KR20160037520A - System and method for federated authentication based on biometrics - Google Patents

System and method for federated authentication based on biometrics Download PDF

Info

Publication number
KR20160037520A
KR20160037520A KR1020140130185A KR20140130185A KR20160037520A KR 20160037520 A KR20160037520 A KR 20160037520A KR 1020140130185 A KR1020140130185 A KR 1020140130185A KR 20140130185 A KR20140130185 A KR 20140130185A KR 20160037520 A KR20160037520 A KR 20160037520A
Authority
KR
South Korea
Prior art keywords
authentication
user
user terminal
biometric information
integrated
Prior art date
Application number
KR1020140130185A
Other languages
Korean (ko)
Other versions
KR102284876B1 (en
Inventor
김상진
윤형식
권정옥
하광훈
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020140130185A priority Critical patent/KR102284876B1/en
Publication of KR20160037520A publication Critical patent/KR20160037520A/en
Application granted granted Critical
Publication of KR102284876B1 publication Critical patent/KR102284876B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Abstract

Disclosed are a system and a method for integrated authentication based on biometrics. The integrated authentication system based on biometrics according to an embodiment of the present invention includes: a service provider server receiving an access request from a user terminal; and an integrated authentication service portal receiving a proxy authentication request with respect to the user terminal from the service provider server and authenticating a user by using biometric information on the user stored in the user terminal. The service provider server receives an authentication result regarding the user from the integrated authentication service portal and approves of or rejects the access request in accordance with the received authentication result.

Description

생체 인식 기반의 통합 인증 시스템 및 방법{SYSTEM AND METHOD FOR FEDERATED AUTHENTICATION BASED ON BIOMETRICS}FIELD OF THE INVENTION [0001] The present invention relates to a biometrics-

본 발명의 실시예들은 생체 인식 기반의 통합 인증 서비스 기술과 관련된다.
Embodiments of the invention relate to a biometric based integrated authentication service technology.

인터넷을 통한 쇼핑 또는 금융 업무가 대중화되면서 온라인상에서 개인의 신원에 대한 식별 및 이의 인증을 위한 기술이 중요하게 되었다. 또한 최근에는 한 사용자가 다수의 서비스를 동시에 이용하는 경우가 늘어나면서 한 번의 인증을 통해 다수의 인터넷 서비스에 접속할 수 있도록 하기 위한 통합 인증 기술의 필요성이 증대되었다.As online shopping or financial services became popular, technology for identification and authentication of individuals became important online. In recent years, the number of simultaneous use of a plurality of services by a single user has increased, and the need for integrated authentication technology for accessing a plurality of Internet services through a single authentication has increased.

그러나 기존의 통합 인증 서비스는 대부분 아이디와 패스워드 기반으로 구성되어 있는 바, 상대적으로 악의적인 타인에게 도용되거나 중간에서 탈취되는 등의 문제점에 노출되기 쉬운 문제가 있었다. 따라서 특히 보안성이 중시되는 금융 내지 전자상거래 등의 분야에서 생체 정보를 이용한 통합 인증 기술이 필요하게 되었다.
However, since the existing integrated authentication service is mostly composed of ID and password, there is a problem that it is easily exposed to problems such as being stolen by a relatively malicious person or being seized from the middle. Therefore, integrated authentication technology using biometric information is required especially in the fields of finance and electronic commerce where security is important.

대한민국 공개특허공보 제10-2014-0050121호 (2014. 04. 29)Korean Patent Publication No. 10-2014-0050121 (Apr. 29, 2014)

본 발명의 실시예들은 사용자의 생체 정보를 이용하여 복수 개의 네트워크 서비스에 용이하게 접속 가능한 생체 인식 기반의 통합 인증 시스템 및 방법을 제공하기 위한 것이다.
Embodiments of the present invention provide a biometric-based integrated authentication system and method that can easily access a plurality of network services using biometric information of a user.

예시적인 실시예에 따르면, 사용자 단말로부터 접속 요청을 수신하는 서비스 제공자 서버; 및 상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하고, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 통합 인증 서비스 포털을 포함하며, 상기 서비스 제공자 서버는 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는, 생체 인식 기반의 통합 인증 시스템이 제공된다.According to an exemplary embodiment, a service provider server for receiving a connection request from a user terminal; And an integrated authentication service portal for receiving an authentication request for the user terminal from the service provider server and authenticating the user using biometric information of the user stored in the user terminal, There is provided an integrated authentication system based on biometrics that receives an authentication result for the user from an authentication service portal and approves or rejects the connection request according to the received authentication result.

상기 통합 인증 서비스 포털은, 상기 인증 대행 요청이 수신됨에 따라 임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하며, 상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보가 수신되는 경우, 상기 서명값을 검증함으로써 상기 사용자를 인증할 수 있다.The integrated authentication service portal transmits an authentication information request including an arbitrary random value to the user terminal as the authentication proxy request is received, and receives authentication information including a signature value for the random value from the user terminal If so, it can authenticate the user by verifying the signature value.

상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신할 수 있다.Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request To the integrated authentication service portal.

상기 통합 인증 서비스 포털은, 상기 개인키에 대응되는 공개키를 이용하여 상기 서명값을 검증할 수 있다.The integrated authentication service portal may verify the signature value using a public key corresponding to the private key.

상기 서비스 제공자 서버는, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하며, 상기 통합 인증 서비스 포털은, 상기 재인증 대행 요청에 따라 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다.Wherein the service provider server transmits a request for reauthentication of the user terminal to the integrated authentication service portal when a message is not received from the user terminal that has approved the connection request for a preset period of time, And re-authenticate the user using biometric information of the user stored in the user terminal according to the re-authentication request.

상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제할 수 있다.The service provider server may maintain or release the connection of the user terminal according to a re-authentication result of the user received from the integrated authentication service portal.

상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다.Wherein the user terminal stores and manages a plurality of different kinds of biometric information corresponding to the user, and the integrated authentication service portal uses biometric information different from the biometric information used at the time of authentication of the user terminal And re-authenticate the user.

상기 통합 인증 서비스 포털은, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 상기 사용자 단말로부터 수신하고, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하며, 상기 서비스 제공자 서버는, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제할 수 있다.The integrated authentication service portal receives from the user terminal a comparison result of whether the biometric information input from the user and the biometric information stored in the user terminal are the same or not in each predetermined re-authentication period, And provides the re-authentication result to the service provider server, and the service provider server can maintain or release the connection of the user terminal according to the re-authentication result.

상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공할 수 있다.The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the previously stored biometric information, and provides the comparison result to the integrated authentication service portal.

상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며, 상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공할 수 있다.Wherein the integrated authentication service portal stores and manages the identity verification information including the identity verification means of the user and the identity verification result using the identity verification means, and when the authentication of the user is successful, And provide identification information to the service provider server.

다른 예시적인 실시예에 따르면, 서비스 제공자 서버에서, 사용자 단말로부터 접속 요청을 수신하는 단계; 통합 인증 서비스 포털에서, 상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하는 단계; 상기 통합 인증 서비스 포털에서, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 단계; 및 상기 서비스 제공자 서버에서, 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는 단계를 포함하는 생체 인식 기반의 통합 인증 방법이 제공된다..According to another exemplary embodiment, at a service provider server, receiving a connection request from a user terminal; Receiving, at the integrated authentication service portal, an authentication proxy request for the user terminal from the service provider server; Authenticating the user using biometric information of the user stored in the user terminal in the integrated authentication service portal; And receiving at the service provider server an authentication result for the user from the integrated authentication service portal and approving or rejecting the connection request according to the received authentication result, Provided ..

상기 사용자를 인증하는 단계는, 임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하는 단계; 상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보를 수신하는 단계; 및 상기 인증 정보에 포함된 상기 서명값을 검증하는 단계를 더 포함할 수 있다.Wherein authenticating the user comprises: sending an authentication information request comprising random values to the user terminal; Receiving authentication information including a signature value for the random value from the user terminal; And verifying the signature value included in the authentication information.

상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신할 수 있다.Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request To the integrated authentication service portal.

상기 서명값을 검증하는 단계는, 상기 개인키에 대응하는 공개키를 이용하여 상기 서명값을 검증할 수 있다.The step of verifying the signature value may verify the signature value using a public key corresponding to the private key.

상기 방법은, 상기 접속 요청을 승인 또는 거절하는 단계의 수행 후, 상기 서비스 제공자 서버에서, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하는 단계; 및 상기 통합 인증 서비스 포털에서, 상기 재인증 대행 요청에 따라 상기 사용자 단말의 재인증을 수행하는 단계를 더 포함할 수 있다.The method may further comprise the step of, after performing the step of granting or rejecting the connection request, if the message is not received from the user terminal that granted the connection request for a preset period of time at the service provider server, Transmitting a request for reauthentication of the terminal; And performing re-authentication of the user terminal in response to the re-authentication request at the integrated authentication service portal.

상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제할 수 있다.The service provider server may maintain or release the connection of the user terminal according to a re-authentication result of the user received from the integrated authentication service portal.

상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다.Wherein the user terminal stores and manages a plurality of different kinds of biometric information corresponding to the user, and the integrated authentication service portal uses biometric information different from the biometric information used at the time of authentication of the user terminal And re-authenticate the user.

상기 방법은, 상기 접속 요청을 승인 또는 거절하는 단계의 수행 후, 상기 통합 인증 서비스 포털에서, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 제공받는 단계; 상기 통합 인증 서비스 포털에서, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하는 단계; 및 상기 서비스 제공자 서버에서, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는 단계를 더 포함할 수 있다.The method further includes determining whether the biometric information input from the user and the biometric information stored in the user terminal are the same or not in the integrated authentication service portal after performing the step of approving or rejecting the connection request Receiving a result of the comparison; Providing, in the integrated authentication service portal, the re-authentication result according to the received comparison result to the service provider server; And maintaining or releasing, at the service provider server, the connection of the user terminal according to the re-authentication result.

상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공할 수 있다.The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the previously stored biometric information, and provides the comparison result to the integrated authentication service portal.

상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며, 상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공할 수 있다.
Wherein the integrated authentication service portal stores and manages the identity verification information including the identity verification means of the user and the identity verification result using the identity verification means, and when the authentication of the user is successful, And provide identification information to the service provider server.

본 발명의 실시예들에 따르면, 단말에 저장된 사용자의 생체 정보를 이용하여 사용자 인증을 수행하고, 상기 인증 정보를 복수 개의 서비스 제공자에 제공함으로써 보안성과 편리성이 강화된 생체 인식 기반의 통합 인증 시스템 및 방법을 제공할 수 있다.According to embodiments of the present invention, a biometric-based integrated authentication system with enhanced security and convenience by performing user authentication using biometric information of a user stored in a terminal and providing the authentication information to a plurality of service providers And methods.

또한, 본 발명의 실시예들에 따르면, 기 설정된 주기마다, 또는 사용자 입력이 일정 기간 수신되지 않을 경우 사용자 단말에 대한 재인증을 수행함으로써 인증 수행 후 단말이 분실되거나 악의적인 타 사용자가 단말을 이용한 서비스 접속을 시도하는 경우의 보안 위협을 최소화할 수 있다.Also, according to embodiments of the present invention, if the user terminal is re-authenticated every predetermined period or when the user input is not received for a certain period of time, the terminal is lost or a malicious other user uses the terminal It is possible to minimize the security threat in case of attempting to access the service.

아울러, 본 발명의 실시예들에 따르면, 인증 서비스 포털에서 별도의 사용자 신원 확인 정보를 수집하여 두었다가 필요에 따라 이를 서비스 제공자에게 제공함으로써 사용자 인증 이외에 사용자의 신원 확인 정보가 필요한 서비스에도 효과적으로 대응할 수 있다.
In addition, according to the embodiments of the present invention, separate user identification information is collected from the authentication service portal and provided to the service provider as needed, thereby effectively responding to services requiring identification information of the user in addition to user authentication .

도 1은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템의 구성을 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 사용자 단말의 상세 구성을 설명하기 위한 블록도
도 3은 본 발명의 일 실시예에 따른 통합 인증 서비스 포털의 상세 구성을 설명하기 위한 블록도
도 4는 본 발명의 다른 실시예에 따른 통합 인증 서비스 포털의 상세 구성을 설명하기 위한 블록도
도 5는 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 방법을 설명하기 위한 흐름도
도 6은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템에서 서비스 제공자의 요청에 따른 재인증 과정을 설명하기 위한 흐름도
도 7은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템에서 사용자 단말의 생체 정보 재인증 과정을 설명하기 위한 흐름도1 is a block diagram for explaining a configuration of a biometric-based integrated authentication system according to an embodiment of the present invention;
2 is a block diagram illustrating a detailed configuration of a user terminal according to an embodiment of the present invention.
3 is a block diagram illustrating a detailed configuration of an integrated authentication service portal according to an embodiment of the present invention.
4 is a block diagram illustrating a detailed configuration of an integrated authentication service portal according to another embodiment of the present invention.
5 is a flowchart illustrating a biometric-based integrated authentication method according to an embodiment of the present invention.
FIG. 6 is a flowchart illustrating a re-authentication process according to a request from a service provider in the biometric-based integrated authentication system according to an embodiment of the present invention.
FIG. 7 is a flowchart for explaining a biometric information re-authentication process of a user terminal in the biometric-based integrated authentication system according to an embodiment of the present invention.

이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.Hereinafter, specific embodiments of the present invention will be described with reference to the drawings. The following detailed description is provided to provide a comprehensive understanding of the methods, apparatus, and / or systems described herein. However, this is merely an example and the present invention is not limited thereto.

본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intention or custom of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification. The terms used in the detailed description are intended only to describe embodiments of the invention and should in no way be limiting. Unless specifically stated otherwise, the singular form of a term includes plural forms of meaning. In this description, the expressions "comprising" or "comprising" are intended to indicate certain features, numbers, steps, operations, elements, parts or combinations thereof, Should not be construed to preclude the presence or possibility of other features, numbers, steps, operations, elements, portions or combinations thereof.

도 1은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)의 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)은 사용자 단말(102), 인증 서비스 포털(104) 및 하나 이상의 서비스 제공자(106)를 포함한다.FIG. 1 is a block diagram for explaining a configuration of an integrated authentication system 100 based on biometrics according to an embodiment of the present invention. As shown, the biometric-based integrated authentication system 100 according to an embodiment of the present invention includes a user terminal 102, an authentication service portal 104, and one or more service providers 106.

사용자 단말(102)은 서비스 제공자(106)가 제공하는 서비스를 이용하는 사용자가 소지한 단말로서, 사용자는 자신이 소지한 사용자 단말(102)을 통하여 서비스 제공자(106)의 웹 서비스에 접속하게 된다. 본 발명의 실시예에서, 사용자 단말(102)은 데스크탑 컴퓨터, 노트북 컴퓨터, 스마트폰 등의 휴대 통신 디바이스, 태블릿 컴퓨터 및 웨어러블 디바이스 등 일반적인 사용자가 가정 또는 사무실 등의 공간에 배치하거나, 또는 휴대할 수 있고 네트워크를 통한 메시지 송수신이 가능한 모든 종류의 기기를 포함할 수 있다.The user terminal 102 is a terminal owned by a user using a service provided by the service provider 106 and the user accesses the web service of the service provider 106 through the user terminal 102 owned by the user terminal 102. In an embodiment of the present invention, the user terminal 102 may be located in a home or office space, such as a desktop computer, a notebook computer, a portable communication device such as a smart phone, a tablet computer and a wearable device, And any type of device capable of sending and receiving messages over a network.

사용자 단말(102)은 후술할 인증 서비스 포털(104)과의 통신을 위해 사용자 단말(102)의 사용자를 인증한다. 인증 서비스 포털(104)은 사용자 인증이 완료되면 상기 인증 결과를 서비스 제공자(106)에게 제공하며, 서비스 제공자(106)는 상기 인증 결과를 기반으로 사용자 단말(102)의 서비스 제공자(106)로의 접속을 허용 또는 차단한다.The user terminal 102 authenticates the user of the user terminal 102 for communication with the authentication service portal 104, which will be described later. The authentication service portal 104 provides the authentication result to the service provider 106 when the user authentication is completed and the service provider 106 accesses the service provider 106 of the user terminal 102 based on the authentication result Or block.

일 실시예에서, 사용자 단말(102)은 생체 정보를 이용하여 상기 사용자 인증을 수행할 수 있다. 상기 생체 정보는 지문, 홍체, 안면 인식 정보 등 타 사용자와 구별될 수 있는 사용자의 모든 신체적 특징 정보를 포함할 수 있다. 이를 위하여 사용자 단말(102)은 사용자의 생체 정보를 입력 받을 수 있는 수단을 포함하거나, 또는 별도의 생체 정보 인식 수단과 유선 또는 무선 통신 수단을 통하여 연결될 수 있다. 상기 생체 정보를 입력 받을 수 있는 수단은 예를 들어 지문 인식 스캐너, 홍체 인식을 위한 안구 스캐너이거나, 또는 사용자의 얼굴을 촬영하기 위한 카메라 장치일 수 있다. 또한, 사용자 단말(102)은 사용자가 기 등록한 생체 정보를 저장하기 위한 저장 공간을 더 포함하거나, 또는 별도의 외부 생체 정보 저장 수단과 유선 또는 무선 통신 수단을 통하여 연결될 수 있다. 사용자 단말(102)은 상기 저장 공간에 상기 사용자로부터 등록된 생체 정보를 암호화하여 저장할 수 있다. 상기 단말 내부 또는 외부의 생체 정보 저장 공간은 외부로부터의 악의적 접속 또는 해킹 등의 공격을 방어하기 위한 다양한 기술적 수단들을 포함할 수 있다. 예를 들어, 상기 단말 내부 또는 외부의 생체 정보 저장 공간은 생체 정보를 기 설정된 암호화 알고리즘에 따라 암호화하여 저장하거나, 또는 외부의 악의적인 생체 정보 탈취 등의 방지를 위하여 보안 영역(Secure Element) 등에 구성될 수 있다. 인증 서비스 포털(104)의 인증 요청에 따라 사용자 단말(102)은 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보를 상기 저장 공간에 기 저장된 생체 정보와 비교하여 상기 사용자가 등록된 사용자인지의 여부를 판단하도록 구성될 수 있다.In one embodiment, the user terminal 102 may perform the user authentication using biometric information. The biometric information may include all physical characteristics information of the user, such as fingerprint, iris, and face recognition information, which can be distinguished from other users. To this end, the user terminal 102 may include means for receiving the user's biometric information, or may be connected to another biometric information recognition means through a wired or wireless communication means. The means for receiving the biometric information may be, for example, a fingerprint scanner, an eye scanner for recognizing the iris, or a camera device for photographing the user's face. Further, the user terminal 102 may further include a storage space for storing biometric information previously registered by the user, or may be connected to a separate external biometric information storage unit through wired or wireless communication means. The user terminal 102 can encrypt and store biometric information registered by the user in the storage space. The biometric information storage space inside or outside the terminal may include various technical means for protecting against attacks such as malicious connection or hacking from the outside. For example, the biometric information storage space inside or outside the terminal may encrypt and store the biometric information according to a predetermined encryption algorithm, or may be stored in a secure area or the like in order to prevent malicious acquisition of biometric information . According to the authentication request of the authentication service portal 104, the user terminal 102 receives the biometric information from the user, compares the inputted biometric information with the biometric information stored in the storage space, and determines whether the user is a registered user . ≪ / RTI >

또한, 실시예에 따라 사용자 단말(102)은 동일한 사용자에 대하여 서로 다른 종류의 복수 개의 생체 정보를 저장 및 관리하도록 구성될 수 있다. 이 경우 사용자 단말(102)은 사용자의 최초 인증시 및 재인증시에 각각 서로 다른 생체 정보를 이용함으로써 사용자 인증에 있어서의 보안성을 향상할 수 있다.In addition, according to the embodiment, the user terminal 102 can be configured to store and manage a plurality of different types of biometric information for the same user. In this case, the user terminal 102 can improve security in user authentication by using biometric information that is different from each other at the initial authentication and the re-authentication of the user.

통합 인증 서비스 포털(104)은 서비스 제공자(106)의 요청에 따라 사용자 단말(102)과의 통신을 통하여 사용자 단말(102)의 사용자를 인증하고, 상기 인증 결과를 서비스 제공자(106)에게 제공한다. 일 실시예에서, 통합 인증 서비스 포털(104)은 복수 개의 서비스 제공자(106)의 요청에 따라 각 서비스 제공자(106)에 상기 인증 결과 정보를 제공할 수 있다. 다시 말해, 통합 인증 서비스 포털(104)은 서비스 제공자(106)의 요청에 따라 사용자 단말(102)의 인증을 대행하는 일종의 인증 대행자로서 기능할 수 있다. 또한, 일 실시예에서 통합 인증 서비스 포털(104)은 사용자가 한 번의 인증 과정만으로 별도의 로그인 없이 후술할 서비스 제공자(106)에 접속할 수 있도록 하는 싱글 사인-온(SSO, Single Sign-On) 기능을 제공하는 서버일 수 있다. 또한, 통합 인증 서비스 포털(104)은 사용자가 하나의ID로 후술할 서비스 제공자(106)에 접속할 수 있도록 하는 통합ID 인증 기능을 제공하는 서버일 수 있다.The integrated authentication service portal 104 authenticates the user of the user terminal 102 through communication with the user terminal 102 at the request of the service provider 106 and provides the authentication result to the service provider 106 . In one embodiment, the integrated authentication service portal 104 may provide the authentication result information to each service provider 106 at the request of a plurality of service providers 106. In other words, the integrated authentication service portal 104 may act as a kind of authentication agent that performs authentication of the user terminal 102 upon request of the service provider 106. In addition, in one embodiment, the integrated authentication service portal 104 may include a single sign-on (SSO) function that allows a user to access a service provider 106 to be described later without a separate login, And the like. The integrated authentication service portal 104 may be a server that provides an integrated ID authentication function that allows a user to access a service provider 106 to be described later with a single ID.

서비스 제공자(106)는 사용자 단말(102)의 요청에 따라 사용자 단말(102)로 웹 서비스를 제공하기 위한 서버이다. 예를 들어, 서비스 제공자(106)는 전자상거래를 위한 온라인 쇼핑 서비스, 온라인 금융 거래 서비스 등을 제공할 수 있다. 도시된 바와 같이, 네트워크상에는 하나 이상의 서비스 제공자(106)가 각각 서로 다른 웹 서비스를 제공할 수 있다. 도시된 실시예에서는 서비스 제공자 1(106-1), 서비스 제공자 2(106-1), 내지 서비스 제공자 N(106-N)을 포함하는 N개의 서비스 제공자(106)가 존재하는 것으로 도시하였다. 본 발명과 관련된 상세한 설명에서는 특별히 어느 하나의 서비스 제공자를 지칭할 경우는 “서비스 제공자 K(106-K)” 등과 같이 별도의 번호를 하이픈 뒤에 붙여 기술하고, 전체 서비스 제공자에 공통되는 사항을 설명할 경우에는 “서비스 제공자(106)”와 같이 기술하기로 한다.The service provider 106 is a server for providing a web service to the user terminal 102 at the request of the user terminal 102. For example, the service provider 106 may provide an online shopping service for electronic commerce, an online financial transaction service, and the like. As shown, one or more service providers 106 may each provide different web services on the network. In the illustrated embodiment, there are N service providers 106, including service provider 1 106-1, service provider 2 106-1, and service provider N 106-N. In the detailed description related to the present invention, when referring to any one service provider, a separate number such as " service provider K (106-K) " or the like is appended after the hyphen and a description common to all service providers Quot; service provider 106 " in this case.

서비스 제공자(106)는 사용자 단말(102)로부터 접속 요청을 수신하고, 상기 접속 요청에 따라 서비스 제공자(106)로 사용자 단말(102)에 대한 인증 대행을 요청한다. 이후, 통합 인증 서비스 포털(104)로부터 상기 사용자에 대한 인증 결과가 수신되면, 서비스 제공자(106)는 수신된 상기 인증 결과에 따라 사용자 단말(102)의 상기 접속 요청을 승인 또는 거절하게 된다.The service provider 106 receives the connection request from the user terminal 102 and requests the service provider 106 for the authentication of the user terminal 102 in accordance with the connection request. Thereafter, when the authentication result for the user is received from the integrated authentication service portal 104, the service provider 106 approves or rejects the access request of the user terminal 102 according to the received authentication result.

한편, 서비스 제공자(106)는 접속 요청을 승인한 사용자 단말(102)로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 통합 인증 서비스 포털(104)로 상기 사용자 단말(102)의 재인증 대행 요청을 송신할 수 있으며, 통합 인증 서비스 포털(104)은 상기 사용자 단말(102)에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다. 이 경우 서비스 제공자(106)는, 상기 통합 인증 서비스 포털(104)로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말(102)의 접속을 유지하거나 또는 해제할 수 있다. 전술한 바와 같이, 사용자 단말(102)은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리할 수 있다. 이 경우 통합 인증 서비스 포털(104)은 사용자 단말(102) 사용자의 최초 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다. 예를 들어, 통합 인증 서비스 포털(104)은 사용자의 최초 인증시에는 지문 정보를 이용하여 인증을 수행하고, 이후의 재인증시에는 안면 인식 정보를 이용하도록 구성될 수 있다.On the other hand, when the message is not received from the user terminal 102 that has approved the connection request for a preset period, the service provider 106 requests the integrated authentication service portal 104 to re-authenticate the user terminal 102 And the integrated authentication service portal 104 can re-authenticate the user using the biometric information of the user stored in the user terminal 102. [ In this case, the service provider 106 can maintain or release the connection of the user terminal 102 in accordance with the re-authentication result of the user received from the integrated authentication service portal 104. As described above, the user terminal 102 can store and manage a plurality of different kinds of biometric information corresponding to the user. In this case, the integrated authentication service portal 104 may re-authenticate the user using biometric information different from the biometric information used at the time of initial authentication of the user of the user terminal 102. [ For example, the integrated authentication service portal 104 may be configured to perform authentication using fingerprint information at the time of initial authentication of a user, and to use facial recognition information at the time of subsequent authentication.

상기와 같은 사용자 단말(102) 사용자의 재인증은 전술한 바와 같이 서비스 제공자(106)의 요청에 의해 이루어질 수도 있으나, 실시예에 따라 사용자 단말(102)에서 주기적으로 생체 정보를 재인증하고 재인증 결과를 통합 인증 서비스 포털(104)로 제공하는 것 또한 가능하다. 예를 들어, 사용자 단말(102)은 기 설정된 재인증 주기별로 사용자 단말(102)로부터 사용자의 안면을 촬영하고, 촬영된 안면 정보가 기 저장된 정보와 동일한지의 여부를 통합 인증 서비스 포털(104)로 송신할 수 있다. 사용자 단말(102)은, 입력된 생체 정보가 상기 사용자 단말(102)에 저장된 생체 정보와 동일한 것으로 판단되는 경우 상기 사용자의 재인증에 성공한 것으로 판단할 수 있다.The re-authentication of the user of the user terminal 102 may be performed at the request of the service provider 106 as described above. However, according to the embodiment, the user terminal 102 periodically re-authenticates the biometric information, It is also possible to provide the results to the integrated authentication service portal 104. For example, the user terminal 102 photographs the face of the user from the user terminal 102 for each predetermined re-authentication period, and determines whether the photographed face information is the same as the previously stored information to the integrated authentication service portal 104 Can be transmitted. The user terminal 102 can determine that the user has successfully re-authenticated when it is determined that the inputted biometric information is the same as the biometric information stored in the user terminal 102.

상기 재인증 결과가 수신되면, 통합 인증 서비스 포털(104)은 수신된 재인증 결과를 서비스 제공자(106)로 제공하고, 서비스 제공자(106)는 수신된 재인증 결과에 따라 사용자 단말(102)의 접속을 유지 또는 해제할 수 있다. 이와 같이 구성될 경우, 만약 사용자의 최초 인증 후 사용자 단말(102)이 악의적 제3자의 손으로 넘어간 경우에도 생체 정보의 재인증에 따라 사용자 변경을 감지할 수 있으므로 서비스의 보안성을 한 층 강화할 수 있다. 전술한 실시예와 마찬가지로, 본 실시예 또한 최초 인증시의 생체 정보와 재인증 시의 생체 정보는 그 종류가 상이한 것일 수 있다.
When the re-authentication result is received, the integrated authentication service portal 104 provides the received re-authentication result to the service provider 106, and the service provider 106 transmits the re-authentication result to the user terminal 102 The connection can be maintained or released. When the user terminal 102 is configured as described above, even if the user terminal 102 is moved to the hands of a malicious third party after the user's initial authentication, the user change can be detected according to the re-authentication of the biometric information, have. As in the above-described embodiment, the present embodiment may also be such that the biometric information at the time of initial authentication and the biometric information at the time of re-authentication are different from each other.

도 2는 본 발명의 일 실시예에 따른 사용자 단말(102)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 사용자 단말(102)은 사용자 에이전트(202), 인증 클라이언트(204) 및 생체 인식부(206)를 포함한다.2 is a block diagram illustrating a detailed configuration of a user terminal 102 according to an embodiment of the present invention. As shown, a user terminal 102 according to one embodiment of the present invention includes a user agent 202, an authentication client 204, and a biometric portion 206.

사용자 에이전트(202)는 서비스 제공자(106)와의 메시지 송수신을 통해 사용자에게 서비스 제공자(106)의 서비스를 제공하기 위한 매개체이다. 예를 들어, 사용자 에이전트(202)는 사용자 단말(102)에서 동작하는 웹 브라우저 또는 서비스 제공자(106)로부터 제공되는 전용 애플리케이션일 수 있다.The user agent 202 is a medium for providing the service of the service provider 106 to the user through a message transmission / reception with the service provider 106. For example, the user agent 202 may be a dedicated application provided from a web browser or service provider 106 operating in the user terminal 102.

인증 클라이언트(204)는 통합 인증 서비스 포털(104)에 구비된 인증 서버(304)와의 통신을 통해 사용자 인증을 수행하기 위한 클라이언트 모듈이다. 구체적으로, 인증 클라이언트(204)는 통합 인증 서비스 포털(104)로부터 사용자 인증 정보 요청이 수신되는 경우, 사용자 단말(102)의 생체 인식부(206)를 제어하여 상기 인증 정보 요청에 대응되는 인증 정보를 생성한다. 생체 인식부(206)로부터 상기 인증 정보가 수신되면 인증 클라이언트(206)는 수신된 정보를 통합 인증 서비스 포털(104)로 제공한다. 인증 클라이언트(204)는 사용자 인증에 앞서 사용자 에이전트(202)의 인증을 먼저 수행함으로써 악성 애플리케이션이 사용자 에이전트(202)를 사칭하여 인증 정보 등을 도용하는 것을 차단할 수 있다. 예를 들어, 인증 클라이언트(204)는 통합 인증 서비스 포털(104)로부터 신뢰 가능한 애플리케이션의 리스트를 제공받고, 상기 리스트와 사용자 에이전트(202)를 비교하여 사용자 에이전트(202)가 신뢰 가능한지의 여부를 판단할 수 있다.The authentication client 204 is a client module for performing user authentication through communication with the authentication server 304 provided in the integrated authentication service portal 104. [ In detail, when the user authentication information request is received from the integrated authentication service portal 104, the authentication client 204 controls the biometric unit 206 of the user terminal 102 to transmit the authentication information corresponding to the authentication information request . When the authentication information is received from the biometrics unit 206, the authentication client 206 provides the received information to the integrated authentication service portal 104. [ The authentication client 204 may first authenticate the user agent 202 prior to user authentication, thereby preventing malicious applications from impersonating the user agent 202 and stealing authentication information and the like. For example, the authentication client 204 is provided with a list of trusted applications from the integrated authentication service portal 104 and compares the list with the user agent 202 to determine whether the user agent 202 is trusted can do.

생체 인식부(206)는 인증 클라이언트(204)의 요청에 따라 사용자의 생체 정보를 인식하고, 인식된 생체 정보와 사용자에 의해 기 등록된 생체 정보를 비교하여 사용자 인증을 수행한다. 생체 인식부(206)는 사용자로부터 생체 정보를 입력 받을 수 있는 수단(생체 인식 센서)을 포함하거나, 또는 상기 수단과 유선 또는 무선 통신 수단을 통하여 연결될 수 있다. 전술한 바와 같이, 상기 생체 정보는 지문, 홍체, 안면 인식 정보 등 타 사용자와 구별될 수 있는 사용자의 모든 신체적 특징 정보를 포함할 수 있다. 생체 인식부(206)는 사용자로부터 기 등록된 생체 정보를 안전하게 저장하고, 이로부터 인증 정보를 생성하기 위한 보안 모듈을 더 포함할 수 있다. 실시예에 따라 상기 생체 정보는 외부의 생체 저장 공간에 저장될 수도 있음은 전술하였다.The biometrics authentication unit 206 recognizes the user's biometrics information at the request of the authentication client 204 and compares the recognized biometrics information with biometrics information previously registered by the user to perform user authentication. The biometric unit 206 may include means for receiving biometric information from a user (biometric sensor), or may be connected to the means through a wired or wireless communication means. As described above, the biometric information may include all physical characteristics information of the user, such as fingerprint, iris, and face recognition information, which can be distinguished from other users. The biometrics unit 206 may further include a security module for securely storing biometrics information previously registered by a user and generating authentication information therefrom. According to an embodiment, the biometric information may be stored in an external biometric storage space.

실시예에 따라 생체 인식부(206)는 동일한 사용자에 대하여 서로 다른 종류의 복수 개의 생체 정보를 저장 및 관리하도록 구성될 수 있다. 이 경우 생체 인식붐(206)는 사용자의 최초 인증시 및 재인증시에 각각 서로 다른 생체 정보를 이용함으로써 사용자 인증에 있어서의 보안성을 향상할 수 있다.According to an embodiment, the biometric unit 206 may be configured to store and manage a plurality of different types of biometric information for the same user. In this case, the biometric boom 206 can improve the security in user authentication by using different biometric information at the initial authentication and the re-authentication of the user.

통합 인증 서비스 포털(104)의 인증 서버(304)로부터 사용자 인증 정보 요청이 수신되면, 인증 클라이언트(204)는 생체 인식부(206)로 상기 인증 정보 요청에 대응되는 인증 정보의 생성을 요청할 수 있다. 일 실시예에서, 상기 인증 정보 요청에는 사용자 인증에 사용되는 일회용 난수(랜덤값)가 포함될 수 있다. 그러면 생체 인식부(206)는 생체 인식 센서를 이용하여 사용자의 생체 정보를 입력받고, 입력된 생체 정보를 상기 보안 모듈에 기 등록된 생체 정보와 비교한다. 만약 상기 비교 결과 입력된 생체 정보가 기 등록된 정보와 일치하는 경우, 인증 클라이언트(204)는 상기 랜덤값을 기 약속된 사용자 개인키로 서명하고, 상기 서명값을 인증 정보로서 인증 클라이언트(204)로 전달한다. 이후, 인증 클라이언트(204)는 상기 서명값을 포함하는 인증 정보를 통합 인증 서비스 포털(104)의 인증 서버(304)로 송신한다. 이후 인증 서버(304)는 상기 사용자 개인키에 대응되는 공개키를 이용하여 상기 서명값을 검증한다. 예를 들어, 인증 서버(304)는 단말로부터 수신한 랜덤값과 최초 송신한 랜덤값의 동일성을 확인하고, 동일할 경우 상기 공개키로 상기 서명값을 검증하고, 검증결과에 따라 사용자의 인증에 성공 또는 실패한 것으로 판단할 수 있다.
When the user authentication information request is received from the authentication server 304 of the integrated authentication service portal 104, the authentication client 204 can request the biometric unit 206 to generate the authentication information corresponding to the authentication information request . In one embodiment, the authentication information request may include a disposable random number (random value) used for user authentication. Then, the biometrics unit 206 receives the biometrics information of the user using the biometrics sensor, and compares the biometrics information with the biometrics information registered in the security module. If the input biometric information matches the pre-registered information, the authentication client 204 signs the random value with the promised user private key, and transmits the signature value as authentication information to the authentication client 204 . Then, the authentication client 204 transmits the authentication information including the signature value to the authentication server 304 of the integrated authentication service portal 104. [ The authentication server 304 verifies the signature value using the public key corresponding to the user private key. For example, the authentication server 304 verifies the identity between the random value received from the terminal and the random value initially transmitted, verifies the signature value with the public key if it is the same, Or it can be judged as failed.

도 3은 본 발명의 일 실시예에 따른 통합 인증 서비스 포털(104)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 통합 인증 서비스 포털(104)은 인증 서비스 서버(302), 인증 서버(304) 및 인증 정보 데이터베이스(306)를 포함한다.3 is a block diagram illustrating a detailed configuration of an integrated authentication service portal 104 according to an embodiment of the present invention. As shown, the integrated authentication service portal 104 according to an embodiment of the present invention includes an authentication service server 302, an authentication server 304, and an authentication information database 306.

인증 서비스 서버(302)는 서비스 제공자(106)로부터 사용자 단말(102) 사용자의 인증 대행 요청을 수신하고, 인증 서버(304)로 사용자의 인증을 요청한다. 이후, 인증 서버(304)로부터 상기 사용자의 인증 결과가 수신되면, 인증 서비스 서버(302)는 상기 인증 결과를 서비스 제공자(106)에게 제공한다.The authentication service server 302 receives the authentication agent request of the user of the user terminal 102 from the service provider 106 and requests the authentication server 304 to authenticate the user. Thereafter, when the authentication result of the user is received from the authentication server 304, the authentication service server 302 provides the authentication result to the service provider 106. [

인증 서버(304)는 인증 서비스 서버(302)의 요청에 따라 사용자 단말(102)의 인증 클라이언트(204)와의 통신을 통하여 사용자 인증을 수행하고, 인증 결과를 인증 서비스 서버(302)로 반환한다. 도 2에서 기술한 바와 같이, 인증 서버(304)는 임의의 랜덤값을 포함하는 인증 요청을 사용자 단말(102)로 송신하고, 사용자 단말(102)로부터 상기 인증 정보 요청에 대한 인증 정보가 수신되는 경우, 상기 사용자 개인키에 대응되는 공개키를 이용하여 상기 인증 정보에 포함된 서명값을 검증하게 된다. The authentication server 304 performs user authentication through communication with the authentication client 204 of the user terminal 102 at the request of the authentication service server 302 and returns the authentication result to the authentication service server 302. 2, the authentication server 304 transmits an authentication request including a random value to the user terminal 102, and authentication information for the authentication information request is received from the user terminal 102 , The signature value included in the authentication information is verified by using the public key corresponding to the user private key.

인증 정보 데이터베이스(306)는 인증 서버(304)에서 사용자 단말(102)의 사용자를 인증하는 데 필요한 정보가 저장된다. 일 실시예에서, 인증 정보 데이터베이스(306)는 상기 사용자 및/또는 사용자 단말(102)을 식별하기 위한 정보, 사용자 단말(102)로부터 수신되는 인증 정보를 검증하기 위하여 사용자 각 단말(102) 별로 사전에 공유된 공개키 등의 정보를 저장할 수 있다.
The authentication information database 306 stores information necessary for the authentication server 304 to authenticate the user of the user terminal 102. [ In one embodiment, the authentication information database 306 includes information for identifying the user and / or user terminal 102, a dictionary for each user terminal 102 to verify authentication information received from the user terminal 102, And a public key shared by the user.

도 4는 본 발명의 다른 실시예에 따른 통합 인증 서비스 포털(104)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 다른 실시예에 따른 통합 인증 서비스 포털(104)은 인증 서비스 서버(302), 인증 서버(304), 인증 정보 데이터베이스(306), 신원 확인 정보 수집 서버(402) 및 신원 확인 정보 데이터베이스(404)를 포함할 수 있다. 이 중 도 3과 동일한 식별 번호로 표기된 인증 서비스 서버(302), 인증 서버(304) 및 인증 정보 데이터베이스(306)는 실질적으로 도 3에서 설명한 것과 동일한 기능을 수행하는 바, 여기서는 반복되는 설명을 생략하기로 한다.4 is a block diagram illustrating a detailed configuration of an integrated authentication service portal 104 according to another embodiment of the present invention. As shown, the integrated authentication service portal 104 according to another embodiment of the present invention includes an authentication service server 302, an authentication server 304, an authentication information database 306, an identification information collection server 402, And an identity verification information database 404. The authentication service server 302, the authentication server 304 and the authentication information database 306 denoted by the same reference numerals as those in FIG. 3 perform substantially the same functions as those described in FIG. 3, .

신원 확인 정보 수집 서버(402)는 사용자 단말(102) 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 외부의 신원 확인 서비스 제공 서버(미도시)로부터 수집한다. 그리고 신원 확인 정보 데이터베이스(404)는 신원 확인 정보 수집 서버(402)에서 수집된 신원 확인 정보를 저장 및 관리한다.The identity confirmation information collection server 402 collects the identification information including the identity confirmation means of the user of the user terminal 102 and the result of the identification using the identity confirmation means from an external identification service provision server (not shown) . The identity confirmation information database 404 stores and manages the identity confirmation information collected by the identity confirmation information collection server 402.

상기 신원 확인 수단은, 예를 들어 공인인증서, 아이핀(I-PIN; Internet Personal Identification Number), 지핀(G-PIN, Government Personal Identification Number), 신용카드 번호, 이메일 주소, 대면확인, 원격 대면확인, 이동통신 가입 정보, OTP(One-Time Password) 등일 수 있으며, 상기 신원 확인 결과는 해당 신원 확인 수단을 통하여 수행된 사용자의 신원 확인 결과(성공 또는 실패)에 대한 정보일 수 있다. 예를 들어, 신원 확인 정보 수집 서버(402)는 소정의 공인인증서 관리 기관 서버(미도시)로부터 사용자의 공인인증서를 이용한 인증 실시 여부 및 인증 결과 정보를 수신하고 이를 신원 확인 정보 데이터베이스(404)에 저장할 수 있다. The identity verification means may include, for example, a public certificate, an I-PIN (Internet Personal Identification Number), a G-PIN (Government Personal Identification Number), a credit card number, Mobile communication subscription information, OTP (One-Time Password), etc., and the result of the identity verification may be information on the identity verification result (success or failure) of the user performed through the corresponding identity verification means. For example, the identity confirmation information collection server 402 receives the authentication result information and the authentication result information using the user's authorized certificate from a predetermined authorized certificate authority server (not shown) and transmits the authentication result information to the identity confirmation information database 404 Can be stored.

신원 확인 정보 수집 서버(402)는 인증 서버(304)에서 상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 서비스 제공자(106)로 제공할 수 있다. The identity verification information collection server 402 may provide the identity verification information corresponding to the authenticated user to the service provider 106 when the authentication server 304 succeeds in authenticating the user.

이와 같이 통합 인증 서비스 포털(104)에서 별도로 신원 확인 정보를 수집하여 제공할 경우, 온라인 금융 서비스 등과 같이 사용자 인증 이외에 별도로 사용자의 신원 확인 정보가 필요한 서비스에도 효과적으로 대응할 수 있게 된다. 예를 들어, 서비스 제공자(106)는 신원 확인 정보 수집 서버(402)로부터의 신원 확인 정보 제공 유무 또는 제공되는 신원 확인 수단의 종류에 따라 사용자별로 서로 다른 수준 내지 종류의 서비스를 제공할 수 있게 된다.
When collecting and providing the identification information separately from the integrated authentication service portal 104, it is possible to effectively cope with services that require user identification information other than user authentication such as online financial service. For example, the service provider 106 may provide different levels or types of services for each user depending on whether the identification information is provided from the identity verification information collection server 402 or the type of the identification means provided .

도 5는 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 방법(500)을 설명하기 위한 흐름도이다.FIG. 5 is a flowchart illustrating a biometric-based integrated authentication method 500 according to an exemplary embodiment of the present invention.

단계 502에서, 사용자 단말(102)은 서비스 제공자(106)에 대한 로그인을 요청한다.At step 502, the user terminal 102 requests a login to the service provider 106.

단계 504에서, 서비스 제공자(106)는 로그인을 요청한 사용자 단말(102)을 통합 인증 서비스 포털(104)로 리다이렉트(redirect)하고, 통합 인증 서비스 포털(104)로 사용자 단말(102)에 대한 인증 대행을 요청한다.In step 504, the service provider 106 redirects the user terminal 102 requesting the login to the integrated authentication service portal 104 and sends an authentication request to the integrated authentication service portal 104 to the user terminal 102 Lt; / RTI >

단계 506에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로 인증 정보를 요청한다. 전술한 바와 같이, 상기 인증 정보 요청에는 통합 인증 서비스 포털(104)이 생성한 임의의 랜덤값이 포함된다.In step 506, the integrated authentication service portal 104 requests authentication information from the user terminal 102. As described above, the authentication information request includes an arbitrary random value generated by the integrated authentication service portal 104. [

단계 508에서, 사용자 단말(102)은 상기 인증 정보 요청에 따라 사용자의 생체 정보를 인식하고 이로부터 인증 정보를 생성한다. 구체적으로, 사용자 단말(102)은 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말(102)에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 요청에 포함된 상기 랜덤값을 사용자 개인키로 서명하여 상기 인증 정보를 생성하게 된다.In step 508, the user terminal 102 recognizes the user's biometric information according to the authentication information request and generates authentication information from the biometric information. Specifically, when the user terminal 102 receives the biometric information from the user and determines that the inputted biometric information is the same as the biometric information stored in the user terminal 102, the user terminal 102 determines the random value included in the authentication request as Signed with the user's private key to generate the authentication information.

단계 510에서, 사용자 단말(102)은 상기 랜덤값에 대한 서명값을 포함하는 상기 인증 정보를 통합 인증 서비스 포털(104)로 송신한다. At step 510, the user terminal 102 sends the authentication information, including the signature value for the random value, to the integrated authentication service portal 104.

단계 512에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로부터 수신되는 상기 인증 정보에 포함된 서명값을 상기 사용자 개인키에 대응되는 공개키를 이용하여 검증하고, 상기 검증 결과에 따라 상기 사용자의 인증 성공 여부를 판단한 뒤, 인증 결과를 서비스 제공자(106)에게 송신한다.In step 512, the integrated authentication service portal 104 verifies the signature value included in the authentication information received from the user terminal 102 using a public key corresponding to the user private key, After determining whether or not the user has succeeded in authentication, the authentication result is transmitted to the service provider 106.

단계 514에서, 서비스 제공자(106)는 통합 인증 서비스 포털(104)로부터 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절한다.
In step 514, the service provider 106 approves or rejects the connection request in accordance with the authentication result received from the integrated authentication service portal 104.

도 6은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)에서 서비스 제공자(106)의 요청에 따른 재인증 과정(600)을 설명하기 위한 흐름도이다.FIG. 6 is a flowchart illustrating a re-authentication process 600 according to a request of the service provider 106 in the biometric-based integrated authentication system 100 according to an embodiment of the present invention.

단계 602에서, 서비스 제공자(106)는 접속 요청을 승인한 사용자의 재인증 필요 여부를 판단한다. 예를 들어, 서비스 제공자(106)는 상기 사용자 단말(102)로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 또는 기 설정된 재인증 주기가 경과한 경우 사용자 단말(102)의 재인증이 필요한 것으로 판단할 수 있다.In step 602, the service provider 106 determines whether a user who has approved the connection request needs to re-authenticate. For example, the service provider 106 determines that re-authentication of the user terminal 102 is necessary when a message is not received from the user terminal 102 for a predetermined period or when a predetermined re-authentication period has elapsed can do.

단계 604에서, 서비스 제공자(106)는 재인증이 필요한 것으로 판단되는 사용자 단말(102)의 재인증 대행을 통합 인증 서비스 포털(104)로 요청한다.In step 604, the service provider 106 requests the re-authentication agent of the user terminal 102, which is determined to require re-authentication, to the integrated authentication service portal 104.

단계 606에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로 재인증 정보를 요청한다. 전술한 바와 같이, 상기 인증 정보 요청 또한 통합 인증 서비스 포털(104)이 생성한 임의의 랜덤값이 포함된다.In step 606, the integrated authentication service portal 104 requests the re-authentication information from the user terminal 102. As described above, the authentication information request also includes any random value generated by the integrated authentication service portal 104. [

단계 608에서, 사용자 단말(102)은 상기 재인증 정보 요청에 따라 사용자의 생체 정보를 인식하고 이로부터 재인증 정보를 생성한다. 구체적으로, 사용자 단말(102)은 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말(102)에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 요청에 포함된 상기 랜덤값을 사용자 개인키로 서명하여 상기 재인증 정보를 생성하게 된다. 일 실시예에서, 사용자 단말(102)은 최초의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 재인증 정보를 생성할 수 있다.In step 608, the user terminal 102 recognizes the user's biometric information according to the re-authentication information request and generates re-authentication information therefrom. Specifically, when the user terminal 102 receives the biometric information from the user and determines that the inputted biometric information is the same as the biometric information stored in the user terminal 102, the user terminal 102 determines the random value included in the authentication request as And the re-authentication information is generated by signing with the user's private key. In one embodiment, the user terminal 102 may generate the re-authentication information using biometric information that is different from the biometric information used in the initial authentication.

단계 610에서, 사용자 단말(102)은 생성된 상기 랜덤값에 대한 서명값을 포함하는 상기 재인증 정보를 통합 인증 서비스 포털(104)로 송신한다.In step 610, the user terminal 102 transmits the re-authentication information including the signature value for the generated random value to the integrated authentication service portal 104. [

단계 612에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로부터 수신되는 상기 재인증 정보에 포함된 서명값을 상기 사용자 개인키에 대응되는 공개키를 이용하여 검증하고, 상기 검증 결과에 따라 상기 사용자의 재인증 성공 여부를 판단한 뒤, 재인증 결과를 서비스 제공자(106)에게 송신한다. In step 612, the integrated authentication service portal 104 verifies the signature value included in the re-authentication information received from the user terminal 102 using a public key corresponding to the user private key, After determining whether or not the re-authentication of the user is successful, the re-authentication result is transmitted to the service provider 106.

단계 614에서, 서비스 제공자(106)는 통합 인증 서비스 포털(104)로부터 수신된 상기 재인증 결과에 따라 사용자 단말(102)의 접속을 유지 또는 해제한다.
In step 614, the service provider 106 maintains or releases the connection of the user terminal 102 in accordance with the re-authentication result received from the integrated authentication service portal 104.

도 7은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)에서 사용자 단말(102)의 재인증 과정(700)을 설명하기 위한 흐름도이다.FIG. 7 is a flowchart illustrating a re-authentication process 700 of the user terminal 102 in the biometric-based integrated authentication system 100 according to an embodiment of the present invention.

단계 702에서, 사용자 단말(102)은 사용자의 생체 정보 재인증 필요 여부를 판단한다. 예를 들어, 사용자 단말(102)은 기 설정된 재인증 주기가 경과한 경우 사용자의 생체 정보 재인증이 필요한 것으로 판단할 수 있다.In step 702, the user terminal 102 determines whether the biometric information reauthentication of the user is necessary. For example, the user terminal 102 may determine that the biometric information re-authentication of the user is necessary when the predetermined re-authentication period has elapsed.

단계 704에서, 사용자 단말(102)은 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보와 사용자 단말(102)에 저장된 생체 정보의 동일성 여부에 대한 비교 결과를 통합 인증 서비스 포털(104)로 송신한다. 일 실시예에서 사용자 단말(102)은 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 사용자 단말(102)의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말(102)로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 통합 인증 서비스 포털(104)로 전송할 수 있다.In step 704, the user terminal 102 receives the biometric information from the user, and transmits a result of comparison of whether or not the inputted biometric information is identical to the biometric information stored in the user terminal 102 to the integrated authentication service portal 104 do. In one embodiment, the user terminal 102 stores and manages a plurality of different types of biometric information corresponding to the user, and stores the biometric information used in the authentication of the user terminal 102, After receiving the input from the user terminal 102 and comparing the inputted biometric information with previously stored biometric information, the comparison result can be transmitted to the integrated authentication service portal 104.

단계 706에서, 사용자 단말(102)은 수신된 상기 비교 결과를 통합 인증 서비스 포털(104)로 송신한다.In step 706, the user terminal 102 transmits the received comparison result to the integrated authentication service portal 104. [

단계 708에서, 통합 인증 서비스 포털(104)은 수신된 상기 사용자 단말(102)의 비교 결과에 따라 재인증에 성공했는지의 여부를 판단한다. 예를 들어, 통합 인증 서비스 포털(104)은 입력된 생체 정보와 사용자 단말(102)에 저장된 생체 정보가 동일한 경우 재인증에 성공한 것으로, 상이한 경우 재인증에 실패한 것으로 판단할 수 있다.In step 708, the integrated authentication service portal 104 determines whether or not the re-authentication is successful according to the comparison result of the received user terminal 102. For example, the integrated authentication service portal 104 may determine that re-authentication is successful if the input biometric information is identical to the biometric information stored in the user terminal 102, and that the re-authentication fails if the biometric information is different.

단계 710에서, 통합 인증 서비스 포털(104)은 재인증 결과를 서비스 제공자(106)에게 제공한다.In step 710, the integrated authentication service portal 104 provides the re-authentication result to the service provider 106.

단계 712에서, 서비스 제공자(106)는 통합 인증 서비스 포털(104)로부터 수신된 상기 재인증 결과에 따라 사용자 단말(102)의 접속을 유지 또는 해제한다.
In step 712, the service provider 106 maintains or releases the connection of the user terminal 102 in accordance with the re-authentication result received from the integrated authentication service portal 104.

한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램, 및 상기 프로그램을 포함하는 컴퓨터 판독 가능 기록매체 또는 저장매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체 또는 저장매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나, 또는 컴퓨터 소프트웨어 분야에서 통상적으로 사용 가능한 것일 수 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 프로그램의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.On the other hand, an embodiment of the present invention may include a program for executing the methods described herein on a computer, and a computer-readable recording medium or a storage medium including the program. The computer-readable recording medium or storage medium may include program instructions, local data files, local data structures, etc., alone or in combination. The media may be those specially designed and constructed for the present invention, or may be those that are commonly used in the field of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, and specifically configured to store and execute program instructions such as ROM, RAM, flash memory, Hardware devices. Examples of such programs may include machine language code such as those produced by a compiler, as well as high-level language code that may be executed by a computer using an interpreter or the like.

이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, . Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by equivalents to the appended claims, as well as the appended claims.

100: 생체 인식 기반의 통합 인증 시스템
102: 사용자 단말
104: 통합 인증 서비스 포털
106: 서비스 제공자
202: 사용자 에이전트
204: 인증 클라이언트
206: 생체 인식부
302: 인증 서비스 서버
304: 인증 서버
306: 인증 정보 데이터베이스
402: 신원 확인 정보 수집 서버
404: 신원 확인 정보 데이터베이스100: Integrated biometric authentication system
102: user terminal
104: Integrated Authentication Service Portal
106: Service Provider
202: User agent
204: Authentication Client
206: biometric section
302: Authentication service server
304: Authentication server
306: Authentication information database
402: Identity verification information collection server
404: Identity verification information database

Claims (20)

사용자 단말로부터 접속 요청을 수신하는 서비스 제공자 서버; 및
상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하고, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 통합 인증 서비스 포털을 포함하며,
상기 서비스 제공자 서버는 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는, 생체 인식 기반의 통합 인증 시스템.
A service provider server for receiving a connection request from a user terminal; And
And an integrated authentication service portal for receiving an authentication request for the user terminal from the service provider server and authenticating the user using biometric information of the user stored in the user terminal,
Wherein the service provider server receives an authentication result for the user from the integrated authentication service portal and approves or rejects the connection request according to the received authentication result.
청구항 1에 있어서,
상기 통합 인증 서비스 포털은, 상기 인증 대행 요청이 수신됨에 따라 임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하며,
상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보가 수신되는 경우, 상기 서명값을 검증함으로써 상기 사용자를 인증하는, 생체 인식 기반의 통합 인증 시스템.
The method according to claim 1,
The integrated authentication service portal transmits an authentication information request including an arbitrary random value to the user terminal upon receiving the authentication proxy request,
And authenticates the user by verifying the signature value when authentication information including a signature value for the random value is received from the user terminal.
청구항 2에 있어서,
상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 2,
Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request And transmits the authentication result to the integrated authentication service portal.
청구항 3에 있어서,
상기 통합 인증 서비스 포털은, 상기 개인키에 대응되는 공개키를 이용하여 상기 서명값을 검증하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 3,
Wherein the integrated authentication service portal verifies the signature value using a public key corresponding to the private key.
청구항 1에 있어서,
상기 서비스 제공자 서버는, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하며,
상기 통합 인증 서비스 포털은, 상기 재인증 대행 요청에 따라 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 재인증하는, 생체 인식 기반의 통합 인증 시스템.
The method according to claim 1,
Wherein the service provider server transmits a request for re-authentication of the user terminal to the integrated authentication service portal when a message is not received from the user terminal that has approved the connection request for a preset period of time,
Wherein the integrated authentication service portal re-authenticates the user using biometric information of the user stored in the user terminal according to the re-authentication request.
청구항 5에 있어서,
상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 5,
Wherein the service provider server maintains or releases the connection of the user terminal according to a result of re-authentication of the user received from the integrated authentication service portal.
청구항 6에 있어서,
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며,
상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 6,
Wherein the user terminal stores and manages a plurality of different types of biometric information corresponding to the user,
Wherein the integrated authentication service portal re-authenticates the user using biometric information different from the biometric information used at the time of authentication of the user terminal.
청구항 1에 있어서,
상기 통합 인증 서비스 포털은, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 상기 사용자 단말로부터 수신하고, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하며,
상기 서비스 제공자 서버는, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는, 생체 인식 기반의 통합 인증 시스템.
The method according to claim 1,
The integrated authentication service portal receives from the user terminal a result of comparison between the biometric information input from the user and the biometric information stored in the user terminal for each predetermined re-authentication period, Provides the re-authentication result to the service provider server,
Wherein the service provider server maintains or releases connection of the user terminal according to the re-authentication result.
청구항 8에 있어서,
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 8,
The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the stored biometric information, and provides the comparison result to the integrated authentication service portal.
청구항 1에 있어서,
상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며,
상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공하는, 통합 인증 시스템.
The method according to claim 1,
Wherein the integrated authentication service portal stores and manages identification information including an identity verification result of the user and an identity verification result using the identity verification means,
And provides the identification information corresponding to the authenticated user to the service provider server when the authentication of the user is successful.
서비스 제공자 서버에서, 사용자 단말로부터 접속 요청을 수신하는 단계;
통합 인증 서비스 포털에서, 상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하는 단계;
상기 통합 인증 서비스 포털에서, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 단계; 및
상기 서비스 제공자 서버에서, 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는 단계를 포함하는, 생체 인식 기반의 통합 인증 방법.
Receiving, at the service provider server, a connection request from a user terminal;
Receiving, at the integrated authentication service portal, an authentication proxy request for the user terminal from the service provider server;
Authenticating the user using biometric information of the user stored in the user terminal in the integrated authentication service portal; And
Receiving, at the service provider server, an authentication result for the user from the integrated authentication service portal, and accepting or rejecting the connection request according to the received authentication result.
청구항 11에 있어서,
상기 사용자를 인증하는 단계는,
임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하는 단계;
상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보를 수신하는 단계; 및
상기 인증 정보에 포함된 상기 서명값을 검증하는 단계를 더 포함하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 11,
Wherein authenticating the user comprises:
Transmitting an authentication information request including an arbitrary random value to the user terminal;
Receiving authentication information including a signature value for the random value from the user terminal; And
Further comprising verifying the signature value included in the authentication information.
청구항 12에 있어서,
상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 12,
Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request To the integrated authentication service portal, the biometric authentication integrated authentication method.
청구항 13에 있어서,
상기 서명값을 검증하는 단계는, 상기 개인키에 대응하는 공개키를 이용하여 상기 서명값을 검증하는, 생체 인식 기반의 통합 인증 방법.
14. The method of claim 13,
Wherein the verifying the signature value verifies the signature value using a public key corresponding to the private key.
청구항 11에 있어서,
상기 접속 요청을 승인 또는 거절하는 단계의 수행 후,
상기 서비스 제공자 서버에서, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하는 단계; 및
상기 통합 인증 서비스 포털에서, 상기 재인증 대행 요청에 따라 상기 사용자 단말의 재인증을 수행하는 단계를 더 포함하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 11,
After performing the step of approving or rejecting the connection request,
Transmitting, by the service provider server, a request for re-authentication of the user terminal to the integrated authentication service portal when a message is not received from the user terminal that has approved the connection request for a predetermined period of time; And
Further comprising performing, at the integrated authentication service portal, re-authentication of the user terminal according to the re-authentication request.
청구항 15에 있어서,
상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는, 생체 인식 기반의 통합 인증 방법.
16. The method of claim 15,
Wherein the service provider server maintains or releases the connection of the user terminal according to the re-authentication result of the user received from the integrated authentication service portal.
청구항 16에 있어서,
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며,
상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증하는, 생체 인식 기반의 통합 인증 방법.
18. The method of claim 16,
Wherein the user terminal stores and manages a plurality of different types of biometric information corresponding to the user,
Wherein the integrated authentication service portal re-authenticates the user using biometric information different from the biometric information used at the time of authentication of the user terminal.
청구항 11에 있어서,
상기 접속 요청을 승인 또는 거절하는 단계의 수행 후,
상기 통합 인증 서비스 포털에서, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 제공받는 단계;
상기 통합 인증 서비스 포털에서, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하는 단계; 및
상기 서비스 제공자 서버에서, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는 단계를 더 포함하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 11,
After performing the step of approving or rejecting the connection request,
Receiving a comparison result as to whether the biometric information input from the user is identical to the biometric information stored in the user terminal in the integrated authentication service portal in a predetermined re-authentication period;
Providing, in the integrated authentication service portal, the re-authentication result according to the received comparison result to the service provider server; And
Further comprising the step of maintaining or releasing the connection of the user terminal according to a result of the re-authentication at the service provider server.
청구항 18에 있어서,
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공하는, 생체 인식 기반의 통합 인증 방법.
19. The method of claim 18,
The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the stored biometric information, and provides the comparison result to the integrated authentication service portal.
청구항 11에 있어서,
상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며,
상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공하는, 통합 인증 방법.
The method of claim 11,
Wherein the integrated authentication service portal stores and manages identification information including an identity verification result of the user and an identity verification result using the identity verification means,
And provides the identification information corresponding to the authenticated user to the service provider server when the authentication of the user is successful.
KR1020140130185A 2014-09-29 2014-09-29 System and method for federated authentication based on biometrics KR102284876B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140130185A KR102284876B1 (en) 2014-09-29 2014-09-29 System and method for federated authentication based on biometrics

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140130185A KR102284876B1 (en) 2014-09-29 2014-09-29 System and method for federated authentication based on biometrics

Publications (2)

Publication Number Publication Date
KR20160037520A true KR20160037520A (en) 2016-04-06
KR102284876B1 KR102284876B1 (en) 2021-08-02

Family

ID=55790485

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140130185A KR102284876B1 (en) 2014-09-29 2014-09-29 System and method for federated authentication based on biometrics

Country Status (1)

Country Link
KR (1) KR102284876B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180087739A (en) * 2017-01-25 2018-08-02 주식회사 하이마루 A FIDO authentication device capable of identity confirmation or non-repudiation and the method thereof
WO2018186606A1 (en) * 2017-04-02 2018-10-11 주식회사 키페어 Terminal having local web server function for biometric authentication, and user authentication system and method using same
WO2019032113A1 (en) * 2017-08-10 2019-02-14 Visa International Service Association Biometric verification process using certification token

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006092530A (en) * 2004-08-26 2006-04-06 Ihc:Kk Authentication system
KR100875741B1 (en) * 2007-04-18 2008-12-24 주식회사 케이티프리텔 Binding update method in mobile IPv6 and mobile terminal performing the method
JP4672593B2 (en) * 2006-05-02 2011-04-20 日本電信電話株式会社 ID-linked authentication system and ID-linked authentication method
KR20110081103A (en) * 2010-01-06 2011-07-13 벌리더티 센서스 인코포레이티드 Secure transaction systems and methods
KR20140050121A (en) 2012-10-12 2014-04-29 국민대학교산학협력단 System and method for certificate delegation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006092530A (en) * 2004-08-26 2006-04-06 Ihc:Kk Authentication system
JP4672593B2 (en) * 2006-05-02 2011-04-20 日本電信電話株式会社 ID-linked authentication system and ID-linked authentication method
KR100875741B1 (en) * 2007-04-18 2008-12-24 주식회사 케이티프리텔 Binding update method in mobile IPv6 and mobile terminal performing the method
KR20110081103A (en) * 2010-01-06 2011-07-13 벌리더티 센서스 인코포레이티드 Secure transaction systems and methods
KR20140050121A (en) 2012-10-12 2014-04-29 국민대학교산학협력단 System and method for certificate delegation

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180087739A (en) * 2017-01-25 2018-08-02 주식회사 하이마루 A FIDO authentication device capable of identity confirmation or non-repudiation and the method thereof
WO2018186606A1 (en) * 2017-04-02 2018-10-11 주식회사 키페어 Terminal having local web server function for biometric authentication, and user authentication system and method using same
WO2019032113A1 (en) * 2017-08-10 2019-02-14 Visa International Service Association Biometric verification process using certification token
US11018870B2 (en) 2017-08-10 2021-05-25 Visa International Service Association Biometric verification process using certification token
US11736296B2 (en) 2017-08-10 2023-08-22 Visa International Service Association Biometric verification process using certification token

Also Published As

Publication number Publication date
KR102284876B1 (en) 2021-08-02

Similar Documents

Publication Publication Date Title
US11657396B1 (en) System and method for bluetooth proximity enforced authentication
US10326761B2 (en) Web-based user authentication techniques and applications
EP3138265B1 (en) Enhanced security for registration of authentication devices
EP3195108B1 (en) System and method for integrating an authentication service within a network architecture
CN106575416B (en) System and method for authenticating a client to a device
US10762181B2 (en) System and method for user confirmation of online transactions
US9219732B2 (en) System and method for processing random challenges within an authentication framework
US9306754B2 (en) System and method for implementing transaction signing within an authentication framework
CN108810021B (en) Query system and method for determining verification function
KR102439782B1 (en) System and method for implementing a hosted authentication service
US20170109751A1 (en) System and method for carrying strong authentication events over different channels
US8990572B2 (en) Methods and systems for conducting smart card transactions
US20140189791A1 (en) System and method for implementing privacy classes within an authentication framework
US10848309B2 (en) Fido authentication with behavior report to maintain secure data connection
KR20220167366A (en) Cross authentication method and system between online service server and client
US9413533B1 (en) System and method for authorizing a new authenticator
KR102284876B1 (en) System and method for federated authentication based on biometrics
TW202207667A (en) Authentication and validation procedure for improved security in communications systems
KR101740574B1 (en) Certification method using autograph of confirmor and fintech system
KR101697758B1 (en) Iris Certification System and Method thereof
Kreshan THREE-FACTOR AUTHENTICATION USING SMART PHONE

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant