KR20160037520A - System and method for federated authentication based on biometrics - Google Patents
System and method for federated authentication based on biometrics Download PDFInfo
- Publication number
- KR20160037520A KR20160037520A KR1020140130185A KR20140130185A KR20160037520A KR 20160037520 A KR20160037520 A KR 20160037520A KR 1020140130185 A KR1020140130185 A KR 1020140130185A KR 20140130185 A KR20140130185 A KR 20140130185A KR 20160037520 A KR20160037520 A KR 20160037520A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- user
- user terminal
- biometric information
- integrated
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Abstract
Description
본 발명의 실시예들은 생체 인식 기반의 통합 인증 서비스 기술과 관련된다.
Embodiments of the invention relate to a biometric based integrated authentication service technology.
인터넷을 통한 쇼핑 또는 금융 업무가 대중화되면서 온라인상에서 개인의 신원에 대한 식별 및 이의 인증을 위한 기술이 중요하게 되었다. 또한 최근에는 한 사용자가 다수의 서비스를 동시에 이용하는 경우가 늘어나면서 한 번의 인증을 통해 다수의 인터넷 서비스에 접속할 수 있도록 하기 위한 통합 인증 기술의 필요성이 증대되었다.As online shopping or financial services became popular, technology for identification and authentication of individuals became important online. In recent years, the number of simultaneous use of a plurality of services by a single user has increased, and the need for integrated authentication technology for accessing a plurality of Internet services through a single authentication has increased.
그러나 기존의 통합 인증 서비스는 대부분 아이디와 패스워드 기반으로 구성되어 있는 바, 상대적으로 악의적인 타인에게 도용되거나 중간에서 탈취되는 등의 문제점에 노출되기 쉬운 문제가 있었다. 따라서 특히 보안성이 중시되는 금융 내지 전자상거래 등의 분야에서 생체 정보를 이용한 통합 인증 기술이 필요하게 되었다.
However, since the existing integrated authentication service is mostly composed of ID and password, there is a problem that it is easily exposed to problems such as being stolen by a relatively malicious person or being seized from the middle. Therefore, integrated authentication technology using biometric information is required especially in the fields of finance and electronic commerce where security is important.
본 발명의 실시예들은 사용자의 생체 정보를 이용하여 복수 개의 네트워크 서비스에 용이하게 접속 가능한 생체 인식 기반의 통합 인증 시스템 및 방법을 제공하기 위한 것이다.
Embodiments of the present invention provide a biometric-based integrated authentication system and method that can easily access a plurality of network services using biometric information of a user.
예시적인 실시예에 따르면, 사용자 단말로부터 접속 요청을 수신하는 서비스 제공자 서버; 및 상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하고, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 통합 인증 서비스 포털을 포함하며, 상기 서비스 제공자 서버는 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는, 생체 인식 기반의 통합 인증 시스템이 제공된다.According to an exemplary embodiment, a service provider server for receiving a connection request from a user terminal; And an integrated authentication service portal for receiving an authentication request for the user terminal from the service provider server and authenticating the user using biometric information of the user stored in the user terminal, There is provided an integrated authentication system based on biometrics that receives an authentication result for the user from an authentication service portal and approves or rejects the connection request according to the received authentication result.
상기 통합 인증 서비스 포털은, 상기 인증 대행 요청이 수신됨에 따라 임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하며, 상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보가 수신되는 경우, 상기 서명값을 검증함으로써 상기 사용자를 인증할 수 있다.The integrated authentication service portal transmits an authentication information request including an arbitrary random value to the user terminal as the authentication proxy request is received, and receives authentication information including a signature value for the random value from the user terminal If so, it can authenticate the user by verifying the signature value.
상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신할 수 있다.Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request To the integrated authentication service portal.
상기 통합 인증 서비스 포털은, 상기 개인키에 대응되는 공개키를 이용하여 상기 서명값을 검증할 수 있다.The integrated authentication service portal may verify the signature value using a public key corresponding to the private key.
상기 서비스 제공자 서버는, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하며, 상기 통합 인증 서비스 포털은, 상기 재인증 대행 요청에 따라 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다.Wherein the service provider server transmits a request for reauthentication of the user terminal to the integrated authentication service portal when a message is not received from the user terminal that has approved the connection request for a preset period of time, And re-authenticate the user using biometric information of the user stored in the user terminal according to the re-authentication request.
상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제할 수 있다.The service provider server may maintain or release the connection of the user terminal according to a re-authentication result of the user received from the integrated authentication service portal.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다.Wherein the user terminal stores and manages a plurality of different kinds of biometric information corresponding to the user, and the integrated authentication service portal uses biometric information different from the biometric information used at the time of authentication of the user terminal And re-authenticate the user.
상기 통합 인증 서비스 포털은, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 상기 사용자 단말로부터 수신하고, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하며, 상기 서비스 제공자 서버는, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제할 수 있다.The integrated authentication service portal receives from the user terminal a comparison result of whether the biometric information input from the user and the biometric information stored in the user terminal are the same or not in each predetermined re-authentication period, And provides the re-authentication result to the service provider server, and the service provider server can maintain or release the connection of the user terminal according to the re-authentication result.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공할 수 있다.The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the previously stored biometric information, and provides the comparison result to the integrated authentication service portal.
상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며, 상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공할 수 있다.Wherein the integrated authentication service portal stores and manages the identity verification information including the identity verification means of the user and the identity verification result using the identity verification means, and when the authentication of the user is successful, And provide identification information to the service provider server.
다른 예시적인 실시예에 따르면, 서비스 제공자 서버에서, 사용자 단말로부터 접속 요청을 수신하는 단계; 통합 인증 서비스 포털에서, 상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하는 단계; 상기 통합 인증 서비스 포털에서, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 단계; 및 상기 서비스 제공자 서버에서, 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는 단계를 포함하는 생체 인식 기반의 통합 인증 방법이 제공된다..According to another exemplary embodiment, at a service provider server, receiving a connection request from a user terminal; Receiving, at the integrated authentication service portal, an authentication proxy request for the user terminal from the service provider server; Authenticating the user using biometric information of the user stored in the user terminal in the integrated authentication service portal; And receiving at the service provider server an authentication result for the user from the integrated authentication service portal and approving or rejecting the connection request according to the received authentication result, Provided ..
상기 사용자를 인증하는 단계는, 임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하는 단계; 상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보를 수신하는 단계; 및 상기 인증 정보에 포함된 상기 서명값을 검증하는 단계를 더 포함할 수 있다.Wherein authenticating the user comprises: sending an authentication information request comprising random values to the user terminal; Receiving authentication information including a signature value for the random value from the user terminal; And verifying the signature value included in the authentication information.
상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신할 수 있다.Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request To the integrated authentication service portal.
상기 서명값을 검증하는 단계는, 상기 개인키에 대응하는 공개키를 이용하여 상기 서명값을 검증할 수 있다.The step of verifying the signature value may verify the signature value using a public key corresponding to the private key.
