KR101625065B1 - 휴대단말기에서의 사용자 인증방법 - Google Patents

휴대단말기에서의 사용자 인증방법 Download PDF

Info

Publication number
KR101625065B1
KR101625065B1 KR1020140087334A KR20140087334A KR101625065B1 KR 101625065 B1 KR101625065 B1 KR 101625065B1 KR 1020140087334 A KR1020140087334 A KR 1020140087334A KR 20140087334 A KR20140087334 A KR 20140087334A KR 101625065 B1 KR101625065 B1 KR 101625065B1
Authority
KR
South Korea
Prior art keywords
authentication
operating system
user
security
biometric information
Prior art date
Application number
KR1020140087334A
Other languages
English (en)
Other versions
KR20160008012A (ko
Inventor
김성원
김민구
최승일
고인옥
Original Assignee
(주)케이스마텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이스마텍 filed Critical (주)케이스마텍
Priority to KR1020140087334A priority Critical patent/KR101625065B1/ko
Publication of KR20160008012A publication Critical patent/KR20160008012A/ko
Application granted granted Critical
Publication of KR101625065B1 publication Critical patent/KR101625065B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Telephone Function (AREA)

Abstract

일반운영체제와는 독립된 보안운영체제에서 관리하는 보안영역에 저장되어 있는 생체정보를 이용하여 사용자 인증을 수행하는 사용자 인증방법이 제공된다. 본 발명의 일 실시예에 따른 사용자 인증방법은, 일반운영체제에서 어플리케이션 실행 중에 사용자 인증이 필요하면 일반운영체제와는 독립된 보안운영체제로 제어권한을 넘기는 단계와, 상기 보안운영체제가 관리하는 보안영역에 저장되어 있는 생체정보를 이용하여 사용자를 인증하는 생체정보 인증단계를 포함한다. 보안영역은 일반운영체제가 동작하는 일반영역과는 물리적으로 분리된 영역이다. 또한, 생체정보 인증단계 이전에 보안운영체제가 사용자 인증정보를 이용하여 사용자를 인증하는 1차 인증단계를 더 포함할 수 있다.

