고 제2 단말(200)에서 암호화된 정보를 서비스 제공 서버(400)로 전달하는 중개 서버(300), 및 서비스 제공 서버(400)에 사용자의 보안 정보를 제공하는 공인 인증 서버(500)를 포함한다. As shown in FIG. 1, an environment for providing an Internet service or an application service through wired authentication includes a first terminal 100 such as a personal computer (PC), a wired and wireless wired management unit, A second terminal 200 for authenticating a user who uses the Internet service, a service providing server 400 for providing an Internet service to the first terminal 100, a second terminal 200 for requesting a wisdom authentication request from the first terminal 100, A mediation server 300 for delivering encrypted information from the second terminal 200 to the terminal 200 and delivering the encrypted information to the service providing server 400 and a public authentication server 300 for providing security information of the user to the service providing server 400 And a server 500.

본 발명의 실시예에서는 중개 서버(300), 서비스 제공 서버(400) 및 공인 인증 서버(500)를 서비스 제공 시스템으로 포함하며, 서비스 제공 시스템에 제1 단말(100)과 제2 단말(200)이 연동하는 것으로 설명하나, 반드시 이와 같이 한정되는 것은 아니다.The service providing server 400 and the authorized authentication server 500 are included as a service providing system in the embodiment of the present invention and the first terminal 100 and the second terminal 200 are connected to the service providing system, But the present invention is not necessarily limited thereto.

제1 단말(100)은 PC, 노트북, 스마트폰 등과 같은 다양한 전자 기기를 예로 할 수 있으므로, 본 발명의 실시예에서는 어느 하나의 기기로 한정하여 설명하지는 않는다. 제1 단말(100)은 인터넷 브라우저로 서비스 제공 서버(40)에 접속하여 기능을 수행하는 것을 기본으로 설명하나, 반드시 이와 같이 한정되는 것은 아니다. 일례로 제1 단말(100)과 서비스 제공 서버(400)의 기능이 통합되어 제1 단말(100)에 설치되는 응용 프로그램의 형태로도 동작할 수 있다.The first terminal 100 can be exemplified by various electronic apparatuses such as a PC, a notebook computer, a smart phone, and the like, and thus the present invention is not limited to any one apparatus. The first terminal 100 is connected to the service providing server 40 through the Internet browser to perform the function, but is not limited thereto. For example, the functions of the first terminal 100 and the service providing server 400 may be combined to operate as an application program installed in the first terminal 100.

제1 단말(100)은 서비스 제공 서버(400)의 웹 페이지에 의해 기능이 구동되어 인터넷 서비스를 제공받는 과정에서, 서비스 제공을 위한 인증이 필요한 경우(예를 들어, 사용자의 신원을 확인해야 하는 경우 등) 사전에 지정된 중개 서버(300)의 웹 페이지로 재접속(redirect)하여 인증을 요청한다. 이때, 복수의 인증 서비스 시나리오 하나를 식별하는 응용 식별자(APPID)와 해당 인증 서비스 시나리오를 처리하기 위해 필요한 부가 정보를 중개 서버(300)로 전달한다. When the first terminal 100 is required to perform authentication for providing a service in the process of being operated by a web page of the service providing server 400 and receiving an Internet service (for example, Or the like) to the web page of the mediation server 300 designated in advance and requests authentication. At this time, the application identifier (APPID) identifying one of the plurality of authentication service scenarios and the additional information necessary for processing the authentication service scenario are transmitted to the intermediary server 300.

본 발명의 실시예에서는 응용 식별자의 구분을 사용자 인증, 전자 결제, 응용 서비스 자동 로그인 등으로 나누어 설명하나, 반드시 이와 같이 한정되는 것은 아니다. 그리고 인증 서비스 시나리오를 처리하기 위해 필요한 부가 정보는 기본적으로 응용 서비스의 사이트 정보, 사용자의 휴대폰 번호 등이 포함될 수 있으며, 추가 정보는 응용 식별자에 따라 달라진다. 예를 들어, 응용 식별자가 전자 결제를 나타내는 식별자인 경우, 거래 내역이 부가 정보로서 추가되어 포함될 수 있다.In the embodiment of the present invention, the classification of application identifiers will be described by dividing into user authentication, electronic payment, and automatic login of application service, but is not limited thereto. The additional information necessary for processing the authentication service scenario may basically include site information of the application service, the mobile phone number of the user, and the additional information differs depending on the application identifier. For example, when the application identifier is an identifier indicating electronic settlement, transaction details may be added as additional information.

제1 단말(100)은 중개 서버(300)로부터 인증 결과 또는 인증 결과에 접근할 수 있는 접근 토큰(access token)을 수신하여 서비스 제공 서버(400)로 전달하고, 인증 결과를 토대로 서비스 제공 서버(400)로부터 인터넷 서비스 또는 응용 서비스를 제공받는다. The first terminal 100 receives an access token that can access the authentication result or the authentication result from the mediation server 300 and transmits the access token to the service providing server 400. The first terminal 100 transmits the access token to the service providing server 400 to receive an Internet service or an application service.

중개 서버(300)는 제1 단말(100)로부터 응용 식별자 및 부가 정보가 포함된인증 요청 메시지를 수신하면, 이를 제2 단말(200)로 보내어 인증을 수행하도록 요청한다. 이를 위해, 먼저 제2 단말(200)은 식별하는 휴대폰 번호를 인증 요청 메시지에 포함된 부가 정보에서 추출한다. 만약, 부가 정보에 휴대폰 번호가 포함되어 있지 않으면 제1 단말(100)에서 접속한 웹 페이지를 통해 사용자의 휴대폰 번호를 제공받는다.When the mediation server 300 receives the authentication request message including the application identifier and the additional information from the first terminal 100, the mediation server 300 sends the authentication request message to the second terminal 200 to request authentication. To this end, the second terminal 200 first extracts the mobile phone number to be identified from the additional information included in the authentication request message. If the mobile phone number is not included in the additional information, the mobile phone number of the user is provided through the web page accessed from the first terminal 100.

중개 서버(300)는 해당 인증 요청 건을 구분하기 위한 인증 식별 번호를 생성하여 SMS 또는 데이터 PUSH 방법을 사용하여 제2 단말(200)로 전송한다. 그리고 생성한 인증 식별 번호를 인증 요청 정보와 함께 임시로 저장한다. 제2 단말(200)이 SMS 또는 데이터 PUSH 메시지를 수신한 후, 중개 서버(300)에 인증 식별 번호를 제시하면, 해당 인증 요청 정보를 전달한다.The mediation server 300 generates an authentication identification number for identifying the authentication request and transmits the authentication identification number to the second terminal 200 using the SMS or data PUSH method. The generated authentication identification number is temporarily stored together with the authentication request information. After the second terminal 200 receives the SMS or data PUSH message, it presents the authentication identification number to the intermediary server 300, and transmits the authentication request information.

또한, 중개 서버(300)는 제2 단말(200)로부터 인증 결과를 수신하고, 인증 결과를 확인할 수 있도록 제1 단말(100)로 접근 토큰을 생성하고 전달한다. 그리고 인증 결과를 인증 요청 정보와 함께 임시로 저장, 관리한다.The mediation server 300 receives the authentication result from the second terminal 200 and generates and transmits the access token to the first terminal 100 so that the authentication result can be confirmed. The authentication result is temporarily stored and managed together with the authentication request information.

또한, 중개 서버(300)는 서비스 제공 서버(400)가 접근 토큰을 통해 인증 결과를 요청하는 경우, 임시로 저장한 인증 결과를 제공하여 확인할 수 있도록 한다. 이상에서 설명한 바와 같이 접근 토큰을 사용하는 방법에 대한 대안으로, 중개 서버(300)는 제1 단말(100)로 인증 결과를 전송하여 사용자에 의해 요청된 서비스를 제공할 수 있음을 알려줄 수도 있다.In addition, when the service providing server 400 requests the authentication result through the access token, the mediation server 300 provides the temporarily stored authentication result so that it can be confirmed. As described above, as an alternative to the method of using the access token, the intermediary server 300 may transmit the authentication result to the first terminal 100 to inform the user that the requested service can be provided.

제2 단말(200)은 개인 정보를 저장하고 처리하는 유심을 내장한다. 제2 단말(200)이 중개 서버(300)로부터 유심 인증 요청을 식별할 수 있는 식별 번호가 포함된 SMS 또는 데이터 PUSH 메시지를 수신하고, 사용자가 해당 메시지를 확인하면, 제2 단말(200)은 중개 서버(300)에 접속하여 해당 유심 인증 식별 번호에 대응되는 인증 요청 정보(응용 식별자 및 부가 정보)를 수신한다. The second terminal 200 embeds a wickedness for storing and processing personal information. When the second terminal 200 receives an SMS or a data PUSH message including an identification number capable of identifying the aspirant authentication request from the mediation server 300 and the user confirms the message, And accesses the mediation server 300 to receive authentication request information (application identifier and additional information) corresponding to the corresponding wint authentication ID.

제2 단말(200)은 중개 서버(300)를 통해 전송되는 인증 요청 정보와 제2 단말(200)에 포함된 유심의 안전 요소 기능(저장 및 계산) 기능, 그리고 제2 단말(200)의 사용자 인터페이스를 사용하는 사용자의 확인을 통해, 유심 인증 기능을 수행한다. The second terminal 200 may include the function of storing the authentication request information transmitted through the intermediary server 300 and the secure element function (storing and calculating) of the wormhole included in the second terminal 200, Through the confirmation of the user using the interface, the wisdom authentication function is performed.

이를 위한 제2 단말(200)은 응용 식별자에 따라 서로 상이한 인증 시나리오를 수행하여 인증 결과를 생성한다. 인증이 완료되면 인증 결과를 중개 서버(300)에 전송한다. 인증 결과는 전송 과정에서 정보가 노출되지 않도록 유심 내에 저장된 비밀키로 암호화 하여 전송할 수 있다.The second terminal 200 for this purpose generates authentication results by performing different authentication scenarios according to application identifiers. When the authentication is completed, the authentication result is transmitted to the mediation server 300. The authentication result can be encrypted and transmitted with the secret key stored in the secret key so that the information is not exposed during the transmission process.

서비스 제공 서버(400)는 제1 단말(100)에 인터넷 서비스를 제공한다. 서비스 제공 서버(400)가 서비스 제공 과정에서 사용자에 대한 인증이 필요하면 제1 단말(100)이 중개 서버(300)로 접속하여 유심 인증을 수행하도록 제어한다. 인증이 완료되면 제1 단말(100)로부터 인증 결과 또는 인증 결과에 접근할 수 있는 접근 토큰을 수신하고, 접근 토큰을 수신한 경우 중개 서버(300)에 접근 토큰을 전달하고 이에 따른 인증 결과를 수신한다. The service providing server 400 provides an Internet service to the first terminal 100. When the service providing server 400 requires authentication for the user in the service provision process, the first terminal 100 accesses the intermediary server 300 to perform wichim authentication. Upon receipt of the access token, the access terminal transmits the access token to the intermediary server 300. Upon receiving the access token from the first terminal 100, do.

서비스 제공 서버(400)는 인증 결과가 사용자의 비밀키로 암호화 되어 있는 경우에는, 서비스 제공 서버(400)에 연동하고 있는 공인 인증 서버(500)를 통해 사용자에 대한 암호화된 정보를 확인할 수 있는 사용자 공개키를 수신하여, 중개 서버(300)로부터 수신한 암호화된 인증 결과를 복호화하여 확인한다. 여기서 인증 결과가 사용자의 비밀키로 암호화되어 있는 경우는 선택사항으로, 반드시 인증 결과가 사용자 비밀키로 암호화되는 것은 아니고 SSL과 같은 암호화 프로토콜을 사용할 수도 있으므로 한정하여 설명하지 않는다.When the authentication result is encrypted with the secret key of the user, the service providing server 400 displays the user information that can confirm the encrypted information for the user through the authorized authentication server 500 linked to the service providing server 400 Key, and decrypts and confirms the encrypted authentication result received from the mediation server 300. If the authentication result is encrypted with the user's private key, the authentication result is not necessarily encrypted with the user's secret key, and the encryption result is not limited to the encrypted private key.

이를 위해 서비스 제공 서버(400)는 공인 인증 서버(500)로 사용자 식별 정보(예를 들어, 전화번호 등)를 전달한다. 그리고 확인한 인증 결과에 따라 제1 단말(100)로 응용 식별자에 대응되는 인터넷 서비스(예를 들어, 자동 로그인 또는 전자 결제 등)를 제공한다. To this end, the service providing server 400 transmits user identification information (e.g., telephone number, etc.) to the authorized authentication server 500. And provides an Internet service (e.g., automatic login or electronic payment) corresponding to the application identifier to the first terminal 100 according to the confirmed authentication result.

공인 인증 서버(500)는 서비스 제공 서버(400)와 연동하고, 복수의 사용자들에 대한 사용자 공개키를 저장, 관리한다. 그리고 서비스 제공 서버(400)로부터 사용자 식별 정보를 수신하면, 해당 사용자에 대한 공개키를 서비스 제공 서버(400)로 전달한다.The public authentication server 500 interlocks with the service providing server 400 and stores and manages user public keys for a plurality of users. Upon receiving the user identification information from the service providing server 400, the public key is transmitted to the service providing server 400.

이러한 환경에서 사용자에 대한 유심 인증을 수행하는 제2 단말(200)의 구조에 대해 도 2를 참조로 설명한다. 설명의 편의를 위하여 본 발명의 실시예에서는 제2 단말(200)을 '인증 단말'이라고도 지칭한다.The structure of the second terminal 200 for performing winking authentication for a user in such an environment will be described with reference to FIG. For convenience of explanation, the second terminal 200 is also referred to as an 'authentication terminal' in the embodiment of the present invention.

도 2는 본 발명의 실시예에 따른 인증 단말의 구조도이다.2 is a structural diagram of an authentication terminal according to an embodiment of the present invention.

도 2에 도시된 바와 같이, 인증 단말(200)은 관리부(210), 유심(220) 및 메시지 수신부(230)를 포함한다. 인증 단말(200)은 도 2에 도시한 구조 이외에 스마트폰과 같은 일반적으로 사용자에게 제공하는 서비스를 위한 구조를 포함하며, 본 발명의 실시예에서는 설명을 생략한다. 또한, 보안 처리부와 보안 정보 저장부가 유심(220) 내에 포함되어 안전 요소의 기능을 수행하는 것을 예로 하여 설명하며, 반드시 이와 같이 한정되는 것은 아니다.2, the authentication terminal 200 includes a management unit 210, a key center 220, and a message receiving unit 230. [ The authentication terminal 200 includes a structure for services generally provided to a user, such as a smart phone, in addition to the structure shown in FIG. 2, and a description thereof will be omitted in the embodiment of the present invention. Also, the security processing unit and the security information storing unit are included in the wicket 220 to perform the function of the security element, and the present invention is not limited thereto.

메시지 수신부(230)는 중개 서버(300)로부터 전송되는 인증 요청 식별 번호가 포함된 메시지를 수신한다. The message receiving unit 230 receives a message including an authentication request identification number transmitted from the mediation server 300.

관리부(210)는 응용 식별자의 각 값에 대응되는 복수의 인증 서비스의 시나리오를 저장, 관리한다. 여기서 서비스 시나리오는 사용자 인증, 응용 서비스 자동 로그인, 전자 결제 등 다양한 형태로 구분할 수 있으며, 어느 하나의 형태로 한정하지는 않는다. The management unit 210 stores and manages a plurality of scenarios of the authentication service corresponding to each value of the application identifier. Here, the service scenario may be classified into various types such as user authentication, automatic login of application service, electronic payment, and the like, and is not limited to any one form.

메시지 수신부(230)가 인증 요청 식별자가 포함된 메시지를 중개 서버(300)로부터 수신하고 사용자가 해당 메시지를 선택하면, 관리부(210)가 활성화된다. 그러면 메시지 수신부(230)는 관리부(210)로 인증 요청 식별자를 전달한다. 여기서 관리부(210)는 운영 체제의 일부이거나 응용 프로그램일 수 있으며, 어느 하나의 형태로 한정하지 않는다.When the message receiving unit 230 receives a message including the authentication request identifier from the intermediary server 300 and the user selects the message, the management unit 210 is activated. Then, the message receiving unit 230 transmits the authentication request identifier to the management unit 210. Here, the management unit 210 may be a part of an operating system or an application program, and is not limited to any one form.

이때 관리부(210)는 중개 서버(300)에 접속하여 인증 요청 식별자에 대응되는 인증 요청 정보(응용 식별자 및 부가 정보)를 수신한다. 관리부(210)는 사용자 인터페이스와 유심 인터페이스를 제어하여, 미리 정의된 복수 개의 인증 시나리오 중 응용 식별자에 대응하는 인증 시나리오를 수행한다. At this time, the management unit 210 accesses the mediation server 300 and receives authentication request information (application identifier and additional information) corresponding to the authentication request identifier. The management unit 210 controls the user interface and the wired interface to perform an authentication scenario corresponding to the application identifier among a plurality of authentication scenarios defined in advance.

여기서 관리부(210)가 수행하는 인증 기능은 중개 서버(300)에서 수신한 응용 식별자에 따라 달라진다. 예를 들어, 응용 식별자가 공인인증서를 이용한 전자 결제 시나리오를 식별하는 경우라면, 인증 부가 정보에 전자상거래 거래 내역이 포함되어 있다. 따라서 관리부(210)는 사용자 인터페이스를 통해 사용자로부터 입력되는 공인인증서의 암호를 수신한다. Here, the authentication function performed by the management unit 210 depends on the application identifier received by the mediation server 300. [ For example, if the application identifier identifies the electronic settlement scenario using the authorized certificate, the authentication sub-information includes the electronic transaction transaction details. Accordingly, the management unit 210 receives the password of the public key certificate input from the user through the user interface.

그리고 수신한 암호와 전자상거래 거래 내역을 유심 인터페이스를 통해 유심(220)의 보안 처리부로 전송하면, 보안 처리부는 유심 내의 보안 정보 저장부에 암호화 되어 저장된 공인인증서의 비밀키를 암호로 풀고, 전자상거래 거래 내역에 서명(비밀키로 암호화)하면 그 결과가 인증 결과 값이 된다. 관리부(210)는 운영체제의 한 기능으로 구현될 수도 있고 응용 프로그램 형태로 구현될 수도 있다.Then, if the received password and the transaction details of the electronic commerce transaction are transmitted to the security processing unit of the wicket 220 via the wake interface, the security processing unit decrypts the secret key of the authorized certificate stored in the secure information storage unit in the wake- If the transaction details are signed (encrypted with a secret key), the result is the authentication result. The management unit 210 may be implemented as a function of an operating system or an application program.

또 다른 예로서, 응용 식별자가 응용 서비스 자동 로그인의 경우에는, 보안 처리부는 인증 부가 정보에 포함된 전화 번호나 주민등록 번호 등을 토대로 인증을 수행한다. 그리고 인증에 성공한 경우, 보안 정보 저장부에 저장되어 있는 하나 이상의 ID/비밀번호 중, 사용자가 제1 단말(100)을 통해 접속하고자 하는 응용 서비스에 대한 ID/비밀번호가 저장되어 있는지 확인한다. 그리고 저장되어 있으면 해당 ID/비밀번호를 사용자의 개인키로 암호화하여 인증 결과로 생성한다. As another example, when the application identifier is an application service automatic login, the security processing unit performs authentication based on a telephone number or a resident registration number included in the authentication additional information. If the authentication is successful, it is checked whether the ID / password of the application service to be accessed by the user through the first terminal 100 among the one or more ID / password stored in the security information storage unit is stored. If it is stored, the corresponding ID / password is encrypted with the user's private key and generated as an authentication result.

보안 정보 저장부는 인증 단말(200)의 사용자에 대한 보안 정보를 저장, 관리한다. 여기서 보안 정보는 사용자에 제공된 비밀키 또는 사용자에 대한 ID/비밀번호, 전화 번호, 주민등록 번호, 결제 수단 등 사용자 인증 및 응용 서비스를 제공하기 위해 필요한 다양한 정보가 포함될 수 있다.The security information storage unit stores and manages security information for the user of the authentication terminal (200). Here, the security information may include various information necessary for providing user authentication and application services such as a secret key provided to a user or an ID / password for a user, a telephone number, a resident registration number, a payment means, and the like.

다음은 중개 서버(300)의 구조에 대해 도 3을 참조로 설명한다.Next, the structure of the mediation server 300 will be described with reference to FIG.

도 3은 본 발명의 실시예에 따른 중개 서버의 구조도이다.3 is a structural diagram of an intermediary server according to an embodiment of the present invention.

도 3에 도시된 바와 같이, 중개 서버(300)는 메시지 송수신부(310), 임시 저장부(330), 토큰 생성부(320) 및 식별 번호 생성부(340)를 포함한다.3, the mediation server 300 includes a message transmission / reception unit 310, a temporary storage unit 330, a token generation unit 320, and an identification number generation unit 340.

메시지 송수신부(310)는 제1 단말(100), 제2 단말(200) 및 서비스 제공 서버(400)와 연동하여, 제1 단말(100), 제2 단말(200) 또는 서비스 제공 서버(400)로부터 전송되는 메시지를 수신하거나 해당 구성 요소들로 메시지를 전송한다. 예를 들어, 제1 단말(100)로부터는 인증 요청 정보가 포함된 메시지를 수신하여 제2 단말(200)로 전달하거나, 제2 단말(200)에서 인증 결과를 수신하여 서비스 제공 서버(400)로 전달하는 기능을 수행한다. 그리고 메시지 송수신부(310)는 식별 번호 생성부(340)가 생성한 식별 번호를 제1 단말(100)로 전달하여, 제1 단말(100)을 이용하는 사용자에게 제공되도록 한다.  The message transmission and reception unit 310 may be connected to the first terminal 100, the second terminal 200 or the service providing server 400 in cooperation with the first terminal 100, the second terminal 200, ) Or transmits a message to the corresponding components. For example, the first terminal 100 receives a message including the authentication request information and transmits the message to the second terminal 200, receives the authentication result from the second terminal 200, As shown in FIG. The message transmitting and receiving unit 310 transmits the identification number generated by the identification number generating unit 340 to the first terminal 100 and provides the identification number to the user using the first terminal 100.

식별 번호 생성부(340)는 제1 단말(100)로부터 전송되는 인증 요청 정보를 토대로, 인증 요청 정보에 대응되는 식별 번호를 생성한다. 식별 번호 생성부(320)가 인증 요청 정보에 대응하는 식별 번호를 생성하는 방법은 여러 방법을 통해 수행될 수 있으므로, 어느 하나의 방법으로 한정하여 설명하지 않는다. 식별 번호 생성부(340)는 생성한 식별 번호를 메시지 송수신부(310) 및 임시 저장부(330)로 전달한다.The identification number generating unit 340 generates an identification number corresponding to the authentication request information based on the authentication request information transmitted from the first terminal 100. [ The method of generating the identification number corresponding to the authentication request information by the identification number generator 320 may be performed through various methods, and thus the description is not limited to any one method. The identification number generator 340 transmits the generated identification number to the message transmission / reception unit 310 and the temporary storage unit 330.

임시 저장부(330)는 제1 단말(100)로부터 전송되는 인증 요청 정보나, 인증 요청 정보에 대응하여 식별 번호 생성부(320)가 생성한 식별 번호, 제2 단말(200)에서 인증이 완료된 암호화된 인증 결과 등을 미리 설정한 기간 동안 임시로 저장, 관리한다. 그리고 서비스 제공 서버(400)가 접속하고 접근 토큰을 제시하면, 저장된 암호화된 인증 결과를 메시지 송수신부(310)를 통해 제공한다.The temporary storage unit 330 stores the authentication request information transmitted from the first terminal 100 or the identification number generated by the identification number generation unit 320 in response to the authentication request information, And temporarily stores and manages the encrypted authentication result during a preset period. When the service providing server 400 accesses and presents an access token, the message transmission / reception unit 310 provides the stored encrypted authentication result.

토큰 생성부(320)는 제2 단말(200)에서 암호화된 인증 결과를 제1 단말(100)로 전달할 때, 서비스 제공 서버(400)가 암호화된 인증 결과를 확인할 수 있도록 접근 토큰을 생성한다. 그리고 생성한 접근 토큰을 메시지 송수신부(310)를 통해 제1 단말(100)로 전달하도록 한다. 토큰 생성부(340)에서 토큰이 생성되는 방법은 여러 방법을 통해 수행될 수 있으며, 본 발명의 실시예에서는 어느 하나의 방법으로 한정하여 설명하지 않는다.The token generating unit 320 generates an access token so that the service providing server 400 can confirm the encrypted authentication result when transmitting the encrypted authentication result from the second terminal 200 to the first terminal 100. [ Then, the generated access token is transmitted to the first terminal 100 through the message transmission / reception unit 310. The method of generating the token in the token generating unit 340 may be performed through various methods, and the present invention is not limited to any method.

이상에서 설명한 단말 및 중개 서버(300)의 구조와 유심 인증 기능을 제공하는 환경에서, 사용자에게 서비스를 제공하는 방법에 대해 도 4 및 도 5를 참조로 설명한다. 도 4 및 도 5에서는 다양한 응용 서비스 중 사용자 인증을 예로 하여 설명한다.A method of providing a service to a user in the above-described structure of the terminal and the intermediary server 300 and an environment providing the wisdom authentication function will be described with reference to FIGS. 4 and 5. FIG. 4 and 5 illustrate user authentication among various application services.

도 4는 본 발명의 제1 실시예에 따른 인증 방법을 나타낸 흐름도이고, 도 5는 본 발명의 제2 실시예에 따른 인증 방법을 나타낸 흐름도이다. FIG. 4 is a flowchart illustrating an authentication method according to a first embodiment of the present invention, and FIG. 5 is a flowchart illustrating an authentication method according to a second embodiment of the present invention.

먼저 도 4를 살펴보면, 제1 단말(100)은 인터넷 브라우저를 통해 서비스 제공 서버(400)를 탐색(browsing)하면서 사용자 인증이 필요한 인터넷 서비스(예를 들어, 전자상거래 결제 또는 인터넷 사이트의 로그인 등)를 선택하여 인터넷 서비스가 발생되면(S100), 서비스 제공 서버(400)의 웹 페이지에 구현된 설정에 따라 중개 서버(300)로 이동(redirect)된다. 4, the first terminal 100 may browse the service providing server 400 through an Internet browser and access an Internet service (for example, an electronic commerce settlement or an Internet site login) And when the Internet service is generated (S100), it is redirected to the mediation server 300 according to the setting implemented in the web page of the service providing server 400. [

그리고 제1 단말(100)에서 발생한 인증 요청 정보를 중개 서버(300)로 전달한다(S101). 제1 단말(100)로부터 인증 요청 정보를 수신한 중개 서버(300)는 해당 인증 요청에 대응되는 인증 요청 식별자를 생성하고, 이를 유심이 삽입되어 있는 제2 단말(200)로 SMS 또는 데이터 PUSH 방법을 통해 전송한다.Then, the authentication request information generated in the first terminal 100 is transmitted to the mediation server 300 (S101). The mediation server 300 having received the authentication request information from the first terminal 100 generates an authentication request identifier corresponding to the authentication request and transmits the authentication request identifier to the second terminal 200 in which the wisdom is inserted into the SMS or the data PUSH method Lt; / RTI >

제2 단말(200)의 메시지 수신부(230)는 중개 서버(300)를 통해 전달되는 인증 요청 식별자를 수신하여 관리부(210)로 전달하고, 관리부(210)는 중개 서버(300)에 접속하여 인증 요청 식별자에 대응되는 인증 요청 정보(응용 식별자와 인증 부가 정보)를 수신한다(S102). 이와 동시에 관리부(210)가 활성화되고(S103), 활성화된 관리부(210)는 메시지 수신부(230)가 수신한 인증 요청 정보에서 응용 식별자를 확인한다. 본 발명의 실시예에서는 사용자 인증을 예로 하여 설명하므로, 응용 식별자 또한 "사용자 인증"에 관련된 식별 정보로 설정된다.The message receiving unit 230 of the second terminal 200 receives the authentication request identifier transmitted through the intermediary server 300 and transfers the authentication request identifier to the management unit 210. The management unit 210 accesses the mediation server 300, The authentication request information (application identifier and authentication additional information) corresponding to the request identifier is received (S102). At the same time, the management unit 210 is activated (S103), and the activated management unit 210 confirms the application identifier from the authentication request information received by the message receiving unit 230. [ In the embodiment of the present invention, since the user authentication is described as an example, the application identifier is also set as the identification information related to "user authentication ".

그러면 관리부(210)는 인증 요청 정보 내에 포함된 정보들과 유심(220)내 보안 정보 저장부에 저장되어 있는 보안 정보들, 사용자 인터페이스를 통해 사용자가 입력한 정보들을 토대로, 인증 시나리오를 수행한다(S104). 본 발명의 실시예에서는 전화번호와 주민등록 번호를 토대로 인증을 수행하는 것을 예로 하여 설명하나, 반드시 이와 같이 한정되는 것은 아니다.Then, the management unit 210 performs an authentication scenario based on the information included in the authentication request information, the security information stored in the security information storage unit in the core 220, and the information input by the user through the user interface S104). In the embodiment of the present invention, the authentication is performed based on the telephone number and the resident registration number, but the present invention is not limited thereto.

제2 단말(200)은 인증을 수행한 결과를 중개 서버(300)로 전달하고(S105), 중개 서버(300)의 토큰 생성부(320)는 S105 단계에서 수신한 암호화된 인증 결과를 서비스 제공 서버(400)가 확인할 수 있도록 하는 액세스 토큰(access token)을 생성하여 제1 단말(100)로 전달한다(S106).The second terminal 200 transmits the authentication result to the mediation server 300 in step S105 and the token generation unit 320 in the mediation server 300 transmits the encrypted authentication result received in step S105 to the mediation server 300 And generates an access token to allow the server 400 to confirm and transmit the access token to the first terminal 100 (S106).

액세스 토큰을 수신한 제1 단말(100)은 해당 액세스 토큰을 서비스 제공 서버(400)로 전달하고(S107), 액세스 토큰을 수신한 서비스 제공 서버(400)는 중개 서버(300)로 액세스 토큰을 통해 인증 결과를 요청한다(S108). 그리고 중개 서버(300)로부터 인증 결과를 수신한다(S109). 이때 인증 결과가 제2 단말(200)에서 사용자의 개인키로 암호화된 경우라면, 서비스 제공 서버(400)는 공인 인증 서버(500)로 해당 사용자에 대한 식별 정보를 제공하여 공개키를 요청한다(S110).The first terminal 100 receiving the access token transmits the access token to the service providing server 400 in step S107 and the service providing server 400 receiving the access token transmits the access token to the mediation server 300 (S108). Then, the authentication result is received from the mediation server 300 (S109). At this time, if the authentication result is encrypted with the user's private key at the second terminal 200, the service providing server 400 provides the public key to the public authentication server 500 by providing the identification information of the corresponding user (S110 ).

S110 단계에서 요청한 사용자 공개키를 공인 인증 서버(500)로부터 수신하면(S111), 서비스 제공 서버는 수신한 사용자 공개키를 이용하여 암호화된 인증 정보를 확인하여, 인증 결과를 확인한다(S112). 인증에 성공한 경우 실패한 경우 모두 암호화된 상태로 인증 결과가 중개 서버에 임시 저장되기 때문에, 인증에 성공한 것으로 확인된 경우에만 서비스 제공 서버(400)는 제1 단말(100)로 서비스를 제공한다(S113). 본 발명의 실시예에서는 사용자 인증에 관한 서비스를 예로 하여 설명하였기 때문에, 사용자가 제1 단말(100)을 통해 사용자 인증 후 발생하는 서비스를 이용할 수 있도록 권한을 제공한다.Upon receiving the requested user public key from the public authentication server 500 in step S111, the service providing server checks the encrypted authentication information using the received user public key and confirms the authentication result in step S112. If the authentication is successful, the authentication result is temporarily stored in the intermediary server in an encrypted state. Therefore, the service providing server 400 provides the service to the first terminal 100 only when it is confirmed that the authentication is successful (S113 ). In the embodiment of the present invention, since the service related to the user authentication has been described as an example, the user is allowed to use the service generated after the user authentication through the first terminal 100.

본 발명의 제1 실시예에서는 중개 서버(300)가 제1 단말(100)에 직접 인증 결과를 제공하는 대신에 접근 토큰을 제공하고, 제1 단말(100)로부터 전달받은 접근 토큰을 이용하여 서비스 제공 서버(400)가 중개 서버(300)로부터 인증 결과를 전달받는 방법을 이용하는 것을 예로 하여 설명하였다. 즉, 제1 실시예에서는 중개 서버(300)에 인증을 요청하는 제1 단말(100)의 역할과 인증 결과를 서비스와 융합하여 처리하는 서비스 제공 서버(400)의 역할을 분리하여, 인증 결과가 제1 단말(100)에 노출되지 않고, 한번의 인증으로 서비스 제공 서버(400)가 수시로 중개 서버(300)에 저장된 인증 결과에 접근할 수 있도록 한다.In the first embodiment of the present invention, the mediation server 300 provides an access token instead of providing the authentication result directly to the first terminal 100, and uses the access token received from the first terminal 100 to access the service And the providing server 400 receives the authentication result from the intermediary server 300. [ That is, in the first embodiment, the role of the first terminal 100 requesting authentication to the mediation server 300 and the role of the service providing server 400 for processing the authentication result by merging with the service are separated, The service providing server 400 may access the authentication result stored in the mediation server 300 at any time without being exposed to the first terminal 100.

다음은 본 발명의 다른 실시예에 따라 서비스를 제공하는 방법에 대해 도 5를 참조로 설명한다. 도 5에서는 인터넷 웹서비스나 응용 서비스에 로그인을 안전하게 할 수 있도록 하는 방법이 적용될 수 있다.Next, a method of providing a service according to another embodiment of the present invention will be described with reference to FIG. In FIG. 5, a method for securing login to an Internet Web service or an application service can be applied.

도 5에 도시된 바와 같이, 제1 단말(100)이 중개 서버(300)로 인증을 요청하면(S200), 중개 서버(300)는 제2 단말(200)로 인증 요청 정보를 전달하며 인증을 요청한다(S201). 인증 요청 정보를 수신한 제2 단말(200)의 관리부(210)는 활성화되고(S202), 단말 내에 삽입되어 있는 유심과 관리부(210)를 이용하여 S201 단계에서 수신한 인증 요청 정보에 대한 인증을 수행한다(S203). S200 내지 S203 단계에 대한 사항은 상기 도 4의 S100 내지 S104 단계에서 설명한 바와 동일하다.5, when the first terminal 100 requests authentication to the mediation server 300 (S200), the mediation server 300 transmits the authentication request information to the second terminal 200, (S201). The management unit 210 of the second terminal 200 receiving the authentication request information is activated (S202), and authentication of the authentication request information received in step S201 is performed using the management terminal 210 and the wickedness inserted in the terminal (S203). Steps S200 to S203 are the same as those described in steps S100 to S104 of FIG.

제2 단말(200)은 S203 단계에서 수행한 인증 결과를 중개 서버(300)로 전송하고(S204), 중개 서버(300)는 S204 단계에서 제2 단말(200)로부터 수신한 인증 결과를 제1 단말(100)로 전달한다(S100). 제1 단말(100)은 서비스 제공 서버(400)로 인증 결과를 전달함과 동시에 서비스를 요청한다(S207). 서비스 제공 서버(400)는 제1 단말(100)로부터 전송되는 인증 결과에 따라 제1 단말(100)로 서비스를 제공한다(S208). The second terminal 200 transmits the authentication result performed in step S203 to the mediation server 300 in step S204 and the mediation server 300 transmits the authentication result received from the second terminal 200 in step S204 to the first To the terminal 100 (S100). The first terminal 100 transmits an authentication result to the service providing server 400 and requests a service (S207). The service providing server 400 provides the service to the first terminal 100 according to the authentication result transmitted from the first terminal 100 (S208).

도 4에서는 인증 결과를 직접 전달하지 않고 접근 토큰을 전달하는 반면, 도 5에서는 인증 결과를 제1 단말(100)에 직접 전달하는 방법을 이용한 것이다.In FIG. 4, an access token is transmitted without directly transmitting an authentication result. On the other hand, in FIG. 5, a method of directly transmitting an authentication result to the first terminal 100 is used.

이와 같은 방법을 통해 인터넷 서비스를 제공받는 중에, 상기 도 4의 S103 단계와 도 5의 S202 단계에서 관리부(210)를 활성화하는 본 발명의 다른 실시예에 대해 도 6을 참조로 설명한다.Referring to FIG. 6, another embodiment of the present invention for activating the management unit 210 in step S103 of FIG. 4 and step S202 of FIG. 5 while receiving an Internet service through such a method will be described.

도 6은 본 발명의 실시예에 따른 관리부의 활성화 방법을 나타낸 흐름도이다.6 is a flowchart illustrating a method of activating a management unit according to an embodiment of the present invention.

도 6에 도시된 바와 같이, 중개 서버(300)는 제1 단말(100)로부터 전송된 인증 요청 정보에 대한 인증 요청 식별 번호를 생성하고, 생성한 인증 요청 식별 번호와 수신한 인증 요청 정보를 임시 저장부(330)에 임시로 저장한다(S300). 그리고 생성한 인증 요청 식별 번호를 제1 단말(100)로 전달하여 사용자 인터페이스를 통해 사용자에게 제공되도록 한다(S301, S302). 여기서 중개 서버(300)는 여러 방법을 통해 인증 요청 식별 번호를 생성할 수 있으므로, 본 발명의 실시예에서는 상세한 설명을 생략한다.6, the mediation server 300 generates an authentication request identification number for the authentication request information transmitted from the first terminal 100, and temporarily stores the generated authentication request identification number and the received authentication request information And stores it temporarily in the storage unit 330 (S300). The generated authentication request identification number is transmitted to the first terminal 100 and provided to the user through the user interface (S301, S302). Here, since the mediation server 300 can generate the authentication request identification number through various methods, the detailed description will be omitted in the embodiment of the present invention.

그리고 사용자의 입력에 의해 제2 단말(200)의 관리부(210)가 활성화되면(S303), 사용자의 입력에 의해 제1 단말(100)의 사용자 인터페이스를 통해 확인한 인증 요청 식별 번호를 수신한다(S304). 제2 단말(300)은 중개 서버(300)에 접속하여 입력된 인증 요청 식별 정보를 제시하고(S305), 중개 서버(300)로부터 인증 요청 정보를 수신하면(S306), 제2 단말(300)은 이를 바탕으로 인증 기능을 실행한다(S307). 제2 단말(300)이 인증을 완료하면, 인증 결과를 중개 서버(300)로 전송한다(S308, S309). When the management unit 210 of the second terminal 200 is activated by the user's input (S303), the terminal receives the authentication request identification number confirmed through the user interface of the first terminal 100 by the user's input (S304 ). The second terminal 300 accesses the intermediary server 300 to present the input authentication request identification information in step S305 and receives authentication request information from the intermediary server 300 in step S306, The authentication function is executed based on this (S307). When the second terminal 300 completes the authentication, the authentication result is transmitted to the mediation server 300 (S308, S309).

이와 같은 방법을 사용하면 제1 단말(100)과 제2 단말(200)이 동일한 사용자에 의하여 물리적으로 같은 위치에 있음을 보장할 수 있으므로, 보다 더 안전하게 인증 요청을 할 수 있다는 장점이 있다. Using this method, it is possible to guarantee that the first terminal 100 and the second terminal 200 are physically located at the same position by the same user, so that an authentication request can be made more securely.

다음은 도 4의 S104 단계 또는 도 5의 S203 단계에서 인증을 수행할 때, 응용 식별자가 전자 결제인 경우의 결제 내역과 결제 수단을 확인하고 처리하는 방법에 대해 도 7을 참조로 설명한다. 본 발명의 실시예에서는 공인 인증서와 사용자가 사용할 수 있는 결제 수단이 미리 유심에 저장되어 있는 것을 전제로 설명한다.Next, referring to FIG. 7, a description will be given of a method of confirming and processing payment details and payment means when the application identifier is electronic payment when performing authentication in step S104 of FIG. 4 or step S203 of FIG. In the embodiment of the present invention, it is assumed that the authorized certificate and the payment means usable by the user are stored in advance.

도 7은 본 발명의 실시예에 따른 결제 방법에 대한 흐름도이다.7 is a flowchart of a payment method according to an embodiment of the present invention.

도 7에 도시된 바와 같이, 제2 단말(200)이 중개 서버(300)로부터 인증 부가 정보 내에 포함된 결제 내역을 수신하면(S400), 보안 정보 저장부 내에 저장되어 있는 하나 또는 하나 이상의 결제 수단에 대한 정보(예를 들어, 신용카드 번호, 만기일 등)를 확인하여 사용자에게 리스트를 제공한다(S401). 7, when the second terminal 200 receives the payment details included in the authentication supplementary information from the intermediary server 300 (S400), the second terminal 200 transmits the payment details included in the authentication supplementary information to the one or more payment means (E.g., credit card number, expiration date, etc.) and provides a list to the user (S401).

사용자에 의해 제공된 결제 수단 리스트 중 어느 하나의 결제 수단이 선택되면, 제2 단말(200)은 선택 정보를 수신하고(S402), 사용자가 선택한 결제 수단에 대한 암호를 입력하면 입력한 암호를 수신한다(S403). 제2 단말(200)은 S400 단계에서 수신한 결제 내역과 S402 단계에서 수신한 결제 수단, 그리고 S403 단계에서 수신한 인증서 암호를 포함하는 결제 관련 정보를 제2 단말(200) 내에 포함되어 있는 보안 처리부로 전달한다(S404).When the payment means is selected from the list of payment means provided by the user, the second terminal 200 receives the selection information (S402) and receives the input password when the user inputs a password for the selected payment means (S403). The second terminal 200 transmits the settlement related information including the payment details received in step S400, the payment method received in step S402, and the certificate password received in step S403 to the security processing unit 200 included in the second terminal 200, (S404).

보안 처리부에서 결제 내역과 결제 수단에 대해 인증서 비밀키로 암호화하면 이를 인증 결과로 생성한다(S405). 제2 단말(200)은 S405 단계에서 생성한 인증 결과를 중개 서버(300)로 전달한다(S406). 상기 도 7에서 설명한 결제 방법은 사용자에 의해 선택된 응용 식별자가 전자 결제인 경우에만 수행된다.If the security processing unit encrypts the payment details and the payment means using the certificate secret key, the authentication result is generated (S405). The second terminal 200 transmits the authentication result generated in step S405 to the mediation server 300 (S406). The payment method described with reference to FIG. 7 is performed only when the application identifier selected by the user is electronic payment.

다음은 도 4의 S104 단계 또는 도 5의 S203 단계에서 인증을 수행할 때, 응용 식별자가 응용 서비스 자동 로그인인 경우 제2 단말(200)에서의 처리 방법에 대해 도 8을 참조로 설명한다. 도 8 역시 도 7과 마찬가지로 하나의 실시예가 될 수 있다.Next, when performing the authentication in step S104 of FIG. 4 or step S203 of FIG. 5, a processing method in the second terminal 200 when the application identifier is the application service automatic login will be described with reference to FIG. 8 may be an embodiment as in FIG.

도 8은 본 발명의 실시예에 따른 응용 서비스 자동 로그인 방법에 대한 흐름도이다.8 is a flowchart illustrating a method of automatically logging in an application service according to an embodiment of the present invention.

도 8에 도시된 바와 같이, 제2 단말(200)이 중개 서버(300)로부터 응용 서비스 즉, 접속 사이트의 식별 정보가 포함된 인증 요청 정보를 수신하면(S500), 인증 요청 정보에 포함된 접속 사이트의 식별 정보에 대응하는 아이디 및 비밀번호가 유심(220) 내 보안 정보 저장부에 저장되어 있는지 확인한다(S501). 본 발명의 실시예에서는 사용자에 의해 미리 사용자가 자주 사용하는 사이트의 아이디와 비밀번호가 사전에 제2 단말(200) 내에 저장되어 있는 것을 예로 하여 설명한다.As shown in FIG. 8, when the second terminal 200 receives the authentication request information including the identification information of the application service, that is, the connection site, from the mediation server 300 (S500) It is checked whether an ID and a password corresponding to the identification information of the site are stored in the secure information storage unit in the wicked point 220 (S501). In the embodiment of the present invention, it is assumed that the ID and password of the site frequently used by the user in advance are stored in the second terminal 200 in advance.

그리고, 제2 단말(200)은 S501 단계에서 확인한 아이디와 비밀번호를 사용자가 확인할 수 있도록 제공하고, 사용자로 하여금 해당 아이디와 비밀번호를 이용하여 사이트에 자동 로그인 후 접속할지 여부를 문의한다. 사용자에 의해 확인 신호를 수신하면(S502), 보안 처리부는 아이디와 비밀번호를 사용자 비밀키로 암호화하고(S503), 이를 인증 결과로 생성한다(S504).Then, the second terminal 200 provides the ID and the password confirmed in step S501 so that the user can confirm it, and inquires of the user whether or not to access the site after automatic login using the corresponding ID and password. Upon receipt of the confirmation signal by the user (S502), the security processing unit encrypts the ID and the password with the user secret key (S503), and generates the authentication result as an authentication result (S504).

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

Claims (14)

서비스 제공 시스템이 유심 인증을 수행하여 서비스를 제공하는 방법에 있어서,
제1 단말 및 유심이 포함된 제2 단말과 연동하는 상기 서비스 제공 시스템은 중개 서버, 서비스 제공 서버 및 공인 인증 서버를 포함하며,
상기 중개 서버는 상기 제1 단말로부터 전송되는 인증 요청 정보를 상기 제2 단말로 전송하는 단계;
상기 중개 서버는 상기 제2 단말로부터 전송되는 인증 결과를 수신하고, 인증 결과 또는 상기 인증 결과에 대응되어 생성한 접근 토큰을 상기 제1 단말로 전송하는 단계; 및
상기 서비스 제공 서버는 상기 인증 결과에 따라 상기 제1 단말로 인터넷 서비스를 제공하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.A method for providing a service by performing a winking authentication by a service providing system,
The service providing system interworking with the first terminal and the second terminal including wormhole includes an intermediary server, a service providing server, and a public authentication server,
The intermediary server transmitting authentication request information transmitted from the first terminal to the second terminal;
The mediation server receiving an authentication result transmitted from the second terminal and transmitting the authentication result or the access token generated in correspondence with the authentication result to the first terminal; And
Wherein the service providing server provides the Internet service to the first terminal according to the authentication result
The method comprising the steps of: 제1항에 있어서,
상기 제2 단말로 전송하는 단계는,
상기 제1 단말은 사용자에 의해 선택된 인터넷 서비스 발생을 확인하는 단계;
상기 제1 단말은 상기 인터넷 서비스 발생에 따라 인증 요청 정보를 중개 서버로 전송하는 단계;
상기 중개 서버는 수신한 인증 요청 정보에 대한 인증 요청 식별자 생성하고, 생성한 인증 요청 식별자와 상기 수신한 인증 요청 정보를 저장하는 단계; 및
상기 중개 서버는 상기 인증 요청 정보를 식별할 수 있는 식별 번호가 포함된 메시지를 상기 제2 단말로 전송하고, 사용자에 의해 상기 메시지에 대한 확인 입력 신호를 수신하면 상기 제2 단말이 상기 중개 서버로부터 상기 식별 번호에 대응되는 인증 요청 정보를 수신하여 상기 제2 단말로 전달하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.The method according to claim 1,
Wherein the step of transmitting to the second terminal comprises:
Wherein the first terminal confirms the occurrence of the Internet service selected by the user;
The first terminal transmitting authentication request information to an intermediary server according to the occurrence of the Internet service;
The intermediary server generates an authentication request identifier for the received authentication request information, stores the generated authentication request identifier and the received authentication request information, And
The intermediary server transmits a message including an identification number for identifying the authentication request information to the second terminal, and when the second terminal receives the confirmation input signal for the message from the user, Receiving authentication request information corresponding to the identification number and transmitting the authentication request information to the second terminal
The method comprising the steps of: 제1항에 있어서,
상기 제2 단말로 전송하는 단계는,
상기 제1 단말은 사용자에 의해 선택된 인터넷 서비스 발생을 확인하는 단계;
상기 제1 단말은 상기 인터넷 서비스 발생에 따라 인증 요청 정보를 중개 서버로 전송하는 단계;
상기 중개 서버는 수신한 인증 요청 정보에 대한 인증 요청 식별자 생성하고, 생성한 인증 요청 식별자와 상기 수신한 인증 요청 정보를 저장하는 단계;
상기 중개 서버는 상기 인증 요청 정보 및 인증 요청 식별자를 상기 제1 단말로 전송하는 단계;
상기 제1 단말은 인증 요청 식별자를 화면에 표시하는 단계;
사용자 입력에 의해 제2 단말의 관리부가 활성화되면, 상기 제2 단말은 상기 사용자에 의해 입력되는 상기 제1 단말에 표시된 인증 요청 식별자를 수신하는 단계; 및
상기 제2 단말은 상기 중개 서버로부터 상기 인증 식별 번호에 대응되는 인증 요청 정보를 수신하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.The method according to claim 1,
Wherein the step of transmitting to the second terminal comprises:
Wherein the first terminal confirms the occurrence of the Internet service selected by the user;
The first terminal transmitting authentication request information to an intermediary server according to the occurrence of the Internet service;
The intermediary server generates an authentication request identifier for the received authentication request information, stores the generated authentication request identifier and the received authentication request information,
The intermediary server transmitting the authentication request information and the authentication request identifier to the first terminal;
Wherein the first terminal displays an authentication request identifier on a screen;
When the management unit of the second terminal is activated by user input, the second terminal receives the authentication request identifier displayed on the first terminal input by the user; And
The second terminal receiving authentication request information corresponding to the authentication identification number from the intermediary server
The method comprising the steps of: 제1항에 있어서,
상기 생성한 접근 토큰을 상기 제1 단말로 전송하는 단계는,
상기 제2 단말은 상기 인증 요청 정보 및 인증 요청 식별자를 수신하면, 관리부를 실행하는 단계;
상기 제2 단말은 상기 인증 요청 정보, 사용자에 의해 입력된 입력 정보를 토대로 대한 인증 시나리오를 수행하는 단계;
상기 인증 시나리오를 수행한 인증 결과를 상기 인증 요청 정보 및 인증 요청 식별자와 함께 저장하는 단계;
상기 제2 단말은 인증 결과를 상기 중개 서버로 전송하는 단계; 및
상기 중개 서버는 상기 인증 결과 또는 상기 인증 결과에 대응되어 생성한 접근 토큰을 상기 제1 단말로 전송하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.The method according to claim 1,
Wherein the transmitting the generated access token to the first terminal comprises:
The second terminal executing the management unit upon receiving the authentication request information and the authentication request identifier;
The second terminal performing an authentication scenario based on the authentication request information and the input information input by the user;
Storing an authentication result that has performed the authentication scenario together with the authentication request information and the authentication request identifier;
The second terminal transmitting an authentication result to the mediation server; And
Wherein the mediation server transmits the access token generated in correspondence with the authentication result or the authentication result to the first terminal
The method comprising the steps of: 제4항에 있어서,
상기 인증 요청 식별자는 사용자 인증, 응용 서비스 자동 로그인 또는 전자 결제 중 어느 하나를 포함하는 유심 인증을 이용한 서비스 제공 방법.5. The method of claim 4,
Wherein the authentication request identifier includes at least one of user authentication, automatic application service login, and electronic payment. 제5항에 있어서,
상기 인증 요청 식별자가 응용 서비스 자동 로그인인 경우, 상기 인증 결과를 암호화하는 단계는,
상기 제2 단말은 사용자에 의해 입력되는 자동 로그인 의사 확인 신호를 수신하는 단계; 및
상기 제2 단말은 상기 유심에 저장된 복수의 로그인 아이디와 암호 중 상기 사용자가 로그인하고자 하는 응용 서비스에 대한 로그인 아이디 및 암호가 저장되어 있는지 확인하고, 상기 확인한 로그인 아이디와 암호를 상기 인증 결과에 포함하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.6. The method of claim 5,
Wherein when the authentication request identifier is an application service automatic login, the step of encrypting the authentication result comprises:
The second terminal receiving an automatic login confirmation signal input by a user; And
The second terminal checks whether a login ID and a password for the application service that the user wants to log in are stored among the plurality of login IDs and passwords stored in the wisdom, and stores the login ID and the password in the authentication result step
The method comprising the steps of: 제5항에 있어서,
상기 인증 요청 식별자가 전자 결제인 경우, 상기 인증 결과를 암호화하는 단계는,
상기 제2 단말은 결제 내역을 포함하는 상기 인증 요청 정보를 수신하는 단계;
상기 결제 내역을 유심에 저장된 비밀키로 암호화하는 단계; 및
상기 암호화된 결제 내역을 상기 인증 결과에 포함하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.6. The method of claim 5,
Wherein when the authentication request identifier is electronic payment, the step of encrypting the authentication result comprises:
The second terminal receiving the authentication request information including the payment details;
Encrypting the payment history with a secret key stored in the secret key; And
The step of including the encrypted payment details in the authentication result
The method comprising the steps of: 제4항에 있어서,
상기 인증 요청 식별자와 함께 저장하는 단계 이후에,
상기 중개 서버는 상기 인증 결과에 대한 상기 접근 토큰을 생성하는 단계; 및
상기 접근 토큰을 상기 제1 단말로 전송하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.5. The method of claim 4,
After storing the authentication request identifier together with the authentication request identifier,
The intermediary server generating the access token for the authentication result; And
Transmitting the access token to the first terminal
The method comprising the steps of: 제1항에 있어서,
상기 제1 단말로 인터넷 서비스를 제공하는 단계는,
상기 서비스 제공 서버가 상기 제1 단말로부터 상기 접근 토크를 수신하면, 상기 접근 토크를 토대로 상기 중개 서버로 인증 결과를 요청하는 단계;
상기 서비스 제공 서버가 상기 중개 서버로부터 수신한 인증 결과가 암호화된 인증 결과이면, 상기 공인 인증 서버로 사용자 공개키를 요청하는 단계;
상기 공인 인증 서버로부터 수신한 상기 사용자 공개키를 이용하여 상기 암호화된 인증 결과를 복호하여 인증 결과를 확인하는 단계; 및
상기 인증 결과를 토대로 상기 서비스 제공 서버는 상기 제1 단말로 인터넷 서비스를 사용자에게 제공하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.The method according to claim 1,
The providing of the Internet service to the first terminal comprises:
When the service providing server receives the approach torque from the first terminal, requesting the authentication result to the mediation server based on the approach torque;
Requesting a public key from the public authentication server if the authentication result received from the intermediary server is an encrypted authentication result;
Decrypting the encrypted authentication result using the user public key received from the authorized authentication server and confirming the authentication result; And
The service providing server providing the Internet service to the user on the basis of the authentication result
The method comprising the steps of: 제1항에 있어서,
상기 제1 단말로 인터넷 서비스를 제공하는 단계는,
상기 서비스 제공 서버가 상기 제1 단말로부터 서비스 요청 신호를 수신하는 단계; 및
상기 제1 단말로부터 전송되는 인터넷 서비스를 사용자에게 제공하는 단계
를 포함하는 유심 인증을 이용한 서비스 제공 방법.The method according to claim 1,
The providing of the Internet service to the first terminal comprises:
The service providing server receiving a service request signal from the first terminal; And
Providing an Internet service transmitted from the first terminal to a user
The method comprising the steps of: 서비스 제공 시스템에 있어서,
사용자에 의해 입력되는 인증 요청 정보를 수집하고, 사용자에 의해 요청된 서비스를 제공하는 제1 단말과 내부에 포함된 유심을 통해 상기 제1 단말에서 수집된 인증 요청 정보를 인증하는 제2 단말이 상기 서비스 제공 시스템에 연동하며,
접근 토큰을 수신하여 상기 제2 단말에서 인증 결과를 확인하고, 상기 제1 단말을 통해 인터넷 서비스를 제공하는 서비스 제공 서버; 및
상기 제1 단말, 제2 단말 및 서비스 제공 서버와 연동하여 정보를 중개하고, 상기 제2 단말로부터 전송된 인증 결과를 임시 저장하며 상기 서비스 제공 서버의 요청에 의해 저장된 인증 결과를 제공하는 중개 서버
를 포함하는 유심 인증을 이용한 서비스 제공 시스템.A service providing system comprising:
A second terminal for collecting authentication request information input by a user and authenticating authentication request information collected at the first terminal through a first terminal that provides a service requested by a user and a wake-up included in the first terminal; Interworking with the service providing system,
A service providing server for receiving an access token to confirm an authentication result at the second terminal and providing an Internet service through the first terminal; And
A first terminal, a second terminal, and a service providing server, for temporarily storing the authentication result transmitted from the second terminal, and providing an authentication result stored at the request of the service providing server,
And a service providing system using wired authentication. 제11항에 있어서,
상기 중개 서버는,
상기 제1 단말, 제2 단말 및 서비스 제공 서버와 연동하여 메시지를 송수신하는 메시지 송수신부;
상기 제2 단말로부터 인증 결과를 수신하면, 수신한 인증 결과에 대한 접근 토큰을 생성하고, 상기 제1 단말로 제공하도록 상기 메시지 송수신부로 전달하는 토큰 생성부;
상기 제1 단말로부터 전송되는 인증 요청 정보를 토대로 식별 번호를 생성하고, 생성한 식별 번호를 상기 제1 단말을 통해 상기 사용자에게 제공되도록 상기 메시지 송수신부로 전달하는 식별 번호 생성부; 및
상기 제1 단말로부터 전송되는 인증 요청 정보, 상기 인증 요청 정보에 대응하여 생성된 식별 번호, 상기 제2 단말에서 인증이 완료된 인증 결과를 저장하는 임시 저장부
를 포함하는 유심 인증을 이용한 서비스 제공 시스템.12. The method of claim 11,
The mediation server comprises:
A message transmission / reception unit for transmitting and receiving a message in cooperation with the first terminal, the second terminal and the service providing server;
A token generation unit for generating an access token for the received authentication result upon receiving the authentication result from the second terminal and transmitting the access token to the first terminal;
An identification number generator for generating an identification number based on the authentication request information transmitted from the first terminal and transmitting the generated identification number to the message transmission / reception unit to be provided to the user through the first terminal; And
A first temporary storage unit for storing authentication request information transmitted from the first terminal, an identification number generated corresponding to the authentication request information, and an authentication result of the second terminal,
And a service providing system using wired authentication. 제11항에 있어서,
상기 제2 단말은,
상기 제1 단말로 제공되는 서비스에 따른 인증 시나리오를 저장, 관리하고, 상기 제2 단말이 상기 중개 서버로부터 인증 요청 식별자가 포함된 메시지를 수신하면 활성화되고, 상기 중개 서버에 접속하여 상기 인증 요청 식별자에 대응하며 응용 식별자를 포함하는 인증 요청 정보를 수신하며, 상기 응용 식별자에 대응하는 인증 시나리오를 실행하는 관리부;
상기 중개 서버로부터 전송되는 인증 요청 정보를 수신하는 메시지 수신부;
유심에 포함되며, 상기 제2 단말의 사용자에 대한 보안 정보를 저장, 관리하고, 상기 응용 식별자에 따라 상기 인증 요청 정보를 인증하기 위해 필요한 정보를 상기 보안 처리부로 제공하는 보안 정보 저장부; 및
유심에 포함되며, 상기 보안 정보 저장부에 암호화되어 저장된 보안 정보를 이용하여 상기 인증 요청 정보를 보안 처리하는 보안 처리부
를 포함하는 유심 인증을 이용한 서비스 제공 시스템.12. The method of claim 11,
The second terminal,
Wherein the authentication server is activated when the second terminal receives a message including the authentication request identifier from the intermediary server and is activated when the second terminal receives the message including the authentication request identifier, A management unit for receiving authentication request information corresponding to the application identifier and including an application identifier, and executing an authentication scenario corresponding to the application identifier;
A message receiving unit for receiving authentication request information transmitted from the mediation server;
A security information storage unit for storing and managing security information for a user of the second terminal and providing the security processing unit with information necessary for authenticating the authentication request information according to the application identifier; And
And a security processing unit included in the secure information and configured to securely process the authentication request information using the security information encrypted and stored in the secure information storage unit,
And a service providing system using wired authentication. 제11항에 있어서,
상기 서비스 제공 서버로부터 사용자 식별 정보를 수신하여 상기 사용자에 대한 사용자 공개키 제공을 요청 받으면, 상기 서비스 제공 서버로 사용자 공개키를 제공하는 공인 인증 서버
를 더 포함하는 유심 인증을 이용한 서비스 제공 시스템.12. The method of claim 11,
When receiving the user identification information from the service providing server and requesting the user to provide the user public key, the public authentication server providing the user public key to the service providing server
Wherein the service providing system further comprises:
KR1020130160531A 2013-12-20 2013-12-20 System and method for service providing using USIM authentication KR101550425B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130160531A KR101550425B1 (en) 2013-12-20 2013-12-20 System and method for service providing using USIM authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130160531A KR101550425B1 (en) 2013-12-20 2013-12-20 System and method for service providing using USIM authentication

Publications (2)

Publication Number Publication Date
KR20150072884A true KR20150072884A (en) 2015-06-30
KR101550425B1 KR101550425B1 (en) 2015-09-04

Family

ID=53518737

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130160531A KR101550425B1 (en) 2013-12-20 2013-12-20 System and method for service providing using USIM authentication

Country Status (1)

Country Link
KR (1) KR101550425B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628004B1 (en) * 2016-03-02 2016-06-08 (주)케이스마텍 User simple authentication method and system using user terminal in trusted execution environment

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628004B1 (en) * 2016-03-02 2016-06-08 (주)케이스마텍 User simple authentication method and system using user terminal in trusted execution environment

Also Published As

Publication number Publication date
KR101550425B1 (en) 2015-09-04

Similar Documents

Publication Publication Date Title
US11265319B2 (en) Method and system for associating a unique device identifier with a potential security threat
CN101120569B (en) Remote access system and method for user to remotely access terminal equipment from subscriber terminal
US8898453B2 (en) Authentication server and method for granting tokens
KR101313480B1 (en) Apparatus and methods for providing authorized device access
CN102378170B (en) Method, device and system of authentication and service calling
AU2006298507B2 (en) Method and arrangement for secure autentication
JP3961462B2 (en) Computer apparatus, wireless LAN system, profile updating method, and program
EP2057819B1 (en) Method for synchronising between a server and a mobile device
EP2879421B1 (en) Terminal identity verification and service authentication method, system, and terminal
KR20100021818A (en) Method for authentication using one-time identification information and system
EP2384040A1 (en) Authentication server and method for granting tokens
KR101284114B1 (en) Pseudonymous id management apparatus and its method, pseudonymous id management system and service offering method using the same
JP7135569B2 (en) Terminal registration system and terminal registration method
KR101716067B1 (en) Method for mutual authentication between a terminal and a remote server by means of a third-party portal
CN102143492B (en) Method for establishing virtual private network (VPN) connection, mobile terminal and server
KR101659847B1 (en) Method for two channel authentication using smart phone
CN111614686A (en) Key management method, controller and system
KR20130039745A (en) System and method for authentication interworking
KR20120084630A (en) Authentication system and method based by positioning information
KR101502999B1 (en) Authentication system and method using one time password
Weerasinghe et al. Security framework for mobile banking
KR101550425B1 (en) System and method for service providing using USIM authentication
KR20150005789A (en) Method for Authenticating by using Certificate
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
KR102542840B1 (en) Method and system for providing finance authentication service based on open api

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20180801

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190731

Year of fee payment: 5