상기 방법은, 상기 접속 요청을 승인 또는 거절하는 단계의 수행 후, 상기 서비스 제공자 서버에서, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하는 단계; 및 상기 통합 인증 서비스 포털에서, 상기 재인증 대행 요청에 따라 상기 사용자 단말의 재인증을 수행하는 단계를 더 포함할 수 있다.The method may further comprise the step of, after performing the step of granting or rejecting the connection request, if the message is not received from the user terminal that granted the connection request for a preset period of time at the service provider server, Transmitting a request for reauthentication of the terminal; And performing re-authentication of the user terminal in response to the re-authentication request at the integrated authentication service portal.
상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제할 수 있다.The service provider server may maintain or release the connection of the user terminal according to a re-authentication result of the user received from the integrated authentication service portal.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다.Wherein the user terminal stores and manages a plurality of different kinds of biometric information corresponding to the user, and the integrated authentication service portal uses biometric information different from the biometric information used at the time of authentication of the user terminal And re-authenticate the user.
상기 방법은, 상기 접속 요청을 승인 또는 거절하는 단계의 수행 후, 상기 통합 인증 서비스 포털에서, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 제공받는 단계; 상기 통합 인증 서비스 포털에서, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하는 단계; 및 상기 서비스 제공자 서버에서, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는 단계를 더 포함할 수 있다.The method further includes determining whether the biometric information input from the user and the biometric information stored in the user terminal are the same or not in the integrated authentication service portal after performing the step of approving or rejecting the connection request Receiving a result of the comparison; Providing, in the integrated authentication service portal, the re-authentication result according to the received comparison result to the service provider server; And maintaining or releasing, at the service provider server, the connection of the user terminal according to the re-authentication result.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공할 수 있다.The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the previously stored biometric information, and provides the comparison result to the integrated authentication service portal.
상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며, 상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공할 수 있다.
Wherein the integrated authentication service portal stores and manages the identity verification information including the identity verification means of the user and the identity verification result using the identity verification means, and when the authentication of the user is successful, And provide identification information to the service provider server.
본 발명의 실시예들에 따르면, 단말에 저장된 사용자의 생체 정보를 이용하여 사용자 인증을 수행하고, 상기 인증 정보를 복수 개의 서비스 제공자에 제공함으로써 보안성과 편리성이 강화된 생체 인식 기반의 통합 인증 시스템 및 방법을 제공할 수 있다.According to embodiments of the present invention, a biometric-based integrated authentication system with enhanced security and convenience by performing user authentication using biometric information of a user stored in a terminal and providing the authentication information to a plurality of service providers And methods.
또한, 본 발명의 실시예들에 따르면, 기 설정된 주기마다, 또는 사용자 입력이 일정 기간 수신되지 않을 경우 사용자 단말에 대한 재인증을 수행함으로써 인증 수행 후 단말이 분실되거나 악의적인 타 사용자가 단말을 이용한 서비스 접속을 시도하는 경우의 보안 위협을 최소화할 수 있다.Also, according to embodiments of the present invention, if the user terminal is re-authenticated every predetermined period or when the user input is not received for a certain period of time, the terminal is lost or a malicious other user uses the terminal It is possible to minimize the security threat in case of attempting to access the service.
아울러, 본 발명의 실시예들에 따르면, 인증 서비스 포털에서 별도의 사용자 신원 확인 정보를 수집하여 두었다가 필요에 따라 이를 서비스 제공자에게 제공함으로써 사용자 인증 이외에 사용자의 신원 확인 정보가 필요한 서비스에도 효과적으로 대응할 수 있다.
In addition, according to the embodiments of the present invention, separate user identification information is collected from the authentication service portal and provided to the service provider as needed, thereby effectively responding to services requiring identification information of the user in addition to user authentication .
도 1은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템의 구성을 설명하기 위한 블록도
도 2는 본 발명의 일 실시예에 따른 사용자 단말의 상세 구성을 설명하기 위한 블록도
도 3은 본 발명의 일 실시예에 따른 통합 인증 서비스 포털의 상세 구성을 설명하기 위한 블록도
도 4는 본 발명의 다른 실시예에 따른 통합 인증 서비스 포털의 상세 구성을 설명하기 위한 블록도
도 5는 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 방법을 설명하기 위한 흐름도
도 6은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템에서 서비스 제공자의 요청에 따른 재인증 과정을 설명하기 위한 흐름도
도 7은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템에서 사용자 단말의 생체 정보 재인증 과정을 설명하기 위한 흐름도1 is a block diagram for explaining a configuration of a biometric-based integrated authentication system according to an embodiment of the present invention;
2 is a block diagram illustrating a detailed configuration of a user terminal according to an embodiment of the present invention.
3 is a block diagram illustrating a detailed configuration of an integrated authentication service portal according to an embodiment of the present invention.
4 is a block diagram illustrating a detailed configuration of an integrated authentication service portal according to another embodiment of the present invention.
5 is a flowchart illustrating a biometric-based integrated authentication method according to an embodiment of the present invention.
FIG. 6 is a flowchart illustrating a re-authentication process according to a request from a service provider in the biometric-based integrated authentication system according to an embodiment of the present invention.
FIG. 7 is a flowchart for explaining a biometric information re-authentication process of a user terminal in the biometric-based integrated authentication system according to an embodiment of the present invention.
이하, 도면을 참조하여 본 발명의 구체적인 실시형태를 설명하기로 한다. 이하의 상세한 설명은 본 명세서에서 기술된 방법, 장치 및/또는 시스템에 대한 포괄적인 이해를 돕기 위해 제공된다. 그러나 이는 예시에 불과하며 본 발명은 이에 제한되지 않는다.Hereinafter, specific embodiments of the present invention will be described with reference to the drawings. The following detailed description is provided to provide a comprehensive understanding of the methods, apparatus, and / or systems described herein. However, this is merely an example and the present invention is not limited thereto.
본 발명의 실시예들을 설명함에 있어서, 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. 상세한 설명에서 사용되는 용어는 단지 본 발명의 실시예들을 기술하기 위한 것이며, 결코 제한적이어서는 안 된다. 명확하게 달리 사용되지 않는 한, 단수 형태의 표현은 복수 형태의 의미를 포함한다. 본 설명에서, "포함" 또는 "구비"와 같은 표현은 어떤 특성들, 숫자들, 단계들, 동작들, 요소들, 이들의 일부 또는 조합을 가리키기 위한 것이며, 기술된 것 이외에 하나 또는 그 이상의 다른 특성, 숫자, 단계, 동작, 요소, 이들의 일부 또는 조합의 존재 또는 가능성을 배제하도록 해석되어서는 안 된다.
DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intention or custom of the user, the operator, and the like. Therefore, the definition should be based on the contents throughout this specification. The terms used in the detailed description are intended only to describe embodiments of the invention and should in no way be limiting. Unless specifically stated otherwise, the singular form of a term includes plural forms of meaning. In this description, the expressions "comprising" or "comprising" are intended to indicate certain features, numbers, steps, operations, elements, parts or combinations thereof, Should not be construed to preclude the presence or possibility of other features, numbers, steps, operations, elements, portions or combinations thereof.
도 1은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)의 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)은 사용자 단말(102), 인증 서비스 포털(104) 및 하나 이상의 서비스 제공자(106)를 포함한다.FIG. 1 is a block diagram for explaining a configuration of an integrated
사용자 단말(102)은 서비스 제공자(106)가 제공하는 서비스를 이용하는 사용자가 소지한 단말로서, 사용자는 자신이 소지한 사용자 단말(102)을 통하여 서비스 제공자(106)의 웹 서비스에 접속하게 된다. 본 발명의 실시예에서, 사용자 단말(102)은 데스크탑 컴퓨터, 노트북 컴퓨터, 스마트폰 등의 휴대 통신 디바이스, 태블릿 컴퓨터 및 웨어러블 디바이스 등 일반적인 사용자가 가정 또는 사무실 등의 공간에 배치하거나, 또는 휴대할 수 있고 네트워크를 통한 메시지 송수신이 가능한 모든 종류의 기기를 포함할 수 있다.The
사용자 단말(102)은 후술할 인증 서비스 포털(104)과의 통신을 위해 사용자 단말(102)의 사용자를 인증한다. 인증 서비스 포털(104)은 사용자 인증이 완료되면 상기 인증 결과를 서비스 제공자(106)에게 제공하며, 서비스 제공자(106)는 상기 인증 결과를 기반으로 사용자 단말(102)의 서비스 제공자(106)로의 접속을 허용 또는 차단한다.The
일 실시예에서, 사용자 단말(102)은 생체 정보를 이용하여 상기 사용자 인증을 수행할 수 있다. 상기 생체 정보는 지문, 홍체, 안면 인식 정보 등 타 사용자와 구별될 수 있는 사용자의 모든 신체적 특징 정보를 포함할 수 있다. 이를 위하여 사용자 단말(102)은 사용자의 생체 정보를 입력 받을 수 있는 수단을 포함하거나, 또는 별도의 생체 정보 인식 수단과 유선 또는 무선 통신 수단을 통하여 연결될 수 있다. 상기 생체 정보를 입력 받을 수 있는 수단은 예를 들어 지문 인식 스캐너, 홍체 인식을 위한 안구 스캐너이거나, 또는 사용자의 얼굴을 촬영하기 위한 카메라 장치일 수 있다. 또한, 사용자 단말(102)은 사용자가 기 등록한 생체 정보를 저장하기 위한 저장 공간을 더 포함하거나, 또는 별도의 외부 생체 정보 저장 수단과 유선 또는 무선 통신 수단을 통하여 연결될 수 있다. 사용자 단말(102)은 상기 저장 공간에 상기 사용자로부터 등록된 생체 정보를 암호화하여 저장할 수 있다. 상기 단말 내부 또는 외부의 생체 정보 저장 공간은 외부로부터의 악의적 접속 또는 해킹 등의 공격을 방어하기 위한 다양한 기술적 수단들을 포함할 수 있다. 예를 들어, 상기 단말 내부 또는 외부의 생체 정보 저장 공간은 생체 정보를 기 설정된 암호화 알고리즘에 따라 암호화하여 저장하거나, 또는 외부의 악의적인 생체 정보 탈취 등의 방지를 위하여 보안 영역(Secure Element) 등에 구성될 수 있다. 인증 서비스 포털(104)의 인증 요청에 따라 사용자 단말(102)은 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보를 상기 저장 공간에 기 저장된 생체 정보와 비교하여 상기 사용자가 등록된 사용자인지의 여부를 판단하도록 구성될 수 있다.In one embodiment, the
또한, 실시예에 따라 사용자 단말(102)은 동일한 사용자에 대하여 서로 다른 종류의 복수 개의 생체 정보를 저장 및 관리하도록 구성될 수 있다. 이 경우 사용자 단말(102)은 사용자의 최초 인증시 및 재인증시에 각각 서로 다른 생체 정보를 이용함으로써 사용자 인증에 있어서의 보안성을 향상할 수 있다.In addition, according to the embodiment, the
통합 인증 서비스 포털(104)은 서비스 제공자(106)의 요청에 따라 사용자 단말(102)과의 통신을 통하여 사용자 단말(102)의 사용자를 인증하고, 상기 인증 결과를 서비스 제공자(106)에게 제공한다. 일 실시예에서, 통합 인증 서비스 포털(104)은 복수 개의 서비스 제공자(106)의 요청에 따라 각 서비스 제공자(106)에 상기 인증 결과 정보를 제공할 수 있다. 다시 말해, 통합 인증 서비스 포털(104)은 서비스 제공자(106)의 요청에 따라 사용자 단말(102)의 인증을 대행하는 일종의 인증 대행자로서 기능할 수 있다. 또한, 일 실시예에서 통합 인증 서비스 포털(104)은 사용자가 한 번의 인증 과정만으로 별도의 로그인 없이 후술할 서비스 제공자(106)에 접속할 수 있도록 하는 싱글 사인-온(SSO, Single Sign-On) 기능을 제공하는 서버일 수 있다. 또한, 통합 인증 서비스 포털(104)은 사용자가 하나의ID로 후술할 서비스 제공자(106)에 접속할 수 있도록 하는 통합ID 인증 기능을 제공하는 서버일 수 있다.The integrated
서비스 제공자(106)는 사용자 단말(102)의 요청에 따라 사용자 단말(102)로 웹 서비스를 제공하기 위한 서버이다. 예를 들어, 서비스 제공자(106)는 전자상거래를 위한 온라인 쇼핑 서비스, 온라인 금융 거래 서비스 등을 제공할 수 있다. 도시된 바와 같이, 네트워크상에는 하나 이상의 서비스 제공자(106)가 각각 서로 다른 웹 서비스를 제공할 수 있다. 도시된 실시예에서는 서비스 제공자 1(106-1), 서비스 제공자 2(106-1), 내지 서비스 제공자 N(106-N)을 포함하는 N개의 서비스 제공자(106)가 존재하는 것으로 도시하였다. 본 발명과 관련된 상세한 설명에서는 특별히 어느 하나의 서비스 제공자를 지칭할 경우는 “서비스 제공자 K(106-K)” 등과 같이 별도의 번호를 하이픈 뒤에 붙여 기술하고, 전체 서비스 제공자에 공통되는 사항을 설명할 경우에는 “서비스 제공자(106)”와 같이 기술하기로 한다.The
서비스 제공자(106)는 사용자 단말(102)로부터 접속 요청을 수신하고, 상기 접속 요청에 따라 서비스 제공자(106)로 사용자 단말(102)에 대한 인증 대행을 요청한다. 이후, 통합 인증 서비스 포털(104)로부터 상기 사용자에 대한 인증 결과가 수신되면, 서비스 제공자(106)는 수신된 상기 인증 결과에 따라 사용자 단말(102)의 상기 접속 요청을 승인 또는 거절하게 된다.The
한편, 서비스 제공자(106)는 접속 요청을 승인한 사용자 단말(102)로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 통합 인증 서비스 포털(104)로 상기 사용자 단말(102)의 재인증 대행 요청을 송신할 수 있으며, 통합 인증 서비스 포털(104)은 상기 사용자 단말(102)에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다. 이 경우 서비스 제공자(106)는, 상기 통합 인증 서비스 포털(104)로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말(102)의 접속을 유지하거나 또는 해제할 수 있다. 전술한 바와 같이, 사용자 단말(102)은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리할 수 있다. 이 경우 통합 인증 서비스 포털(104)은 사용자 단말(102) 사용자의 최초 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증할 수 있다. 예를 들어, 통합 인증 서비스 포털(104)은 사용자의 최초 인증시에는 지문 정보를 이용하여 인증을 수행하고, 이후의 재인증시에는 안면 인식 정보를 이용하도록 구성될 수 있다.On the other hand, when the message is not received from the
상기와 같은 사용자 단말(102) 사용자의 재인증은 전술한 바와 같이 서비스 제공자(106)의 요청에 의해 이루어질 수도 있으나, 실시예에 따라 사용자 단말(102)에서 주기적으로 생체 정보를 재인증하고 재인증 결과를 통합 인증 서비스 포털(104)로 제공하는 것 또한 가능하다. 예를 들어, 사용자 단말(102)은 기 설정된 재인증 주기별로 사용자 단말(102)로부터 사용자의 안면을 촬영하고, 촬영된 안면 정보가 기 저장된 정보와 동일한지의 여부를 통합 인증 서비스 포털(104)로 송신할 수 있다. 사용자 단말(102)은, 입력된 생체 정보가 상기 사용자 단말(102)에 저장된 생체 정보와 동일한 것으로 판단되는 경우 상기 사용자의 재인증에 성공한 것으로 판단할 수 있다.The re-authentication of the user of the
상기 재인증 결과가 수신되면, 통합 인증 서비스 포털(104)은 수신된 재인증 결과를 서비스 제공자(106)로 제공하고, 서비스 제공자(106)는 수신된 재인증 결과에 따라 사용자 단말(102)의 접속을 유지 또는 해제할 수 있다. 이와 같이 구성될 경우, 만약 사용자의 최초 인증 후 사용자 단말(102)이 악의적 제3자의 손으로 넘어간 경우에도 생체 정보의 재인증에 따라 사용자 변경을 감지할 수 있으므로 서비스의 보안성을 한 층 강화할 수 있다. 전술한 실시예와 마찬가지로, 본 실시예 또한 최초 인증시의 생체 정보와 재인증 시의 생체 정보는 그 종류가 상이한 것일 수 있다.
When the re-authentication result is received, the integrated
도 2는 본 발명의 일 실시예에 따른 사용자 단말(102)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 사용자 단말(102)은 사용자 에이전트(202), 인증 클라이언트(204) 및 생체 인식부(206)를 포함한다.2 is a block diagram illustrating a detailed configuration of a
사용자 에이전트(202)는 서비스 제공자(106)와의 메시지 송수신을 통해 사용자에게 서비스 제공자(106)의 서비스를 제공하기 위한 매개체이다. 예를 들어, 사용자 에이전트(202)는 사용자 단말(102)에서 동작하는 웹 브라우저 또는 서비스 제공자(106)로부터 제공되는 전용 애플리케이션일 수 있다.The
인증 클라이언트(204)는 통합 인증 서비스 포털(104)에 구비된 인증 서버(304)와의 통신을 통해 사용자 인증을 수행하기 위한 클라이언트 모듈이다. 구체적으로, 인증 클라이언트(204)는 통합 인증 서비스 포털(104)로부터 사용자 인증 정보 요청이 수신되는 경우, 사용자 단말(102)의 생체 인식부(206)를 제어하여 상기 인증 정보 요청에 대응되는 인증 정보를 생성한다. 생체 인식부(206)로부터 상기 인증 정보가 수신되면 인증 클라이언트(206)는 수신된 정보를 통합 인증 서비스 포털(104)로 제공한다. 인증 클라이언트(204)는 사용자 인증에 앞서 사용자 에이전트(202)의 인증을 먼저 수행함으로써 악성 애플리케이션이 사용자 에이전트(202)를 사칭하여 인증 정보 등을 도용하는 것을 차단할 수 있다. 예를 들어, 인증 클라이언트(204)는 통합 인증 서비스 포털(104)로부터 신뢰 가능한 애플리케이션의 리스트를 제공받고, 상기 리스트와 사용자 에이전트(202)를 비교하여 사용자 에이전트(202)가 신뢰 가능한지의 여부를 판단할 수 있다.The
생체 인식부(206)는 인증 클라이언트(204)의 요청에 따라 사용자의 생체 정보를 인식하고, 인식된 생체 정보와 사용자에 의해 기 등록된 생체 정보를 비교하여 사용자 인증을 수행한다. 생체 인식부(206)는 사용자로부터 생체 정보를 입력 받을 수 있는 수단(생체 인식 센서)을 포함하거나, 또는 상기 수단과 유선 또는 무선 통신 수단을 통하여 연결될 수 있다. 전술한 바와 같이, 상기 생체 정보는 지문, 홍체, 안면 인식 정보 등 타 사용자와 구별될 수 있는 사용자의 모든 신체적 특징 정보를 포함할 수 있다. 생체 인식부(206)는 사용자로부터 기 등록된 생체 정보를 안전하게 저장하고, 이로부터 인증 정보를 생성하기 위한 보안 모듈을 더 포함할 수 있다. 실시예에 따라 상기 생체 정보는 외부의 생체 저장 공간에 저장될 수도 있음은 전술하였다.The
실시예에 따라 생체 인식부(206)는 동일한 사용자에 대하여 서로 다른 종류의 복수 개의 생체 정보를 저장 및 관리하도록 구성될 수 있다. 이 경우 생체 인식붐(206)는 사용자의 최초 인증시 및 재인증시에 각각 서로 다른 생체 정보를 이용함으로써 사용자 인증에 있어서의 보안성을 향상할 수 있다.According to an embodiment, the
통합 인증 서비스 포털(104)의 인증 서버(304)로부터 사용자 인증 정보 요청이 수신되면, 인증 클라이언트(204)는 생체 인식부(206)로 상기 인증 정보 요청에 대응되는 인증 정보의 생성을 요청할 수 있다. 일 실시예에서, 상기 인증 정보 요청에는 사용자 인증에 사용되는 일회용 난수(랜덤값)가 포함될 수 있다. 그러면 생체 인식부(206)는 생체 인식 센서를 이용하여 사용자의 생체 정보를 입력받고, 입력된 생체 정보를 상기 보안 모듈에 기 등록된 생체 정보와 비교한다. 만약 상기 비교 결과 입력된 생체 정보가 기 등록된 정보와 일치하는 경우, 인증 클라이언트(204)는 상기 랜덤값을 기 약속된 사용자 개인키로 서명하고, 상기 서명값을 인증 정보로서 인증 클라이언트(204)로 전달한다. 이후, 인증 클라이언트(204)는 상기 서명값을 포함하는 인증 정보를 통합 인증 서비스 포털(104)의 인증 서버(304)로 송신한다. 이후 인증 서버(304)는 상기 사용자 개인키에 대응되는 공개키를 이용하여 상기 서명값을 검증한다. 예를 들어, 인증 서버(304)는 단말로부터 수신한 랜덤값과 최초 송신한 랜덤값의 동일성을 확인하고, 동일할 경우 상기 공개키로 상기 서명값을 검증하고, 검증결과에 따라 사용자의 인증에 성공 또는 실패한 것으로 판단할 수 있다.
When the user authentication information request is received from the
도 3은 본 발명의 일 실시예에 따른 통합 인증 서비스 포털(104)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 일 실시예에 따른 통합 인증 서비스 포털(104)은 인증 서비스 서버(302), 인증 서버(304) 및 인증 정보 데이터베이스(306)를 포함한다.3 is a block diagram illustrating a detailed configuration of an integrated
인증 서비스 서버(302)는 서비스 제공자(106)로부터 사용자 단말(102) 사용자의 인증 대행 요청을 수신하고, 인증 서버(304)로 사용자의 인증을 요청한다. 이후, 인증 서버(304)로부터 상기 사용자의 인증 결과가 수신되면, 인증 서비스 서버(302)는 상기 인증 결과를 서비스 제공자(106)에게 제공한다.The
인증 서버(304)는 인증 서비스 서버(302)의 요청에 따라 사용자 단말(102)의 인증 클라이언트(204)와의 통신을 통하여 사용자 인증을 수행하고, 인증 결과를 인증 서비스 서버(302)로 반환한다. 도 2에서 기술한 바와 같이, 인증 서버(304)는 임의의 랜덤값을 포함하는 인증 요청을 사용자 단말(102)로 송신하고, 사용자 단말(102)로부터 상기 인증 정보 요청에 대한 인증 정보가 수신되는 경우, 상기 사용자 개인키에 대응되는 공개키를 이용하여 상기 인증 정보에 포함된 서명값을 검증하게 된다. The
인증 정보 데이터베이스(306)는 인증 서버(304)에서 사용자 단말(102)의 사용자를 인증하는 데 필요한 정보가 저장된다. 일 실시예에서, 인증 정보 데이터베이스(306)는 상기 사용자 및/또는 사용자 단말(102)을 식별하기 위한 정보, 사용자 단말(102)로부터 수신되는 인증 정보를 검증하기 위하여 사용자 각 단말(102) 별로 사전에 공유된 공개키 등의 정보를 저장할 수 있다.
The
도 4는 본 발명의 다른 실시예에 따른 통합 인증 서비스 포털(104)의 상세 구성을 설명하기 위한 블록도이다. 도시된 바와 같이, 본 발명의 다른 실시예에 따른 통합 인증 서비스 포털(104)은 인증 서비스 서버(302), 인증 서버(304), 인증 정보 데이터베이스(306), 신원 확인 정보 수집 서버(402) 및 신원 확인 정보 데이터베이스(404)를 포함할 수 있다. 이 중 도 3과 동일한 식별 번호로 표기된 인증 서비스 서버(302), 인증 서버(304) 및 인증 정보 데이터베이스(306)는 실질적으로 도 3에서 설명한 것과 동일한 기능을 수행하는 바, 여기서는 반복되는 설명을 생략하기로 한다.4 is a block diagram illustrating a detailed configuration of an integrated
신원 확인 정보 수집 서버(402)는 사용자 단말(102) 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 외부의 신원 확인 서비스 제공 서버(미도시)로부터 수집한다. 그리고 신원 확인 정보 데이터베이스(404)는 신원 확인 정보 수집 서버(402)에서 수집된 신원 확인 정보를 저장 및 관리한다.The identity confirmation
상기 신원 확인 수단은, 예를 들어 공인인증서, 아이핀(I-PIN; Internet Personal Identification Number), 지핀(G-PIN, Government Personal Identification Number), 신용카드 번호, 이메일 주소, 대면확인, 원격 대면확인, 이동통신 가입 정보, OTP(One-Time Password) 등일 수 있으며, 상기 신원 확인 결과는 해당 신원 확인 수단을 통하여 수행된 사용자의 신원 확인 결과(성공 또는 실패)에 대한 정보일 수 있다. 예를 들어, 신원 확인 정보 수집 서버(402)는 소정의 공인인증서 관리 기관 서버(미도시)로부터 사용자의 공인인증서를 이용한 인증 실시 여부 및 인증 결과 정보를 수신하고 이를 신원 확인 정보 데이터베이스(404)에 저장할 수 있다. The identity verification means may include, for example, a public certificate, an I-PIN (Internet Personal Identification Number), a G-PIN (Government Personal Identification Number), a credit card number, Mobile communication subscription information, OTP (One-Time Password), etc., and the result of the identity verification may be information on the identity verification result (success or failure) of the user performed through the corresponding identity verification means. For example, the identity confirmation
신원 확인 정보 수집 서버(402)는 인증 서버(304)에서 상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 서비스 제공자(106)로 제공할 수 있다. The identity verification
이와 같이 통합 인증 서비스 포털(104)에서 별도로 신원 확인 정보를 수집하여 제공할 경우, 온라인 금융 서비스 등과 같이 사용자 인증 이외에 별도로 사용자의 신원 확인 정보가 필요한 서비스에도 효과적으로 대응할 수 있게 된다. 예를 들어, 서비스 제공자(106)는 신원 확인 정보 수집 서버(402)로부터의 신원 확인 정보 제공 유무 또는 제공되는 신원 확인 수단의 종류에 따라 사용자별로 서로 다른 수준 내지 종류의 서비스를 제공할 수 있게 된다.
When collecting and providing the identification information separately from the integrated
도 5는 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 방법(500)을 설명하기 위한 흐름도이다.FIG. 5 is a flowchart illustrating a biometric-based
단계 502에서, 사용자 단말(102)은 서비스 제공자(106)에 대한 로그인을 요청한다.At
단계 504에서, 서비스 제공자(106)는 로그인을 요청한 사용자 단말(102)을 통합 인증 서비스 포털(104)로 리다이렉트(redirect)하고, 통합 인증 서비스 포털(104)로 사용자 단말(102)에 대한 인증 대행을 요청한다.In
단계 506에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로 인증 정보를 요청한다. 전술한 바와 같이, 상기 인증 정보 요청에는 통합 인증 서비스 포털(104)이 생성한 임의의 랜덤값이 포함된다.In
단계 508에서, 사용자 단말(102)은 상기 인증 정보 요청에 따라 사용자의 생체 정보를 인식하고 이로부터 인증 정보를 생성한다. 구체적으로, 사용자 단말(102)은 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말(102)에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 요청에 포함된 상기 랜덤값을 사용자 개인키로 서명하여 상기 인증 정보를 생성하게 된다.In
단계 510에서, 사용자 단말(102)은 상기 랜덤값에 대한 서명값을 포함하는 상기 인증 정보를 통합 인증 서비스 포털(104)로 송신한다. At
단계 512에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로부터 수신되는 상기 인증 정보에 포함된 서명값을 상기 사용자 개인키에 대응되는 공개키를 이용하여 검증하고, 상기 검증 결과에 따라 상기 사용자의 인증 성공 여부를 판단한 뒤, 인증 결과를 서비스 제공자(106)에게 송신한다.In
단계 514에서, 서비스 제공자(106)는 통합 인증 서비스 포털(104)로부터 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절한다.