Description

휴대단말기에서의 사용자 인증방법 {User authentification method in mobile terminal}
본 발명은 휴대단말기에서의 사용자 인증방법에 관한 것으로서, 더욱 상세하게는 일반운영체제와는 독립된 보안운영체제에서 관리하는 보안영역에 저장되어 있는 생체정보를 이용하여 사용자 인증을 수행하는 사용자 인증방법에 관한 것이다.
스마트폰, 태블릿 PC 등의 휴대단말기의 사용이 확산되면서 휴대단말기를 사용한 금융거래도 증가하고 있다. 그런데, 대규모 개인정보 유출, 스마트폰을 대상으로 하는 컴퓨터 바이러스의 확산, 빈번한 스마트폰의 도난 등으로 보안의 중요성이 더욱 커지고 있다.
이와 같이 휴대단말기에서의 보안의 중요성이 부각되면서 특허 제10-1087698호 [스마트폰의 보안 인증 방법]에서와 같이 얼굴 인증을 활용하거나, 특허등록 제10-1282648 [인덱스 기반의 사용자 인증 장치]에서와 같이 비밀번호 등의 개인정보를 인덱스로 변환하여 사용하도록 함으로써 개인정보의 직접적인 유출을 방지하거나, 특허 제10--1409175호 [스마트기기의 보안파일 접근 제어 장치 및 방법]에서와 같이 보안이 필요한 보안파일을 암호화하여 저장하고 인가된 어플리케이션만이 보안파일에 접근할 수 있도록 하는 등의 다양한 방법이 제안되고 있다.
그러나, 이러한 방법들도 휴대단말기에 설치되어 백그라운드로 구동되는 악성코드 및 해킹 프로그램 등과 같은 유해 프로그램에 의한 개인정보 유출을 막는데는 한계가 있다. 또한, 도난 당한 휴대단말기의 메모리에서 개인정보를 추출해내는 것을 막는데에도 한계가 있다.
본 발명은 이러한 점을 감안하여 이루어진 것으로서, 금융거래 등을 함에 있어서 사용자 인증을 보안성 있게 수행할 수 있는 휴대단말기에서의 사용자 인증방법을 제공하는 것을 목적으로 한다. 본 발명의 다른 목적은 악성코드 및 해킹 프로그램 등과 같은 유해 프로그램에 의한 개인정보 유출을 효과적으로 방지할 수 있는 휴대단말기에서의 사용자 인증방법을 제공하는 것을 목적으로 한다.
이러한 목적을 달성하기 위한 본 발명의 사용자 인증방법은, 일반운영체제에서 어플리케이션 실행 중에 사용자 인증이 필요하면 일반운영체제와는 독립된 보안운영체제로 제어권한을 넘기는 단계와, 상기 보안운영체제가 관리하는 보안영역에 저장되어 있는 생체정보를 이용하여 사용자를 인증하는 생체정보 인증단계를 구비한다. 보안영역은 일반운영체제가 동작하는 일반영역과는 물리적으로 분리된 영역인 것이 바람직하다. 일 실시예에서, 보안영역은 ARM 트러스트존(Trustzone) 기반의 TEE(Trusted Execution Environment)가 사용될 수 있다.
또한, 실시예에 따라서는 생체정보 인증단계 이전에 보안운영체제가 사용자 인증정보를 이용하여 사용자를 인증하는 1차 인증단계를 더 구비할 수 있다. 상기 1차 인증단계에서 사용하는 사용자 인증정보에는 휴대단말기에 저장된 패스워드, 휴대단말기에 저장된 공인인증서, 문자메시지에 포함된 패스워드, 신용카드에 적힌 정보 중의 어느 하나 또는 그 이상이 포함된다.
사용자 인증이 필요한 경우에 일반운영체제는 인증서버로 해당 사용자의 생체정보 등록이 필요한지 여부를 확인할 수 있다. 인증서버로부터 생체정보 등록이 필요하다는 정보를 수신하면 일반운영체제는 보안운영체제로 제어권한을 넘기고, 보안운영체제가 사용자 인증정보를 이용하여 사용자를 인증한다. 사용자 인증이 성공되면 보안운영체제에서 사용자의 생체정보를 입력받아서 등록한다.
생체정보등록은, 상기 보안운영체제가 사용자로부터 생체정보를 입력받는 단계와, 상기 보안운영체제가 입력받은 생체정보로부터 특징값을 추출하는 단계와, 상기 보안운영체제가 추출된 특징값을 암호화하여 보안영역에 저장하는 특징값 저장단계를 거쳐서 이루어질 수 있다. 또한, 특징값 저장단계 이후에 보안운영체제가 일반운영체제로 등록정보를 전달하는 단계와, 등록정보를 수신한 일반운영체제가 인증서버로 등록정보를 전송하는 단계와, 인증서버로부터 등록확인데이터를 수신하면 일반운영체제가 보안운영체제로 등록확인데이터를 전달하는 단계와, 등록확인데이터를 수신한 보안운영체제가 등록확인데이터를 저장하고, 생체정보등록 완료 메시지를 화면에 표시하는 단계를 포함할 수 있다. 특징값으로는 지문, 홍채, 서명, 음성, 얼굴 이미지 중의 어느 하나 또는 그 이상으로부터 추출되는 특징값이 사용될 수 있다.
본 발명에 따르면, 일반운영체제가 동작하는 일반영역과는 물리적으로 분리된 영역에 인증을 위한 정보를 저장하고 있으므로, 악성코드 및 해킹 프로그램 등과 같은 유해 프로그램에 의한 개인정보 유출을 효과적으로 방지할 수 있다. 또한, 사용자 인증을 할 때 생체정보 인증을 포함한 2단계 인증을 거치므로, 금융거래 등을 위한 사용자 인증을 보안성 있게 수행할 수 있다.
도 1은 본 발명의 사용자 인증방법을 수행하기 위한 휴대단말기와 인증서버의 기능 블록도이다.
도 2는 NW와 SW 사이에서 단말기 제어권한을 넘기는 절차를 보여주는 흐름도이다.
도 3은 생체정보를 등록하는 절차를 보여주는 흐름도이다.
도 4a 내지 도 4g는 생체정보를 등록할 때의 화면예를 보여준다.
도 5는 등록된 생체정보를 사용하여 사용자 인증을 할 때의 흐름을 보여주는 흐름도이다.
이하, 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다.
도 1은 본 발명의 사용자 인증방법을 수행하기 위한 휴대단말기와 인증서버의 기능 블록도이다.
본 발명에서 스마트폰, 태블릿 PC 등의 휴대단말기(100)에는 안드로이드(구글의 스마트폰용 운영체제), iOS(애플사의 아이폰용 운영체제) 등과 같은 일반운영체제와, 일반운영체제와는 독립적으로 동작하는 보안운영체제가 탑재된다. 이하에서는 일반운영체제가 동작하는 영역을 NW(Normal World)(110)라 하고, 보안운영체제가 동작하는 영역을 SW(Secure World)(120)라고 한다.
지급결제, 인증, 금융정보 관리, 개인정보 관리, 기기관리, 보안 서비스 등의 모바일 보안 강화 서비스를 제공하는 보안 적용 어플리케이션(112)들은 보안이 필요한 서비스를 제공할 때에는 TEE(Trusted Execution Environment) 에이전트(113)를 통하여 SW(120)에 위치하는 보안정보를 액세스하게 된다. TEE 에이전트(113)는 NW(100)에서 TEE(Trusted Execution Environment)와의 통신 및 모바일 보안 강화 서비스 어플리케이션(111)들 간의 게이트웨이 역할을 한다. TEE 에이전트(113)는 API(Application Programming Interface) 형태로 모바일 보안 강화 서비스 어플리케이션(111)에 탑재되거나 단독 어플리케이션의 형태로 백그라운드에서 동작할 수 있다.
TEE 에이전트(113)는 SW(120)에 있는 REE(Rich Execution Environment) 에이전트(123)와 통신한다. REE 에이전트(123)는 SW(120)에서 REE와의 통신 및 보안 어플리케이션(Trusted Application)(122)(이하, TA라 함)과의 게이트웨이 역할을 한다. REE 에이전트(123)는 인증된 TEE 에이전트(113)의 접속만을 수용한다.
TA(122)는 카메라, 마이크, 화면터치, 지문스캔너 등의 I/O 장치를 통한 보안이 강화된 사용자 인터페이스 제공(보안강화 I/O TA), 사용자 인터페이스를 통해 입력된 생체정보로부터 특징값 추출(생체인식 TA), 특징값의 암호화 및 복호화(암호화 복호화 TA), 암호화된 특징값을 개인정보 DB(121)에 저장 등 SW(120)에 저장되는 개인정보를 관리하고 제어하는 동작을 수행한다. TA(122)는 NW(110)에서 직접적으로 액세스할 수 없으며, 반드시 REE 에이전트(123)를 거쳐서만 액세스 가능하다. 또한, TA(122)의 동작에 필요한 생체인식 특징값, 공인인증서, 아이디 및 패스워드 등의 주요 개인정보도 SW(120)에 저장된다. 실시예에 따라서는 개인정보 DB(121)를 일반운영체제가 동작하는 일반영역과는 물리적으로 분리된 보안영역에 두도록 구성할 수 있다. 또는, SW(120) 전체를 보안영역에 저장할 수도 있다. 보안영역은, 예를 들면 ARM 트러스트존(Trustzone) 기반의 TEE가 사용될 수 있다.
TEE 에이전트(113)는 인증을 수행할 때에 휴대단말기 외부의 인증서버(200)의 관리 및 제어를 받을 수 있다. 인증서버(200)는 세션 관리, 서비스 관리, 사용자 관리, 보안단말관리, 통계 등 운영지원을 포함하는 보안 서비스 관리 기능과, 원타임 패스워드(One-Time Password) 암호키 관리, 보안레벨제어 및 인증제어 등의 보안 서비스 제어 기능을 수행한다.
다음으로, 도 2를 참조하여 NW와 SW 사이에서 단말기 제어권한을 넘기는 절차에 대해서 설명한다.
본 발명의 보안 서비스를 채택한 보안 적용 어플리케이션(112)에서 사용자 입력에 보안이 필요한 경우, 예를 들어 아이디와 패스워드를 사용자로부터 입력받는 경우에, 보안 적용 어플리케이션(112)은 TEE 에이전트(113)를 호출한다(단계 ①).
TEE 에이전트(113)는 SW(120)에 있는 REE 에이전트(123)로 어플리케이션 ID, 사용자 입력 종류 등에 관한 정보를 전송하면서 사용자 입력 보안을 위한 제어권 전달을 요청한다(단계 ②). REE 에이전트(123)는 사용자 입력 처리를 담당하는 TA(122)로 수신한 정보를 전달하고(단계 ③), TA(122)는 보안운영체제로 제어권한을 요청한다(단계 ④). 그러면, 사용자 화면이 SW(120)로 전환된다. 보안운영체제는 TA(122)로 제어권한 전달 결과를 TA(122)로 전달하고 TA(122)는 사용자 입력 종류에 따른 화면을 출력한다(단계 ⑤). 예를 들면, 카드 인증의 경우에는 카드번호, 유효기간, CVV를 입력할 수 있는 화면이 나오고, 사용자가 입력하기 위하여 화면을 터치하면 보안 키패드가 화면에 출력된다.
사용자가 입력한 데이터는 TA(122)에서 암호화 처리된 후에 REE 에이전트(123)로 전달되고(단계 ⑥), REE 에이전트(123)는 전달받은 암호화된 데이터를 TEE 에이전트(113)로 전달한다(단계 ⑦). TEE 에이전트(113)는 서비스를 요청하였던 보안 적용 어플리케이션(112)으로 데이터를 전달하고(단계 ⑧), 보안 적용 어플리케이션(112)은 암호화된 데이터를 인증서버(200)로 전송한다.
다음으로, 도 3 및 도 4a 내지 도 4g를 참조하여 생체정보를 SW(120)에 등록하는 방법에 대해서 설명한다.
TEE 에이전트(113)로부터 사용자 입력 보안을 위한 제어권 전달을 요청 받으면, 보안운영체제는 보안운영체제가 동작됨을 나타내는 시작화면을 화면에 출력한다(단계 310). 한편, 단계 310은 실시예에 따라서 생략 가능하다.
보안운영체제는 생체정보가 등록되어 있는지 여부를 확인한다(단계 312). 생체정보가 등록되어 있는 경우에는 바로 단계 330으로 가서, 보안 적용 어플리케이션(112)을 위한 인증절차를 수행하게 되며, 생체정보가 등록되어 있지 않은 경우에는 단계 314로 가서 생체정보 등록절차를 수행하게 된다.
생체정보를 등록하기 위해서는 이미 휴대단말기에 등록되어 있는 사용자 인증 데이터를 이용하여 1차 인증절차를 거쳐야 한다. 보안운영체제는 도 4a와 같은 화면을 표시하고 사용자로부터 1차 인증절차에 사용할 인증방법을 선택받는다(단계 314).
다음으로, 단계 316에서 사용자가 선택한 수단을 사용하여 인증을 한다. 예를 들어 사용자가 휴대폰 인증을 선택하면, 보안운영체제는 REE 에이전트(123)를 통해 TEE 에이전트(113)로 하여금 인증서버(200)에서 해당 휴대단말기로 임의의 번호 또는 문자열이 포함된 문자메시지를 전송하도록 하고, 사용자는 수신된 문자메시지에 포함되어 있는 번호 또는 문자열을 입력하고, 휴대단말기(100)는 입력된 문자열을 인증서버(200)로 전송하여 확인함으로써 1차 인증을 수행하게 된다.
1차 인증에 사용될 수 있는 수단으로는, 전술한 휴대폰 인증 이외에도, 도 4b에 도시된 것처럼 휴대단말기(100) 또는 인증서버(200)에 저장되어 있는 카드 정보를 사용한 카드인증, 휴대단말기(100)에 저장되어 있는 공인인증서를 인증서버로 전송하여 인증을 받는 공인인증서 인증, 휴대단말기(100) 또는 인증서버(200)에 저장되어 있는 ID 및 패스워드를 이용한 ID/PW 인증 등 다양한 인증방법이 사용될 수 있으며, 본 발명은 특정 인증방법에 한정되지 않는다.
인증서버(200)로부터 사용자가 입력한 정보가 유효하다는 것을 TEE 에이전트(113)를 통하여 수신하면(단계 318), 보안운영체제는 단계 320부터 사용자 생체정보 등록절차를 밟는다.
즉, 단계 320에서 보안운영체제는 화면에 도 4c와 같은 화면을 표시하고, 사용자로부터 생체인식에 사용할 수단을 선택받는다. 도 4c의 화면에는 생체인식 수단으로서 지문인식, 음성인식, 얼굴인식, 서명인식이 표시되어 있지만, 본 발명은 이에 한정되는 것은 아니며, 홍채인식 등 다양한 생체인식 방법이 사용될 수 있다.
사용자가 등록할 생체인식 수단을 선택하면, 보안운영체제는 단계 322에서 해당 생체인식 수단에 관련된 사용자의 특징값을 등록받는다. 예를 들어 지문인식의 경우에는 도 4d에 도시한 것처럼 지문인식 센서를 사용하여 사용자의 지문을 입력받은 다음에, 입력된 정보로부터 사용자의 지문의 특징값을 추출한다.
생체정보가 입력되면 단계 324에서 입력된 생체정보를 다시 확인하는 절차를 수행한다. 이때의 화면예가 도 4e에 도시되어 있다. 한편, 단계 324는 실시예에 따라서는 생략 가능하다.
보안운영체제는 단계 322에서 추출한 특징값과 단계 324에서 추출한 특징값이 일치하는지 또는 오차범위 내에 있는지, 즉 2차례에 걸쳐서 추출한 특징값이 유효한 것인지를 확인한다(단계 326). 유효성 확인에 실패한 경우에는 단계 320부터 다시 생체정보 등록절차를 수행하고, 유효성 확인에 성공한 경우에는 단계 328로 가서 추출된 특징값을 암호화하여 보안영역에 저장하고, 생체정보 등록이 완료되었음을 나타내는 도 4f와 같은 화면에 표시하고, 단계 330으로 가서 도 4g와 같은 메인 서비스 화면을 표시한다(단계 330).
한편, 특징값 저장단계 이후에 보안운영체제가 일반운영체제로 등록정보를 전달하고, 등록정보를 수신한 일반운영체제가 인증서버로 등록정보를 전송하여, 인증서버로부터 등록확인데이터를 수신하도록 구성하는 것도 가능하다. 등록확인데이터를 수신한 일반운영체제가 보안운영체제로 등록확인데이터를 전달하면, 보안운영체제가 등록확인데이터를 저장하고 생체정보등록 완료 메시지를 화면에 표시하도록 구성할 수 있다.
다음으로 도 5를 참조하여 생체정보가 등록되어 있는 경우에 사용자를 인증하는 절차에 대해서 설명한다. 이하에서는 사용자가 인터넷 쇼핑몰에서 상품을 구매하면서 지문인식을 사용하여 사용자 인증을 하는 경우를 예로 들어 설명한다.
사용자는 휴대단말기(100)를 사용하여 일반 어플리케이션으로 인터넷 쇼핑몰에 접속하여 구매할 상품을 선택하고 구매버튼을 누름으로써 구매요청을 한다(단계 501). 구매요청이 있으면 해당 어플리케이션은 보안 적용 어플리케이션(112)을 구동 또는 호출하고, 보안 적용 어플리케이션(112)은 휴대단말기 화면에 인증수단을 선택할 것을 요청하는 화면을 표시한다(단계 503).
사용자가 사용자 인증방법으로 생체인식을 선택하면(단계505), NW(110)는 TEE 에이전트(113)를 통해 SW(120)에 생체인증을 수행할 것을 요청한다(단계 507). 그러면, SW(120)의 보안운영체제는 보안운영체제에서 사용자 입력처리를 수행함을 나타내는 화면을 출력하고(단계 509), 도 4g와 같은 생체인증수단 선택화면을 표시한다(단계 511).
사용자가 생체인증수단으로서 지문인증을 선택하면(단계 513), 보안운영체제는 지문스캐너를 작동시키고(단계 515), 지문을 입력할 것을 요청하는 화면을 출력한다(단계 517). 사용자가 지문스캐너를 사용하여 지문을 입력하면(단계 519), 보안운영체제는 스문스캐너로부터 데이터를 수신하고, 지문인식 TA(122)는 특징값을 추출하고 추출된 특징값과 보안영역에 저장되어 있는 특징값을 비교하여 생체인증의 성공 여부를 확인한다(단계 521).
보안운영체제는 REE 에이전트(123)를 통하여 생체인증 결과를 TEE 에이전트(113)로 전달하고, TEE 에이전트(113)는 이를 보안 적용 어플리케이션(112)으로 전달한다(단계 523). 보안 적용 어플리케이션(112)은 인증결과를 화면에 출력하고(단계 525), 인증 완료 정보를 인증서버(200)에 송신함과 동시에 인증서버(200)에 사용자 정보를 요청한다(단계 527).
인증서버(200)로부터 사용자 정보를 수신하면(단계 529), 보안 적용 어플리케이션(112)은 사용자 정보 확인 화면을 출력하고(단계 531), 해당 화면을 확인한 사용자로부터 결제 요청이 있으면(단계 533), 보안 적용 어플리케이션(112)은 인증서버(200) 또는 별도의 결제서버로 결제 요청 메시지를 전송한다(단계 535). 결제 요청 메시지를 수신한 인증서버(200) 또는 별도의 결제서버는 결제를 수행하고, 결제가 완료되었음을 나타내는 정보를 보안 적용 어플리케이션(112)으로 전송한다(단계 537). 그러면, 보안 적용 어플리케이션(112)은 결제완료 화면을 출력함으로써 사용자 인증 및 결제절차가 완료하게 된다.
한편, 도 5에서는 사용자 인증을 생체인증의 한 단계만을 거치는 예에 대해서 설명하였지만, 생체정보 등록시와 마찬가지로 사용자 정보를 사용하여 휴대폰 인증, 카드 인증, 공인인증서 인증, ID/PW 인증 등의 1차 인증을 마친 후에 2차 인증으로서 생체인증을 수행하도록 구성하는 것도 가능하다.
이상, 본 발명을 몇가지 예를 들어 설명하였으나, 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 설명되었다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성 요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 그 컴퓨터 프로그램을 구성하는 코드들 및 코드 세그먼트들은 본 발명의 기술 분야의 당업자에 의해 용이하게 추론될 수 있을 것이다. 이러한 컴퓨터 프로그램은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 반도체 기록매체, 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.
또한, 이상에서 기재된 "포함하다", "구성하다" 또는 "가지다" 등의 용어는, 특별히 반대되는 기재가 없는 한, 해당 구성 요소가 내재할 수 있음을 의미하는 것이므로, 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것으로 해석되어야 한다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 휴대단말기
110 NW (Normal World)
120 SW (Secure World)
200 인증서버

Claims (10)

  1. 일반운영체제와 상기 일반운영체제와는 독립적으로 동작하는 보안운영체제를 구비하는 휴대단말기에서 사용자 입력에 보안이 필요한 보안 적용 어플리케이션을 실행시켜 사용자 인증과정을 수행하는 사용자 인증방법으로서,
    상기 보안 적용 어플리케이션을 실행시켜 사용자 인증이 필요하면 일반운영체제에서 휴대단말기 외부 인증서버의 관리 및 제어를 받는 TEE(Trusted Execution Environment) 에이전트를 호출한 다음 보안운영체제의 REE(Rich Execution Environment) 에이전트를 거쳐 일반운영체제와는 독립된 보안운영체제로 제어권한을 넘기는 단계;
    상기 보안운영체제가 생체정보가 등록되어 있는지 여부를 확인하여 생체정보가 등록되어 있지 않은 경우에 사용가능한 복수의 1차 인증방법을 표시하여 사용자로부터 1차 인증절차에 사용할 인증방법을 선택받고, 선택받은 인증방법에 따라 입력된 사용자 인증정보를 이용하여 인증서버로부터 사용자를 인증받는 생체정보등록용 인증단계;
    인증서버를 통한 사용자 인증이 성공되면 보안운영체제가 사용자로부터 생체정보를 입력받아서 입력받은 생체정보로부터 특징값을 추출하고 추출된 특징값을 암호화하여 보안영역에 저장하며, 보안운영체제가 일반운영체제로 등록정보를 전달하면 일반운영체제가 인증서버로 등록정보를 전송하고, 인증서버로부터 등록확인데이터를 수신한 일반운영체제가 보안운영체제로 등록확인데이터를 전달하고, 등록확인데이터를 수신한 보안운영체제가 등록확인데이터를 저장하고 생체정보등록 완료 메시지를 화면에 표시함으로써 사용자의 생체정보를 등록하는 생체정보등록단계;
    보안운영체제에 생체정보가 등록되어 있거나 또는 생체정보등록이 완료되면 상기 보안운영체제가 사용가능한 복수의 1차 인증방법을 표시하여 사용자로부터 1차 인증절차에 사용할 인증방법을 선택받고, 선택받은 인증방법에 따라 입력된 사용자 인증정보를 이용하여 인증서버로부터 사용자를 인증하는 1차 인증단계;
    상기 보안운영체제가 사용가능한 하나 또는 그 이상의 생체정보 인증방법을 표시하여 사용자로부터 생체정보 인증절차에 사용할 생체정보 인증방법을 선택받고, 선택받은 생체정보 인증방법에 따라 상기 생체정보 등록단계를 통해 상기 보안운영체제가 관리하는 보안영역에 암호화되어 저장되어 있는 생체정보 특징값과 생체인식 수단에 의하여 새로이 추출되는 생체정보 특징값을 비교하여 인증서버와의 연동없이 휴대단말기의 보안운영체제를 통해 사용자를 인증하는 생체정보 인증단계
    를 구비하고,
    상기 보안운영체제의 REE 에이전트는 인증된 일반운영체제의 TEE 에이전트의 접속만을 수용하여 생체정보를 이용한 사용자 인증과정을 수행함으로서 일반운영체제에서 보안운영체제에 직접적으로 액세스할 수 없는 것을 특징으로 하는 휴대단말기에서의 사용자 인증방법.
  2. 제1항에 있어서,
    상기 보안영역은 일반운영체제가 동작하는 일반영역과는 물리적으로 분리된 영역인 휴대단말기에서의 사용자 인증방법.
  3. 제2항에 있어서,
    상기 보안영역은 ARM 트러스트존(Trustzone 기반의 TEE인 것을 특징으로 하는 휴대단말기에서의 사용자 인증방법.
  4. 삭제
  5. 제1항에 있어서, 상기 복수의 1차 인증방법은, 인증서버에서 상기 휴대단말기로 임의의 번호 또는 문자열이 포함된 문자메시지를 전송하고 휴대단말기에서 사용자로부터 문자열을 입력받아 인증서버로 전송하여 확인받는 방법과, 인증서버에 저장되어 있는 카드정보를 사용하여 인증받는 방법과, 휴대단말기에 저장되어 있는 공인인증서를 인증서버로 전송하여 인증받는 방법과, 인증서버에 저장되어 있는 ID 및 패스워드를 이용한 인증방법을 포함하는 것을 특징으로 하는 휴대단말기에서의 사용자 인증방법.
  6. 삭제
  7. 삭제
  8. 삭제
  9. 삭제
  10. 제1항에 있어서, 상기 특징값은 지문, 홍채, 서명, 음성, 얼굴 이미지 중의 어느 하나 또는 그 이상으로부터 추출되는 것인 휴대단말기에서의 사용자 인증방법.
KR1020140087334A 2014-07-11 2014-07-11 휴대단말기에서의 사용자 인증방법 KR101625065B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140087334A KR101625065B1 (ko) 2014-07-11 2014-07-11 휴대단말기에서의 사용자 인증방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140087334A KR101625065B1 (ko) 2014-07-11 2014-07-11 휴대단말기에서의 사용자 인증방법

Publications (2)

Publication Number Publication Date
KR20160008012A KR20160008012A (ko) 2016-01-21
KR101625065B1 true KR101625065B1 (ko) 2016-06-08

Family

ID=55308517

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140087334A KR101625065B1 (ko) 2014-07-11 2014-07-11 휴대단말기에서의 사용자 인증방법

Country Status (1)

Country Link
KR (1) KR101625065B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102580301B1 (ko) * 2016-04-21 2023-09-20 삼성전자주식회사 보안 로그인 서비스를 수행하는 전자 장치 및 방법
KR102028670B1 (ko) 2017-08-04 2019-10-04 고려대학교 산학협력단 클락 윌슨 모델을 적용한 모바일 장치 및 그것의 동작 방법
KR102514062B1 (ko) * 2018-02-27 2023-03-24 삼성전자주식회사 트러스트존 그래픽 렌더링 방법 및 그에 따른 디스플레이 장치

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101364996B1 (ko) * 2012-02-24 2014-02-20 사단법인 금융보안연구원 스마트 단말에서 하드웨어를 이용한 전자금융 시스템 및 그 동작 방법
KR20140029990A (ko) * 2012-08-31 2014-03-11 중소기업은행 생체정보를 이용한 본인인증 시스템 및 방법

Also Published As

Publication number Publication date
KR20160008012A (ko) 2016-01-21

Similar Documents

Publication Publication Date Title
US9741033B2 (en) System and method for point of sale payment data credentials management using out-of-band authentication
KR102358546B1 (ko) 장치에 대해 클라이언트를 인증하기 위한 시스템 및 방법
US9886688B2 (en) System and method for secure transaction process via mobile device
ES2951585T3 (es) Autenticación de transacciones usando un identificador de dispositivo móvil
US20160104154A1 (en) Securing host card emulation credentials
US11044604B2 (en) Method and system for protecting and utilizing internet identity, using smartphone
TW201741922A (zh) 一種基於生物特徵的安全認證方法及裝置
JP2018532301A (ja) 本人認証方法及び装置
US20170068960A1 (en) Web based payment service providing apparatus, method, system, and non-transitory computer readable storage medium storing computer program recorded thereon
EP2098985A2 (en) Secure financial reader architecture
EP2738722A1 (en) Method and system for providing secure end-to-end authentication and authorization of electronic transactions
JP2006294035A (ja) 移動装置を用いる認証サービスのための方法及び装置
EP3662430B1 (en) System and method for authenticating a transaction
JP2017537421A (ja) 支払いトークンのセキュリティを確保する方法
EP2690840B1 (en) Internet based security information interaction apparatus and method
US20170337553A1 (en) Method and appartus for transmitting payment data using a public data network
KR101659847B1 (ko) 모바일 단말을 이용한 2채널 사용자 인증 방법
KR101804182B1 (ko) 실물카드를 이용한 온라인 금융거래 본인인증 시스템 및 방법
KR101570773B1 (ko) 모바일 기기를 사용한 인터넷 서비스의 클라우드 인증 방법
EP4049411A1 (en) Method and system for completing cross-channel transactions
US20170213213A1 (en) Enhanced authentication security applicable in an at least partially insecure network environment
KR101625065B1 (ko) 휴대단말기에서의 사용자 인증방법
TWI753102B (zh) 實名認證服務系統及實名認證服務方法
KR20170029943A (ko) 웹 기반 거래 검증을 지원하는 결제 서비스 제공 장치 및 방법, 그리고 시스템 및 컴퓨터 프로그램이 기록된 기록매체

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190415

Year of fee payment: 4