KR101306442B1 - Method for user authentication using token issued on portable device and system using the same - Google Patents

Method for user authentication using token issued on portable device and system using the same Download PDF

Info

Publication number
KR101306442B1
KR101306442B1 KR1020110126614A KR20110126614A KR101306442B1 KR 101306442 B1 KR101306442 B1 KR 101306442B1 KR 1020110126614 A KR1020110126614 A KR 1020110126614A KR 20110126614 A KR20110126614 A KR 20110126614A KR 101306442 B1 KR101306442 B1 KR 101306442B1
Authority
KR
South Korea
Prior art keywords
token
authentication
user
requesting
com
Prior art date
Application number
KR1020110126614A
Other languages
Korean (ko)
Other versions
KR20130060517A (en
Inventor
염현덕
장대석
안준영
김태균
Original Assignee
에스케이씨앤씨 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이씨앤씨 주식회사 filed Critical 에스케이씨앤씨 주식회사
Priority to KR1020110126614A priority Critical patent/KR101306442B1/en
Publication of KR20130060517A publication Critical patent/KR20130060517A/en
Application granted granted Critical
Publication of KR101306442B1 publication Critical patent/KR101306442B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Telephonic Communication Services (AREA)

Abstract

휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템이 제공된다. 본 실시예에 따른, 사용자 인증 방법은, 사용자의 휴대용 디바이스에 발급되어 저장된 제1 SP의 제1 토큰을 이용하여 제1 SP의 제2 토큰을 요청하고, 제1 SP의 제2 토큰을 사용자 단말에 전달하여, 제1 SP의 제2 토큰을 이용하여 사용자 단말이 제1 SP에 로그인 한다. 이에 의해, 기존 아이디 인증 방식에서 아이디, 패스워드 유출 시에도 보안을 유지할 수 있다.A user authentication method and system using a token issued to a portable device are provided. According to the present embodiment, a user authentication method includes requesting a second token of a first SP by using a first token of a first SP issued and stored in a portable device of a user, and requesting a second token of the first SP by a user terminal. In this case, the user terminal logs in to the first SP using the second token of the first SP. As a result, security can be maintained even when the ID and password are leaked in the existing ID authentication method.

Description

휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템{Method for user authentication using token issued on portable device and system using the same}Method for user authentication using token issued on portable device and system using the same}

본 발명은 사용자 인증 방법 및 시스템에 관한 것으로, 더욱 상세하게는 보안이 강화된 사용자 인증/통합인증 방법 및 시스템에 관한 것이다.
The present invention relates to a user authentication method and system, and more particularly, to a security and user authentication / integrated authentication method and system.

한 번의 로그인으로 다양한 여러 서비스에 인증할 수 있게 해주는 SSO(Single Sign On)의 적용이 증가하고 있다. SSO가 적용되면 단일 인증을 통해 다양한 서비스와 시스템을 이용할 수 있기 때문에 사용자에게는 여러 번 로그인을 시도해야 하는 불편함을 덜고, 서비스 제공자에는 사용 편리성과 더불어 다양한 응용 서비스와 시스템의 ID 관리를 중앙집중 관리하여 인증 및 권한 설정을 용이하게 한다.Increasingly, the application of single sign-on (SSO), which allows a single login to authenticate to various services. When SSO is applied, various services and systems can be accessed through a single authentication, which saves users the trouble of having to log in multiple times, and centralized management of identity management of various application services and systems as well as ease of use for service providers. To facilitate authentication and authorization.

기존의 SSO 구축 방법은 크게 인증대행 방식과 인증정보 전달 방식으로 구분할 수 있다.The existing SSO construction method can be largely divided into an authentication agency method and an authentication information delivery method.

도 1은 인증대행 방식의 설명에 제공되는 도면이다. 도 1에 도시된 바와 같이, 인증대행 방식은 사용자의 인증정보를 에이전트 서버가 관리하고 사용자 대신 서비스(A.com, B.com, C.com 및 D.com) 서버들에 로그인 해주는 방식으로 에이전트 서버가 각 서비스 서버들의 사용자 계정 정보를 직접 소유하고 있거나 서비스 서버들과 통신을 통해 사용자를 대신 인증한다. 1 is a view provided to explain the authentication agent method. As shown in FIG. 1, the authentication agent manages the user's authentication information and logs the agent (A.com, B.com, C.com and D.com) servers on behalf of the user. The server owns the user account information of each service server or authenticates the user on behalf of the user through communication with the service servers.

이와 같은 인증대행 방식의 문제점은 사용자의 개인 정보를 에이전트 서버가 직접 보유하고 있다는 점인데, 에이전트 서버가 해킹당하거나 개인 정보가 노출될 경우 인증 대행 서비스 안의 각 서비스 서버들의 인증도 보안에 취약해진다는 문제가 있다.The problem with this type of authentication method is that the agent server directly holds the user's personal information. If the agent server is hacked or the personal information is exposed, the authentication of each service server in the agent service is also vulnerable to security. there is a problem.

도 2는 인증정보 전달 방식의 설명에 제공되는 도면이다. 도 2에 도시된 바와 같이, 인증정보 전달 방식은 사용자가 인증 서버에 대한 인증절차를 통해 SSO 토큰을 발급받고, 발급받은 SSO 토큰을 서비스(A.com, B.com, C.com 및 D.com) 서버들에 자동으로 전달하여 서비스 서버들이 사용자를 확인하여 인증하는 방식이다.2 is a view provided to explain the authentication information delivery method. As shown in Figure 2, the authentication information delivery method, the user is issued an SSO token through the authentication process for the authentication server, the service is issued SSO token (A.com, B.com, C.com and D. com) Automatically delivered to the servers to service servers to verify the user's authentication.

웹 환경에서는 SSO 토큰을 Cookie 이용 모델로 사용하고 있는데, SSO 토큰이 사용자의 클라이언트를 거쳐 전달되기 때문에 스니핑(네트워크상의 패킷 교환을 훔쳐보는 행위)을 통해 SSO 토큰이 쉽게 노출될 위험이 있으며, Cookie를 이용한다는 점에서 보안이 취약하다는 문제가 있다.In the web environment, the SSO token is used as a cookie usage model. Since the SSO token is passed through the user's client, there is a risk that the SSO token is easily exposed through sniffing (stealing the packet exchange on the network). There is a problem that security is weak in that it is used.

또한, SSO 구축은 기 구축되어 있는 여러 서비스 서버의 인증 시스템에 대한 대대적인 수정이 필요하기 때문에 기존 인증 시스템을 최대한 활용할 수 있고, 간단하게 구축할 수 있도록 하기 위한 방안도 고려되어져야 한다.
In addition, SSO deployment requires a major modification to the authentication system of several service servers that are already built, so that the existing authentication system can be utilized to the maximum, and a plan for simple implementation can also be considered.

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 강력한 보안을 확보하면서 사용자에게는 간편한 인증 처리를 제공하고, 서비스 제공자들에게는 기존 인증 시스템의 큰 변경 없이 손쉽게 SSO를 구축하기 위한 방안으로, 휴대용 디바이스에 발급된 토큰을 이용하여 사용자 인증을 수행하는 사용자 인증 방법 및 시스템을 제공함에 있다.
The present invention has been made to solve the above problems, the object of the present invention is to provide a simple authentication process to the user while ensuring strong security, and to easily provide SSO to service providers without major changes in the existing authentication system The present invention provides a user authentication method and system for performing user authentication using a token issued to a portable device.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, 사용자 인증 방법은, 사용자의 휴대용 디바이스에 발급되어 저장된 제1 SP(Service Provider)의 제1 토큰을 이용하여, 상기 제1 SP의 제2 토큰을 요청하는 단계; 상기 제1 SP의 제2 토큰을 사용자 단말에 전달하는 단계; 및 상기 제1 SP의 제2 토큰을 이용하여, 상기 사용자 단말이 상기 제1 SP에 로그인 하는 단계;를 포함한다.A user authentication method according to an embodiment of the present invention for achieving the above object, using the first token of the first service provider (SP) issued and stored in the portable device of the user, the second of the first SP Requesting a token; Delivering a second token of the first SP to a user terminal; And the user terminal logging in to the first SP using the second token of the first SP.

그리고, 상기 휴대용 디바이스는, 휴대용 단말기이고, 상기 사용자 인증 방법은, 인증 G/W로부터 상기 제1 SP의 인증 I/F에 대한 주소를 획득하는 단계; 및 상기 주소에 상기 제1 SP의 제1 토큰을 요청하여 발급받아 저장하는 단계;를 더 포함할 수 있다.The portable device is a portable terminal, and the user authentication method includes: obtaining an address for an authentication I / F of the first SP from an authentication G / W; And requesting and issuing and storing the first token of the first SP at the address.

또한, 상기 휴대용 디바이스는, 휴대용 단말기이고, 상기 사용자 인증 방법은, 상기 사용자 단말이 상기 제1 SP에 로그인 요청하는 단계; 상기 제1 SP가 인증 G/W에 상기 제1 SP의 제2 토큰을 요청하는 단계; 상기 인증 G/W에 상기 휴대용 단말기에 상기 제1 SP의 인증 I/F에 대한 주소를 전달하는 단계; 상기 휴대용 단말기가, 상기 제1 SP의 제1 토큰을 상기 주소에 전달하면서, 상기 제1 SP의 제2 토큰을 요청하는 단계; 및 상기 휴대용 단말기가, 상기 제1 SP의 제2 토큰을 발급받아 저장하는 단계;를 더 포함할 수 있다.The portable device may be a portable terminal, and the user authentication method may further include: requesting the user terminal to log in to the first SP; Requesting, by the first SP, a second token of the first SP from an authentication G / W; Transmitting an address for the authentication I / F of the first SP to the portable terminal to the authentication G / W; Requesting, by the portable terminal, the second token of the first SP while transferring the first token of the first SP to the address; And receiving and storing, by the portable terminal, a second token of the first SP.

그리고, 상기 휴대용 디바이스는, 휴대용 단말기이고, 상기 사용자 인증 방법은, 상기 휴대용 단말기가, 상기 제1 SP의 제휴사인 제2 SP에 상기 제2 SP의 제1 토큰을 요청하는 단계; 상기 휴대용 단말기가, 상기 제2 SP로부터 상기 제2 SP의 제1 토큰을 발급받아 저장하는 단계; 상기 휴대용 단말기가, 상기 제2 SP의 제1 토큰을 이용하여, 상기 제2 SP의 제2 토큰을 요청하는 단계; 상기 휴대용 단말기가, 상기 제2 SP로부터 상기 제2 SP의 제2 토큰을 발급받아 저장하는 단계; 상기 휴대용 단말기가, 저장된 상기 제2 SP의 제2 토큰을 상기 사용자 단말에 전달하는 단계; 및 상기 사용자 단말이, 상기 제2 SP의 제2 토큰으로 상기 제2 SP에 자동 로그인하는 단계;를 더 포함할 수 있다.The portable device may be a portable terminal, and the user authentication method may include: requesting, by the portable terminal, a first token of the second SP from a second SP that is an affiliate of the first SP; Receiving, by the portable terminal, a first token of the second SP from the second SP; Requesting, by the portable terminal, the second token of the second SP using the first token of the second SP; Receiving, by the portable terminal, a second token of the second SP from the second SP; Delivering, by the portable terminal, the stored second token of the second SP to the user terminal; And automatically logging in to the second SP by the user terminal using the second token of the second SP.

또한, 상기 제2 SP의 제1 토큰 요청단계는, 상기 휴대용 단말기가, 인증 G/W로부터 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및 상기 휴대용 단말기가, 상기 제2 SP에 등록된 사용자 인증 정보 및 상기 제1 SP에 등록된 사용자 인증 정보를 상기 주소에 전달하면서, 상기 제2 SP의 제1 토큰을 요청하는 단계;를 포함할 수 있다.The first token requesting step of the second SP may include: receiving, by the portable terminal, an address for the authentication I / F of the second SP from the authentication G / W; And requesting, by the portable terminal, the first token of the second SP while transferring the user authentication information registered to the second SP and the user authentication information registered to the first SP to the address. Can be.

그리고, 상기 제2 SP의 제2 토큰 요청단계는, 상기 휴대용 단말기가, 인증 G/W로부터 획득한 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및 상기 휴대용 단말기가, 상기 제2 SP의 제1 토큰을 상기 주소에 전달하면서, 상기 제2 SP의 제2 토큰을 요청하는 단계;를 포함할 수 있다.The second token request step of the second SP may include: receiving, by the portable terminal, an address for the authentication I / F of the second SP obtained from the authentication G / W; And requesting, by the portable terminal, the second token of the second SP while transferring the first token of the second SP to the address.

또한, 상기 휴대용 디바이스는, 휴대용 저장매체로 상기 사용자 단말에 장착되며, 상기 제1 SP의 제1 토큰이 상기 휴대용 저장매체에 내장된 스마트카드에 비활성화 상태로 저장되어 발급될 수 있다.The portable device may be mounted on the user terminal as a portable storage medium, and the first token of the first SP may be stored and issued in an inactive state in a smart card embedded in the portable storage medium.

그리고, 상기 사용자 단말이, 인증 G/W로부터 상기 제1 SP의 인증 I/F에 대한 주소를 획득하는 단계; 상기 사용자 단말이, 상기 주소에 상기 제1 SP의 제1 토큰을 활성화를 요청하는 단계; 및 상기 제1 SP가, 상기 스마트카드에 비활성화 상태로 저장된 상기 제1 SP의 제1 토큰에 대한 활성화를 명령하는 단계;를 더 포함할 수 있다.And obtaining, by the user terminal, an address for the authentication I / F of the first SP from the authentication G / W; Requesting, by the user terminal, to activate the first token of the first SP at the address; And commanding, by the first SP, activation of a first token of the first SP stored in an inactive state in the smart card.

또한, 상기 휴대용 디바이스는, 휴대용 저장매체로 상기 사용자 단말에 장착되며, 상기 사용자 단말이, 상기 제1 SP의 제휴사인 제2 SP에 상기 제2 SP의 제1 토큰을 요청하는 단계; 상기 사용자 단말이, 상기 제2 SP로부터 상기 제2 SP의 제1 토큰을 발급받아 상기 휴대용 저장매체에 내장된 스마트카드에 저장하는 단계; 상기 사용자 단말이, 상기 스마트카드에 저장된 상기 제2 SP의 제1 토큰을 이용하여 상기 제2 SP의 제2 토큰을 요청하는 단계; 상기 사용자 단말이, 상기 제2 SP의 제2 토큰을 발급받아 상기 스마트카드에 저장하는 단계; 및 상기 사용자 단말이, 상기 스마트카드에 저장된 상기 제2 SP의 제2 토큰으로 상기 제2 SP에 자동 로그인하는 단계;를 더 포함할 수 있다.The portable device may further include: requesting, by the user terminal, a first token of the second SP from a second SP, which is affiliated with the first SP, mounted on the user terminal as a portable storage medium; Receiving, by the user terminal, a first token of the second SP from the second SP and storing the received first token in a smart card embedded in the portable storage medium; Requesting, by the user terminal, a second token of the second SP using the first token of the second SP stored in the smart card; Receiving, by the user terminal, a second token of the second SP and storing the second token in the smart card; And the user terminal automatically logging in to the second SP with the second token of the second SP stored in the smart card.

그리고, 상기 제2 SP의 제1 토큰 요청단계는, 상기 사용자 단말이, 인증 G/W로부터 획득한 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및 상기 사용자 단말이, 상기 제2 SP에 등록된 사용자 인증 정보 및 상기 제1 SP에 등록된 사용자 인증 정보를 상기 주소에 전달하면서, 상기 제2 SP의 제1 토큰을 요청하는 단계;를 포함할 수 있다.The first token request step of the second SP may include: receiving, by the user terminal, an address for the authentication I / F of the second SP obtained from the authentication G / W; And requesting, by the user terminal, a first token of the second SP while transferring user authentication information registered to the second SP and user authentication information registered to the first SP to the address. Can be.

또한, 상기 제2 SP의 제2 토큰 요청단계는, 상기 사용자 단말이, 인증 G/W로부터 획득한 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및 상기 사용자 단말이, 상기 제2 SP의 제1 토큰을 상기 주소에 전달하면서, 상기 제2 SP의 제2 토큰을 요청하는 단계;를 포함할 수 있다.
In addition, the second token request step of the second SP, the user terminal, receiving the address for the authentication I / F of the second SP obtained from the authentication G / W; And requesting, by the user terminal, a second token of the second SP while transferring the first token of the second SP to the address.

이상 설명한 바와 같이, 본 발명에 따르면, 휴대용 디바이스에 발급된 토큰을 이용하여 사용자 인증 및 통합인증을 수행할 수 있다. 특히, 로그인 시에 아이디와 패스워드 그리고 저장된 '접근권한 토큰'을 '임시접근 토큰'으로 실시간 교환 발급받아 사용함으로써, 기존 아이디 인증 방식에서 아이디, 패스워드 유출 시에도 보안을 유지할 수 있다.As described above, according to the present invention, user authentication and integrated authentication can be performed using a token issued to a portable device. In particular, by using the ID and password and the stored 'access right token' as a 'temporary access token' issued in real time, it is possible to maintain security even when the ID and password are leaked in the existing ID authentication method.

이와 같은 서비스를 제공하기 위해서 SP는 기존 인증 방식과 데이터베이스, 시스템을 그대로 사용하되 토큰 생성, 인증 관리, 세션 관리를 담당하는 인증 I/F만 추가해도 되기 때문에 손쉽게 타 서비스 제공사의 인증 시스템과 상호 연동할 수 있다.
In order to provide such services, the SP can use the existing authentication method, database, and system as it is, but only the authentication I / F which is responsible for token generation, authentication management, and session management can be added. can do.

도 1은 인증대행 방식의 설명에 제공되는 도면,
도 2는 인증정보 전달 방식의 설명에 제공되는 도면,
도 3은 본 발명이 적용가능한 사용자 인증 시스템을 도시한 도면,
도 4는 본 발명의 일 실시예에 따른 사용자 인증 방법의 설명에 제공되는 도면,
도 5 내지 도 7은, 도 4에 도시된 사용자 인증 방법의 부연 설명에 제공되는 도면,
도 8은, 도 4에 의한 사용자 인증 후에 통합 인증할 제휴사를 등록하는 과정의 설명에 제공되는 도면,
도 9는, 도 8에 의한 통합 인증할 제휴사 등록 후, 제휴사에 자동 로그인하는 과정의 설명에 제공되는 도면,
도 10은 본 발명의 다른 실시예에 따른 사용자 인증 방법의 설명에 제공되는 도면,
도 11 내지 도 13은, 도 10에 도시된 사용자 인증 방법의 부연 설명에 제공되는 도면,
도 14는, 도 10에 의한 사용자 인증 후에 통합 인증할 제휴사를 등록하는 과정의 설명에 제공되는 도면, 그리고,
도 15는, 도 14에 의한 통합 인증할 제휴사 등록 후, 제휴사에 자동 로그인하는 과정의 설명에 제공되는 도면이다.1 is a view provided in the description of the authentication agent scheme;
2 is a view provided to explain the authentication information delivery method,
3 is a diagram showing a user authentication system to which the present invention is applicable;
4 is a view provided to explain a user authentication method according to an embodiment of the present invention;
5 to 7 are views provided for further explanation of the user authentication method shown in FIG. 4;
8 is a view provided for explaining a process of registering an affiliate to be integrated authentication after user authentication according to FIG. 4;
9 is a view provided for explaining a process of automatically logging in to an affiliated company after registering the affiliated partner to be integrated-authenticated according to FIG. 8;
10 is a view provided to explain a user authentication method according to another embodiment of the present invention;
11 to 13 are views provided for further explanation of the user authentication method shown in FIG. 10;
14 is a view provided for explaining a process of registering an affiliate to be integrated authentication after user authentication according to FIG. 10, and
FIG. 15 is a view provided to explain a process of automatically logging in to an affiliated company after registering the affiliated partner to be integrated-authenticated according to FIG. 14.

이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
Hereinafter, the present invention will be described in detail with reference to the drawings.

1. 사용자 인증 시스템1. User Authentication System

도 3은 본 발명이 적용가능한 사용자 인증 시스템을 도시한 도면이다. 도 3에 도시된 사용자 인증 시스템에서는, 휴대용 디바이스에 발급된 토큰을 이용하여 사용자 인증 및 통합인증을 수행한다.3 is a diagram illustrating a user authentication system to which the present invention is applicable. In the user authentication system shown in FIG. 3, user authentication and integrated authentication are performed using a token issued to a portable device.

사용자 인증 시스템은, 도 3에 도시된 바와 같이, SP(Service Provider)(100), 인증 G/W(200), 사용자 PC(300), 휴대용 디바이스(400, 500)를 포함하여 구성된다.As illustrated in FIG. 3, the user authentication system includes a service provider (SP) 100, an authentication G / W 200, a user PC 300, and portable devices 400 and 500.

SP(100)는 서비스 제공자가 운영하는 서버로, 인증 시스템과 인증 I/F를 구비한다. 인증 시스템은 사용자 정보(아이디, 패스워드)를 이용하여 인증 절차를 수행하는 시스템이다. 인증 I/F는 토큰을 발급/관리하고, 토큰을 이용한 인증 절차를 수행하며, 사용자 단말인 사용자 PC(300)와의 세션을 관리한다.The SP 100 is a server operated by a service provider and includes an authentication system and authentication I / F. The authentication system is a system that performs an authentication procedure using user information (ID, password). The authentication I / F issues / manages a token, performs an authentication procedure using the token, and manages a session with a user PC 300 which is a user terminal.

인증 G/W(200)는 'SP(100), 사용자 PC(300), 휴대용 디바이스(400, 500)' 간의 요청, 응답 및 필요한 정보 전달을 중계한다.The authentication G / W 200 relays the request, response and necessary information transfer between the 'SP 100, the user PC 300, and the portable devices 400 and 500'.

스마트폰(400)과 USB 메모리(500)는 사용자 PC(300)의 사용자가 소유하는 휴대용 디바이스들로, SP(100)에서 발행되는 토큰이 저장되는 매체로 기능하다. 보안을 위해, 스마트폰(400)에 설치된 보안 어플리케이션과 USB 메모리(500)에 내장된 안전 영역(Secure Element)인 스마트카드가 토큰을 저장/관리한다.
The smartphone 400 and the USB memory 500 are portable devices owned by a user of the user PC 300 and function as a medium in which a token issued from the SP 100 is stored. For security purposes, a security application installed in the smartphone 400 and a smart card, which is a secure element embedded in the USB memory 500, store / manage tokens.

2. 스마트폰 2. Smartphone 어플리케이션에In the application 발급된 토큰을 이용한 사용자 인증 User Authentication Using Issued Tokens

이하에서는, 스마트폰(400)에 설치된 보안 어플리케이션에 발급/저장된 '접근권한 토큰(Request Token)'을 '임시접근 토큰(Access Token)'으로 교환하여 로그인함으로서 사용자 인증절차를 수행하는 과정에 대해, 도 4를 참조하여 상세히 설명한다. 도 4는 본 발명의 일 실시예에 따른 사용자 인증 방법의 설명에 제공되는 도면이다.Hereinafter, for a process of performing a user authentication procedure by logging in by exchanging a 'Request Token' issued / stored in a security application installed in the smartphone 400 to a 'Access Token' and logging in, This will be described in detail with reference to FIG. 4. 4 is a view provided to explain a user authentication method according to an embodiment of the present invention.

(1) 먼저, 보안 어플리케이션을 설치한 스마트폰(400)이 인증 G/W(200)에 SP(100)의 서비스인 "A.com"에 대한 사용 등록 요청한다.(1) First, the smart phone 400 installed the security application requests the use registration for the service "A.com" of the SP 100 to the authentication G / W 200.

사용 등록 요청은, 보안 어플리케이션에서의 보안암호를 등록하고 "A.com"에 등록되어 있는 사용자 정보(아이디, 패스워드)에 대한 확인 절차를 수행하는 과정으로 진행될 수 있다.The usage registration request may be performed by registering a security password in the security application and performing a verification procedure for user information (ID, password) registered in "A.com".

(2) 그러면, 인증 G/W(200)는 "A.com" SP(100)의 인증 I/F에 대한 URI(Uniform Resource Identifier)를 스마트폰(400)에 설치된 보안 어플리케이션으로 전달한다.(2) Then, the authentication G / W 200 transmits a Uniform Resource Identifier (URI) for the authentication I / F of the "A.com" SP 100 to the security application installed in the smartphone 400.

(3) 다음, 스마트폰(400)에 설치된 보안 어플리케이션이 전달받은 URI로 '접근권한 토큰' 발급을 요청한다. '접근권한 토큰' 발급 요청 시에는, "A.com"에 등록되어 있는 사용자 정보(아이디, 패스워드)에 대한 확인 절차를 추가적으로 수행할 수 있다.(3) Next, the security application installed in the smartphone 400 requests the 'access token' issued to the URI received. When requesting for issuance of an access token, a user may additionally perform a verification process on user information (ID, password) registered on "A.com".

(4) 정당한 사용자로 확인되면, "A.com" SP(100)는 스마트폰(400)에 설치된 보안 어플리케이션에 '접근권한 토큰'을 발급한다. 이에 따라, 스마트폰(400)에 설치된 보안 어플리케이션에 '접근권한 토큰'이 저장된다.(4) If confirmed as a legitimate user, "A.com" SP (100) issues a 'access token' to the security application installed on the smartphone (400). Accordingly, the 'access token' is stored in the security application installed on the smartphone 400.

(5) 이후, 사용자 PC(300)가 "A.com" SP(100)에 로그인을 요청한다.(5) After that, the user PC 300 requests a login to the "A.com" SP 100.

(6) 그러면, "A.com" SP(100)는 인증 G/W(200)에 '임시접근 토큰'을 요청한다.(6) Then, the "A.com" SP 100 requests the 'temporary access token' from the authentication G / W 200.

(7) SP(100)로부터 '임시접근 토큰'을 요청받은 인증 G/W(200)는, "A.com" SP(100)의 인증 I/F에 대한 URI를 스마트폰(400)에 설치된 보안 어플리케이션에 푸시한다.(7) The authentication G / W 200, which has received a request for 'temporary access token' from the SP 100, installs a URI for the authentication I / F of the "A.com" SP 100 in the smartphone 400. Push to security application

(8) 그러면, 스마트폰(400)에 설치된 보안 어플리케이션은 푸시받은 URI에 '접근권한 토큰'을 전달한다. '접근권한 토큰' 전달시에는, 스마트폰(400)에 설치된 보안 어플리케이션의 보안암호를 확인하는 절차를 추가적으로 수행함이 바람직하다.(8) Then, the security application installed on the smartphone 400 delivers the 'access token' to the pushed URI. When delivering the access token, it is desirable to additionally perform a procedure for confirming the security password of the security application installed in the smartphone 400.

(9) 스마트폰(400)에 설치된 보안 어플리케이션으로부터 전달받은 '접근권한 토큰'이 "(4)"에서 발급된 것으로 확인되면, "A.com" SP(100)의 인증 I/F는 스마트폰(400)에 설치된 보안 어플리케이션에 '임시접근 토큰'을 발급한다.(9) If the 'access token' received from the security application installed on the smartphone 400 is confirmed to have been issued in "(4)", the authentication I / F of the "A.com" SP (100) is a smartphone Issue a temporary access token to the security application installed at 400.

(10) 스마트폰(400)에 설치된 보안 어플리케이션은 "A.com" SP(100)의 인증 I/F로부터 발급받은 '임시접근 토큰'을 사용자 PC(300)에 전달한다.(10) The security application installed on the smartphone 400 delivers the 'temporary access token' issued from the authentication I / F of the "A.com" SP 100 to the user PC 300.

(11) 그러면, 사용자 PC(300)는 전달받은 '임시접근 토큰'을 "A.com" SP(100)에 전달하며, 이에 의해 사용자 인증 절차가 종료되어 로그인이 완료된다.(11) Then, the user PC 300 transfers the received 'temporary access token' to the "A.com" SP 100, whereby the user authentication procedure is terminated and login is completed.

도 5에는, 도 4의 (1) 단계에서 수행되는 보안 어플리케이션 설치과정을 나타내었다. 그리고, 도 6에는, i) 도 4의 (1) 단계에 수행되는 보안암호 등록과정과 사용자 정보(아이디, 패스워드)에 대한 확인 과정과 ii) 도 4의 (3) 단계와 (4) 단계에서 수행되는 '접근권한 토큰' 요청/발급/저장 과정을 나타내었다.5 shows a security application installation process performed in step (1) of FIG. And, in Figure 6, i) security password registration process performed in step (1) of Figure 4 and the confirmation process for the user information (ID, password) and ii) in step (3) and (4) of FIG. The following shows the process of requesting / issuing / storing access tokens.

한편, 도 7에는, 도 4의 (5) 단계에서의 로그인 과정, 도 4의 (8) 단계에서 수행되는 보안암호 확인 과정 및 도 4의 (11) 단계에서의 로그인 완료 과정을 나타내었다.
Meanwhile, FIG. 7 illustrates a login process in step (5) of FIG. 4, a security password confirmation process performed in step (8) of FIG. 4, and a login completion process in step (11) of FIG. 4.

3. 스마트폰 3. Smartphone 어플리케이션에In the application 발급된 토큰을 이용한 사용자 "통합" 인증 User "Integrated" Authentication Using Issued Tokens

도 8은, 도 4에 의한 사용자 인증 후에 통합 인증할 제휴사를 등록하는 과정의 설명에 제공되는 도면이다.FIG. 8 is a diagram provided to explain a process of registering an affiliate to be integrated-authenticated after user authentication according to FIG. 4.

(1) 먼저, 스마트폰(400)에 설치된 보안 어플리케이션이 어플리케이션의 ID와 보안암호를 인증 G/W(200)에 전달한다.(1) First, the security application installed in the smartphone 400 transmits the ID and security password of the application to the authentication G / W (200).

(2) 그리고, 스마트폰(400)에 설치된 보안 어플리케이션이 사용자에 의해 선택된 제휴사(B.com)에 대한 정보를 인증 G/W(200)에 전달한다.(2) And, the security application installed on the smartphone 400 delivers information about the affiliate (B.com) selected by the user to the authentication G / W (200).

(3) 그러면, 인증 G/W(200)는 "제휴사(B.com)" SP(600)의 인증 I/F에 대한 URI를 스마트폰(400)에 설치된 보안 어플리케이션으로 전달한다.(3) Then, the authentication G / W 200 transmits the URI for the authentication I / F of the "affiliate (B.com)" SP 600 to the security application installed in the smartphone (400).

(4) 이후, 스마트폰(400)에 설치된 보안 어플리케이션이 전달받은 URI로 '접근권한 토큰' 발급을 요청한다. '접근권한 토큰' 발급 요청 시에는, 제휴사(B.com)에 등록되어 있는 사용자 정보(아이디, 패스워드) 외에 "A.com"에 등록되어 있는 사용자 아이디를 함께 전달한다. "A.com"에 등록되어 있는 사용자 아이디는 추후 제휴 서비스를 제공하는데 이용된다.(4) After that, the security application installed in the smartphone 400 requests the 'access token' issued to the received URI. When requesting for issuance of an access token, the user ID registered in "A.com" is delivered together with the user information (ID, password) registered in the affiliate (B.com). The user ID registered in "A.com" is used later to provide affiliate service.

(5) 정당한 사용자로 확인되면, "제휴사(B.com)" SP(600)는 스마트폰(400)에 설치된 보안 어플리케이션에 제휴사(B.com)의 '접근권한 토큰' 발급한다.(5) If confirmed as a legitimate user, "affiliate (B.com)" SP 600 is issued a 'access token' of the affiliate (B.com) to the security application installed on the smartphone (400).

(6) 그러면, 스마트폰(400)에 설치된 보안 어플리케이션은 발급받은 제휴사(B.com)의 '접근권한 토큰'을 저장한다.(6) Then, the security application installed on the smartphone 400 stores the 'access token' of the issued affiliate (B.com).

도 9는, 도 8에 의한 통합 인증할 제휴사 등록 후, 제휴사에 자동 로그인하는 과정의 설명에 제공되는 도면이다. 도 9에서 사용자 PC(300)는 "A.com"에 로그인 완료된 상태로 가정한다.FIG. 9 is a diagram provided for explaining a process of automatically logging in to an affiliated company after registering the affiliated partner to be integrated-authenticated according to FIG. 8. In FIG. 9, it is assumed that the user PC 300 is logged in to "A.com".

(1) "A.com"에 로그인 완료된 사용자 PC(300)는 "A.com"의 제휴사로 "B.com"이 존재함을 파악하고, 인증 G/W(200)에 사용자 PC(300)의 URI를 전달하면서 제휴사(B.com)의 '임시접근 토큰'을 요청한다.(1) The user PC 300 which has completed the login to "A.com" grasps that "B.com" exists as an affiliate of "A.com", and the user PC 300 to the authentication G / W 200. Request a 'temporary access token' from an affiliate (B.com) while passing the URI of

(2) 사용자 PC(300)로부터 제휴사(B.com)의 '임시접근 토큰'을 요청받은 인증 G/W(200)는, "제휴사(B.com)" SP(600)의 인증 I/F에 대한 URI와 사용자 PC(300)의 URI를 스마트폰(400)에 설치된 보안 어플리케이션에 푸시한다.(2) The authentication G / W 200, which has received a request for 'temporary access token' of an affiliate company (B.com) from the user PC 300, authenticates I / F of the "partner company (B.com)" SP 600. Push the URI and the URI of the user PC 300 to the security application installed on the smartphone 400.

(3) 그러면, 스마트폰(400)에 설치된 보안 어플리케이션은 도 8의 (6)단계를 통해 저장된 제휴사(B.com)의 '접근권한 토큰'을 "제휴사(B.com)" SP(600)의 인증 I/F에 대한 URI에 전달한다.(3) Then, the security application installed in the smartphone 400, the "access rights token" of the affiliated company (B.com) stored in step (6) of Figure 8 "partner (B.com)" SP (600) Pass in URI for authentication I / F of.

(4) 스마트폰(400)에 설치된 보안 어플리케이션으로부터 전달받은 '접근권한 토큰'이 도 8의 "(5)"에서 발급된 것으로 확인되면, "제휴사(B.com)" SP(100)의 인증 I/F는 스마트폰(400)에 설치된 보안 어플리케이션에 제휴사(B.com)의 '임시접근 토큰'을 발급한다.(4) If it is confirmed that the 'access right token' received from the security application installed in the smartphone 400 is issued in "(5)" of FIG. 8, authentication of the "partner (B.com)" SP (100) I / F issues a 'temporary access token' of an affiliate (B.com) to a security application installed on the smartphone 400.

(5) 스마트폰(400)에 설치된 보안 어플리케이션은 "제휴사(B.com)" SP(100)의 인증 I/F로부터 발급받은 '임시접근 토큰'을 사용자 PC(300)의 URI로 전달한다.(5) The security application installed in the smartphone 400 transfers the 'temporary access token' issued from the authentication I / F of the "partner (B.com)" SP 100 to the URI of the user PC 300.

(6) 그러면, 사용자 PC(300)는 전달받은 제휴사(B.com)의 '임시접근 토큰'을 "제휴사(B.com)" SP(100)에 전달한다.(6) Then, the user PC 300 transmits the 'temporary access token' of the affiliated company (B.com) to the "partner company (B.com)" SP (100).

(7) 이에 의해, 사용자 PC(300)가 제휴사(B.com)에 자동 로그인 완료되므로, 사용자 PC(300)와 "제휴사(B.com)" SP(600) 간의 세션이 설정된다.
(7) As a result, since the user PC 300 automatically logs in to the affiliate company B. com, a session between the user PC 300 and the "partner company B. com" SP 600 is established.

4. 스마트카드 내장 4. Built-in smart card USBUSB 메모리에 발급된 토큰을 이용한 사용자 인증 User authentication using token issued in memory

이하에서는, 비활성화된 상태로 발급된 '접근권한 토큰'이 저장된 스마트카드가 내장된 USB 메모리(500)를 사용 등록하여 '접근권한 토큰'을 활성화시킨 후 '임시접근 토큰'으로 교환하여 로그인함으로서 사용자 인증절차를 수행하는 과정에 대해, 도 10을 참조하여 상세히 설명한다. 도 10은 본 발명의 다른 실시예에 따른 사용자 인증 방법의 설명에 제공되는 도면이다.Hereinafter, the user registers by using the USB memory 500 in which the smart card stored the 'access right token' issued in an inactive state is activated to activate the 'access right token' and then log in by exchanging with a 'temporary access token'. A process of performing the authentication procedure will be described in detail with reference to FIG. 10. 10 is a view provided to explain a user authentication method according to another embodiment of the present invention.

(1) 먼저, 서비스 제공자에 의해 비활성화된 상태로 발급된 '접근권한 토큰'이 저장된 스마트카드가 내장된 USB 메모리(500)가 사용자에게 발급된다.(1) First, a USB memory 500 in which a smart card is stored, in which an access token is issued, which is issued in an inactive state by a service provider, is issued to a user.

(2) 이후, USB 메모리(500)가 장착된 사용자 PC(300)가 "A.com" SP(100)에 로그인을 요청한다.(2) After that, the user PC 300 equipped with the USB memory 500 requests a login to the "A.com" SP 100.

(3) 그리고, 사용자 PC(300)는 인증 G/W(200)에 스마트카드 ID를 전달하여, 스마트카드가 내장된 USB 메모리(500)에 대한 사용 등록 요청한다.(3) The user PC 300 transmits the smart card ID to the authentication G / W 200 to request the use registration for the USB memory 500 in which the smart card is embedded.

(4) 스마트카드 ID 무결성이 확인되면, 인증 G/W(200)는 사용자 PC(300)에 "A.com" SP(100)의 인증 I/F에 대한 URI를 전달한다.(4) When the smart card ID integrity is confirmed, the authentication G / W 200 delivers the URI for the authentication I / F of the "A.com" SP 100 to the user PC 300.

(5) 그러면, 사용자 PC(300)는 전달받은 URI로 USB 메모리(500)에 내장된 스마트카드에 저장된 '접근권한 토큰'에 대한 활성화를 요청한다. '접근권한 토큰' 활성화 요청 시에는, 스마트카드 인증정보에 대한 확인 절차를 추가적으로 수행할 수 있다.(5) Then, the user PC 300 requests the activation of the 'access right token' stored in the smart card embedded in the USB memory 500 with the received URI. When requesting to activate the 'access token', the verification procedure for the smart card authentication information may be additionally performed.

(6) 사용자 PC(300)로부터 '접근권한 토큰' 활성화 요청을 수신한 "A.com" SP(100)는 '접근권한 토큰' 활성화 명령을 사용자 PC(300)를 통해 USB 메모리(500)에 장착된 스마트카드에 전달한다. 이에 의해, USB 메모리(500)에 내장된 스마트카드에 저장된 '접근권한 토큰'이 활성화된다.(6) Upon receiving a request for activating the 'access token' from the user PC 300, the "A.com" SP 100 sends a 'access token' activation command to the USB memory 500 through the user PC 300. Deliver to installed smart card. As a result, the 'access right token' stored in the smart card embedded in the USB memory 500 is activated.

(7) 이후, 사용자 PC(300)는 USB 메모리(500)에 내장된 스마트카드에 저장된 활성화된 '접근권한 토큰'을 "A.com" SP(100)에 전달하면서, '임시접근 토큰' 발급을 요청한다.(7) Afterwards, the user PC 300 delivers the activated 'access right token' stored in the smart card embedded in the USB memory 500 to the "A.com" SP 100, and issues a 'temporary access token'. Ask.

(8) '접근권한 토큰'의 무결성이 확인되면, "A.com" SP(100)는 사용자 PC(300)를 통해 USB 메모리(500)에 내장된 스마트카드에 '임시접근 토큰'을 발급한다. 발급된 '임시접근 토큰'은 USB 메모리(500)에 내장된 스마트카드에 저장된다.(8) When the integrity of the 'access right token' is confirmed, the "A.com" SP 100 issues a 'temporary access token' to the smart card embedded in the USB memory 500 through the user PC 300. . The issued 'temporary access token' is stored in a smart card embedded in the USB memory 500.

(9) 이후, 사용자 PC(300)가 USB 메모리(500)에 내장된 스마트카드에 저장된 '임시접근 토큰'을 "A.com" SP(100)에 전달하며, 이에 의해 사용자 인증 절차가 종료되어 로그인이 완료된다.(9) After that, the user PC 300 transmits the 'temporary access token' stored in the smart card embedded in the USB memory 500 to the "A.com" SP 100, whereby the user authentication procedure is terminated. Login is complete.

도 11에는, 도 10의 (1) 단계에서 수행되는 비활성화된 '접근권한 토큰'이 저장된 스마트카드가 내장된 USB 메모리(500)를 발급하는 과정이 나타나 있다. 그리고, 도 12에는, 도 10의 (5) 단계와 (6) 단계에서 수행되는 '접근권한 토큰' 활성화 과정이 나타나 있다. 한편, 도 13에는 도 10의 (7) 단계 내지 (9) 단계에 의해 로그인이 진행되는 과정이 나타나 있다.
FIG. 11 illustrates a process of issuing a USB memory 500 in which a smart card in which an inactivated 'access right token' is stored in step (1) of FIG. 10 is stored. In addition, FIG. 12 shows a process for activating the 'access right token' performed in steps (5) and (6) of FIG. 10. Meanwhile, FIG. 13 illustrates a process of logging in by steps (7) to (9) of FIG. 10.

5. 스마트카드 내장 5. Built-in smart card USBUSB 메모리에 발급된 토큰을 이용한 사용자 "통합" 인증 User "integrated" authentication with tokens issued in memory

도 14는, 도 10에 의한 사용자 인증 후에 통합 인증할 제휴사를 등록하는 과정의 설명에 제공되는 도면이다.FIG. 14 is a diagram provided to explain a process of registering an affiliate to be integrated-authenticated after user authentication according to FIG. 10.

(1) 먼저, 스마트카드가 내장된 USB 메모리(500)가 장착된 사용자 PC(300)가 스마트카드 ID와 보안암호를 인증 G/W(200)에 전달한다.(1) First, the user PC 300 equipped with the USB memory 500 in which the smart card is embedded transmits the smart card ID and the security password to the authentication G / W 200.

(2) 그리고, 사용자 PC(300)는 사용자에 의해 선택된 제휴사(B.com)에 대한 정보를 인증 G/W(200)에 전달한다.(2) The user PC 300 transmits the information on the affiliated company (B.com) selected by the user to the authentication G / W 200.

(3) 그러면, 인증 G/W(200)는 "제휴사(B.com)" SP(600)의 인증 I/F에 대한 URI를 사용자 PC(300)에 전달한다.(3) Then, the authentication G / W 200 transmits the URI for the authentication I / F of the “affiliate (B.com)” SP 600 to the user PC 300.

(4) 사용자 PC(300)는 전달받은 URI에 제휴사(B.com)의 '접근권한 토큰' 발급을 요청한다. '접근권한 토큰' 발급 요청 시에는, 제휴사(B.com)에 등록되어 있는 사용자 정보(아이디, 패스워드) 외에 "A.com"에 등록되어 있는 사용자 아이디를 함께 전달한다. "A.com"에 등록되어 있는 사용자 아이디는 추후 제휴 서비스를 제공하는데 이용된다.(4) The user PC 300 requests for issuance of 'access token' of the affiliated company (B.com) to the received URI. When requesting for issuance of an access token, the user ID registered in "A.com" is delivered together with the user information (ID, password) registered in the affiliate (B.com). The user ID registered in "A.com" is used later to provide affiliate service.

(5) 정당한 사용자로 확인되면, "제휴사(B.com)" SP(600)는 사용자 PC(300)에 장착된 USB 메모리(500)에 내장된 스마트카드에 제휴사(B.com)의 '접근권한 토큰' 발급한다.(5) If confirmed as a legitimate user, the "affiliate (B.com)" SP (600) is a smart card embedded in the USB memory 500 mounted on the user PC (300) of the affiliate (B.com) 'access rights Issue one token.

(6) 이에 의해, USB 메모리(500)에 내장된 스마트카드에 제휴사(B.com)의 '접근권한 토큰'이 저장된다.(6) As a result, the 'access right token' of the affiliated company (B.com) is stored in the smart card embedded in the USB memory 500.

도 15는, 도 14에 의한 통합 인증할 제휴사 등록 후, 제휴사에 자동 로그인하는 과정의 설명에 제공되는 도면이다.FIG. 15 is a view provided to explain a process of automatically logging in to an affiliated company after registering the affiliated partner to be integrated-authenticated according to FIG. 14.

(1) 도 15에서 사용자 PC(300)는 "A.com"에 이미 로그인되어 있는 상태로 가정한다.(1) In FIG. 15, it is assumed that the user PC 300 is already logged in to "A.com".

(2) "A.com"에 로그인된 사용자 PC(300)는 "A.com"의 제휴사로 "B.com"가 존재함을 파악하고, 인증 G/W(200)에 제휴사(B.com)의 연결정보를 요청한다.(2) The user PC 300 logged in to "A.com" grasps that "B.com" exists as an affiliate of "A.com", and affiliates (B.com) to the authentication G / W 200. Request the connection information of).

(3) 사용자 PC(300)의 연결정보 요청에 대한 응답으로, 인증 G/W(200)는 "제휴사(B.com)" SP(600)의 인증 I/F에 대한 URI를 사용자 PC(300)에 전달한다.(3) In response to the request for connection information of the user PC 300, the authentication G / W 200 sends the URI for the authentication I / F of the "partner (B.com)" SP 600 to the user PC (300). To pass).

(4) 그러면, 사용자 PC(300)는 도 14의 (6)단계를 통해 USB 메모리(500)에 내장된 스마트카드에 저장된 '접근권한 토큰'을 "제휴사(B.com)" SP(600)의 인증 I/F에 대한 URI에 전달한다.(4) Then, the user PC 300, through the step (6) of Figure 14 "Access Right Token" stored in the smart card embedded in the USB memory 500 "partner (B.com)" SP (600) Pass in URI for authentication I / F of.

(5) 사용자 PC(300)로부터 전달받은 '접근권한 토큰'이 도 14의 "(5)"에서 발급된 것으로 확인되면, "제휴사(B.com)" SP(600)의 인증 I/F는 사용자 PC(300)에 장착된 USB 메모리(500)에 내장된 스마트카드에 제휴사(B.com)의 '임시접근 토큰' 발급한다.(5) If the 'access right token' received from the user PC 300 is confirmed to have been issued in "(5)" of Figure 14, the authentication I / F of the "partner (B.com)" SP 600 is Issuing a 'temporary access token' of the affiliate (B.com) to the smart card embedded in the USB memory 500 mounted on the user PC (300).

이에 따라, USB 메모리(500)에 내장된 스마트카드에는 제휴사(B.com)의 '임시접근 토큰'이 저장되게 된다.Accordingly, the 'temporary access token' of the affiliated company (B.com) is stored in the smart card embedded in the USB memory 500.

(6) 이후, 사용자 PC(300)는 USB 메모리(500)에 내장된 스마트카드에 저장된 제휴사(B.com)의 '접근권한 토큰'을 "제휴사(B.com)" SP(600)에 전달한다.(6) After that, the user PC 300 delivers the 'access token' of the affiliated company (B.com) stored in the smart card embedded in the USB memory 500 to the "partner (B.com)" SP 600. do.

(7) 그러면, 사용자 PC(300)가 제휴사(B.com)에 자동 로그인 완료되므로, 사용자 PC(300)와 "제휴사(B.com)" SP(600) 간의 세션이 설정된다.
(7) Then, since the user PC 300 is automatically logged in to the affiliate company B. com, a session between the user PC 300 and the "partner company B. com" SP 600 is established.

6. 기타6. Other

지금까지, 휴대용 디바이스에 발급된 토큰을 이용하여 사용자 인증 및 통합인증을 수행하는 방법과 시스템에 대해 바람직한 실시예들을 들어 상세히 설명하였다.Up to now, preferred embodiments and methods for performing user authentication and integrated authentication using tokens issued to portable devices have been described in detail.

한편, 본 실시예에 따른 장치와 방법의 기능을 수행하게 하는 컴퓨터 프로그램을 수록한 컴퓨터로 읽을 수 있는 기록매체에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. 또한, 본 발명의 다양한 실시예에 따른 기술적 사상은 컴퓨터로 읽을 수 있는 기록매체에 기록된 컴퓨터로 읽을 수 있는 코드 형태로 구현될 수도 있다. 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터에 의해 읽을 수 있고 데이터를 저장할 수 있는 어떤 데이터 저장 장치이더라도 가능하다. 예를 들어, 컴퓨터로 읽을 수 있는 기록매체는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광디스크, 하드 디스크 드라이브, 등이 될 수 있음은 물론이다. 또한, 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터로 읽을 수 있는 코드 또는 프로그램은 컴퓨터간에 연결된 네트워크를 통해 전송될 수도 있다. It goes without saying that the technical idea of the present invention can also be applied to a computer-readable recording medium having a computer program for performing the functions of the apparatus and method according to the present embodiment. In addition, the technical idea according to various embodiments of the present invention may be embodied in computer-readable code form recorded on a computer-readable recording medium. The computer-readable recording medium is any data storage device that can be read by a computer and can store data. For example, the computer-readable recording medium may be a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, an optical disk, a hard disk drive, or the like. In addition, the computer readable code or program stored in the computer readable recording medium may be transmitted through a network connected between the computers.

또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the present invention.

100, 600 : SP
200 : 인증 G/W
300 : 사용자 PC
400 : 스마트폰
500 : USB 메모리100, 600: SP
200: Certification G / W
300: user PC
400: smartphone
500: USB memory

Claims (11)

제1 SP(Service Provider)로부터 사용자의 휴대용 디바이스에 발급되어 저장된 상기 제1 SP의 제1 토큰을 이용하여, 상기 제1 SP의 제2 토큰을 상기 제1 SP에 요청하는 단계;
상기 제1 SP로부터 발급받은 상기 제1 SP의 제2 토큰을 사용자 단말에 전달하는 단계; 및
상기 제1 SP의 제2 토큰을 이용하여, 상기 사용자 단말이 상기 제1 SP에 로그인 하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.
Requesting a second token of the first SP from the first SP using the first token of the first SP issued and stored in a portable device of the user from a first service provider (SP);
Delivering a second token of the first SP issued from the first SP to a user terminal; And
Using the second token of the first SP, the user terminal logging in to the first SP; user authentication method comprising a.
제 1항에 있어서,
상기 휴대용 디바이스는, 휴대용 단말기이고,
상기 사용자 인증 방법은,
인증 G/W로부터 상기 제1 SP의 인증 I/F에 대한 주소를 획득하는 단계; 및
상기 주소에 상기 제1 SP의 제1 토큰을 요청하여 발급받아 저장하는 단계;를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 1,
The portable device is a portable terminal,
The user authentication method,
Obtaining an address for the authentication I / F of the first SP from the authentication G / W; And
And requesting and issuing and storing the first token of the first SP in the address.
제 1항에 있어서,
상기 휴대용 디바이스는, 휴대용 단말기이고,
상기 사용자 인증 방법은,
상기 사용자 단말이 상기 제1 SP에 로그인 요청하는 단계;
상기 제1 SP가 인증 G/W에 상기 제1 SP의 제2 토큰을 요청하는 단계;
상기 인증 G/W에 상기 휴대용 단말기에 상기 제1 SP의 인증 I/F에 대한 주소를 전달하는 단계;
상기 휴대용 단말기가, 상기 제1 SP의 제1 토큰을 상기 주소에 전달하면서, 상기 제1 SP의 제2 토큰을 요청하는 단계; 및
상기 휴대용 단말기가, 상기 제1 SP의 제2 토큰을 발급받아 저장하는 단계;를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 1,
The portable device is a portable terminal,
The user authentication method,
Requesting the user terminal to log in to the first SP;
Requesting, by the first SP, a second token of the first SP from an authentication G / W;
Transmitting an address for the authentication I / F of the first SP to the portable terminal to the authentication G / W;
Requesting, by the portable terminal, the second token of the first SP while transferring the first token of the first SP to the address; And
And receiving, by the portable terminal, a second token of the first SP and storing the second token.
제 1항에 있어서,
상기 휴대용 디바이스는, 휴대용 단말기이고,
상기 사용자 인증 방법은,
상기 휴대용 단말기가, 상기 제1 SP의 제휴사인 제2 SP에 상기 제2 SP의 제1 토큰을 요청하는 단계;
상기 휴대용 단말기가, 상기 제2 SP로부터 상기 제2 SP의 제1 토큰을 발급받아 저장하는 단계;
상기 휴대용 단말기가, 상기 제2 SP의 제1 토큰을 이용하여, 상기 제2 SP의 제2 토큰을 요청하는 단계;
상기 휴대용 단말기가, 상기 제2 SP로부터 상기 제2 SP의 제2 토큰을 발급받아 저장하는 단계;
상기 휴대용 단말기가, 저장된 상기 제2 SP의 제2 토큰을 상기 사용자 단말에 전달하는 단계; 및
상기 사용자 단말이, 상기 제2 SP의 제2 토큰으로 상기 제2 SP에 자동 로그인하는 단계;를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 1,
The portable device is a portable terminal,
The user authentication method,
Requesting, by the portable terminal, a first token of the second SP from a second SP which is an affiliate of the first SP;
Receiving, by the portable terminal, a first token of the second SP from the second SP;
Requesting, by the portable terminal, the second token of the second SP using the first token of the second SP;
Receiving, by the portable terminal, a second token of the second SP from the second SP;
Delivering, by the portable terminal, the stored second token of the second SP to the user terminal; And
And the user terminal automatically logging in to the second SP with the second token of the second SP.
제 4항에 있어서,
상기 제2 SP의 제1 토큰 요청단계는,
상기 휴대용 단말기가, 인증 G/W로부터 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및
상기 휴대용 단말기가, 상기 제2 SP에 등록된 사용자 인증 정보 및 상기 제1 SP에 등록된 사용자 인증 정보를 상기 주소에 전달하면서, 상기 제2 SP의 제1 토큰을 요청하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.
5. The method of claim 4,
The first token request step of the second SP,
Receiving, by the portable terminal, an address for the authentication I / F of the second SP from the authentication G / W; And
Requesting, by the portable terminal, a first token of the second SP while transferring user authentication information registered to the second SP and user authentication information registered to the first SP to the address; A user authentication method characterized by the above-mentioned.
제 4항에 있어서,
상기 제2 SP의 제2 토큰 요청단계는,
상기 휴대용 단말기가, 인증 G/W로부터 획득한 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및
상기 휴대용 단말기가, 상기 제2 SP의 제1 토큰을 상기 주소에 전달하면서, 상기 제2 SP의 제2 토큰을 요청하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.
5. The method of claim 4,
The second token request step of the second SP,
Receiving, by the portable terminal, an address for the authentication I / F of the second SP obtained from the authentication G / W; And
Requesting, by the portable terminal, the second token of the second SP while transferring the first token of the second SP to the address.
제 1항에 있어서,
상기 휴대용 디바이스는, 휴대용 저장매체로 상기 사용자 단말에 장착되며,
상기 제1 SP의 제1 토큰이 상기 휴대용 저장매체에 내장된 스마트카드에 비활성화 상태로 저장되어 발급되는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 1,
The portable device is mounted to the user terminal as a portable storage medium,
And a first token of the first SP is stored and issued in an inactive state in a smart card embedded in the portable storage medium.
제 7항에 있어서,
상기 사용자 단말이, 인증 G/W로부터 상기 제1 SP의 인증 I/F에 대한 주소를 획득하는 단계;
상기 사용자 단말이, 상기 주소에 상기 제1 SP의 제1 토큰을 활성화를 요청하는 단계; 및
상기 제1 SP가, 상기 스마트카드에 비활성화 상태로 저장된 상기 제1 SP의 제1 토큰에 대한 활성화를 명령하는 단계;를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
8. The method of claim 7,
Obtaining, by the user terminal, an address for authentication I / F of the first SP from authentication G / W;
Requesting, by the user terminal, to activate the first token of the first SP at the address; And
Commanding, by the first SP, activation of a first token of the first SP stored in an inactive state in the smart card.
제 1항에 있어서,
상기 휴대용 디바이스는, 휴대용 저장매체로 상기 사용자 단말에 장착되며,
상기 사용자 단말이, 상기 제1 SP의 제휴사인 제2 SP에 상기 제2 SP의 제1 토큰을 요청하는 단계;
상기 사용자 단말이, 상기 제2 SP로부터 상기 제2 SP의 제1 토큰을 발급받아 상기 휴대용 저장매체에 내장된 스마트카드에 저장하는 단계;
상기 사용자 단말이, 상기 스마트카드에 저장된 상기 제2 SP의 제1 토큰을 이용하여 상기 제2 SP의 제2 토큰을 요청하는 단계;
상기 사용자 단말이, 상기 제2 SP의 제2 토큰을 발급받아 상기 스마트카드에 저장하는 단계; 및
상기 사용자 단말이, 상기 스마트카드에 저장된 상기 제2 SP의 제2 토큰으로 상기 제2 SP에 자동 로그인하는 단계;를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 1,
The portable device is mounted to the user terminal as a portable storage medium,
Requesting, by the user terminal, a first token of the second SP from a second SP which is an affiliate of the first SP;
Receiving, by the user terminal, a first token of the second SP from the second SP and storing the received first token in a smart card embedded in the portable storage medium;
Requesting, by the user terminal, a second token of the second SP using the first token of the second SP stored in the smart card;
Receiving, by the user terminal, a second token of the second SP and storing the second token in the smart card; And
And the user terminal automatically logging in to the second SP with the second token of the second SP stored in the smart card.
제 9항에 있어서,
상기 제2 SP의 제1 토큰 요청단계는,
상기 사용자 단말이, 인증 G/W로부터 획득한 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및
상기 사용자 단말이, 상기 제2 SP에 등록된 사용자 인증 정보 및 상기 제1 SP에 등록된 사용자 인증 정보를 상기 주소에 전달하면서, 상기 제2 SP의 제1 토큰을 요청하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 9,
The first token request step of the second SP,
Receiving, by the user terminal, an address for the authentication I / F of the second SP obtained from the authentication G / W; And
Requesting, by the user terminal, a first token of the second SP while transferring user authentication information registered to the second SP and user authentication information registered to the first SP to the address. A user authentication method characterized by the above-mentioned.
제 9항에 있어서,
상기 제2 SP의 제2 토큰 요청단계는,
상기 사용자 단말이, 인증 G/W로부터 획득한 상기 제2 SP의 인증 I/F에 대한 주소를 전달받는 단계; 및
상기 사용자 단말이, 상기 제2 SP의 제1 토큰을 상기 주소에 전달하면서, 상기 제2 SP의 제2 토큰을 요청하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.
The method of claim 9,
The second token request step of the second SP,
Receiving, by the user terminal, an address for the authentication I / F of the second SP obtained from the authentication G / W; And
Requesting, by the user terminal, a second token of the second SP while transferring the first token of the second SP to the address.
KR1020110126614A 2011-11-30 2011-11-30 Method for user authentication using token issued on portable device and system using the same KR101306442B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110126614A KR101306442B1 (en) 2011-11-30 2011-11-30 Method for user authentication using token issued on portable device and system using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110126614A KR101306442B1 (en) 2011-11-30 2011-11-30 Method for user authentication using token issued on portable device and system using the same

Publications (2)

Publication Number Publication Date
KR20130060517A KR20130060517A (en) 2013-06-10
KR101306442B1 true KR101306442B1 (en) 2013-09-09

Family

ID=48858931

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110126614A KR101306442B1 (en) 2011-11-30 2011-11-30 Method for user authentication using token issued on portable device and system using the same

Country Status (1)

Country Link
KR (1) KR101306442B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020226648A1 (en) * 2019-05-09 2020-11-12 Schlumberger Technology Corporation Client isolation with native cloud features

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005062556A (en) 2003-08-14 2005-03-10 Internatl Business Mach Corp <Ibm> Authentication system, server, authentication method, and program
JP2005519365A (en) 2002-02-28 2005-06-30 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and apparatus for handling user identifier in single sign-on service
JP2009505308A (en) * 2005-08-22 2009-02-05 マイクロソフト コーポレーション Distributed single sign-on service
KR20090017962A (en) * 2007-08-16 2009-02-19 삼성전자주식회사 Method and apparatus for communication and method and apparatus for controlling communication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005519365A (en) 2002-02-28 2005-06-30 テレフオンアクチーボラゲット エル エム エリクソン(パブル) Method and apparatus for handling user identifier in single sign-on service
JP2005062556A (en) 2003-08-14 2005-03-10 Internatl Business Mach Corp <Ibm> Authentication system, server, authentication method, and program
JP2009505308A (en) * 2005-08-22 2009-02-05 マイクロソフト コーポレーション Distributed single sign-on service
KR20090017962A (en) * 2007-08-16 2009-02-19 삼성전자주식회사 Method and apparatus for communication and method and apparatus for controlling communication

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020226648A1 (en) * 2019-05-09 2020-11-12 Schlumberger Technology Corporation Client isolation with native cloud features

Also Published As

Publication number Publication date
KR20130060517A (en) 2013-06-10

Similar Documents

Publication Publication Date Title
TWI706263B (en) Trust registration method, server and system
JP5449905B2 (en) Information processing apparatus, program, and information processing system
CN109981561A (en) Monomer architecture system moves to the user authen method of micro services framework
CN102457509B (en) Cloud computing resources safety access method, Apparatus and system
CN101159557B (en) Single point logging method, device and system
CN105229987B (en) Actively united mobile authentication
CN108600203A (en) Secure Single Sign-on method based on Cookie and its unified certification service system
US8327132B2 (en) Automated certificate provisioning for non-domain-joined entities
CN105376208B (en) Secure data verification method, system and computer readable storage medium
CN110602088A (en) Block chain-based right management method, block chain-based right management device, block chain-based right management equipment and block chain-based right management medium
JP2019185775A (en) Authority authentication method for block chain infrastructure, terminal, and server using the same
CN111355713B (en) Proxy access method, device, proxy gateway and readable storage medium
CN101841525A (en) Secure access method, system and client
WO2014048749A1 (en) Inter-domain single sign-on
KR101210260B1 (en) OTP certification device
JP6572750B2 (en) Authentication control program, authentication control device, and authentication control method
CN109495486B (en) Single-page Web application integration CAS method based on JWT
CN109150800A (en) Login access method, system and storage medium
KR20080019362A (en) Substitutable local domain management system and method for substituting the system
CN105100009A (en) Login control system, method and device
KR102012262B1 (en) Key management method and fido authenticator software authenticator
JP2007280393A (en) Device and method for controlling computer login
CN110351265A (en) A kind of authentication method based on JWT, computer-readable medium and system
CN105337967A (en) Method and system for achieving target server logging by user and central server
CN104579681A (en) Identity authentication system for mutual-trust application systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160819

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190904

Year of fee payment: 7