KR20220169021A - Method and system for providing finance authentication service based on open api - Google Patents

Method and system for providing finance authentication service based on open api Download PDF

Info

Publication number
KR20220169021A
KR20220169021A KR1020210078517A KR20210078517A KR20220169021A KR 20220169021 A KR20220169021 A KR 20220169021A KR 1020210078517 A KR1020210078517 A KR 1020210078517A KR 20210078517 A KR20210078517 A KR 20210078517A KR 20220169021 A KR20220169021 A KR 20220169021A
Authority
KR
South Korea
Prior art keywords
information
user terminal
authentication
server
storage
Prior art date
Application number
KR1020210078517A
Other languages
Korean (ko)
Other versions
KR102542840B1 (en
Inventor
고재연
김용준
강동진
박태원
박상옥
김재훈
김병국
박현우
김진성
백민우
최하영
김정윤
Original Assignee
사단법인 금융결제원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인 금융결제원 filed Critical 사단법인 금융결제원
Priority to KR1020210078517A priority Critical patent/KR102542840B1/en
Publication of KR20220169021A publication Critical patent/KR20220169021A/en
Application granted granted Critical
Publication of KR102542840B1 publication Critical patent/KR102542840B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

According to an embodiment of the present invention, as a method for a storage server to provide a financial authentication service, a method of providing a financial authentication service comprises: a step of receiving, from the user terminal, an authentication service subscription and device registration request including acquisition information acquired by a financial authentication program of the user terminal; a step of storing the acquired information in its own storage and transmitting stored information including device information of a registered user terminal to the user terminal; a step of receiving a confirmation request for the connection information from an authentication server that has received connection information including the storage information and the acquisition information from the user terminal; and a step of transmitting customer identification information and connected device identification information of the user terminal to the authentication server after confirming the connection information, so that a token including the customer identification information and connected device identification information is issued. Accordingly, the present invention improves security by double encrypting the private key with acquisition information and transmitting it.

Description

오픈 API 기반의 금융 인증 서비스 제공 방법 및 시스템{METHOD AND SYSTEM FOR PROVIDING FINANCE AUTHENTICATION SERVICE BASED ON OPEN API}Method and system for providing financial authentication service based on open API {METHOD AND SYSTEM FOR PROVIDING FINANCE AUTHENTICATION SERVICE BASED ON OPEN API}

본 발명은 오픈 API 기반의 금융 인증 서비스 제공 방법 및 시스템에 관한 것으로, 보다 상세하게는, 인증에 필요한 정보를 이원화하여 등록 및 저장함으로써 제3자에 의한 공격에도 안전성이 향상된 인증 서비스 제공 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for providing an open API-based financial authentication service, and more particularly, to a method and system for providing an authentication service with improved safety against attacks by a third party by dualizing, registering, and storing information necessary for authentication. It is about.

이동통신기술 및 정보통신기술의 발달로, 인터넷을 통한 쇼핑, 금융거래, 비밀 정보의 액세스 등 보안이 필요한 서비스가 대중화됨에 따라 웹사이트에서의 보안은 매우 중요한 이슈가 되고 있다.With the development of mobile communication technology and information communication technology, security on websites has become a very important issue as services requiring security such as shopping, financial transactions, and access to confidential information through the Internet have become popular.

기존의 웹사이트에서 보안을 확보하기 위한 방법 중 하나로, 서비스 제공업체 혹은 보안 서비스 제공업체에서 웹사이트 사용자의 모바일 단말로 인증번호가 포함된 문자메시지를 전송하면, 사용자가 서비스 인증을 위한 입력창에 해당 비밀번호를 입력함으로써 정당한 사용자 여부를 확인하는 방법이 있다.As one of the methods for securing security on existing websites, when a service provider or security service provider sends a text message containing an authentication code to a website user's mobile device, the user enters an input window for service authentication. There is a way to check whether the user is legitimate by entering the corresponding password.

그러나, 이 방법에서는 컴퓨터 바이러스를 사용하여 문자메시지를 다른 장치로 전달하도록 하는 프로그램을 모바일 단말에 불법적으로 심어놓고 인증을 위한 문자메시지를 지정된 단말기로 전달하도록 하면 보안을 깰 수 있다는 문제가 있다. 또한, 모바일 단말기를 분실한 경우에도 보안을 더 이상 유지할 수 없다.However, this method has a problem in that security may be broken if a program for transferring text messages to another device is illegally planted in a mobile terminal using a computer virus and the text message for authentication is transmitted to a designated terminal. In addition, even if the mobile terminal is lost, security cannot be maintained any longer.

한편, 높은 수준의 인증을 필요로 하는 서비스, 예를 들면, 금융 서비스에 있어서는, 공인 인증 기관에 의해 발급된 공인인증서를 일반적으로 사용하였었다. 구체적으로, 은행과 같은 금융거래를 위한 웹사이트, 국세청, 국민건강관리공단과 같은 관공서에서 제공하는 서비스를 이용하기 위해서, 공인인증서를 이용한 로그인 인증이 필수로 요구되었다. 이를 위해서, 사용자는 사용자가 사용하는 모든 PC, 스마트폰과 같은 모바일 단말 또는 휴대용 저장 매체에 공인인증서를 저장하고 휴대하여야 했다. Meanwhile, in services that require a high level of authentication, for example, financial services, public certificates issued by public certification authorities have been generally used. Specifically, in order to use services provided by websites for financial transactions such as banks and public offices such as the National Tax Service and the National Health Service, login authentication using public certificates is required. To this end, the user had to store and carry the public certificate in a mobile terminal or portable storage medium such as all PCs and smartphones used by the user.

또한, PC 또는 모바일 단말이 바이러스에 감염되거나 해킹된 경우, 공인인증서를 이용한 인증 방식도 보안에 취약할 수 있다는 문제가 있었다. In addition, when a PC or mobile terminal is infected with a virus or hacked, there is a problem that an authentication method using an authorized certificate may also be vulnerable to security.

한편, 최근에는 인증 서비스에 대한 규제를 완화하는 개정 전자서명법이 시행됨에 따라 인증서비스의 개선이 가능해졌다. On the other hand, as the revised Digital Signature Act, which eases regulations on authentication services, has recently been implemented, it has become possible to improve authentication services.

개정 전자서명법 시행 이후 핀테크 업체들도 인증 시장에 진입하는 환경에서 금융인증 서비스의 안정성과 편리성을 향상시키기 위한 노력들이 행해지고 있는데, 이 또한, 제3자의 공격 또는 해킹에 있어서 완전한 무결성이 보장된다고 보기는 어려웠다. Efforts are being made to improve the stability and convenience of financial authentication services in an environment where fintech companies also enter the authentication market after the implementation of the revised Digital Signature Act, which also guarantees complete integrity against attacks or hacking by third parties. It was hard to see.

따라서, 간편 인증 방식에 있어서, 높은 수준의 안전성을 보장하는 기술에 대한 개발이 필요한 상황이다. Therefore, in the simple authentication method, it is necessary to develop a technology that guarantees a high level of safety.

본 발명은 전술한 종래기술의 문제점을 해결하기 위한 것이다. The present invention is to solve the problems of the prior art described above.

본 발명의 목적은, 고객 정보 확인 후, 자동 연결을 위한 정보를 저장정보와 획득정보로 이원화하여 등록함으로써, 공격자가 사용자 단말기를 장악해서 저장정보가 유출되어도 보안성이 유지될 수 있도록 하는 것이다. An object of the present invention is to maintain security even if an attacker takes control of a user terminal and leaks stored information by dualizing information for automatic connection into stored information and acquired information after customer information is confirmed and registered.

본 발명의 다른 목적은, 개인키를 획득정보로 이중 암호화하여 전송함으로써, 보안성이 향상될 수 있도록 하는 것이다. Another object of the present invention is to improve security by double-encrypting and transmitting a private key as acquisition information.

본 발명의 또 다른 목적은, 자원에 대한 접근권한으로서 기능하는 각 토큰에 고객 식별정보 및 연결기기 식별정보를 포함시킴으로써, 자원 소유권 확인에 대한 효율성이 향상될 수 있도록 하는 것이다. .Another object of the present invention is to improve the efficiency of resource ownership verification by including customer identification information and connected device identification information in each token serving as an access right to resources. .

본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다.The objects of the present invention are not limited to the objects mentioned above, and other objects not mentioned will be clearly understood from the description below.

상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 저장소 서버가 금융인증 서비스를 제공하기 위한 방법으로서, 사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하는 단계; 상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하는 단계; 상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하는 단계; 및 상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는 단계를 포함하는, 금융인증 서비스 제공 방법이 제공된다. According to an embodiment of the present invention for achieving the above object, as a method for a storage server to provide a financial authentication service, authentication service subscription and device registration including acquisition information obtained by a financial authentication program of a user terminal receiving a request from the user terminal; storing the acquired information in its own storage and transmitting stored information including device information of a registered user terminal to the user terminal; Receiving a confirmation request for the connection information from an authentication server that has received connection information including the storage information and the acquisition information from the user terminal; And after confirming the connection information, transmitting customer identification information and connected device identification information of the user terminal to the authentication server so that a token including the customer identification information and connected device identification information is issued. In this case, a method for providing a financial authentication service is provided.

상기 금융인증 서비스 제공 방법은, 상기 사용자 단말기로부터 인증서 목록 요청을 수신하고, 이에 대한 응답으로 인증서 목록을 제공하는 단계; 상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 인증서 비밀번호 정보를 수신하는 단계; 및 선택된 인증서에 대한 개인키에 대해 상기 획득정보로 이중암호화를 수행하여, 상기 사용자 단말기에 전송하는 단계를 더 포함할 수 있다. The financial authentication service providing method may include receiving a certificate list request from the user terminal and providing a certificate list as a response thereto; receiving certificate selection information and certificate password information from the user terminal; and performing double encryption on the private key for the selected certificate with the obtained information and transmitting the double encryption to the user terminal.

상기 금융인증 서비스 제공 방법은, 상기 토큰을 포함하는 자원 요청을 상기 사용자 단말기로부터 수신하는 단계; 상기 토큰에 대한 유효성 검증 요청을 상기 인증 서버로 전송하는 단계; 상기 인증 서버로부터 상기 유효성 검증 요청을 수신하고, 상기 토큰에 포함된 고객 식별정보 및 연결기기 식별정보에 기반하여, 상기 자원에 대한 소유권을 확인하는 단계; 및 상기 소유권 확인 후, 요청된 자원을 상기 사용자 단말기에 전송하는 단계를 더 포함할 수 있다. The financial authentication service providing method may include receiving a resource request including the token from the user terminal; Transmitting a validation request for the token to the authentication server; receiving the validation request from the authentication server and confirming ownership of the resource based on customer identification information and connected device identification information included in the token; and transmitting the requested resource to the user terminal after verifying the ownership.

본 발명의 다른 실시예에 따르면, 사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하고, 상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하며, 상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하고, 상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는, 인증 서비스 가입 지원부를 포함하는, 금융인증 서비스 제공 서버가 제공된다. According to another embodiment of the present invention, an authentication service subscription and device registration request including acquisition information obtained by a financial authentication program of a user terminal is received from the user terminal, the acquisition information is stored in its own storage, and registration is performed. Stored information including device information of the completed user terminal is transmitted to the user terminal, and a confirmation request for the connection information is sent from an authentication server that has received connection information including the stored information and the acquired information from the user terminal. and, after checking the connection information, transmits customer identification information and connected device identification information of the user terminal to the authentication server, so that a token including the customer identification information and connected device identification information is issued. A financial authentication service providing server including a service subscription support unit is provided.

본 발명의 또 다른 실시예에 따르면, 사용자 단말기와 결합되어, 자체적으로 획득되거나, 다른 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 저장소 서버로 전송하는 단계; 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 저장소 서버로부터 수신하여 저장하는 단계; 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 인증 서버로 전송하는 단계; 및 상기 인증 서버에 의한 상기 연결 정보의 확인 완료 후, 상기 인증 서버에 의해 발급되는 토큰을 수신하는 단계를 수행하기 위한, 매체에 저장된 애플리케이션이 제공된다.According to another embodiment of the present invention, combined with a user terminal, transmitting an authentication service subscription and device registration request including acquisition information acquired by itself or obtained by another program to a storage server; receiving and storing storage information including device information of a user terminal from the storage server; Transmitting connection information including the storage information and the acquisition information to an authentication server; And an application stored in a medium is provided for performing a step of receiving a token issued by the authentication server after completion of the verification of the connection information by the authentication server.

본 발명의 실시예에 따르면, 고객 정보를 확인 후, 자동 연결을 위한 정보를 저장정보와 획득정보로 이원화하여 등록하기 때문에, 공격자가 사용자 단말기를 장악해서 저장정보가 유출되어도 획득정보를 동일하게 유도하기는 어려우므로 서비스의 신뢰성이 강화될 수 있다. According to an embodiment of the present invention, after checking customer information, information for automatic connection is divided into stored information and acquired information and registered, so even if an attacker seizes a user terminal and leaks stored information, the acquired information is identically induced. Since it is difficult to do so, the reliability of the service can be enhanced.

본 발명의 실시예에 따르면, 개인키를 획득정보로 이중 암호화하여 전송함으로써, 보안성이 향상될 수 있다.According to an embodiment of the present invention, security can be improved by double-encrypting and transmitting a private key as acquired information.

본 발명의 실시예에 따르면, 자원에 대한 접근권한으로서 기능하는 각 토큰에 고객 식별정보 및 연결기기 식별정보가 포함되기 때문에, 토큰에 대한 검증을 통해 한번에 자원 소유권을 확인할 수 있게 된다.According to an embodiment of the present invention, since customer identification information and connected device identification information are included in each token serving as an access right to a resource, resource ownership can be confirmed at once through verification of the token.

도 1은 본 발명의 일 실시예에 따른 오픈 API 기반의 금융 인증 서비스 제공 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 인증 서비스 가입 및 접근권한 발급의 과정을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따라 인증서에 대해 전자서명을 수행하는 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따라 토큰 기반의 자원 요청 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 저장소 서버 및 인증 서버의 구성을 나타내는 블록도이다.1 is a diagram showing a schematic configuration of an open API-based financial authentication service providing system according to an embodiment of the present invention.
2 is a flowchart for explaining a process of subscribing to an authentication service and issuing access rights according to an embodiment of the present invention.
3 is a diagram for explaining a process of performing a digital signature on a certificate according to an embodiment of the present invention.
4 is a diagram for explaining a token-based resource request process according to an embodiment of the present invention.
5 is a block diagram showing configurations of a storage server and an authentication server according to an embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다. DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The detailed description of the present invention which follows refers to the accompanying drawings which illustrate, by way of illustration, specific embodiments in which the present invention may be practiced. These embodiments are described in sufficient detail to enable one skilled in the art to practice the present invention. It should be understood that the various embodiments of the present invention are different from each other but are not necessarily mutually exclusive. For example, specific shapes, structures, and characteristics described herein may be implemented in one embodiment in another embodiment without departing from the spirit and scope of the invention. Additionally, it should be understood that the location or arrangement of individual components within each disclosed embodiment may be changed without departing from the spirit and scope of the invention. Accordingly, the detailed description set forth below is not to be taken in a limiting sense, and the scope of the present invention, if properly described, is limited only by the appended claims, along with all equivalents as claimed by those claims. Like reference numbers in the drawings indicate the same or similar function throughout the various aspects.

이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다. Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily practice the present invention.

본 명세서에서, “저장소”는 서버 내에 자체적으로 장착되는 데이터베이스, 상기 서버에 의해 운영 및 관리되는 클라우드, 상기 서버와 연계하는 별도의 서버에 존재하는 데이터베이스를 모두 포함하는 개념으로 이해되어야 한다. In this specification, “storage” should be understood as a concept that includes all of a database installed in a server itself, a cloud operated and managed by the server, and a database existing in a separate server linked with the server.

도 1은 본 발명의 일 실시예에 따른 오픈 API 기반의 금융 인증 서비스 제공 시스템의 개략적인 구성을 나타내는 도면이다. 1 is a diagram showing a schematic configuration of an open API-based financial authentication service providing system according to an embodiment of the present invention.

도 1을 참조하면, 일 실시예에 따른 시스템은, 사용자 단말기(100), 저장소 서버(200) 및 인증 서버(300)를 포함하여 구성될 수 있다. Referring to FIG. 1 , a system according to an embodiment may include a user terminal 100, a storage server 200, and an authentication server 300.

사용자 단말기(100), 저장소 서버(200), 인증 서버(300)는 통신망, 예를 들면, 이동통신망, 근거리 통신망(LAN: Local Area Network), 도시권 통신망(MAN: Metropolitan Area Network), 광역 통신망(WAN: Wide Area Network), 월드와이드웹(WWW: World Wide Web), 무선통신망(WiFi: Wireless Fidelity)을 통해 상호 통신할 수 있다.The user terminal 100, the storage server 200, and the authentication server 300 may include a communication network, for example, a mobile communication network, a local area network (LAN), a metropolitan area network (MAN), and a wide area network ( WAN: Wide Area Network), World Wide Web (WWW), and wireless communication networks (WiFi: Wireless Fidelity) can communicate with each other.

사용자 단말기(100)는 연산 기능을 갖추고 있으며, 외부와 통신할 수 있는 기기라면 어떠한 형태로 구현되어도 무방하다. 사용자 단말기(100)는 예를 들면 스마트폰, 태블릿 PC, 데스크톱, 랩탑 노트북, PDA 등으로 구현될 수 있으나, 이에 제한되는 것은 아니다.The user terminal 100 has an arithmetic function and may be implemented in any form as long as it is a device capable of communicating with the outside. The user terminal 100 may be implemented as, for example, a smart phone, tablet PC, desktop, laptop notebook, PDA, etc., but is not limited thereto.

사용자 단말기(100)에는 금융 서비스 이용을 위한 금융 서비스 프로그램 또는 소프트웨어가 설치되어 있을 수 있다. 그러나, 이러한 프로그램 또는 소프트웨어 없이도 웹브라우저에 의해 금융 서비스 이용이 가능해질 수도 있다. A financial service program or software for using financial services may be installed in the user terminal 100 . However, financial services may be available through a web browser without such programs or software.

또한, 사용자 단말기(100)에는 금융인증 프로그램이 설치되어 있을 수 있다. 이러한 금융인증 프로그램(110)은 예를 들면, 금융 서비스 프로그램 또는 소프트웨어 내에 포함되는 것일 수 있다. In addition, a financial authentication program may be installed in the user terminal 100 . Such a financial authentication program 110 may be included in, for example, a financial service program or software.

금융인증 프로그램(110)은 저장소 서버(200) 또는 인증 서버(300)로부터 다운로드되어 설치되는 것일 수 있으나, 이에 제한되지는 않는다. The financial authentication program 110 may be downloaded and installed from the storage server 200 or the authentication server 300, but is not limited thereto.

사용자 단말기(100)는 저장소 서버(200)에 접속하여, 인증 서비스에 대한 가입 및 기기 등록을 요청하고, 금융인증 프로그램(110)에 의해 획득되는 획득정보를 저장소 서버(200)에 전송한다. 또한, 저장소 서버(200)로부터 수신되는 저장정보를 저장할 수 있다. 한편, 인증 서버(300)로부터 자원에 대한 접근권한으로서의 토큰을 발급받을 수 있으며, 추후, 해당 토큰을 저장소 서버(200)에 제출함으로써, 본인 소유의 자원을 수신할 수 있다. The user terminal 100 accesses the storage server 200, requests subscription to an authentication service and device registration, and transmits acquisition information acquired by the financial authentication program 110 to the storage server 200. In addition, storage information received from the storage server 200 may be stored. Meanwhile, a token as an access right to a resource may be issued from the authentication server 300, and later, by submitting the token to the storage server 200, the resource owned by the user may be received.

저장소 서버(200)는 사용자 단말기(100)로부터 인증 서비스 가입 및 기기 등록 요청을 수신하고, 인증 절차를 거쳐, 이를 처리한다. 저장소 서버(200)는 사용자 단말기(100)로부터 수신된 획득정보를 저장하고, 저장정보를 사용자 단말기(100)로 전송한다. 또한, 사용자 단말기(100)로부터 인증서에 대한 개인키 요청을 수신한 후, 개인키를 획득정보로 이중암호화하여 전송하는 기능을 수행한다. 한편, 사용자 단말기(100)로부터 토큰 제출과 함께 자원 요청을 수신하면, 해당 토큰에 대한 유효성 검증 절차를 거쳐, 자원을 제공하는 기능을 담당한다. The storage server 200 receives authentication service subscription and device registration requests from the user terminal 100 and processes them through authentication procedures. The storage server 200 stores the acquisition information received from the user terminal 100 and transmits the stored information to the user terminal 100 . In addition, after receiving a request for a private key for a certificate from the user terminal 100, a function of double-encrypting the private key as acquisition information and transmitting the function is performed. On the other hand, when a resource request is received from the user terminal 100 along with token submission, it performs a function of providing resources through a validity verification procedure for the corresponding token.

인증 서버(300)는 사용자 단말기(100)에 토큰을 발급하여 주고, 해당 토큰을 통한 자원 요청이 발생하는 경우, 토큰에 대한 유효성 검증을 수행한다. The authentication server 300 issues a token to the user terminal 100 and, when a resource request occurs through the corresponding token, validates the validity of the token.

저장소 서버(200)와 인증 서버(300)는 하나의 인증 기관에 의해 운영되는 서버일 수 있으며, 양 서버가 하나의 서버로 구현될 수도 있다.The storage server 200 and the authentication server 300 may be servers operated by one certification authority, and both servers may be implemented as one server.

본 명세서에서는 설명의 편의를 위해 저장소 서버(200)와 인증 서버(300)가 별도의 서버로 구현되는 경우를 예로 들어 설명하기로 한다. In this specification, for convenience of description, a case in which the storage server 200 and the authentication server 300 are implemented as separate servers will be described as an example.

도 2는 본 발명의 일 실시예에 따른 인증 서비스 가입 및 접근권한 발급의 과정을 설명하기 위한 흐름도이다. 2 is a flowchart for explaining a process of subscribing to an authentication service and issuing access rights according to an embodiment of the present invention.

도 2를 참조하면, 먼저, 사용자 단말기(100)는 획득정보를 획득한다(S201). 획득정보는 사용자 단말기(100)에 설치되어 있는 금융인증 프로그램(110), 예를 들면, SDK(Software Development Kit)에 의해 획득된다. Referring to FIG. 2, first, the user terminal 100 acquires acquisition information (S201). Acquisition information is acquired by the financial authentication program 110 installed in the user terminal 100, for example, SDK (Software Development Kit).

상기 금융인증 프로그램(110)은 사용자 단말기(100)에서 구동되는 소프트웨어, 예를 들면, 금융 서비스 소프트웨어의 환경에 따라 서로 다른 방식으로 획득정보를 획득할 수 있다. The financial authentication program 110 may acquire acquisition information in different ways depending on the environment of software running in the user terminal 100, for example, financial service software.

일례로, 사용자 단말기(100) 내에서 웹브라우저 환경에 기반하여, 금융 서비스가 구동되는 경우에는, 웹브라우저 프로그램과 사용자 단말기(100)의 고유 정보를 이용하여, 금융인증 프로그램(110)이 직접 획득정보의 값을 유도하고, 사용자 단말기(100) 내에서 앱 환경에 기반하여, 금융 서비스가 구동되는 경우에는, 해당 앱(ex. 금융기관 앱)에서 특정 기준 값을 생성하여 이를 획득정보로서 금융인증 프로그램(110)으로 전달한다. For example, when a financial service is driven based on a web browser environment within the user terminal 100, the financial authentication program 110 directly obtains the information using the web browser program and the unique information of the user terminal 100. When the value of the information is derived and the financial service is driven based on the app environment in the user terminal 100, a specific reference value is generated in the corresponding app (eg, a financial institution app) for financial authentication as acquired information. to program 110.

획득정보는 금융인증 프로그램(110)과 저장서 서버(200)가 교환하는 값으로, 사용자 단말기(100)에 설치되어 있는 금융 서비스 프로그램에 포함되는 금융인증 프로그램(110)에 의해서만 획득되는 값이다. 획득정보는 자동연결 과정에서 저장소 서버(200)가 사용자에 대한 인증을 하는 데에 사용된다.Acquisition information is a value exchanged between the financial authentication program 110 and the storage server 200, and is a value obtained only by the financial authentication program 110 included in the financial service program installed in the user terminal 100. Acquisition information is used by the storage server 200 to authenticate the user in the automatic connection process.

획득정보에 대한 획득이 완료되면, 금융인증 프로그램(110)은 사용자가 입력하는 인증 서비스 가입 정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 저장소 서버(200)에 전송한다(S202). When acquisition of acquisition information is completed, the financial authentication program 110 transmits an authentication service subscription and device registration request including authentication service subscription information input by the user to the storage server 200 (S202).

상기 인증 서비스 가입 정보는, 휴대폰 번호, 이름, 생년월일일 수 있다. 또한, 상기 인증 서비스 가입 및 기기 등록 요청에는, 상기 금융인증 프로그램(110)에 의해 획득된 획득정보가 함께 포함될 수 있다. The authentication service subscription information may include a mobile phone number, a name, and a date of birth. In addition, acquisition information obtained by the financial authentication program 110 may be included in the authentication service subscription and device registration requests.

상기 요청을 수신한 저장소 서버(200)는 사용자 단말기(100)에 대한 소유 인증(MO 인증)을 진행한다(S203). 일 실시예에 따르면, 상기 인증 방식은, 저장소 서버(200)가 상기 요청에 포함된 휴대폰 번호로 문자 메시지를 전송하고, 상기 휴대폰 번호에 대응되는 사용자 단말기(100)로부터 회신 문자 메시지를 수신한 후, 상기 전송된 메시지와 수신된 메시지를 비교하는 방식으로 이루어질 수 있다. 그러나, 사용자 단말기(100)에 대한 소유 인증 방식은 이 외에 다른 공지의 방식을 사용하더라도 무방하다. Upon receiving the request, the storage server 200 proceeds with ownership authentication (MO authentication) for the user terminal 100 (S203). According to an embodiment, in the authentication method, after the storage server 200 transmits a text message to the mobile phone number included in the request and receives a reply text message from the user terminal 100 corresponding to the mobile phone number, , It may be made in a way to compare the transmitted message and the received message. However, the ownership authentication method for the user terminal 100 may use other well-known methods.

인증이 성공하면, 저장소 서버(200)는 상기 인증 서비스 가입 및 기기 등록 요청에 포함된 고객정보와 획득정보를 저장소에 저장하고(S204), 상기 소유 인증 대상이 된 기기(사용자 단말기(100)) 정보를 저장정보로서 사용자 단말기(100)의 금융인증 프로그램(110)에 전송한다(S205). 이러한 저장정보는 금융인증 프로그램(110)과 저장소 서버(200)가 교환하는 연결유지용 공개키의 해쉬값이다. 이로써, 사용자에 대한 인증 서비스 가입 및 기기 등록이 완료된다. If the authentication is successful, the storage server 200 stores the customer information and acquisition information included in the authentication service subscription and device registration request in the storage (S204), and the device (user terminal 100) subject to ownership authentication The information is transmitted to the financial authentication program 110 of the user terminal 100 as stored information (S205). This stored information is a hash value of a public key for maintaining a connection exchanged between the financial authentication program 110 and the storage server 200 . As a result, the authentication service subscription and device registration for the user are completed.

저장정보를 수신한 금융인증 프로그램(110)은 사용자 단말기(100)의 저장 공간에 저장하고(S206), 기 획득하였던 획득정보와 상기 저장정보를 포함하는 연결정보를 인증 서버(300)로 전송하여 자동연결을 요청한다(S207). The financial authentication program 110 receiving the stored information stores it in the storage space of the user terminal 100 (S206) and transmits the acquired information and connection information including the stored information to the authentication server 300 Automatic connection is requested (S207).

인증 서버(300)는 상기 자동연결 요청에 포함된 연결정보를 저장소 서버(200)로 전송하여 이에 대한 확인 요청을 한다(S208).The authentication server 300 transmits the connection information included in the automatic connection request to the storage server 200 and requests confirmation therefor (S208).

저장소 서버(200)는 상기 확인 요청에 대해, 확인 절차를 진행한다(S209). The storage server 200 proceeds with a confirmation procedure for the confirmation request (S209).

구체적으로, 상기 연결정보(저장정보, 획득정보)로 등록된 고객이 존재하는지 여부를 확인하고, 존재하는 것으로 확인되면, 해당 고객 식별정보 및 연결기기 식별정보를 상기 확인 요청에 대한 확인 결과로서 인증 서버(300)에 전송한다(S210). 연결기기 식별정보는 상기 등록이 완료된 사용자 단말기(100)의 식별정보일 수 있다. Specifically, it is checked whether there is a customer registered with the connection information (stored information, acquired information), and if it is confirmed that there is, the corresponding customer identification information and connected device identification information are authenticated as a confirmation result of the confirmation request. It is transmitted to the server 300 (S210). The connection device identification information may be identification information of the user terminal 100 for which the registration is completed.

인증 서버(300)는 고객 식별 정보와 연결기기 식별 정보를 포함하는 토큰을 생성하여 사용자 단말기(100)에 발급한다(S211). 고객 식별 정보는, 고객의 개인정보(전화번호, 생년월일)를 이용해서 생성하는 정보로 고객을 식별하는 유일한 값이며, 연결기기 식별 정보는 사용자 단말기(100)의 식별 정보일 수 있다.The authentication server 300 generates a token including customer identification information and connected device identification information and issues it to the user terminal 100 (S211). The customer identification information is information generated using the customer's personal information (telephone number, date of birth) and is a unique value for identifying the customer, and the connected device identification information may be identification information of the user terminal 100.

토큰을 발급받은 후, 금융인증 프로그램(110)은 상기 토큰을 저장하고, 금융 서비스 종료 시까지 이를 이용한다(S212). After issuing the token, the financial authentication program 110 stores the token and uses it until the end of the financial service (S212).

금융인증 프로그램(110)과 저장소 서버(200)는 고객 정보를 확인한 후, 자동 연결을 위한 정보를 저장정보와 획득정보로 이원화하여 등록하기 때문에, 공격자가 사용자 단말기(100)를 장악해서 저장정보가 유출되어도 획득정보를 동일하게 유도하기는 어려우므로 서비스의 신뢰성이 강화될 수 있다. After the financial authentication program 110 and the storage server 200 check the customer information, since the information for automatic connection is dualized into stored information and acquired information and registered, an attacker takes control of the user terminal 100 and stores the information Even if it is leaked, it is difficult to derive the acquired information identically, so the reliability of the service can be strengthened.

도 3은 본 발명의 일 실시예에 따라 인증서에 대해 전자서명을 수행하는 과정을 설명하기 위한 도면이다. 3 is a diagram for explaining a process of performing a digital signature on a certificate according to an embodiment of the present invention.

기본적으로 저장소에는 사용자별 인증서와 암호화된 개인키가 저장되어 있을 수 있다. Basically, the storage may store user-specific certificates and encrypted private keys.

인증서는 발급서버로부터 발급된 후 사용자 인증 및 사용자 기기 인증을 완료하고 저장소에 저장될 수 있으며, 이 과정에서 암호화된 개인키도 함께 저장소에 저장될 수 있다. After the certificate is issued from the issuing server, user authentication and user device authentication may be completed and stored in the storage. In this process, the encrypted private key may also be stored in the storage.

개인키를 암호화하는 방법은 인증서 비밀번호(예를 들면, 숫자 6자리) 또는 간편인증 정보(예를 들면, 사용자에 의해 입력되는 터치 패턴, 지문 등을 확인한 후 얻는 값)를 대칭키로 하여 암호화할 수 있다. The method of encrypting the private key is to encrypt the certificate password (for example, 6 digits) or simple authentication information (for example, the value obtained after checking the touch pattern or fingerprint input by the user) as a symmetric key. there is.

도 3을 참조하면, 먼저, 사용자 단말기(100)의 금융인증 프로그램(110)은 저장소 서버(200)로 인증서 목록을 요청하고(S301), 이에 대한 응답으로 저장소 서버(200)는 해당 사용자의 인증서 목록을 제공한다(S302). Referring to FIG. 3, first, the financial authentication program 110 of the user terminal 100 requests a certificate list from the storage server 200 (S301), and in response, the storage server 200 sends the corresponding user's certificate A list is provided (S302).

사용자는 제공된 목록에서 전자서명을 진행할 인증서를 선택하고, 해당 인증서에 대한 비밀번호(ex. 6자리 비밀번호)를 입력한다. 사용자에 의해 선택된 인증서 정보 및 비밀번호 정보를 포함하는 인증서 개인키 요청은 사용자 단말기(100)로부터 저장소 서버(200)로 전송된다(S303). The user selects a certificate to be digitally signed from the provided list, and inputs a password (ex. 6-digit password) for the certificate. The certificate private key request including certificate information and password information selected by the user is transmitted from the user terminal 100 to the storage server 200 (S303).

저장소 서버(200)는 사용자에 의해 입력된 비밀번호를 검증한 후, 인증 서비스 가입 과정에서 저장소에 저장한 획득정보를 기반으로 해당 사용자가 선택한 인증서의 개인키를 이중 암호화한다(S304). 개인키는 1차 암호화된 상태로 저장소에 저장되는데, 상기 획득정보를 통해 2차 암호화함으로써 이중 암호화가 이루어지게 되는 것이다. After verifying the password input by the user, the storage server 200 double encrypts the private key of the certificate selected by the user based on the acquired information stored in the storage during the authentication service subscription process (S304). The private key is stored in the storage in a primary encrypted state, and double encryption is achieved by performing secondary encryption through the obtained information.

이중 암호화가 완료된 개인키는 저장소 서버(200)로부터 사용자 단말기(100)로 전송된다(S305). The double encryption completed private key is transmitted from the storage server 200 to the user terminal 100 (S305).

사용자 단말기(100)의 금융인증 프로그램(110)은 사용자가 입력한 인증서 비밀번호와 획득정보로 상기 수신한 개인키를 복호화한 후(S306), 전자서명을 수행하여(S307), 금융 서비스 프로그램에 전달한다.The financial authentication program 110 of the user terminal 100 decrypts the received private key with the certificate password and acquired information input by the user (S306), performs a digital signature (S307), and transmits it to the financial service program do.

개인키를 획득정보로 이중 암호화하여 전송함으로써, 보안성이 향상될 수 있다.Security can be improved by double-encrypting the private key with acquisition information and transmitting it.

예를 들면, 공격자가 사용자 단말기(100)나 네트워크 환경을 공격해 암호화된 개인키를 탈취한 상황에서, 개인키가 6자리 숫자인 인증서 비밀번호로만 암호화되어 있다면 공격자는 무작위 공격으로 쉽게 개인키를 복호화할 수 있다. 실제 종래 공인인증서 사용 환경에서는 개인키를 사용자의 사용 기기에 파일로 저장하였었는데, 해킹 공격 등에 의해 개인키 파일이 유출되는 사고가 많았었고, 개인키 파일이 유출되었을 경우에도 복호화를 어렵게 만들기 위해 인증서 패스워드를 숫자, 영문자, 특수문자를 반드시 포함한 10자리 이상의 값으로 구성하도록 최상위 인증기관이 기술규격으로 강제하였었으나, 이는 공인인증서 이용자들의 대표적인 불편사항이었다. 본 발명의 실시예에 따르면, 상기와 같은 이중암호화 방식을 포함하고 있기 때문에, 6자리 숫자만으로 전자서명을 진행하더라도 안전성이 향상될 수 있다. For example, in a situation where an attacker attacks the user terminal 100 or the network environment and steals an encrypted private key, if the private key is encrypted only with a 6-digit certificate password, the attacker can easily decrypt the private key with a brute force attack. can do. In fact, in the conventional public certificate usage environment, the private key was stored as a file on the user's device, but there were many accidents where the private key file was leaked due to hacking attacks, etc., and even when the private key file was leaked, to make decryption difficult, the certificate Although the highest certification authority compulsorily compulsory as a technical standard that passwords must be composed of 10 or more digits including numbers, English letters, and special characters, this was a representative inconvenience for users of public certificates. According to the embodiment of the present invention, since the double encryption method is included, even if the electronic signature is performed with only 6 digits, safety can be improved.

도 4는 본 발명의 일 실시예에 따라 토큰 기반의 자원 요청 과정을 설명하기 위한 도면이다. 4 is a diagram for explaining a token-based resource request process according to an embodiment of the present invention.

도 4를 참조하면, 사용자 단말기(100)의 금융인증 프로그램(110)은 단계 S211, S212(도 2 참조)를 통해 발급받고 저장한 토큰을 저장소 서버(200)로 전송하여 고객의 자원을 요청한다(S401). Referring to FIG. 4, the financial authentication program 110 of the user terminal 100 transmits the token issued and stored through steps S211 and S212 (see FIG. 2) to the storage server 200 to request a customer's resource. (S401).

자원은 고객 관련 자원 및 연결기기 관련 자원을 포함하는 개념일 수 있다. 고객 관련 자원은 고객 정보, 연결기기 정보, 인증서 정보일 수 있으며, 연결기기 관련 자원은 간편 인증(터치 패턴 인증, 생체 인증 등) 정보일 수 있다.Resources may be a concept including customer-related resources and connected device-related resources. Customer related resources may include customer information, connected device information, and certificate information, and connected device related resources may be simple authentication (touch pattern authentication, biometric authentication, etc.) information.

저장소 서버(200)는 수신한 토큰을 인증 서버(300)에 전송하여, 토큰에 대한 유효성 검증을 요청한다(S402). The storage server 200 transmits the received token to the authentication server 300 and requests validation of the token (S402).

인증 서버(300)에 의해 해당 토큰이 해당 고객에 대해 기 발급된 토큰인 것으로 검증되면, 저장소 서버(200)는 단계 S401에서 요청된 자원이 상기 토큰에 대응되는 고객 및 연결기기 식별자의 소유인지를 확인한다(S403). 각 토큰에는 고객 식별정보 및 연결기기 식별정보가 포함되어 있기 때문에, 토큰에 대한 검증을 통해 한번에 자원 소유권을 확인할 수 있게 된다. 즉, 토큰은 고객의 자원 요청에 대한 접근 권한으로서 기능한다. If the authentication server 300 verifies that the corresponding token is a previously issued token for the corresponding customer, the storage server 200 determines whether the resource requested in step S401 belongs to the customer and connected device identifier corresponding to the token. Confirm (S403). Since each token includes customer identification information and connected device identification information, resource ownership can be confirmed at once through token verification. That is, the token functions as an access right to the customer's resource request.

저장소 서버(200)는 각 고객 식별정보 및 연결기기 식별정보를 가지고 있기 때문에, 이러한 확인이 가능하다. Since the storage server 200 has each customer identification information and connected device identification information, such confirmation is possible.

확인 결과 정당한 소유인 것으로 확인되면, 해당 자원을 사용자 단말기(100)에 전송한다(S404). As a result of the check, if it is confirmed that the resource is legitimately owned, the corresponding resource is transmitted to the user terminal 100 (S404).

도 5는 본 발명의 일 실시예에 따른 저장소 서버 및 인증 서버의 구성을 나타내는 블록도이다. 5 is a block diagram showing configurations of a storage server and an authentication server according to an embodiment of the present invention.

도 5를 참조하면, 저장소 서버(200)는 인증 서비스 가입 지원부(210), 개인키 전송부(220), 자원 제공부(230)를 포함하여 구성될 수 있다. Referring to FIG. 5 , the storage server 200 may include an authentication service subscription support unit 210, a private key transmission unit 220, and a resource providing unit 230.

인증 서비스 가입 지원부(210), 개인키 전송부(220), 자원 제공부(230)는 외부 장치와 통신할 수 있는 프로그램 모듈 또는 하드웨어들일 수 있다. 이러한 프로그램 모듈 또는 하드웨어는 운영 시스템, 응용 프로그램 모듈 및 기타 프로그램 모듈의 형태로 저장소 서버(200) 또는 이와 통신 가능한 다른 장치에 포함될 수 있으며, 물리적으로는 여러 가지 공지의 기억 장치 상에 저장될 수 있다. 한편, 이러한 프로그램 모듈 또는 하드웨어들은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.The authentication service subscription support unit 210, the private key transmission unit 220, and the resource providing unit 230 may be program modules or hardware capable of communicating with external devices. These program modules or hardware may be included in the storage server 200 or other devices capable of communicating with the storage server 200 in the form of an operating system, application program modules, and other program modules, and may be physically stored on various known storage devices. . Meanwhile, these program modules or hardware include, but are not limited to, routines, subroutines, programs, objects, components, data structures, etc. that perform specific tasks or execute specific abstract data types according to the present invention.

인증 서비스 가입 지원부(210)는 사용자 단말기(100)로부터 휴대폰 번호, 이름, 생년월일, 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 수신한 후, 휴대폰 번호에 대한 소유 인증 절차를 진행하고, 상기 획득정보를 저장소에 저장한다. 또한, 저장정보를 사용자 단말기(100)에 전송한다. The authentication service subscription support unit 210 receives an authentication service subscription and device registration request including a mobile phone number, name, date of birth, and acquisition information from the user terminal 100, and then proceeds with a possession authentication procedure for the mobile phone number, Store the acquired information in the repository. Also, stored information is transmitted to the user terminal 100 .

개인키 전송부(220)는 사용자 단말기(100)로부터 인증서 목록 요청을 수신한 후, 인증서 목록을 제공하고, 해당 인증서에 대한 개인키를 획득정보로 이중암호화하여 사용자 단말기(100)에 전송하는 기능을 수행한다.The private key transmission unit 220 receives a request for a certificate list from the user terminal 100, provides a certificate list, double-encrypts the private key for the certificate as acquisition information, and transmits it to the user terminal 100. Do it.

자원 제공부(230)는 사용자 단말기(100)로부터 토큰을 포함하는 자원 요청을 수신하고, 해당 토큰에 대한 유효성 검증 요청을 인증 서버(300)에 전송한다. 유효성 검증이 완료되면, 해당 자원에 대한 소유권을 확인한 후에 요청된 자원을 사용자 단말기(100)에 전송하는 기능을 수행한다. The resource providing unit 230 receives a resource request including a token from the user terminal 100 and transmits a validation request for the corresponding token to the authentication server 300 . When validation is completed, ownership of the corresponding resource is confirmed, and then a function of transmitting the requested resource to the user terminal 100 is performed.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.The above description of the present invention is for illustrative purposes, and those skilled in the art can understand that it can be easily modified into other specific forms without changing the technical spirit or essential features of the present invention. will be. Therefore, the embodiments described above should be understood as illustrative in all respects and not limiting. For example, each component described as a single type may be implemented in a distributed manner, and similarly, components described as distributed may be implemented in a combined form.

본 발명의 범위는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is indicated by the following claims, and all changes or modifications derived from the meaning and scope of the claims and equivalent concepts thereof should be construed as being included in the scope of the present invention.

100: 사용자 단말기
200: 저장소 서버
300; 인증 서버
210: 인증 서비스 가입 지원부
220: 개인키 전송부
230: 자원 제공부100: user terminal
200: storage server
300; authentication server
210: authentication service subscription support unit
220: private key transmission unit
230: resource provision unit

Claims (5)

저장소 서버가 금융인증 서비스를 제공하기 위한 방법으로서,
사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하는 단계;
상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하는 단계;
상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하는 단계; 및
상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는 단계를 포함하는, 금융인증 서비스 제공 방법. As a method for the storage server to provide a financial authentication service,
receiving, from the user terminal, an authentication service subscription and device registration request including acquisition information acquired by a financial authentication program of the user terminal;
storing the acquired information in its own storage and transmitting stored information including device information of a registered user terminal to the user terminal;
Receiving a confirmation request for the connection information from an authentication server that has received connection information including the storage information and the acquisition information from the user terminal; and
After confirming the connection information, transmitting customer identification information and connected device identification information of the user terminal to the authentication server so that a token including the customer identification information and connected device identification information is issued. How to provide financial authentication service. 제1항에 있어서,
상기 사용자 단말기로부터 인증서 목록 요청을 수신하고, 이에 대한 응답으로 인증서 목록을 제공하는 단계;
상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 인증서 비밀번호 정보를 수신하는 단계; 및
선택된 인증서에 대한 개인키에 대해 상기 획득정보로 이중암호화를 수행하여, 상기 사용자 단말기에 전송하는 단계를 더 포함하는, 금융인증 서비스 제공 방법.According to claim 1,
receiving a certificate list request from the user terminal and providing a certificate list as a response thereto;
receiving certificate selection information and certificate password information from the user terminal; and
The method of providing a financial authentication service further comprising performing double encryption on the private key for the selected certificate with the acquired information and transmitting the data to the user terminal. 제1항에 있어서,
상기 토큰을 포함하는 자원 요청을 상기 사용자 단말기로부터 수신하는 단계;
상기 토큰에 대한 유효성 검증 요청을 상기 인증 서버로 전송하는 단계;
상기 인증 서버로부터 상기 유효성 검증 요청을 수신하고, 상기 토큰에 포함된 고객 식별정보 및 연결기기 식별정보에 기반하여, 상기 자원에 대한 소유권을 확인하는 단계; 및
상기 소유권 확인 후, 요청된 자원을 상기 사용자 단말기에 전송하는 단계를 더 포함하는, 금융인증 서비스 제공 방법.According to claim 1,
Receiving a resource request including the token from the user terminal;
Transmitting a validation request for the token to the authentication server;
receiving the validation request from the authentication server and confirming ownership of the resource based on customer identification information and connected device identification information included in the token; and
After the ownership confirmation, further comprising the step of transmitting the requested resource to the user terminal, financial authentication service providing method. 사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하고,
상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하며,
상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하고,
상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는,
인증 서비스 가입 지원부를 포함하는, 금융인증 서비스 제공 서버.Receiving an authentication service subscription and device registration request including acquisition information obtained by a financial authentication program of a user terminal from the user terminal;
Storing the acquired information in its own storage and transmitting stored information including device information of a registered user terminal to the user terminal;
Receiving a confirmation request for the connection information from an authentication server that has received connection information including the storage information and the acquisition information from the user terminal;
After checking the connection information, customer identification information and connected device identification information of the user terminal are transmitted to the authentication server so that a token including the customer identification information and connected device identification information is issued,
A financial authentication service providing server including an authentication service subscription support unit. 사용자 단말기와 결합되어,
자체적으로 획득되거나, 다른 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 저장소 서버로 전송하는 단계;
사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 저장소 서버로부터 수신하여 저장하는 단계;
상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 인증 서버로 전송하는 단계; 및
상기 인증 서버에 의한 상기 연결 정보의 확인 완료 후, 상기 인증 서버에 의해 발급되는 토큰을 수신하는 단계를 수행하기 위한, 매체에 저장된 애플리케이션.Combined with the user terminal,
Transmitting an authentication service subscription and device registration request including acquisition information obtained by itself or obtained by another program to a storage server;
receiving and storing storage information including device information of a user terminal from the storage server;
Transmitting connection information including the storage information and the acquisition information to an authentication server; and
An application stored in a medium for performing a step of receiving a token issued by the authentication server after completion of the confirmation of the connection information by the authentication server.
KR1020210078517A 2021-06-17 2021-06-17 Method and system for providing finance authentication service based on open api KR102542840B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210078517A KR102542840B1 (en) 2021-06-17 2021-06-17 Method and system for providing finance authentication service based on open api

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210078517A KR102542840B1 (en) 2021-06-17 2021-06-17 Method and system for providing finance authentication service based on open api

Publications (2)

Publication Number Publication Date
KR20220169021A true KR20220169021A (en) 2022-12-27
KR102542840B1 KR102542840B1 (en) 2023-06-13

Family

ID=84568154

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210078517A KR102542840B1 (en) 2021-06-17 2021-06-17 Method and system for providing finance authentication service based on open api

Country Status (1)

Country Link
KR (1) KR102542840B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120079044A (en) * 2012-05-29 2012-07-11 주식회사 비즈모델라인 System for providing financial transaction by using mobile one time code
KR20160105066A (en) * 2015-02-27 2016-09-06 (주)에이티솔루션즈 Method for Authenticating of Internet Only Bank by using Near Field Communication Security Token

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120079044A (en) * 2012-05-29 2012-07-11 주식회사 비즈모델라인 System for providing financial transaction by using mobile one time code
KR20160105066A (en) * 2015-02-27 2016-09-06 (주)에이티솔루션즈 Method for Authenticating of Internet Only Bank by using Near Field Communication Security Token

Also Published As

Publication number Publication date
KR102542840B1 (en) 2023-06-13

Similar Documents

Publication Publication Date Title
CN111429254B (en) Business data processing method and device and readable storage medium
US11870769B2 (en) System and method for identifying a browser instance in a browser session with a server
US9875368B1 (en) Remote authorization of usage of protected data in trusted execution environments
CN111783075B (en) Authority management method, device and medium based on secret key and electronic equipment
Anakath et al. Privacy preserving multi factor authentication using trust management
KR101718948B1 (en) Integrated certification system using one time random number
US20170055146A1 (en) User authentication and/or online payment using near wireless communication with a host computer
CN111431707B (en) Service data information processing method, device, equipment and readable storage medium
JP2016096547A (en) Method for non-repudiation, and payment managing server and user terminal therefor
KR20220086580A (en) Non-custodial tool for building decentralized computer applications
US11546159B2 (en) Long-lasting refresh tokens in self-contained format
Guirat et al. Formal verification of the W3C web authentication protocol
KR101659847B1 (en) Method for two channel authentication using smart phone
KR20180087543A (en) Key management method and fido authenticator software authenticator
KR101570773B1 (en) Cloud authentication method for securing mobile service
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
KR102053993B1 (en) Method for Authenticating by using Certificate
KR20140046674A (en) Digital certificate system for cloud-computing environment and providing method thereof
WO2019234801A1 (en) Service provision system and service provision method
Kim et al. Secure user authentication based on the trusted platform for mobile devices
KR102542840B1 (en) Method and system for providing finance authentication service based on open api
KR101708880B1 (en) Integrated lon-in apparatus and integrated log-in method
Nishimura et al. Secure authentication key sharing between personal mobile devices based on owner identity
KR101608529B1 (en) Security System for On-line transaction and security method using the same
KR101821645B1 (en) Key management method using self-extended certification

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant