KR101388930B1 - Divided signature based user authentication apparatus and method - Google Patents

Divided signature based user authentication apparatus and method Download PDF

Info

Publication number
KR101388930B1
KR101388930B1 KR1020120116965A KR20120116965A KR101388930B1 KR 101388930 B1 KR101388930 B1 KR 101388930B1 KR 1020120116965 A KR1020120116965 A KR 1020120116965A KR 20120116965 A KR20120116965 A KR 20120116965A KR 101388930 B1 KR101388930 B1 KR 101388930B1
Authority
KR
South Korea
Prior art keywords
terminal
value
electronic signature
user authentication
signature
Prior art date
Application number
KR1020120116965A
Other languages
Korean (ko)
Inventor
심재원
Original Assignee
소프트포럼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트포럼 주식회사 filed Critical 소프트포럼 주식회사
Priority to KR1020120116965A priority Critical patent/KR101388930B1/en
Application granted granted Critical
Publication of KR101388930B1 publication Critical patent/KR101388930B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Abstract

Disclosed is a user authentication method and apparatus based on a divided signature. The embodiments of the present invention are to provide the user authentication method based on the divided signature which verifies a received electronic signature value after receiving an electronic signature value from a second terminal which a user does not own a first terminal if the user accesses a service providing server to provide web services by the first terminal to request user authentication, and as a result of the verification, determines whether the user identifies the first terminal. Therefore, the present invention can further improve the security by separating the user authentication process to a distinct channel. [Reference numerals] (200) Request receiver; (201) Electronic signature requesting unit; (202) Electronic signature receiver; (203) Verification performing unit; (204) Message transmission unit; (205) Terminal check unit; (206) Hash value operation unit; (207) Hash value receiver; (208) Data generation unit; (209) Data transmission unit; (220) First terminal; (230) Service providing server; (240) Second terminal

Description

분리 서명 기반의 사용자 인증 장치 및 방법{DIVIDED SIGNATURE BASED USER AUTHENTICATION APPARATUS AND METHOD}Separation signature based user authentication apparatus and method {DIVIDED SIGNATURE BASED USER AUTHENTICATION APPARATUS AND METHOD}

본 발명의 실시예들은 서비스 제공 서버에 접속한 단말 이외의 다른 단말을 통해 전자 서명 값을 수신하여 사용자 인증을 수행하는 기법에 대한 것이다.Embodiments of the present invention are directed to a technique for performing user authentication by receiving an electronic signature value through a terminal other than a terminal connected to a service providing server.

최근, 인터넷 등이 널리 보급됨에 따라, 회원제로 운영되는 웹 사이트가 증가하고 있고, 전자 결제나 온라인 기반의 뱅킹 서비스 사용도 급증하고 있다.Recently, with the widespread use of the Internet, membership websites have increased, and the use of electronic payments and online-based banking services has also increased rapidly.

보통, 일반적인 회원제 기반의 웹 사이트는 가입자의 아이디와 비밀번호를 수집한 후 웹 사이트에 로그인하고자 하는 사용자의 아이디와 비밀번호를 확인하여 사용자 인증을 수행하는 방식으로 운영되고 있다.In general, a membership-based web site operates by collecting user IDs and passwords and verifying user IDs and passwords for logging into the web site.

또한, 전자 결제나 온라인 기반의 뱅킹 서비스는 사용자의 단말에 소정의 인증서를 발급한 후 사용자가 전자 결제나 온라인 기반의 뱅킹 서비스를 이용하고자 할 때, 상기 단말에 설치되어 있는 인증서를 통해 전자 서명 값을 수신하여 사용자 인증을 수행하는 방식으로 운영되고 있다.In addition, the electronic payment or online-based banking service, after issuing a predetermined certificate to the user's terminal, when the user wants to use the electronic payment or the online-based banking service, the electronic signature value through the certificate installed in the terminal It operates by receiving the user authentication.

이러한 사용자 인증 방식은 일정 수준의 보안성을 유지할 수 있으나, 웹 사이트에 접속하여 서비스를 이용하고 있는 사용자 단말로부터만 사용자 인증 정보를 수신한다는 점에서 상기 사용자 단말이 해킹되거나 비밀번호 등이 제3자에게 노출될 경우, 상기 제3자가 해킹된 사용자 단말 또는 노출된 비밀번호 등을 이용하여 정당한 사용자 몰래 손쉽게 웹 사이트에 로그인하거나 전자 결제 또는 뱅킹 서비스를 이용할 수 있다는 점에서 보안에 취약한 단점이 있다.Although the user authentication method can maintain a certain level of security, the user terminal is hacked or a password is given to a third party in that the user authentication information is received only from the user terminal accessing the web site and using the service. When exposed, the third party has a weakness in security because it can easily log in to a web site or use an electronic payment or banking service without a legitimate user using a hacked user terminal or an exposed password.

예컨대, 사용자가 자신의 컴퓨터를 이용하여 인터넷 뱅킹을 통해 계좌 이체를 수행하는 경우, 기존의 인터넷 뱅킹 서비스에서는 보안 서버가 상기 사용자의 컴퓨터로 전자 서명을 요청하고, 상기 사용자가 상기 컴퓨터에 저장되어 있는 인증서를 이용하여 전자 서명을 수행한 후 상기 컴퓨터가 전자 서명 값을 상기 보안 서버로 전송하면, 상기 보안 서버가 상기 전자 서명 값을 검증함으로써, 사용자 인증을 수행한 후 계좌 이체가 실행되는 방식이었다.For example, when a user performs an account transfer through Internet banking using his computer, in a conventional Internet banking service, a security server requests an electronic signature to the user's computer, and the user is stored in the computer. When the computer transmits the electronic signature value to the security server after performing the electronic signature using a certificate, the security server verifies the electronic signature value, thereby performing the user authentication and performing the account transfer.

이러한 방식은 현재 인터넷 뱅킹 서비스를 이용하고 있는 사용자의 컴퓨터로부터 전자 서명 값을 받아오기 때문에 상기 사용자의 컴퓨터가 해킹되거나 인증서의 비밀번호를 알고 있는 제3자가 상기 사용자의 컴퓨터를 이용하여 전자 서명을 수행한다면, 진정한 사용자에게 막대한 금전적인 손해가 발생할 수 있다.This method obtains the electronic signature value from the computer of the user who is currently using the Internet banking service, so if the user's computer is hacked or a third party who knows the password of the certificate uses the user's computer This can result in huge monetary damage to a true user.

따라서, 웹 서비스 등을 제공하는 서비스 제공 서버에 접속한 사용자 단말로부터 인증 데이터를 수신하여 사용자 인증을 수행하는 기존의 사용자 인증 기법보다 보안성을 더욱 강화할 수 있는 사용자 인증 기법에 대한 연구가 필요하다.Therefore, there is a need for a research on a user authentication method that can further enhance security than a conventional user authentication method that receives user authentication data from a user terminal connected to a service providing server that provides a web service.

대한민국 공개특허공보 제10-2006-0102456호(2006.09.27)Republic of Korea Patent Publication No. 10-2006-0102456 (2006.09.27) 대한민국 공개특허공보 제10-2011-0124929호(2011.11.18)Republic of Korea Patent Publication No. 10-2011-0124929 (2011.11.18) 대한민국 공개특허공보 제10-2002-0083195호(2002.11.02)Republic of Korea Patent Publication No. 10-2002-0083195 (2002.11.02)

본 발명의 실시예들은 사용자가 제1 단말을 통해 웹 서비스 등을 제공하는 서비스 제공 서버에 접속하여 사용자 인증을 요청하는 경우, 상기 제1 단말이 아닌 상기 사용자가 보유하고 있는 제2 단말로부터 전자 서명 값을 수신한 후 상기 수신된 전자 서명 값을 검증하여 그 검증 결과에 따라 상기 제1 단말에 대한 사용자 인증여부를 결정함으로써, 사용자 인증 절차를 별개의 채널로 분리하여 보안성을 더욱 향상시킬 수 있는 분리 서명 기반의 사용자 인증 기법을 제공하고자 한다.Embodiments of the present invention, when a user requests a user authentication by accessing a service providing server that provides a web service or the like through a first terminal, an electronic signature from a second terminal held by the user rather than the first terminal. After receiving the value, by verifying the received electronic signature value and determines whether or not to authenticate the user according to the first terminal, the user authentication procedure can be separated into a separate channel to further improve security. We want to provide a separate signature based user authentication scheme.

본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 장치는 제1 단말이 서비스 제공 서버에 접속하여 사용자 인증을 요청하는 경우, 상기 서비스 제공 서버로부터 상기 제1 단말에 대한 사용자 인증 확인 요청을 수신하는 요청 수신부, 상기 수신된 사용자 인증 확인 요청에 대응하여 상기 제1 단말의 사용자가 보유하고 있는 제2 단말에 대해 전자 서명을 요청하는 전자 서명 요청부, 상기 제2 단말로부터 상기 전자 서명과 연관된 전자 서명 값을 수신하는 전자 서명 수신부, 상기 제2 단말로부터 상기 전자 서명 값이 수신되면, 상기 전자 서명 값에 대한 검증을 수행하는 검증 수행부 및 상기 전자 서명 값에 대한 검증이 성공하면, 상기 서비스 제공 서버로 사용자 인증 확인 성공 메시지를 전송하는 메시지 전송부를 포함한다.In the separated signature-based user authentication apparatus according to an embodiment of the present invention, when a first terminal requests a user authentication by accessing a service providing server, a user authentication confirmation request for the first terminal is received from the service providing server. A request receiving unit configured to request an electronic signature for a second terminal held by a user of the first terminal in response to the received user authentication confirmation request, and an electronic signature associated with the electronic signature from the second terminal. An electronic signature receiver for receiving a signature value, a verification performer for verifying the electronic signature value when the electronic signature value is received from the second terminal, and if the verification of the electronic signature value is successful, the service is provided. And a message transmitter for transmitting a user authentication confirmation success message to the server.

또한, 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 방법은 제1 단말이 서비스 제공 서버에 접속하여 사용자 인증을 요청하는 경우, 상기 서비스 제공 서버로부터 상기 제1 단말에 대한 사용자 인증 확인 요청을 수신하는 단계, 상기 수신된 사용자 인증 확인 요청에 대응하여 상기 제1 단말의 사용자가 보유하고 있는 제2 단말에 대해 전자 서명을 요청하는 단계, 상기 제2 단말로부터 상기 전자 서명과 연관된 전자 서명 값을 수신하는 단계, 상기 제2 단말로부터 상기 전자 서명 값이 수신되면, 상기 전자 서명 값에 대한 검증을 수행하는 단계 및 상기 전자 서명 값에 대한 검증이 성공하면, 상기 서비스 제공 서버로 사용자 인증 확인 성공 메시지를 전송하는 단계를 포함한다.In addition, in the separation signature-based user authentication method according to an embodiment of the present invention, when the first terminal requests a user authentication by accessing a service providing server, the user authentication confirmation request for the first terminal from the service providing server Requesting an electronic signature for a second terminal held by a user of the first terminal in response to the received user authentication confirmation request, and an electronic signature value associated with the electronic signature from the second terminal. Receiving, when the electronic signature value is received from the second terminal, performing the verification of the electronic signature value, and if the verification of the electronic signature value is successful, the user authentication verification success to the service providing server Sending a message.

본 발명의 실시예들은 사용자가 제1 단말을 통해 웹 서비스 등을 제공하는 서비스 제공 서버에 접속하여 사용자 인증을 요청하는 경우, 상기 제1 단말이 아닌 상기 사용자가 보유하고 있는 제2 단말로부터 전자 서명 값을 수신한 후 상기 수신된 전자 서명 값을 검증하여 그 검증 결과에 따라 상기 제1 단말에 대한 사용자 인증여부를 결정하는 분리 서명 기반의 사용자 인증 기법을 제공함으로써, 사용자 인증 절차를 별개의 채널로 분리하여 보안성을 더욱 향상시킬 수 있다.Embodiments of the present invention, when a user requests a user authentication by accessing a service providing server that provides a web service or the like through a first terminal, an electronic signature from a second terminal held by the user rather than the first terminal. After receiving the value, by verifying the received digital signature value and provides a separate signature-based user authentication scheme for determining whether to authenticate the user based on the verification result, the user authentication procedure to a separate channel It can be separated to further improve security.

도 1은 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 시스템을 개략적으로 도시한 시스템 개념도이다.
도 2는 본 발명이 일실시예에 따른 분리 서명 기반의 사용자 인증 장치의 구조를 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 방법을 도시한 순서도이다.1 is a schematic diagram illustrating a system for separating signature-based user authentication according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating a structure of an apparatus for authenticating a separate signature based user according to an embodiment of the present invention.
3 is a flowchart illustrating a separation signature based user authentication method according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.

이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 시스템을 개략적으로 도시한 시스템 개념도이다.1 is a schematic diagram illustrating a system for separating signature-based user authentication according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 시스템은 분리 서명 기반의 사용자 인증 장치(110), 제1 단말(120), 서비스 제공 서버(130) 및 제2 단말(140)로 구성될 수 있다.Referring to FIG. 1, a separation signature-based user authentication system according to an embodiment of the present invention includes a separation signature-based user authentication device 110, a first terminal 120, a service providing server 130, and a second terminal. 140.

여기서, 제1 단말(120)과 제2 단말(140)은 데스크탑 PC, 모바일 단말, PDA, 노트북, 태블릿 PC 등 마이크로프로세서 기반의 장치를 의미한다.Here, the first terminal 120 and the second terminal 140 refers to a microprocessor-based device such as a desktop PC, a mobile terminal, a PDA, a notebook computer, and a tablet PC.

그리고, 서비스 제공 서버(130)는 포털 사이트나 인터넷 뱅킹 사이트 등과 같이 서비스 제공 서버(130)에 접속한 단말에 대해 소정의 웹 기반의 서비스를 제공하기 위해 사용되는 서버를 의미한다.The service providing server 130 is a server used to provide a predetermined web-based service to a terminal connected to the service providing server 130, such as a portal site or an Internet banking site.

예컨대, 서비스 제공 서버(130)는 'www.softforum.co.kr'이라는 URL(Uniform Resource Locator)을 갖는 웹 사이트를 운영하기 위해 사용되는 서버일 수 있고, 'www.softforum.co.kr'라는 URL에 접속한 단말에 대해 인터넷 뱅킹 서비스나 관련 웹 컨텐츠 등을 제공하는데 사용될 수 있다.For example, the service providing server 130 may be a server used to operate a web site having a Uniform Resource Locator (URL) called 'www.softforum.co.kr', and may be referred to as 'www.softforum.co.kr' The terminal may be used to provide an internet banking service or related web content to a terminal accessing a URL.

먼저, 사용자(150)가 데스크탑 컴퓨터 등과 같은 제1 단말(120)을 이용하여 서비스 제공 서버(130)에 접속한 후 인터넷 뱅킹 서비스를 이용하여 계좌 이체를 수행하려고 하는 등의 행위를 수행함으로써, 제1 단말(120)로부터 서비스 제공 서버(130)로 사용자 인증 요청이 전송되는 경우, 서비스 제공 서버(130)는 상기 사용자 인증 요청에 대응하여 분리 서명 기반의 사용자 인증 장치(110)로 제1 단말(120)의 사용자(150)에 대한 사용자 인증 확인 요청을 전송한다.First, the user 150 accesses the service providing server 130 by using the first terminal 120 such as a desktop computer, and then attempts to perform an account transfer using an internet banking service. When the user authentication request is transmitted from the first terminal 120 to the service providing server 130, the service providing server 130 may transmit the first terminal (eg, a separate signature-based user authentication device 110) in response to the user authentication request. The user authentication confirmation request for the user 150 of 120 is transmitted.

이때, 서비스 제공 서버(130)는 제1 단말(120)의 사용자(150)에 대한 사용자 정보를 확인한 후 상기 확인된 사용자 정보를 분리 서명 기반의 사용자 인증 장치(110)로 전송할 수 있다.In this case, the service providing server 130 may check the user information of the user 150 of the first terminal 120 and transmit the checked user information to the separation signature-based user authentication device 110.

여기서, 서비스 제공 서버(130)는 제1 단말(120)의 사용자(150)에 대한 사용자 정보를 확인하기 위해, 제1 단말(120)로부터 상기 사용자 정보를 직접 수신할 수도 있고, 제1 단말(120)로부터 사용자(150)의 회원 아이디를 수신한 후 상기 수신된 회원 아이디를 기초로 서비스 제공 서버(130)에 포함되어 있는 소정의 회원 데이터베이스로부터 상기 사용자 정보를 추출할 수도 있다.Here, the service providing server 130 may directly receive the user information from the first terminal 120, in order to confirm the user information of the user 150 of the first terminal 120, the first terminal ( After receiving the member ID of the user 150 from the 120, the user information may be extracted from a predetermined member database included in the service providing server 130 based on the received member ID.

또한, 상기 사용자 정보는 사용자(150)의 성명, 주민등록번호 등과 같은 개인 정보뿐만 아니라, 사용자(150)가 보유하고 있는 제2 단말(140)에 대한 정보를 포함할 수 있다.In addition, the user information may include information about the second terminal 140 held by the user 150 as well as personal information such as the name and resident registration number of the user 150.

예컨대, 제2 단말(140)이 모바일 단말이라면, 상기 사용자 정보에는 제2 단말(140)에 할당되어 있는 전화번호나 MAC(Media Access Control) 주소와 같은 제2 단말(140)을 식별하기 위한 식별 정보가 포함될 수 있다.For example, if the second terminal 140 is a mobile terminal, the user information includes an identification for identifying the second terminal 140 such as a telephone number or a media access control (MAC) address assigned to the second terminal 140. Information may be included.

이때, 분리 서명 기반의 사용자 인증 장치(110)는 서비스 제공 서버(130)로부터 제1 단말(120)에 대한 사용자 인증 확인 요청과 제1 단말(120)의 사용자(150)에 대한 사용자 정보가 수신되면, 상기 수신된 사용자 정보를 기초로 사용자(150)가 보유하고 있는 제2 단말(140)을 확인할 수 있다.In this case, the separation signature-based user authentication device 110 receives a user authentication confirmation request for the first terminal 120 and user information for the user 150 of the first terminal 120 from the service providing server 130. If so, the second terminal 140 held by the user 150 may be checked based on the received user information.

그리고 나서, 분리 서명 기반의 사용자 인증 장치(110)는 제2 단말(140)에 대한 확인이 완료되면, 상기 사용자 정보에 포함되어 있는 제2 단말(140)에 대한 단말 정보를 선정된(predetermined) 단말 검증용 해시(hash) 함수에 입력으로 인가하여 제1 해시 값을 연산한 후 제2 단말(140)에 대해 단말 검증을 위한 제2 해시 값의 전송을 요청할 수 있다.Then, when the identification of the second terminal 140 is completed, the separated signature-based user authentication device 110 predetermined the terminal information for the second terminal 140 included in the user information. After the first hash value is calculated by applying an input to the terminal verification hash function, the second terminal 140 may request the second terminal 140 to transmit the second hash value for terminal verification.

이때, 제2 단말(140)은 상기 제2 해시 값에 대한 전송 요청이 수신되면, 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수에 대해, 제2 단말(140)에 대한 단말 정보를 입력으로 인가하여 상기 제2 해시 값을 연산한 후 상기 연산된 제2 해시 값을 분리 서명 기반의 사용자 인증 장치(110)로 전송할 수 있다.In this case, when the transmission request for the second hash value is received, the second terminal 140 inputs terminal information on the second terminal 140 with respect to the same hash function as the hash function for the terminal verification. After calculating the second hash value by applying the license, the calculated second hash value may be transmitted to the separated signature-based user authentication device 110.

여기서, 상기 제1 해시 값과 상기 제2 해시 값을 연산하기 위해 입력으로 사용되는 상기 단말 정보는 제2 단말(140)의 전화번호 또는 MAC 주소 등과 같은 단말 고유 식별 번호가 될 수 있다.Here, the terminal information used as an input for calculating the first hash value and the second hash value may be a terminal unique identification number such as a phone number or a MAC address of the second terminal 140.

또한, 제2 단말(140)에는 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수가 미리 배포되어 저장되어 있을 수 있는데, 이는 사용자(150)가 서비스 제공 서버(130)에서 제공하는 서비스를 이용하기 위해 미리 회원으로 가입할 때, 가입 당시 분리 서명 기반의 사용자 인증 장치(110)가 서비스 제공 서버(130)와의 연동을 통해, 제2 단말(140)에 대해 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수를 미리 배포함으로써, 구현될 수 있다.In addition, the second terminal 140 may be pre-distributed and stored the same hash function as the selected terminal verification hash function, which is used by the user 150 to provide a service provided by the service providing server 130. In order to register as a member in advance in advance, the separate signature-based user authentication device 110 at the time of subscription is connected to the service providing server 130, the same as the hash function for the terminal verification selected for the second terminal 140. By distributing the hash function in advance, it can be implemented.

분리 서명 기반의 사용자 인증 장치(110)는 제2 단말(140)로부터 상기 제2 해시 값이 수신되면, 앞서 연산된 제1 해시 값과 상기 수신된 제2 해시 값을 비교하여 상기 제1 해시 값과 상기 제2 해시 값이 서로 동일한 경우, 사용자(150)를 제2 단말(140)의 진정한 소유자로 확인할 수 있다.When the second signature is received from the second terminal 140, the separated signature-based user authentication device 110 compares the first hash value calculated above with the received second hash value to compare the first hash value with the first hash value. When the second hash value is the same as the second hash value, the user 150 may be identified as the true owner of the second terminal 140.

이렇게, 사용자(150)가 제2 단말(140)의 진정한 소유자임이 확인되면, 분리 서명 기반의 사용자 인증 장치(110)는 제2 단말(140)에 대해, 서비스 제공 서버(130)로부터 수신된 제1 단말(120)에 대한 사용자 인증 확인 요청에 대응하여 전자 서명을 요청한다.As such, when it is confirmed that the user 150 is the true owner of the second terminal 140, the separation signature-based user authentication device 110 receives the second terminal 140 from the service providing server 130. In response to the user authentication request for the terminal 120, the electronic signature is requested.

즉, 기존의 사용자 인증 기법에서는 사용자(150)가 제1 단말(120)을 이용하여 인터넷 뱅킹 서비스를 통해 계좌 이체 등을 수행할 때, 서비스 제공 서버(130)에 접속해 있는 제1 단말(120)에 대해 계좌 이체를 위한 전자 서명을 요청한 후 제1 단말(120)로부터 전자 서명 값을 수신하여 상기 계좌 이체를 위한 사용자 인증을 진행하는데 반해, 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 시스템에서는 서비스 제공 서버(130)에 접속한 제1 단말(120)에 대해 사용자 인증을 위한 전자 서명을 요청하는 것이 아니라, 사용자(150)가 보유하고 있는 별도의 제2 단말(140)에 대해 상기 전자 서명을 요청할 수 있다.That is, in the existing user authentication scheme, when the user 150 transfers money through the Internet banking service using the first terminal 120, the first terminal 120 connected to the service providing server 130 is provided. Request a digital signature for bank transfer and receive the electronic signature value from the first terminal 120 to perform user authentication for the bank transfer, whereas a separate signature-based user according to an embodiment of the present invention The authentication system does not request an electronic signature for user authentication for the first terminal 120 connected to the service providing server 130, but for a separate second terminal 140 held by the user 150. The electronic signature can be requested.

이때, 본 발명의 일실시예에 따르면, 분리 서명 기반의 사용자 인증 장치(110)는 제2 단말(140)에 대해 상기 전자 서명을 요청할 때, 전자 서명이 수행되어야 할 전자 서명 대상 데이터를 생성한 후 이를 제2 단말(140)로 전송할 수 있다.At this time, according to an embodiment of the present invention, when the separation signature-based user authentication device 110 requests the electronic signature to the second terminal 140, the electronic signature target data to be digital signature is to be performed After this, it may be transmitted to the second terminal 140.

관련하여, 분리 서명 기반의 사용자 인증 장치(110)는 서비스 제공 서버(130)에 대해서 제1 단말(120)이 상기 사용자 인증을 통해 액세스(access)하고자 하는 액세스 대상 정보를 확인하여 상기 확인된 액세스 대상 정보를 기초로 상기 전자 서명이 수행되어야 할 전자 서명 대상 데이터를 생성할 수 있다.In relation to this, the separated signature-based user authentication device 110 checks the access target information that the first terminal 120 wants to access through the user authentication with respect to the service providing server 130, thereby confirming the confirmed access. Based on the object information, the electronic object to be signed may be generated.

예컨대, 제1 단말(120)이 서비스 제공 서버(130)에 대해 계좌 이체를 위한 사용자 인증을 요청하였다면, 분리 서명 기반의 사용자 인증 장치(110)는 서비스 제공 서버(130)에 대해서 제1 단말(120)이 사용자 인증을 통해 액세스하고자 하였던 액세스 대상 정보로 계좌 이체와 관련된 정보인 계좌 정보, 이체 금액, 입금자명 등을 확인한 후 상기 확인된 액세스 대상 정보를 기초로 상기 전자 서명이 수행되어야 할 전자 서명 대상 데이터를 생성할 수 있다.For example, if the first terminal 120 requests user authentication for bank transfer to the service providing server 130, the separation signature-based user authentication device 110 requests the first terminal (eg, to the service providing server 130). The electronic signature that the electronic signature should be performed on the basis of the confirmed access target information after confirming the account information, the transfer amount, the name of the depositor, etc., which are the information related to the transfer, with the access target information that 120 wants to access through user authentication. You can create target data.

그리고 나서, 분리 서명 기반의 사용자 인증 장치(110)는 상기 생성된 전자 서명 대상 데이터를 제2 단말(140)로 전송할 수 있다.Then, the separate signature-based user authentication device 110 may transmit the generated electronic signature target data to the second terminal 140.

이때, 제2 단말(140)은 상기 수신된 전자 서명 대상 데이터를 디스플레이할 수 있고, 이를 통해 사용자(150)는 제2 단말(140)에서 디스플레이되는 상기 전자 서명 대상 데이터를 확인함으로써, 자신이 제2 단말(140)을 통해 전자 서명을 수행해야할 대상이 정확한지 여부를 확인할 수 있다.In this case, the second terminal 140 may display the received electronic signature subject data, and through this, the user 150 confirms the electronic signature subject data displayed on the second terminal 140, thereby allowing the user to display the electronic signature subject data. 2, the terminal 140 may check whether the target to be digitally signed is correct.

이때, 본 발명의 다른 실시예에 따르면, 분리 서명 기반의 사용자 인증 장치(110)는 상기 전자 서명 대상 데이터의 생성을 완료하면, 상기 생성된 전자 서명 대상 데이터를 제2 단말(140)로 직접 전송할 수도 있지만, 상기 생성된 전자 서명 대상 데이터가 삽입된 다차원 코드를 생성한 후 상기 생성된 다차원 코드를 제1 단말(120)로 전송할 수 있다.In this case, according to another embodiment of the present invention, when the separation signature-based user authentication device 110 completes generation of the electronic signature object data, the generated electronic signature object data is directly transmitted to the second terminal 140. Alternatively, the generated multi-dimensional code may be transmitted to the first terminal 120 after generating the multi-dimensional code in which the generated electronic signature target data is inserted.

여기서, 상기 다차원 코드는 QR(Quick Response) 코드가 될 수 있다.Here, the multidimensional code may be a QR (Quick Response) code.

이때, 제1 단말(120)은 상기 다차원 코드가 수신되면, 상기 수신된 다차원 코드를 디스플레이할 수 있고, 사용자(150)는 제1 단말(120)을 통해 디스플레이 되는 다차원 코드를 제2 단말(140)로 촬영하여 제2 단말(140)에 상기 다차원 코드를 인식시킬 수 있으며, 제2 단말(140)은 상기 다차원 코드를 인식하여 상기 다차원 코드에 삽입되어 있는 상기 전자 서명 대상 데이터를 추출하여 상기 추출된 전자 서명 대상 데이터를 디스플레이할 수 있다.In this case, when the multi-dimensional code is received, the first terminal 120 may display the received multi-dimensional code, and the user 150 displays the multi-dimensional code displayed through the first terminal 120 in the second terminal 140. The multi-dimensional code may be recognized by the second terminal 140 by photographing the second terminal 140. The second terminal 140 recognizes the multi-dimensional code and extracts the electronic signature subject data inserted into the multi-dimensional code. The digital signature target data can be displayed.

이를 통해 사용자(150)는 제2 단말(140)에서 디스플레이되는 상기 전자 서명 대상 데이터를 확인함으로써, 자신이 제2 단말(140)을 통해 전자 서명을 수행해야할 대상이 정확한지 여부를 확인할 수 있다.In this way, the user 150 may check the electronic signature target data displayed on the second terminal 140 to check whether the target to which the electronic signature is to be performed by the second terminal 140 is correct.

이렇게, 분리 서명 기반의 사용자 인증 장치(110)로부터 제2 단말(140)로 상기 전자 서명 대상 데이터가 전송되고, 상기 전자 서명 대상 데이터에 대한 전자 서명 요청이 전송되면, 제2 단말(140)은 제2 단말(140)에 저장되어 있는 개인키를 기초로 상기 전자 서명 대상 데이터에 대해 전자 서명을 수행하여 전자 서명 값을 생성할 수 있다.As such, when the electronic signature target data is transmitted from the separate signature-based user authentication device 110 to the second terminal 140 and the electronic signature request for the electronic signature target data is transmitted, the second terminal 140 An electronic signature value may be generated by performing an electronic signature on the electronic signature target data based on the private key stored in the second terminal 140.

이와 관련하여, 제2 단말(140)이 상기 전자 서명 값을 생성하는 과정을 좀 더 상세히 설명하면, 다음과 같다.In this regard, the process of generating the electronic signature value by the second terminal 140 will be described in more detail as follows.

먼저, 제2 단말(140)에는 상기 전자 서명 대상 데이터에 대해 전자 서명이 수행될 수 있도록 공인된 인증 기관에서 발행된 공개키 인증서가 저장되어 있을 수 있다.First, the second terminal 140 may store a public key certificate issued by an authorized certification authority so that the electronic signature may be performed on the electronic signature target data.

여기서, 제2 단말(140)에 상기 공개키 인증서가 발급되는 절차는 현재 인터넷 뱅킹 등에서 널리 사용되고 있는 공인인증서 등의 발급 절차 또는 스마트폰에 인증서를 저장하는 절차 등을 통해 널리 알려진 사항이므로, 이에 대한 자세한 설명은 생략하기로 한다.Here, the procedure for issuing the public key certificate to the second terminal 140 is widely known through an issuance procedure such as an accredited certificate widely used in internet banking or the like, and a procedure for storing the certificate in a smartphone. Detailed description will be omitted.

사용자(150)가 제2 단말(140)을 통해 상기 공개키 인증서를 선택한 후 제2 단말(140)에 저장되어 있는 개인키를 로드하기 위한 암호를 입력하면, 제2 단말(140)은 상기 전자 서명 대상 데이터에 대해 해시 함수를 적용하여 해시 값을 생성하고, 상기 생성된 해시 값에 대해 상기 공개키 인증서를 발급받을 때 생성되었던 상기 개인키를 이용하여 전자 서명, 즉 암호화를 수행함으로써, 상기 전자 서명 값을 생성할 수 있다.When the user 150 selects the public key certificate through the second terminal 140 and inputs a password for loading the private key stored in the second terminal 140, the second terminal 140 displays the electronic key. Generating a hash value by applying a hash function to the data to be signed, and performing an electronic signature, that is, encryption using the private key generated when the public key certificate is issued to the generated hash value. You can create a signature value.

여기서, 상기 개인키는 제2 단말(140)이 인증 기관으로부터 상기 공개키 인증서를 발급받을 때 생성되며, 상기 개인키로 암호화된 데이터를 복호화할 수 있는 공개키도 상기 공개키 인증서를 발급받을 때 생성되어 상기 공개키 인증서에 포함될 수 있다.Herein, the private key is generated when the second terminal 140 receives the public key certificate from a certification authority, and a public key capable of decrypting data encrypted with the private key is also generated when the public key certificate is issued. And may be included in the public key certificate.

그리고 나서, 제2 단말(140)은 상기 해시 값과 상기 전자 서명 값 및 상기 개인키에 대응되는 공개키가 포함되어 있는 상기 공개키 인증서를 분리 서명 기반의 사용자 인증 장치(110)로 전송할 수 있다.Thereafter, the second terminal 140 may transmit the public key certificate including the hash value, the electronic signature value, and the public key corresponding to the private key to the separate signature-based user authentication device 110. .

이때, 분리 서명 기반의 사용자 인증 장치(110)는 상기 해시 값과 상기 전자 서명 값 및 상기 공개키 인증서가 수신되면, 상기 공개키 인증서에 포함되어 있는 상기 공개키를 기초로 상기 전자 서명 값을 복호화하여 복호화 값을 생성한 후 상기 생성된 복호화 값과 상기 수신된 해시 값을 비교하여 상기 전자 서명 값에 대한 검증을 수행할 수 있다.In this case, the separation signature-based user authentication device 110 decrypts the digital signature value based on the public key included in the public key certificate when the hash value, the digital signature value, and the public key certificate are received. After generating the decrypted value, the digital signature value may be verified by comparing the generated decrypted value with the received hash value.

이때, 본 발명의 일실시예에 따르면, 분리 서명 기반의 사용자 인증 장치(110)는 상기 수신된 공개키 인증서에 포함되어 있는 상기 공개키가 정당한 공개키인지 여부를 검증하기 위해, 상기 공개키 인증서를 발급한 인증 기관의 서버에 접속하여 상기 공개키 인증서에 포함되어 있는 상기 공개키에 대한 검증을 수행할 수 있다.At this time, according to an embodiment of the present invention, the separation signature-based user authentication device 110 to verify whether the public key included in the received public key certificate is a legitimate public key, the public key certificate It is possible to verify the public key included in the public key certificate by accessing the server of the issuing authority.

이렇게, 상기 생성된 복호화 값과 상기 수신된 해시 값을 비교한 결과, 상기 생성된 복호화 값과 상기 수신된 해시 값이 서로 동일한 경우, 분리 서명 기반의 사용자 인증 장치(110)는 상기 전자 서명 값에 대한 검증이 성공한 것으로 판단할 수 있고, 상기 생성된 복호화 값과 상기 수신된 해시 값이 서로 동일하지 않은 경우, 분리 서명 기반의 사용자 인증 장치(110)는 상기 전자 서명 값에 대한 검증이 실패한 것으로 판단할 수 있다.As such, when the generated decryption value and the received hash value are compared, when the generated decryption value and the received hash value are the same, the separated signature-based user authentication apparatus 110 may determine the digital signature value. If the verification is successful, and if the generated decrypted value and the received hash value are not the same as each other, the separation signature-based user authentication device 110 determines that the verification of the digital signature value has failed. can do.

그리고 나서, 분리 서명 기반의 사용자 인증 장치(110)는 상기 전자 서명 값에 대한 검증이 성공한 것으로 판단되면, 서비스 제공 서버(130)로 사용자 인증 확인 성공 메시지를 전송할 수 있고, 상기 전자 서명 값에 대한 검증이 실패한 것으로 판단되면, 서비스 제공 서버(130)로 사용자 인증 확인 실패 메시지를 전송할 수 있다.Then, when it is determined that the verification of the electronic signature value is successful, the separation signature based user authentication apparatus 110 may transmit a user authentication verification success message to the service providing server 130, and If it is determined that the verification has failed, the user authentication confirmation failure message may be transmitted to the service providing server 130.

이때, 서비스 제공 서버(130)는 분리 서명 기반의 사용자 인증 장치(110)로부터 상기 사용자 인증 확인 성공 메시지가 수신되면, 제1 단말(120)에 대해 제1 단말(120)이 사용자 인증을 통해 액세스하고자 하였던 서비스에 대한 액세스를 허가할 수 있다.In this case, when the user authentication verification success message is received from the separation signature-based user authentication device 110, the service providing server 130 accesses the first terminal 120 through user authentication. You can grant access to the services you want to do.

하지만, 서비스 제공 서버(130)는 분리 서명 기반의 사용자 인증 장치(110)로부터 상기 사용자 인증 확인 실패 메시지가 수신되면, 제1 단말(120)에 대해 제1 단말(120)이 사용자 인증을 통해 액세스하고자 하였던 서비스에 대한 액세스를 차단할 수 있다.However, when the service authentication server 130 receives the user authentication verification failure message from the separation signature based user authentication device 110, the first terminal 120 accesses the first terminal 120 through user authentication. You can block access to the services you wanted.

다시 말해서, 사용자(150)가 제1 단말(120)을 통해 계좌 이체를 수행하고자 하였던 경우, 서비스 제공 서버(130)는 분리 서명 기반의 사용자 인증 장치(110)로부터 상기 사용자 인증 확인 성공 메시지가 수신되면, 제1 단말(120)에 대해 계좌 이체를 실행하고, 상기 사용자 인증 확인 실패 메시지가 수신되면, 제1 단말(120)에 대해 계좌 이체를 중단할 수 있다.In other words, when the user 150 intends to perform the transfer through the first terminal 120, the service providing server 130 receives the user authentication verification success message from the user signature device 110 based on the separation signature. When the bank transfer is executed to the first terminal 120 and the user authentication confirmation failure message is received, the bank transfer to the first terminal 120 may be stopped.

결국, 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 시스템은 사용자(150)가 제1 단말(120)을 통해 서비스 제공 서버(130)에 접속하여 사용자 인증을 요청하는 경우, 제1 단말(120)이 아닌 사용자(150)가 보유하고 있는 제2 단말(140)로부터 전자 서명 값을 수신한 후 상기 수신된 전자 서명 값을 검증하여 그 검증 결과에 따라 제1 단말(120)에 대한 사용자 인증여부를 결정함으로써, 사용자 인증 절차를 별개의 채널로 분리하여 보안성을 더욱 향상시킬 수 있다.As a result, in the separation signature-based user authentication system according to an embodiment of the present invention, when the user 150 requests the user authentication by accessing the service providing server 130 through the first terminal 120, the first terminal is provided. After receiving the electronic signature value from the second terminal 140 held by the user 150 other than 120, the user of the first terminal 120 is verified according to the verification result. By determining whether to authenticate, security can be further improved by separating user authentication procedures into separate channels.

도 2는 본 발명이 일실시예에 따른 분리 서명 기반의 사용자 인증 장치의 구조를 도시한 도면이다.FIG. 2 is a diagram illustrating a structure of an apparatus for authenticating a separate signature based user according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 장치(210)는 요청 수신부(200), 전자 서명 요청부(201), 전자 서명 수신부(202), 검증 수행부(203) 및 메시지 전송부(204)를 포함한다.2, a separate signature-based user authentication apparatus 210 according to an embodiment of the present invention may include a request receiver 200, an electronic signature requester 201, an electronic signature receiver 202, and a verification performer ( 203 and message transmitter 204.

요청 수신부(200)는 제1 단말(220)이 서비스 제공 서버(230)에 접속하여 사용자 인증을 요청하는 경우, 서비스 제공 서버(230)로부터 제1 단말(220)에 대한 사용자 인증 확인 요청을 수신한다.When the first terminal 220 accesses the service providing server 230 and requests user authentication, the request receiving unit 200 receives a user authentication confirmation request for the first terminal 220 from the service providing server 230. do.

전자 서명 요청부(201)는 상기 수신된 사용자 인증 확인 요청에 대응하여 제1 단말(220)의 사용자가 보유하고 있는 제2 단말(240)에 대해 전자 서명을 요청한다.The electronic signature request unit 201 requests an electronic signature for the second terminal 240 held by the user of the first terminal 220 in response to the received user authentication confirmation request.

이때, 본 발명의 일실시예에 따르면, 분리 서명 기반의 사용자 인증 장치(210)는 단말 확인부(205)를 더 포함할 수 있다.In this case, according to an embodiment of the present invention, the separate signature-based user authentication device 210 may further include a terminal identification unit 205.

단말 확인부(205)는 서비스 제공 서버(230)로부터 제1 단말(220)의 사용자 정보를 수신하여 상기 수신된 제1 단말(220)의 사용자 정보를 기초로 제1 단말(220)의 사용자가 보유하고 있는 제2 단말(240)을 확인한다.The terminal checking unit 205 receives the user information of the first terminal 220 from the service providing server 230 and based on the received user information of the first terminal 220, the user of the first terminal 220 receives the user information. The second terminal 240 is checked.

이때, 전자 서명 요청부(201)는 상기 확인된 제2 단말(240)에 대해 상기 전자 서명을 요청할 수 있다.In this case, the electronic signature request unit 201 may request the electronic signature for the verified second terminal 240.

또한, 본 발명의 일실시예에 따르면, 분리 서명 기반의 사용자 인증 장치(210)는 해시 값 연산부(206) 및 해시 값 수신부(207)를 더 포함할 수 있다.In addition, according to an embodiment of the present invention, the separate signature-based user authentication device 210 may further include a hash value calculator 206 and a hash value receiver 207.

해시 값 연산부(206)는 제2 단말(240)에 대한 확인이 완료되면, 상기 사용자 정보에 포함되어 있는 제2 단말(240)에 대한 단말 정보를 선정된 단말 검증용 해시 함수에 입력으로 인가하여 제1 해시 값을 연산한다.When the confirmation of the second terminal 240 is completed, the hash value calculator 206 applies terminal information about the second terminal 240 included in the user information as an input to the selected terminal verification hash function. Compute the first hash value.

이때, 제2 단말(240)은 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수에 대해, 제2 단말(240)에 대한 단말 정보를 입력으로 인가하여 제2 해시 값을 연산할 수 있다.In this case, the second terminal 240 may calculate a second hash value by applying terminal information about the second terminal 240 to the same hash function as the selected terminal verification hash function.

그리고 나서, 해시 값 수신부(207)는 상기 확인된 제2 단말(240)로부터, 제2 단말(240)에 대한 단말 정보를 입력으로 하여 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수를 기초로 제2 단말(240)에서 연산된 상기 제2 해시 값을 수신한다.Then, the hash value receiving unit 207 inputs terminal information about the second terminal 240 from the checked second terminal 240 based on the same hash function as the selected terminal verification hash function. The second hash value calculated by the second terminal 240 is received.

이때, 전자 서명 요청부(201)는 상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값을 비교하여 상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값이 동일한 경우, 상기 확인된 제2 단말(240)에 대해 상기 전자 서명을 요청할 수 있다.At this time, the digital signature request unit 201 compares the calculated first hash value and the received second hash value, and when the calculated first hash value and the received second hash value are the same, the checked The electronic signature may be requested to the second terminal 240.

또한, 본 발명의 일실시예에 따르면, 분리 서명 기반의 사용자 인증 장치(210)는 데이터 생성부(208) 및 데이터 전송부(209)를 더 포함할 수 있다.In addition, according to an embodiment of the present invention, the separation signature-based user authentication device 210 may further include a data generator 208 and a data transmitter 209.

데이터 생성부(208)는 서비스 제공 서버(230)에 대해서 제1 단말(220)이 상기 사용자 인증을 통해 액세스하고자 하는 액세스 대상 정보를 확인하여 상기 확인된 액세스 대상 정보를 기초로 상기 전자 서명이 수행되어야 할 전자 서명 대상 데이터를 생성한다.The data generator 208 confirms the access target information that the first terminal 220 wants to access through the user authentication with respect to the service providing server 230, and performs the electronic signature based on the confirmed access target information. Generates the data to be digitally signed.

데이터 전송부(209)는 상기 생성된 전자 서명 대상 데이터를 제2 단말(240)로 전송한다.The data transmitter 209 transmits the generated electronic signature target data to the second terminal 240.

이때, 전자 서명 요청부(201)는 제2 단말(240)에 대해 상기 생성된 전자 서명 대상 데이터에 대한 전자 서명을 요청할 수 있다.In this case, the electronic signature request unit 201 may request the electronic terminal for the generated electronic signature target data from the second terminal 240.

전자 서명 수신부(202)는 제2 단말(240)로부터 상기 전자 서명과 연관된 전자 서명 값을 수신한다.The electronic signature receiver 202 receives an electronic signature value associated with the electronic signature from the second terminal 240.

검증 수행부(203)는 제2 단말(240)로부터 상기 전자 서명 값이 수신되면, 상기 전자 서명 값에 대한 검증을 수행한다.When the electronic signature value is received from the second terminal 240, the verification performing unit 203 verifies the electronic signature value.

이때, 본 발명의 일실시예에 따르면, 제2 단말(240)은 제2 단말(240)에 저장되어 있는 개인키를 기초로 상기 전자 서명 대상 데이터에 대해 전자 서명을 수행하여 상기 전자 서명 값을 생성할 수 있고, 전자 서명 수신부(202)는 제2 단말(240)로부터, 제2 단말(240)에 저장되어 있는 상기 개인키를 기초로 상기 전자 서명 대상 데이터에 대해 전자 서명이 수행되어 생성된 상기 전자 서명 값과 상기 개인키에 대응되는 공개키를 수신할 수 있다.At this time, according to an embodiment of the present invention, the second terminal 240 performs the electronic signature on the electronic signature target data based on the private key stored in the second terminal 240 to obtain the electronic signature value. The digital signature receiving unit 202 may generate a digital signature from the second terminal 240 based on the private key stored in the second terminal 240 to perform digital signature on the electronic signature target data. A public key corresponding to the digital signature value and the private key may be received.

이때, 검증 수행부(203)는 제2 단말(240)로부터 상기 전자 서명 값과 상기 공개키가 수신되면, 상기 공개키를 기초로 상기 전자 서명 값을 복호화하여 상기 전자 서명 값에 대한 검증을 수행할 수 있다.In this case, when the electronic signature value and the public key are received from the second terminal 240, the verification performing unit 203 decrypts the electronic signature value based on the public key to verify the electronic signature value. can do.

또한, 본 발명의 일실시예에 따르면, 제2 단말(240)은 상기 전자 서명 대상 데이터에 대해 해시 함수를 적용하여 해시 값을 생성하고, 상기 생성된 해시 값에 대해 상기 개인키를 기초로 전자 서명을 수행하여 상기 전자 서명 값을 생성할 수 있으며, 전자 서명 수신부(202)는 제2 단말(240)로부터, 상기 전자 서명 대상 데이터에 대해 상기 해시 함수가 적용되어 생성된 상기 해시 값과 상기 해시 값에 대해 상기 개인키를 기초로 전자 서명이 수행되어 생성된 상기 전자 서명 값 및 상기 공개키가 포함되어 있는 공개키 인증서를 수신할 수 있다.In addition, according to an embodiment of the present invention, the second terminal 240 generates a hash value by applying a hash function to the electronic signature target data, and generates an electronic value based on the private key with respect to the generated hash value. The digital signature value may be generated by performing a signature, and the electronic signature receiver 202 may generate the hash value and the hash generated by applying the hash function to the electronic signature target data from the second terminal 240. A public key certificate including the digital signature value and the public key generated by digitally signing a value based on the private key may be received.

이때, 검증 수행부(203)는 제2 단말(240)로부터 상기 해시 값과 상기 전자 서명 값 및 상기 공개키 인증서가 수신되면, 상기 공개키 인증서에 포함되어 있는 상기 공개키를 기초로 상기 전자 서명 값에 대해 복호화를 수행하여 복호화 값을 생성한 후 상기 생성된 복호화 값과 상기 수신된 해시 값을 비교하여 상기 생성된 복호화 값과 상기 수신된 해시 값이 동일한 경우, 상기 전자 서명 값에 대한 검증이 성공한 것으로 판단할 수 있다.In this case, the verification performing unit 203 receives the hash value, the electronic signature value, and the public key certificate from the second terminal 240, based on the public key included in the public key certificate. After decrypting the value to generate a decrypted value and comparing the generated decrypted value with the received hash value, if the generated decrypted value and the received hash value are the same, verification of the digital signature value is performed. It can be judged that it was successful.

메시지 전송부(204)는 상기 전자 서명 값에 대한 검증이 성공하면, 서비스 제공 서버(230)로 사용자 인증 확인 성공 메시지를 전송한다.When the verification of the electronic signature value is successful, the message transmitter 204 transmits a user authentication confirmation success message to the service providing server 230.

이때, 본 발명의 일실시예에 따르면, 서비스 제공 서버(230)는 상기 사용자 인증 확인 성공 메시지가 수신되면, 제1 단말(220)에 대해 제1 단말(220)이 사용자 인증을 통해 액세스하고자 하였던 서비스에 대한 액세스를 허가할 수 있다.In this case, according to an embodiment of the present invention, when the service providing server 230 receives the user authentication confirmation success message, the first terminal 220 has attempted to access the first terminal 220 through user authentication. You can grant access to the service.

이상, 도 2를 참조하여 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 장치(210)에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 장치(210)는 도 1을 이용하여 설명한 분리 서명 기반의 사용자 인증 장치(110)와 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.In the above, the separate signature-based user authentication apparatus 210 according to an embodiment of the present invention has been described with reference to FIG. 2. Here, since the separation signature-based user authentication device 210 according to an embodiment of the present invention may correspond to the separation signature-based user authentication device 110 described with reference to FIG. 1, a detailed description thereof will be omitted. Let's do it.

도 3은 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 방법을 도시한 순서도이다.3 is a flowchart illustrating a separation signature based user authentication method according to an embodiment of the present invention.

단계(S310)에서는 제1 단말이 서비스 제공 서버에 접속하여 사용자 인증을 요청하는 경우, 상기 서비스 제공 서버로부터 상기 제1 단말에 대한 사용자 인증 확인 요청을 수신한다.In operation S310, when the first terminal accesses a service providing server to request user authentication, the first terminal receives a user authentication confirmation request for the first terminal from the service providing server.

단계(S320)에서는 상기 수신된 사용자 인증 확인 요청에 대응하여 상기 제1 단말의 사용자가 보유하고 있는 제2 단말에 대해 전자 서명을 요청한다.In operation S320, an electronic signature is requested to the second terminal held by the user of the first terminal in response to the received user authentication confirmation request.

이때, 본 발명의 일실시예에 따르면, 상기 분리 서명 기반의 사용자 인증 방법은 단계(S320)이전에 상기 서비스 제공 서버로부터 상기 제1 단말의 사용자 정보를 수신하여 상기 수신된 제1 단말의 사용자 정보를 기초로 상기 제1 단말의 사용자가 보유하고 있는 상기 제2 단말을 확인하는 단계를 더 포함할 수 있다.In this case, according to an embodiment of the present invention, in the separation signature-based user authentication method, the user information of the first terminal is received by receiving the user information of the first terminal from the service providing server before step S320. The method may further include identifying the second terminal possessed by the user of the first terminal.

이때, 단계(S320)에서는 상기 확인된 제2 단말에 대해 상기 전자 서명을 요청할 수 있다.In this case, in step S320, the electronic signature may be requested for the verified second terminal.

또한, 본 발명의 일실시예에 따르면, 상기 분리 서명 기반의 사용자 인증 방법은 단계(S320)이전에 상기 제2 단말에 대한 확인이 완료되면, 상기 사용자 정보에 포함되어 있는 상기 제2 단말에 대한 단말 정보를 선정된 단말 검증용 해시 함수에 입력으로 인가하여 제1 해시 값을 연산하는 단계 및 상기 확인된 제2 단말로부터, 상기 제2 단말에 대한 단말 정보를 입력으로 하여 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수를 기초로 상기 제2 단말에서 연산된 제2 해시 값을 수신하는 단계를 더 포함할 수 있다.Further, according to an embodiment of the present invention, if the separation signature-based user authentication method is completed before the step S320, the verification of the second terminal, for the second terminal included in the user information Applying terminal information as an input to a selected terminal verification hash function and calculating a first hash value; and inputting terminal information about the second terminal from the checked second terminal as input; The method may further include receiving a second hash value calculated at the second terminal based on the same hash function as the hash function.

이때, 단계(S320)에서는 상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값을 비교하여 상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값이 동일한 경우, 상기 확인된 제2 단말에 대해 상기 전자 서명을 요청할 수 있다.In this case, in operation S320, when the calculated first hash value and the received second hash value are the same by comparing the calculated first hash value and the received second hash value, the checked second terminal May request the electronic signature for.

또한, 본 발명의 일실시예에 따르면, 상기 분리 서명 기반의 사용자 인증 방법은 단계(S320)이전에 상기 서비스 제공 서버에 대해서 상기 제1 단말이 상기 사용자 인증을 통해 액세스하고자 하는 액세스 대상 정보를 확인하여 상기 확인된 액세스 대상 정보를 기초로 상기 전자 서명이 수행되어야 할 전자 서명 대상 데이터를 생성하는 단계 및 상기 생성된 전자 서명 대상 데이터를 상기 제2 단말로 전송하는 단계를 더 포함할 수 있다.In addition, according to an embodiment of the present invention, before the step S320, the separation signature-based user authentication method confirms access target information that the first terminal wants to access through the user authentication with respect to the service providing server. The method may further include generating electronic signature subject data to be electronically signed based on the identified access subject information and transmitting the generated electronic signature subject data to the second terminal.

이때, 단계(S320)에서는 상기 제2 단말에 대해 상기 생성된 전자 서명 대상 데이터에 대한 전자 서명을 요청할 수 있다.In this case, in step S320, the electronic terminal may request an electronic signature for the generated electronic signature target data from the second terminal.

단계(S330)에서는 상기 제2 단말로부터 상기 전자 서명과 연관된 전자 서명 값을 수신한다.In operation S330, an electronic signature value associated with the electronic signature is received from the second terminal.

단계(S340)에서는 상기 제2 단말로부터 상기 전자 서명 값이 수신되면, 상기 전자 서명 값에 대한 검증을 수행한다.In operation S340, when the digital signature value is received from the second terminal, the digital signature value is verified.

이때, 본 발명의 일실시예에 따르면, 단계(S330)에서는 상기 제2 단말로부터, 상기 제2 단말에 저장되어 있는 개인키를 기초로 상기 전자 서명 대상 데이터에 대해 전자 서명이 수행되어 생성된 상기 전자 서명 값과 상기 개인키에 대응되는 공개키를 수신할 수 있다.In this case, according to an embodiment of the present invention, in step S330, the electronic signature is generated by performing an electronic signature on the electronic signature subject data based on the private key stored in the second terminal from the second terminal. A digital signature value and a public key corresponding to the private key may be received.

이때, 단계(S340)에서는 상기 제2 단말로부터 상기 전자 서명 값과 상기 공개키가 수신되면, 상기 공개키를 기초로 상기 전자 서명 값을 복호화하여 상기 전자 서명 값에 대한 검증을 수행할 수 있다.In this case, in operation S340, when the electronic signature value and the public key are received from the second terminal, the electronic signature value may be decrypted based on the public key to verify the electronic signature value.

또한, 본 발명의 일실시예에 따르면, 단계(S330)에서는 상기 제2 단말로부터, 상기 전자 서명 대상 데이터에 대해 해시 함수가 적용되어 생성된 해시 값과 상기 해시 값에 대해 상기 개인키를 기초로 전자 서명이 수행되어 생성된 상기 전자 서명 값 및 상기 공개키가 포함되어 있는 공개키 인증서를 수신할 수 있다.Further, according to an embodiment of the present invention, in step S330, a hash value generated by applying a hash function to the electronic signature target data from the second terminal and the hash value are generated based on the private key. A public key certificate including the digital signature value and the public key generated by performing the digital signature may be received.

이때, 단계(S340)에서는 상기 제2 단말로부터 상기 해시 값과 상기 전자 서명 값 및 상기 공개키 인증서가 수신되면, 상기 공개키 인증서에 포함되어 있는 상기 공개키를 기초로 상기 전자 서명 값에 대해 복호화를 수행하여 복호화 값을 생성한 후 상기 생성된 복호화 값과 상기 수신된 해시 값을 비교하여 상기 생성된 복호화 값과 상기 수신된 해시 값이 동일한 경우, 상기 전자 서명 값에 대한 검증이 성공한 것으로 판단할 수 있다.In this case, in step S340, when the hash value, the digital signature value, and the public key certificate are received from the second terminal, the digital signature value is decrypted based on the public key included in the public key certificate. After generating the decrypted value by comparing the generated decrypted value with the received hash value, if the generated decrypted value and the received hash value is the same, it is determined that the verification of the digital signature value is successful. Can be.

단계(S350)에서는 상기 전자 서명 값에 대한 검증이 성공하면, 상기 서비스 제공 서버로 사용자 인증 확인 성공 메시지를 전송한다.In step S350, if the verification of the electronic signature value is successful, the user authentication confirmation success message is transmitted to the service providing server.

이때, 본 발명의 일실시예에 따르면, 상기 서비스 제공 서버는 상기 사용자 인증 확인 성공 메시지가 수신되면, 상기 제1 단말에 대해 상기 제1 단말이 사용자 인증을 통해 액세스하고자 하였던 서비스에 대한 액세스를 허가할 수 있다.In this case, according to an embodiment of the present invention, when the user authentication confirmation success message is received, the service providing server grants the first terminal access to a service that the first terminal wants to access through user authentication. can do.

이상, 도 3을 참조하여 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 방법은 도 1과 도 2를 이용하여 설명한 분리 서명 기반의 사용자 인증 장치(110, 210)의 동작에 대한 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.In the above, the separation signature-based user authentication method according to an embodiment of the present invention has been described with reference to FIG. 3. Here, the separation signature-based user authentication method according to an embodiment of the present invention may correspond to the configuration of the operations of the separation signature-based user authentication apparatuses 110 and 210 described with reference to FIGS. 1 and 2. Detailed description thereof will be omitted.

본 발명의 일실시예에 따른 분리 서명 기반의 사용자 인증 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.A separate signature-based user authentication method according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means and recorded in a computer readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions recorded on the medium may be those specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

110: 분리 서명 기반의 사용자 인증 장치
120: 제1 단말 130: 서비스 제공 서버
140: 제2 단말 150: 사용자
210: 분리 서명 기반의 사용자 인증 장치
200: 요청 수신부 201: 전자 서명 요청부
202: 전자 서명 수신부 203: 검증 수행부
204: 메시지 전송부 205: 단말 확인부
206: 해시 값 연산부 207: 해시 값 수신부
208: 데이터 생성부 209: 데이터 전송부
220: 제1 단말 230: 서비스 제공 서버
240: 제2 단말110: separation signature based user authentication device
120: first terminal 130: service providing server
140: second terminal 150: user
210: user authentication device based on a separation signature
200: request receiving unit 201: electronic signature requesting unit
202: electronic signature receiving unit 203: verification performing unit
204: message transmission unit 205: terminal confirmation unit
206: hash value calculator 207: hash value receiver
208: data generator 209: data transmitter
220: first terminal 230: service providing server
240: second terminal

Claims (13)

제1 단말이 서비스 제공 서버에 접속하여 사용자 인증을 요청하는 경우, 상기 서비스 제공 서버로부터 상기 제1 단말에 대한 사용자 인증 확인 요청을 수신하는 요청 수신부;
상기 서비스 제공 서버로부터 상기 제1 단말의 사용자 정보를 수신하여 상기 수신된 제1 단말의 사용자 정보를 기초로 상기 제1 단말의 사용자가 보유하고 있는 제2 단말을 확인하는 단말 확인부;
상기 제2 단말에 대한 확인이 완료되면, 상기 사용자 정보에 포함되어 있는 상기 제2 단말에 대한 단말 정보를 선정된(predetermined) 단말 검증용 해시(hash) 함수에 입력으로 인가하여 제1 해시 값을 연산하는 해시 값 연산부;
상기 제2 단말로부터, 상기 제2 단말에 대한 단말 정보를 입력으로 하여 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수를 기초로 상기 제2 단말에서 연산된 제2 해시 값을 수신하는 해시 값 수신부;
상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값을 비교하여 상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값이 동일한 경우, 상기 수신된 사용자 인증 확인 요청에 대응하여 상기 제2 단말에 대해 전자 서명을 요청하는 전자 서명 요청부;
상기 제2 단말로부터 상기 전자 서명과 연관된 전자 서명 값을 수신하는 전자 서명 수신부;
상기 제2 단말로부터 상기 전자 서명 값이 수신되면, 상기 전자 서명 값에 대한 검증을 수행하는 검증 수행부; 및
상기 전자 서명 값에 대한 검증이 성공하면, 상기 서비스 제공 서버로 사용자 인증 확인 성공 메시지를 전송하는 메시지 전송부
를 포함하는 분리 서명 기반의 사용자 인증 장치.A request receiving unit for receiving a user authentication confirmation request for the first terminal from the service providing server when the first terminal requests user authentication by accessing a service providing server;
A terminal identification unit which receives the user information of the first terminal from the service providing server and checks a second terminal held by the user of the first terminal based on the received user information of the first terminal;
When the identification of the second terminal is completed, the terminal information on the second terminal included in the user information is applied as a input to a predetermined terminal verification hash function to input the first hash value. A hash value calculator for calculating;
A hash value receiver configured to receive, from the second terminal, terminal information on the second terminal as input and receive a second hash value calculated at the second terminal based on the same hash function as the selected terminal verification hash function; ;
When the calculated first hash value and the received second hash value are equal by comparing the calculated first hash value with the received second hash value, the second hash value corresponding to the received user authentication confirmation request. An electronic signature request unit requesting an electronic signature for the terminal;
An electronic signature receiver for receiving an electronic signature value associated with the electronic signature from the second terminal;
A verification performer configured to verify the electronic signature value when the electronic signature value is received from the second terminal; And
If the verification of the electronic signature value is successful, a message transmission unit for transmitting a user authentication confirmation success message to the service providing server
Separate signature based user authentication device comprising a. 삭제delete 삭제delete 제1항에 있어서,
상기 서비스 제공 서버에 대해서 상기 제1 단말이 상기 사용자 인증을 통해 액세스(access)하고자 하는 액세스 대상 정보를 확인하여 상기 확인된 액세스 대상 정보를 기초로 상기 전자 서명이 수행되어야 할 전자 서명 대상 데이터를 생성하는 데이터 생성부; 및
상기 생성된 전자 서명 대상 데이터를 상기 제2 단말로 전송하는 데이터 전송부
를 더 포함하고,
상기 전자 서명 요청부는
상기 제2 단말에 대해 상기 생성된 전자 서명 대상 데이터에 대한 전자 서명을 요청하는 분리 서명 기반의 사용자 인증 장치.The method of claim 1,
The first terminal checks the access target information that the first terminal wants to access through the user authentication, and generates the electronic signature target data to be digitally signed based on the confirmed access target information. A data generating unit; And
Data transmission unit for transmitting the generated electronic signature target data to the second terminal
Further comprising:
The electronic signature request unit
And a separate signature-based user authentication device for requesting the second terminal to digitally sign the generated electronic signature target data. 제4항에 있어서,
상기 전자 서명 수신부는
상기 제2 단말로부터, 상기 제2 단말에 저장되어 있는 개인키를 기초로 상기 전자 서명 대상 데이터에 대해 전자 서명이 수행되어 생성된 상기 전자 서명 값과 상기 개인키에 대응되는 공개키를 수신하고,
상기 검증 수행부는
상기 제2 단말로부터 상기 전자 서명 값과 상기 공개키가 수신되면, 상기 공개키를 기초로 상기 전자 서명 값을 복호화하여 상기 전자 서명 값에 대한 검증을 수행하는 분리 서명 기반의 사용자 인증 장치.5. The method of claim 4,
The electronic signature receiver
Receiving, from the second terminal, the digital signature value generated by digitally signing the electronic signature target data based on the private key stored in the second terminal and a public key corresponding to the private key,
The verification execution unit
And receiving the electronic signature value and the public key from the second terminal, verifying the electronic signature value by decrypting the electronic signature value based on the public key. 제5항에 있어서,
상기 전자 서명 수신부는
상기 제2 단말로부터, 상기 전자 서명 대상 데이터에 대해 해시 함수가 적용되어 생성된 해시 값과 상기 해시 값에 대해 상기 개인키를 기초로 전자 서명이 수행되어 생성된 상기 전자 서명 값 및 상기 공개키가 포함되어 있는 공개키 인증서를 수신하고,
상기 검증 수행부는
상기 제2 단말로부터 상기 해시 값과 상기 전자 서명 값 및 상기 공개키 인증서가 수신되면, 상기 공개키 인증서에 포함되어 있는 상기 공개키를 기초로 상기 전자 서명 값에 대해 복호화를 수행하여 복호화 값을 생성한 후 상기 생성된 복호화 값과 상기 수신된 해시 값을 비교하여 상기 생성된 복호화 값과 상기 수신된 해시 값이 동일한 경우, 상기 전자 서명 값에 대한 검증이 성공한 것으로 판단하는 분리 서명 기반의 사용자 인증 장치.6. The method of claim 5,
The electronic signature receiver
From the second terminal, the digital signature value and the public key generated by performing a digital signature on the hash value generated by applying a hash function to the electronic signature target data and the private key based on the private key Receive the included public key certificate,
The verification execution unit
When the hash value, the digital signature value, and the public key certificate are received from the second terminal, the decryption value is generated by decrypting the electronic signature value based on the public key included in the public key certificate. And after comparing the generated decrypted value with the received hash value, if the generated decrypted value and the received hash value are the same, a separate signature-based user authentication device which determines that the verification of the electronic signature value is successful. . 제1 단말이 서비스 제공 서버에 접속하여 사용자 인증을 요청하는 경우, 상기 서비스 제공 서버로부터 상기 제1 단말에 대한 사용자 인증 확인 요청을 수신하는 단계;
상기 서비스 제공 서버로부터 상기 제1 단말의 사용자 정보를 수신하여 상기 수신된 제1 단말의 사용자 정보를 기초로 상기 제1 단말의 사용자가 보유하고 있는 제2 단말을 확인하는 단계;
상기 제2 단말에 대한 확인이 완료되면, 상기 사용자 정보에 포함되어 있는 상기 제2 단말에 대한 단말 정보를 선정된(predetermined) 단말 검증용 해시(hash) 함수에 입력으로 인가하여 제1 해시 값을 연산하는 단계;
상기 제2 단말로부터, 상기 제2 단말에 대한 단말 정보를 입력으로 하여 상기 선정된 단말 검증용 해시 함수와 동일한 해시 함수를 기초로 상기 제2 단말에서 연산된 제2 해시 값을 수신하는 단계;
상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값을 비교하여 상기 연산된 제1 해시 값과 상기 수신된 제2 해시 값이 동일한 경우, 상기 수신된 사용자 인증 확인 요청에 대응하여 상기 제2 단말에 대해 전자 서명을 요청하는 단계;
상기 제2 단말로부터 상기 전자 서명과 연관된 전자 서명 값을 수신하는 단계;
상기 제2 단말로부터 상기 전자 서명 값이 수신되면, 상기 전자 서명 값에 대한 검증을 수행하는 단계; 및
상기 전자 서명 값에 대한 검증이 성공하면, 상기 서비스 제공 서버로 사용자 인증 확인 성공 메시지를 전송하는 단계
를 포함하는 분리 서명 기반의 사용자 인증 방법.Receiving a user authentication confirmation request for the first terminal from the service providing server when the first terminal accesses a service providing server and requests user authentication;
Receiving user information of the first terminal from the service providing server and confirming a second terminal possessed by the user of the first terminal based on the received user information of the first terminal;
When the identification of the second terminal is completed, the terminal information on the second terminal included in the user information is applied as a input to a predetermined terminal verification hash function to input the first hash value. Calculating;
Receiving from the second terminal a second hash value calculated at the second terminal based on the same hash function as the selected terminal verification hash function by inputting terminal information on the second terminal;
When the calculated first hash value and the received second hash value are equal by comparing the calculated first hash value with the received second hash value, the second hash value corresponding to the received user authentication confirmation request. Requesting an electronic signature for the terminal;
Receiving an electronic signature value associated with the electronic signature from the second terminal;
If the digital signature value is received from the second terminal, verifying the digital signature value; And
If the verification of the electronic signature value is successful, transmitting a user authentication confirmation success message to the service providing server
Separate signature based user authentication method comprising a. 삭제delete 삭제delete 제7항에 있어서,
상기 서비스 제공 서버에 대해서 상기 제1 단말이 상기 사용자 인증을 통해 액세스(access)하고자 하는 액세스 대상 정보를 확인하여 상기 확인된 액세스 대상 정보를 기초로 상기 전자 서명이 수행되어야 할 전자 서명 대상 데이터를 생성하는 단계; 및
상기 생성된 전자 서명 대상 데이터를 상기 제2 단말로 전송하는 단계
를 더 포함하고,
상기 전자 서명을 요청하는 단계는
상기 제2 단말에 대해 상기 생성된 전자 서명 대상 데이터에 대한 전자 서명을 요청하는 분리 서명 기반의 사용자 인증 방법.8. The method of claim 7,
The first terminal checks the access target information that the first terminal wants to access through the user authentication, and generates the electronic signature target data to be digitally signed based on the confirmed access target information. Making; And
Transmitting the generated electronic signature subject data to the second terminal
Further comprising:
The requesting the electronic signature
Separating signature-based user authentication method for requesting the electronic terminal for the generated electronic signature target data for the second terminal. 제10항에 있어서,
상기 전자 서명 값을 수신하는 단계는
상기 제2 단말로부터, 상기 제2 단말에 저장되어 있는 개인키를 기초로 상기 전자 서명 대상 데이터에 대해 전자 서명이 수행되어 생성된 상기 전자 서명 값과 상기 개인키에 대응되는 공개키를 수신하고,
상기 검증을 수행하는 단계는
상기 제2 단말로부터 상기 전자 서명 값과 상기 공개키가 수신되면, 상기 공개키를 기초로 상기 전자 서명 값을 복호화하여 상기 전자 서명 값에 대한 검증을 수행하는 분리 서명 기반의 사용자 인증 방법.11. The method of claim 10,
Receiving the electronic signature value
Receiving, from the second terminal, the digital signature value generated by digitally signing the electronic signature target data based on the private key stored in the second terminal and a public key corresponding to the private key,
Performing the verification is
And receiving the digital signature value and the public key from the second terminal, verifying the digital signature value by decrypting the digital signature value based on the public key. 제11항에 있어서,
상기 전자 서명 값을 수신하는 단계는
상기 제2 단말로부터, 상기 전자 서명 대상 데이터에 대해 해시 함수가 적용되어 생성된 해시 값과 상기 해시 값에 대해 상기 개인키를 기초로 전자 서명이 수행되어 생성된 상기 전자 서명 값 및 상기 공개키가 포함되어 있는 공개키 인증서를 수신하고,
상기 검증을 수행하는 단계는
상기 제2 단말로부터 상기 해시 값과 상기 전자 서명 값 및 상기 공개키 인증서가 수신되면, 상기 공개키 인증서에 포함되어 있는 상기 공개키를 기초로 상기 전자 서명 값에 대해 복호화를 수행하여 복호화 값을 생성한 후 상기 생성된 복호화 값과 상기 수신된 해시 값을 비교하여 상기 생성된 복호화 값과 상기 수신된 해시 값이 동일한 경우, 상기 전자 서명 값에 대한 검증이 성공한 것으로 판단하는 분리 서명 기반의 사용자 인증 방법.12. The method of claim 11,
Receiving the electronic signature value
From the second terminal, the digital signature value and the public key generated by performing a digital signature on the hash value generated by applying a hash function to the electronic signature target data and the private key based on the private key Receive the included public key certificate,
Performing the verification is
When the hash value, the digital signature value, and the public key certificate are received from the second terminal, the decryption value is generated by decrypting the electronic signature value based on the public key included in the public key certificate. And comparing the generated decryption value with the received hash value and determining that the digital signature value is successful when the generated decryption value and the received hash value are the same. . 제7항 또는 제10항 내지 제12항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium having recorded thereon a program for performing the method of any one of claims 7 to 10.
KR1020120116965A 2012-10-19 2012-10-19 Divided signature based user authentication apparatus and method KR101388930B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120116965A KR101388930B1 (en) 2012-10-19 2012-10-19 Divided signature based user authentication apparatus and method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120116965A KR101388930B1 (en) 2012-10-19 2012-10-19 Divided signature based user authentication apparatus and method

Publications (1)

Publication Number Publication Date
KR101388930B1 true KR101388930B1 (en) 2014-04-25

Family

ID=50658649

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120116965A KR101388930B1 (en) 2012-10-19 2012-10-19 Divided signature based user authentication apparatus and method

Country Status (1)

Country Link
KR (1) KR101388930B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101658501B1 (en) * 2015-09-03 2016-09-22 주식회사 마크애니 Digital signature service system based on hash function and method thereof
KR20170057549A (en) * 2015-11-17 2017-05-25 주식회사 마크애니 Large simultaneous digital signature service system based on hash function and method thereof
KR101815008B1 (en) * 2016-06-02 2018-01-09 임현진 Shared account based banking service providing apparatus and method
CN112307518A (en) * 2020-10-16 2021-02-02 神州融安科技(北京)有限公司 Signature information processing method, signature information display method, signature information processing device, signature information display device, electronic equipment and storage medium
KR20210032332A (en) * 2014-10-30 2021-03-24 에스케이텔레콤 주식회사 Service server, and operating method thereof
KR102593468B1 (en) * 2023-04-26 2023-10-24 마이클 동 리 Apparatus and method for authenticating and managing electronic signatures

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060102456A (en) * 2005-03-23 2006-09-27 주식회사 비즈모델라인 System and method for authenticating user, server for authenticating user and recording medium
KR20070014159A (en) * 2006-10-26 2007-01-31 바이에리셰 모토렌 베르케 악티엔게젤샤프트 Authentication of control units in a vehicle
KR20120024302A (en) * 2010-09-06 2012-03-14 브이피 주식회사 Method and system of secure payment using authentication number

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060102456A (en) * 2005-03-23 2006-09-27 주식회사 비즈모델라인 System and method for authenticating user, server for authenticating user and recording medium
KR20070014159A (en) * 2006-10-26 2007-01-31 바이에리셰 모토렌 베르케 악티엔게젤샤프트 Authentication of control units in a vehicle
KR20120024302A (en) * 2010-09-06 2012-03-14 브이피 주식회사 Method and system of secure payment using authentication number

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
A. Menezes 외 2명, Handbook of Applied Cryptography, Chapter 11. Digital Signatures, CRC Press (1996) *
A. Menezes 외 2명, Handbook of Applied Cryptography, Chapter 11. Digital Signatures, CRC Press (1996)*

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210032332A (en) * 2014-10-30 2021-03-24 에스케이텔레콤 주식회사 Service server, and operating method thereof
KR102370797B1 (en) 2014-10-30 2022-03-04 에스케이텔레콤 주식회사 Service server, and operating method thereof
KR101658501B1 (en) * 2015-09-03 2016-09-22 주식회사 마크애니 Digital signature service system based on hash function and method thereof
US9819494B2 (en) 2015-09-03 2017-11-14 Markany Inc. Digital signature service system based on hash function and method thereof
KR20170057549A (en) * 2015-11-17 2017-05-25 주식회사 마크애니 Large simultaneous digital signature service system based on hash function and method thereof
KR101977109B1 (en) 2015-11-17 2019-08-28 (주)마크애니 Large simultaneous digital signature service system based on hash function and method thereof
KR101815008B1 (en) * 2016-06-02 2018-01-09 임현진 Shared account based banking service providing apparatus and method
CN112307518A (en) * 2020-10-16 2021-02-02 神州融安科技(北京)有限公司 Signature information processing method, signature information display method, signature information processing device, signature information display device, electronic equipment and storage medium
KR102593468B1 (en) * 2023-04-26 2023-10-24 마이클 동 리 Apparatus and method for authenticating and managing electronic signatures

Similar Documents

Publication Publication Date Title
KR102220087B1 (en) Method, apparatus, and system for processing two-dimensional barcodes
US10616222B2 (en) Authenticator centralization and protection based on authenticator type and authentication policy
KR101883156B1 (en) System and method for authentication, user terminal, authentication server and service server for executing the same
TWI522836B (en) Network authentication method and system for secure electronic transaction
CN109150548B (en) Digital certificate signing and signature checking method and system and digital certificate system
US11917074B2 (en) Electronic signature authentication system based on biometric information and electronic signature authentication method
KR101863953B1 (en) System and method for providing electronic signature service
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
US20190251561A1 (en) Verifying an association between a communication device and a user
TW201741922A (en) Biological feature based safety certification method and device
KR101388930B1 (en) Divided signature based user authentication apparatus and method
EP3206329B1 (en) Security check method, device, terminal and server
KR20180013710A (en) Public key infrastructure based service authentication method and system
KR101388935B1 (en) Two channel based user authentication apparatus and method
KR101856530B1 (en) Encryption system providing user cognition-based encryption protocol and method for processing on-line settlement, security apparatus and transaction approval server using thereof
KR102032210B1 (en) User authentication processing apparatus capable of simple authentication by inputting personal identification number and operating method thereof
CN110636498A (en) Identity authentication method and device of mobile terminal based on network electronic identity
KR101868564B1 (en) Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same
KR101979337B1 (en) Apparatus and method for certification
KR101708880B1 (en) Integrated lon-in apparatus and integrated log-in method
KR102160892B1 (en) Public key infrastructure based service authentication method and system
KR20140063256A (en) Payment method and system
KR101705293B1 (en) Authentication System and method without secretary Password
KR102547682B1 (en) Server for supporting user identification using physically unclonable function based onetime password and operating method thereof
KR102118956B1 (en) System and method for authentication

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170403

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180409

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190416

Year of fee payment: 6

R401 Registration of restoration