In
도 6은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)에서 서비스 제공자(106)의 요청에 따른 재인증 과정(600)을 설명하기 위한 흐름도이다.FIG. 6 is a flowchart illustrating a
단계 602에서, 서비스 제공자(106)는 접속 요청을 승인한 사용자의 재인증 필요 여부를 판단한다. 예를 들어, 서비스 제공자(106)는 상기 사용자 단말(102)로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 또는 기 설정된 재인증 주기가 경과한 경우 사용자 단말(102)의 재인증이 필요한 것으로 판단할 수 있다.In
단계 604에서, 서비스 제공자(106)는 재인증이 필요한 것으로 판단되는 사용자 단말(102)의 재인증 대행을 통합 인증 서비스 포털(104)로 요청한다.In
단계 606에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로 재인증 정보를 요청한다. 전술한 바와 같이, 상기 인증 정보 요청 또한 통합 인증 서비스 포털(104)이 생성한 임의의 랜덤값이 포함된다.In
단계 608에서, 사용자 단말(102)은 상기 재인증 정보 요청에 따라 사용자의 생체 정보를 인식하고 이로부터 재인증 정보를 생성한다. 구체적으로, 사용자 단말(102)은 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말(102)에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 요청에 포함된 상기 랜덤값을 사용자 개인키로 서명하여 상기 재인증 정보를 생성하게 된다. 일 실시예에서, 사용자 단말(102)은 최초의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 재인증 정보를 생성할 수 있다.In
단계 610에서, 사용자 단말(102)은 생성된 상기 랜덤값에 대한 서명값을 포함하는 상기 재인증 정보를 통합 인증 서비스 포털(104)로 송신한다.In
단계 612에서, 통합 인증 서비스 포털(104)은 사용자 단말(102)로부터 수신되는 상기 재인증 정보에 포함된 서명값을 상기 사용자 개인키에 대응되는 공개키를 이용하여 검증하고, 상기 검증 결과에 따라 상기 사용자의 재인증 성공 여부를 판단한 뒤, 재인증 결과를 서비스 제공자(106)에게 송신한다. In
단계 614에서, 서비스 제공자(106)는 통합 인증 서비스 포털(104)로부터 수신된 상기 재인증 결과에 따라 사용자 단말(102)의 접속을 유지 또는 해제한다.
In
도 7은 본 발명의 일 실시예에 따른 생체 인식 기반의 통합 인증 시스템(100)에서 사용자 단말(102)의 재인증 과정(700)을 설명하기 위한 흐름도이다.FIG. 7 is a flowchart illustrating a
단계 702에서, 사용자 단말(102)은 사용자의 생체 정보 재인증 필요 여부를 판단한다. 예를 들어, 사용자 단말(102)은 기 설정된 재인증 주기가 경과한 경우 사용자의 생체 정보 재인증이 필요한 것으로 판단할 수 있다.In
단계 704에서, 사용자 단말(102)은 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보와 사용자 단말(102)에 저장된 생체 정보의 동일성 여부에 대한 비교 결과를 통합 인증 서비스 포털(104)로 송신한다. 일 실시예에서 사용자 단말(102)은 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 사용자 단말(102)의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말(102)로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 통합 인증 서비스 포털(104)로 전송할 수 있다.In
단계 706에서, 사용자 단말(102)은 수신된 상기 비교 결과를 통합 인증 서비스 포털(104)로 송신한다.In
단계 708에서, 통합 인증 서비스 포털(104)은 수신된 상기 사용자 단말(102)의 비교 결과에 따라 재인증에 성공했는지의 여부를 판단한다. 예를 들어, 통합 인증 서비스 포털(104)은 입력된 생체 정보와 사용자 단말(102)에 저장된 생체 정보가 동일한 경우 재인증에 성공한 것으로, 상이한 경우 재인증에 실패한 것으로 판단할 수 있다.In step 708, the integrated
단계 710에서, 통합 인증 서비스 포털(104)은 재인증 결과를 서비스 제공자(106)에게 제공한다.In step 710, the integrated
단계 712에서, 서비스 제공자(106)는 통합 인증 서비스 포털(104)로부터 수신된 상기 재인증 결과에 따라 사용자 단말(102)의 접속을 유지 또는 해제한다.
In
한편, 본 발명의 실시예는 본 명세서에서 기술한 방법들을 컴퓨터상에서 수행하기 위한 프로그램, 및 상기 프로그램을 포함하는 컴퓨터 판독 가능 기록매체 또는 저장매체를 포함할 수 있다. 상기 컴퓨터 판독 가능 기록매체 또는 저장매체는 프로그램 명령, 로컬 데이터 파일, 로컬 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나, 또는 컴퓨터 소프트웨어 분야에서 통상적으로 사용 가능한 것일 수 있다. 컴퓨터 판독 가능 기록매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광 기록 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 상기 프로그램의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함할 수 있다.On the other hand, an embodiment of the present invention may include a program for executing the methods described herein on a computer, and a computer-readable recording medium or a storage medium including the program. The computer-readable recording medium or storage medium may include program instructions, local data files, local data structures, etc., alone or in combination. The media may be those specially designed and constructed for the present invention, or may be those that are commonly used in the field of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape, optical recording media such as CD-ROMs and DVDs, and specifically configured to store and execute program instructions such as ROM, RAM, flash memory, Hardware devices. Examples of such programs may include machine language code such as those produced by a compiler, as well as high-level language code that may be executed by a computer using an interpreter or the like.
이상에서 본 발명의 대표적인 실시예들을 상세하게 설명하였으나, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 상술한 실시예에 대하여 본 발명의 범주에서 벗어나지 않는 한도 내에서 다양한 변형이 가능함을 이해할 것이다. 그러므로 본 발명의 권리범위는 설명된 실시예에 국한되어 정해져서는 안 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, . Therefore, the scope of the present invention should not be limited to the above-described embodiments, but should be determined by equivalents to the appended claims, as well as the appended claims.
100: 생체 인식 기반의 통합 인증 시스템
102: 사용자 단말
104: 통합 인증 서비스 포털
106: 서비스 제공자
202: 사용자 에이전트
204: 인증 클라이언트
206: 생체 인식부
302: 인증 서비스 서버
304: 인증 서버
306: 인증 정보 데이터베이스
402: 신원 확인 정보 수집 서버
404: 신원 확인 정보 데이터베이스100: Integrated biometric authentication system
102: user terminal
104: Integrated Authentication Service Portal
106: Service Provider
202: User agent
204: Authentication Client
206: biometric section
302: Authentication service server
304: Authentication server
306: Authentication information database
402: Identity verification information collection server
404: Identity verification information database
Claims (20)
상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하고, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 통합 인증 서비스 포털을 포함하며,
상기 서비스 제공자 서버는 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는, 생체 인식 기반의 통합 인증 시스템.
A service provider server for receiving a connection request from a user terminal; And
And an integrated authentication service portal for receiving an authentication request for the user terminal from the service provider server and authenticating the user using biometric information of the user stored in the user terminal,
Wherein the service provider server receives an authentication result for the user from the integrated authentication service portal and approves or rejects the connection request according to the received authentication result.
상기 통합 인증 서비스 포털은, 상기 인증 대행 요청이 수신됨에 따라 임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하며,
상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보가 수신되는 경우, 상기 서명값을 검증함으로써 상기 사용자를 인증하는, 생체 인식 기반의 통합 인증 시스템.
The method according to claim 1,
The integrated authentication service portal transmits an authentication information request including an arbitrary random value to the user terminal upon receiving the authentication proxy request,
And authenticates the user by verifying the signature value when authentication information including a signature value for the random value is received from the user terminal.
상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 2,
Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request And transmits the authentication result to the integrated authentication service portal.
상기 통합 인증 서비스 포털은, 상기 개인키에 대응되는 공개키를 이용하여 상기 서명값을 검증하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 3,
Wherein the integrated authentication service portal verifies the signature value using a public key corresponding to the private key.
상기 서비스 제공자 서버는, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우, 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하며,
상기 통합 인증 서비스 포털은, 상기 재인증 대행 요청에 따라 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 재인증하는, 생체 인식 기반의 통합 인증 시스템.
The method according to claim 1,
Wherein the service provider server transmits a request for re-authentication of the user terminal to the integrated authentication service portal when a message is not received from the user terminal that has approved the connection request for a preset period of time,
Wherein the integrated authentication service portal re-authenticates the user using biometric information of the user stored in the user terminal according to the re-authentication request.
상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 5,
Wherein the service provider server maintains or releases the connection of the user terminal according to a result of re-authentication of the user received from the integrated authentication service portal.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며,
상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 6,
Wherein the user terminal stores and manages a plurality of different types of biometric information corresponding to the user,
Wherein the integrated authentication service portal re-authenticates the user using biometric information different from the biometric information used at the time of authentication of the user terminal.
상기 통합 인증 서비스 포털은, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 상기 사용자 단말로부터 수신하고, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하며,
상기 서비스 제공자 서버는, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는, 생체 인식 기반의 통합 인증 시스템.
The method according to claim 1,
The integrated authentication service portal receives from the user terminal a result of comparison between the biometric information input from the user and the biometric information stored in the user terminal for each predetermined re-authentication period, Provides the re-authentication result to the service provider server,
Wherein the service provider server maintains or releases connection of the user terminal according to the re-authentication result.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공하는, 생체 인식 기반의 통합 인증 시스템.
The method of claim 8,
The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the stored biometric information, and provides the comparison result to the integrated authentication service portal.
상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며,
상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공하는, 통합 인증 시스템.
The method according to claim 1,
Wherein the integrated authentication service portal stores and manages identification information including an identity verification result of the user and an identity verification result using the identity verification means,
And provides the identification information corresponding to the authenticated user to the service provider server when the authentication of the user is successful.
통합 인증 서비스 포털에서, 상기 서비스 제공자 서버로부터 상기 사용자 단말에 대한 인증 대행 요청을 수신하는 단계;
상기 통합 인증 서비스 포털에서, 상기 사용자 단말에 저장된 사용자의 생체 정보를 이용하여 상기 사용자를 인증하는 단계; 및
상기 서비스 제공자 서버에서, 상기 통합 인증 서비스 포털로부터 상기 사용자에 대한 인증 결과를 수신하고, 수신된 상기 인증 결과에 따라 상기 접속 요청을 승인 또는 거절하는 단계를 포함하는, 생체 인식 기반의 통합 인증 방법.
Receiving, at the service provider server, a connection request from a user terminal;
Receiving, at the integrated authentication service portal, an authentication proxy request for the user terminal from the service provider server;
Authenticating the user using biometric information of the user stored in the user terminal in the integrated authentication service portal; And
Receiving, at the service provider server, an authentication result for the user from the integrated authentication service portal, and accepting or rejecting the connection request according to the received authentication result.
상기 사용자를 인증하는 단계는,
임의의 랜덤값을 포함하는 인증 정보 요청을 상기 사용자 단말로 송신하는 단계;
상기 사용자 단말로부터 상기 랜덤값에 대한 서명값을 포함하는 인증 정보를 수신하는 단계; 및
상기 인증 정보에 포함된 상기 서명값을 검증하는 단계를 더 포함하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 11,
Wherein authenticating the user comprises:
Transmitting an authentication information request including an arbitrary random value to the user terminal;
Receiving authentication information including a signature value for the random value from the user terminal; And
Further comprising verifying the signature value included in the authentication information.
상기 사용자 단말은, 상기 사용자로부터 생체 정보를 입력받고, 입력된 생체 정보가 상기 사용자 단말에 저장된 생체 정보와 동일한 것으로 판단되는 경우, 상기 인증 정보 요청에 포함된 상기 랜덤값을 상기 사용자의 개인키로 서명하여 상기 통합 인증 서비스 포털로 송신하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 12,
Wherein the user terminal receives the biometric information from the user and when the input biometric information is determined to be the same as the biometric information stored in the user terminal, the user terminal uses the user's private key to sign the random value included in the authentication information request To the integrated authentication service portal, the biometric authentication integrated authentication method.
상기 서명값을 검증하는 단계는, 상기 개인키에 대응하는 공개키를 이용하여 상기 서명값을 검증하는, 생체 인식 기반의 통합 인증 방법.
14. The method of claim 13,
Wherein the verifying the signature value verifies the signature value using a public key corresponding to the private key.
상기 접속 요청을 승인 또는 거절하는 단계의 수행 후,
상기 서비스 제공자 서버에서, 접속 요청을 승인한 상기 사용자 단말로부터 기 설정된 기간 동안 메시지가 수신되지 않는 경우 상기 통합 인증 서비스 포털로 상기 사용자 단말의 재인증 대행 요청을 송신하는 단계; 및
상기 통합 인증 서비스 포털에서, 상기 재인증 대행 요청에 따라 상기 사용자 단말의 재인증을 수행하는 단계를 더 포함하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 11,
After performing the step of approving or rejecting the connection request,
Transmitting, by the service provider server, a request for re-authentication of the user terminal to the integrated authentication service portal when a message is not received from the user terminal that has approved the connection request for a predetermined period of time; And
Further comprising performing, at the integrated authentication service portal, re-authentication of the user terminal according to the re-authentication request.
상기 서비스 제공자 서버는, 상기 통합 인증 서비스 포털로부터 수신되는 상기 사용자의 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는, 생체 인식 기반의 통합 인증 방법.
16. The method of claim 15,
Wherein the service provider server maintains or releases the connection of the user terminal according to the re-authentication result of the user received from the integrated authentication service portal.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며,
상기 통합 인증 서비스 포털은, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 이용하여 상기 사용자를 재인증하는, 생체 인식 기반의 통합 인증 방법.
18. The method of claim 16,
Wherein the user terminal stores and manages a plurality of different types of biometric information corresponding to the user,
Wherein the integrated authentication service portal re-authenticates the user using biometric information different from the biometric information used at the time of authentication of the user terminal.
상기 접속 요청을 승인 또는 거절하는 단계의 수행 후,
상기 통합 인증 서비스 포털에서, 기 설정된 재인증 주기별로 상기 사용자로부터 입력된 생체 정보와 상기 사용자 단말에 저장된 생체 정보와의 동일성 여부에 대한 비교 결과를 제공받는 단계;
상기 통합 인증 서비스 포털에서, 수신된 상기 비교 결과에 따른 재인증 결과를 상기 서비스 제공자 서버로 제공하는 단계; 및
상기 서비스 제공자 서버에서, 상기 재인증 결과에 따라 상기 사용자 단말의 접속을 유지 또는 해제하는 단계를 더 포함하는, 생체 인식 기반의 통합 인증 방법.
The method of claim 11,
After performing the step of approving or rejecting the connection request,
Receiving a comparison result as to whether the biometric information input from the user is identical to the biometric information stored in the user terminal in the integrated authentication service portal in a predetermined re-authentication period;
Providing, in the integrated authentication service portal, the re-authentication result according to the received comparison result to the service provider server; And
Further comprising the step of maintaining or releasing the connection of the user terminal according to a result of the re-authentication at the service provider server.
상기 사용자 단말은, 상기 사용자와 대응되는 복수 개의 서로 다른 종류의 생체 정보를 저장 및 관리하며, 상기 사용자 단말의 인증시에 사용된 생체 정보와 다른 종류의 생체 정보를 상기 사용자 단말로부터 입력받고, 입력된 생체 정보를 기 저장된 생체 정보와 비교한 뒤, 비교 결과를 상기 통합 인증 서비스 포털로 제공하는, 생체 인식 기반의 통합 인증 방법.
19. The method of claim 18,
The user terminal stores and manages a plurality of different types of biometric information corresponding to the user, receives input from the user terminal of a different type of biometric information than the biometric information used at the time of authentication of the user terminal, Compares the biometric information with the stored biometric information, and provides the comparison result to the integrated authentication service portal.
상기 통합 인증 서비스 포털은, 상기 사용자의 신원 확인 수단 및 상기 신원 확인 수단을 이용한 신원 확인 결과를 포함하는 신원 확인 정보를 저장 및 관리하며,
상기 사용자의 인증에 성공한 경우, 인증된 사용자에 대응되는 상기 신원 확인 정보를 상기 서비스 제공자 서버로 제공하는, 통합 인증 방법.
The method of claim 11,
Wherein the integrated authentication service portal stores and manages identification information including an identity verification result of the user and an identity verification result using the identity verification means,
And provides the identification information corresponding to the authenticated user to the service provider server when the authentication of the user is successful.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140130185A KR102284876B1 (en) | 2014-09-29 | 2014-09-29 | System and method for federated authentication based on biometrics |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140130185A KR102284876B1 (en) | 2014-09-29 | 2014-09-29 | System and method for federated authentication based on biometrics |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20160037520A true KR20160037520A (en) | 2016-04-06 |
KR102284876B1 KR102284876B1 (en) | 2021-08-02 |
Family
ID=55790485
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140130185A KR102284876B1 (en) | 2014-09-29 | 2014-09-29 | System and method for federated authentication based on biometrics |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102284876B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180087739A (en) * | 2017-01-25 | 2018-08-02 | 주식회사 하이마루 | A FIDO authentication device capable of identity confirmation or non-repudiation and the method thereof |
WO2018186606A1 (en) * | 2017-04-02 | 2018-10-11 | 주식회사 키페어 | Terminal having local web server function for biometric authentication, and user authentication system and method using same |
WO2019032113A1 (en) * | 2017-08-10 | 2019-02-14 | Visa International Service Association | Biometric verification process using certification token |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006092530A (en) * | 2004-08-26 | 2006-04-06 | Ihc:Kk | Authentication system |
KR100875741B1 (en) * | 2007-04-18 | 2008-12-24 | 주식회사 케이티프리텔 | Binding update method in mobile IPv6 and mobile terminal performing the method |
JP4672593B2 (en) * | 2006-05-02 | 2011-04-20 | 日本電信電話株式会社 | ID-linked authentication system and ID-linked authentication method |
KR20110081103A (en) * | 2010-01-06 | 2011-07-13 | 벌리더티 센서스 인코포레이티드 | Secure transaction systems and methods |
KR20140050121A (en) | 2012-10-12 | 2014-04-29 | 국민대학교산학협력단 | System and method for certificate delegation |
-
2014
- 2014-09-29 KR KR1020140130185A patent/KR102284876B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006092530A (en) * | 2004-08-26 | 2006-04-06 | Ihc:Kk | Authentication system |
JP4672593B2 (en) * | 2006-05-02 | 2011-04-20 | 日本電信電話株式会社 | ID-linked authentication system and ID-linked authentication method |
KR100875741B1 (en) * | 2007-04-18 | 2008-12-24 | 주식회사 케이티프리텔 | Binding update method in mobile IPv6 and mobile terminal performing the method |
KR20110081103A (en) * | 2010-01-06 | 2011-07-13 | 벌리더티 센서스 인코포레이티드 | Secure transaction systems and methods |
KR20140050121A (en) | 2012-10-12 | 2014-04-29 | 국민대학교산학협력단 | System and method for certificate delegation |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180087739A (en) * | 2017-01-25 | 2018-08-02 | 주식회사 하이마루 | A FIDO authentication device capable of identity confirmation or non-repudiation and the method thereof |
WO2018186606A1 (en) * | 2017-04-02 | 2018-10-11 | 주식회사 키페어 | Terminal having local web server function for biometric authentication, and user authentication system and method using same |
WO2019032113A1 (en) * | 2017-08-10 | 2019-02-14 | Visa International Service Association | Biometric verification process using certification token |
US11018870B2 (en) | 2017-08-10 | 2021-05-25 | Visa International Service Association | Biometric verification process using certification token |
US11736296B2 (en) | 2017-08-10 | 2023-08-22 | Visa International Service Association | Biometric verification process using certification token |
Also Published As
Publication number | Publication date |
---|---|
KR102284876B1 (en) | 2021-08-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11657396B1 (en) | System and method for bluetooth proximity enforced authentication | |
US10326761B2 (en) | Web-based user authentication techniques and applications | |
EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
EP3195108B1 (en) | System and method for integrating an authentication service within a network architecture | |
CN106575416B (en) | System and method for authenticating a client to a device | |
US10762181B2 (en) | System and method for user confirmation of online transactions | |
US9219732B2 (en) | System and method for processing random challenges within an authentication framework | |
US9306754B2 (en) | System and method for implementing transaction signing within an authentication framework | |
CN108810021B (en) | Query system and method for determining verification function | |
KR102439782B1 (en) | System and method for implementing a hosted authentication service | |
US20170109751A1 (en) | System and method for carrying strong authentication events over different channels | |
US8990572B2 (en) | Methods and systems for conducting smart card transactions | |
US20140189791A1 (en) | System and method for implementing privacy classes within an authentication framework | |
US10848309B2 (en) | Fido authentication with behavior report to maintain secure data connection | |
KR20220167366A (en) | Cross authentication method and system between online service server and client | |
US9413533B1 (en) | System and method for authorizing a new authenticator | |
KR102284876B1 (en) | System and method for federated authentication based on biometrics | |
TW202207667A (en) | Authentication and validation procedure for improved security in communications systems | |
KR101740574B1 (en) | Certification method using autograph of confirmor and fintech system | |
KR101697758B1 (en) | Iris Certification System and Method thereof | |
Kreshan | THREE-FACTOR AUTHENTICATION USING SMART PHONE |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |