KR101759193B1 - 안전한 전자 거래를 위한 네트워크 인증 방법 - Google Patents

안전한 전자 거래를 위한 네트워크 인증 방법 Download PDF

Info

Publication number
KR101759193B1
KR101759193B1 KR1020150092941A KR20150092941A KR101759193B1 KR 101759193 B1 KR101759193 B1 KR 101759193B1 KR 1020150092941 A KR1020150092941 A KR 1020150092941A KR 20150092941 A KR20150092941 A KR 20150092941A KR 101759193 B1 KR101759193 B1 KR 101759193B1
Authority
KR
South Korea
Prior art keywords
server
authentication
network
client device
verification
Prior art date
Application number
KR1020150092941A
Other languages
English (en)
Other versions
KR20160032665A (ko
Inventor
마그누스 룬스트롬
Original Assignee
키파스코 아베
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 키파스코 아베 filed Critical 키파스코 아베
Publication of KR20160032665A publication Critical patent/KR20160032665A/ko
Application granted granted Critical
Publication of KR101759193B1 publication Critical patent/KR101759193B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3821Electronic credentials
    • G06Q20/38215Use of certificates or encrypted proofs of transaction rights
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Marketing (AREA)
  • Technology Law (AREA)

Abstract

네트워크 인증 방법에서, 클라이언트 디바이스(2)는 인증서(31)에 고유하게 매핑되고, 최종 사용자(5)에게 할당되는 인증서 레퍼런스 및 최종 사용자(5)에 의해 결정된 PIN 코드를 이용하여 개인 키(313)를 암호화함으로써 획득한 레퍼런스 개인 키(23)를 저장한다. 클라이언트 디바이스(2)는, 입력 작업을 통해 획득한 사용자 입력 코드를 이용하여 레퍼런스 개인 키(23)를 해독함으로써 획득한 현재 키를 사용하여 인증서 레퍼런스(32)와 연관된 거래 데이터에 대한 디지털 서명을 생성한다. 검증 서버(3)는, 저장된 인증서(31)의 공개 키(312)에 기초하여, 수신된 디지털 서명이 공개 키(313)를 이용하여 서명되는지 여부를 검증하고, 검증 결과가 긍정적인 경우 디지털 서명으로부터 거래 데이터를 획득한다.

Description

안전한 전자 거래를 위한 네트워크 인증 방법{NETWORK AUTHENTICATION METHOD FOR SECURE ELECTRONIC TRANSACTIONS}
본 발명은 네트워크 거래 인증, 더욱 상세하게는 안전한 전자 거래를 위한 인증 방법에 관한 것이다.
오늘날, 예컨대 온라인 뱅킹 서비스 및 온라인 쇼핑 서비스와 같은 온라인 웹 기반의 서비스가 널리 사용되고 있다. 그러나 거래 보안과 관련된 문제들은 기관들 및 이들의 고객들에 대해 심각한 도전 및 위험을 가한다. 비보안 공개 인터넷 프로토콜(Internet Protocol, IP) 네트워크 상에서 매일 일어나는 수십억 개의 거래를 수반하는 국제 경제에서, 신원(identity) 및/또는 개인 정보의 보호가 가장 중요하게 되었다. 일반적으로, 고객 컴퓨터 환경은, 키 입력을 레코딩하거나, 위조 서버에 중요 메시지를 리다이렉트(redirect)하거나, 컴퓨터 스크린을 효과적으로 "비디오 레코딩"할 수 있는 키 입력 레코더, 트로이 목마 또는 스크린 레코더 등과 같은 악성 소프트웨어에 대한 취약점으로 인해 안전하지 않은 것으로 여겨진다. 다양한 수단을 통해, 해커(hacker)는 고객의 신원 및/또는 개인 정보를 도용할 수 있다. 심지어 중요 데이터가 변형될 수도 있다.
고객을 인증하기 위한 전통적인 방식은 클라이언트 컴퓨터가 사용자 아이디 및 비밀번호를 제공하도록 하는 것이다. 그러나, 이러한 일 요소(one-factor)(예컨대, 사용자 아이디와 비밀번호의 조합) 인증은, MITM(man-in-the-middle), MITB(man-in-the-browser) 및 키 입력 로깅(keystroke logging)과 같은 방식을 사용하는 (트로이 목마를 포함하는) 악성 소프트웨어 또는 악성 코드에 의해 공격받는 것으로부터 고객 또는 기관을 보호하기에 부족하다.
사용자 아이디 및 비밀번호는 도용될 수 있기 때문에, 신원 검증 장치, 예컨대, PKI(public key infrastructure) 인증서를 구비하는 USB(universal serial bus) 디바이스, IC(integrated circuit) 전자 카드 또는 동적 토큰이 고객의 신원을 검증하기 위해 추가적으로 사용되어, 개인화(personalization), 배포(distribution) 및 문제 해결(troubleshooting)에 대한 고객 서비스의 비용이 상당해지도록 만들 수 있다. 또한, 서로 다른 기관용으로 서로 다른 신원 검증 디바이스가 필요하다는 점은 고객에게 있어서 상당한 불편을 초래한다.
따라서, 이러한 기술은 개선될 여지가 여전히 존재한다.
따라서, 본 발명이 해결하려는 과제는 상술한 단점을 극복할 수 있는 안전한 전자 거래를 위한 네트워크 인증을 제공하는 것이다.
본 발명이 해결하려는 과제는 이상에서 언급한 과제들로 제한되지 않으며, 언급되지 않은 또 다른 과제는 아래의 기재로부터 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따르면, 통신 네트워크(400)에 연결되는 클라이언트 디바이스(2) 및 검증 서버(3)를 이용하여 구현되는 네트워크 인증 방법으로서, 상기 클라이언트 디바이스(2)는 최종 사용자(5)와 연관되고, 인증 어플리케이션(22)을 저장하고, 상기 네트워크 인증 방법은, 상기 검증 서버(3)에 의해, 상기 최종 사용자(5)에게 할당된, 상기 최종 사용자(5)의 UID(unique user identifier)(311) 및 공개 키(312)와 개인 키(313)의 비대칭 키의 쌍을 포함하는 인증서(31)를 저장하는 a 단계; 상기 클라이언트 디바이스(2)에 의해, 상기 최종 사용자(5)에게 할당된 상기 인증서(31)에 고유하게 매핑되는 인증서 레퍼런스(32) 및 상기 최종 사용자(5)에 의해 결정된 PIN(personal identification number) 코드로 상기 개인 키(313)를 암호화함으로써 획득한 레퍼런스 개인 키(23)를 저장하는 b 단계; 상기 클라이언트 디바이스(2)에 의해, 상기 클라이언트 디바이스(2)와 네트워크 서버(1) 사이의 전자 거래와 연관되고, 상기 최종 사용자(5)에 의해 확인될 거래 데이터를 수신한 후, 상기 인증 어플리케이션(22)의 실행에 대한 응답으로, 입력 작업을 통해 사용자 입력 코드를 생성하고, 현재 키를 획득하기 위해 상기 사용자 입력 코드를 이용하여 상기 b 단계에서 저장된 상기 레퍼런스 개인 키(23)를 해독하고, 상기 현재 키 및 상기 거래 데이터를 이용하여 상기 거래 데이터에 대한 디지털 서명을 생성하는 c 단계; 및 상기 검증 서버(3)에 의해, 상기 통신 네트워크(400)를 통해 디지털 서명 및 인증서 레퍼런스(32)를 수신한 후, 수신된 상기 인증서 레퍼런스(32)가 고유하게 매핑되는 인증서의 상기 공개 키(312)에 기초하여 수신된 상기 디지털 서명이 상기 개인 키(313)으로 서명이 되었는지 여부를 결정하고, 수신된 상기 디지털 서명으로부터, 상기 최종 사용자(5)와 연관될 것으로 결정되고, 상기 디지털 서명이 상기 개인 키(313)으로 서명이 되었다고 판단된 경우 상기 최종 사용자(5)에 의해 확인된 거래 데이터를 획득하는 d 단계를 포함하는 네트워크 인증 방법이 제공된다.
본 발명의 다른 특징 및 유리한 효과는 첨부된 도면을 참조하여 아래에서 상세하게 설명되는 실시예들에 의해 명백해질 것이다.
도 1은 본 발명의 일 실시예에 따른 네트워크 인증 방법을 구현하도록 구성된 시스템을 나타내는 개략 블록도이다.
도 2a 및 도 2b는 본 발명의 일 실시예에 따른 네트워크 인증 방법의 등록 절차를 나타내는 도면들이다.
도 3a, 3b 및 3c는 본 발명의 일 실시예에 따른 네트워크 인증 방법에 따른 도 1의 시스템에서 전자 거래가 수행되는 방법의 절차를 나타내는 도면들이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 도면에서 표시된 구성요소의 크기 및 상대적인 크기는 설명의 명료성을 위해 과장된 것일 수 있다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭하며, "및/또는"은 언급된 아이템들의 각각 및 하나 이상의 모든 조합을 포함한다.
소자(elements) 또는 층이 다른 소자 또는 층의 "위(on)" 또는 "상(on)"으로 지칭되는 것은 다른 소자 또는 층의 바로 위뿐만 아니라 중간에 다른 층 또는 다른 소자를 개재한 경우를 모두 포함한다. 반면, 소자가 "직접 위(directly on)" 또는 "바로 위"로 지칭되는 것은 중간에 다른 소자 또는 층을 개재하지 않은 것을 나타낸다.
공간적으로 상대적인 용어인 "아래(below)", "아래(beneath)", "하부(lower)", "위(above)", "상부(upper)" 등은 도면에 도시되어 있는 바와 같이 하나의 소자 또는 구성 요소들과 다른 소자 또는 구성 요소들과의 상관관계를 용이하게 기술하기 위해 사용될 수 있다. 공간적으로 상대적인 용어는 도면에 도시되어 있는 방향에 더하여 사용시 또는 동작시 소자의 서로 다른 방향을 포함하는 용어로 이해되어야 한다. 예를 들면, 도면에 도시되어 있는 소자를 뒤집을 경우, 다른 소자의 "아래(below)" 또는 "아래(beneath)"로 기술된 소자는 다른 소자의 "위(above)"에 놓여질 수 있다. 따라서, 예시적인 용어인 "아래"는 아래와 위의 방향을 모두 포함할 수 있다. 소자는 다른 방향으로도 배향될 수 있고, 이에 따라 공간적으로 상대적인 용어들은 배향에 따라 해석될 수 있다.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.
비록 제1, 제2 등이 다양한 소자나 구성요소들을 서술하기 위해서 사용되나, 이들 소자나 구성요소들은 이들 용어에 의해 제한되지 않음은 물론이다. 이들 용어들은 단지 하나의 소자나 구성요소를 다른 소자나 구성요소와 구별하기 위하여 사용하는 것이다. 따라서, 이하에서 언급되는 제1 소자나 구성요소는 본 발명의 기술적 사상 내에서 제2 소자나 구성요소 일 수도 있음은 물론이다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
도 1을 참조하면, 시스템(100)은 본 발명의 일 실시예에 따른 안전한 전자 거래를 위한 네트워크 인증 방법을 구현하기 위해 사용된다. 시스템(100)은 인터넷과 같은 통신 네트워크(400)에 연결된 네트워크 서버(1)(예컨대, ICP(Internet content provider)), 클라이언트 디바이스(2), 검증 서버(3)(예컨대, CA(certificate authority)) 및 인증 서버(4)를 포함한다. 특히, 네트워크 서버(1)는 클라이언트 디바이스(2)와 통신 네트워크(400)의 제1 통신 채널(401)을 통해 통신하고, 검증 서버(3)와 통신 네트워크(400)의 제2 통신 채널(402)을 통해 통신하고, 인증 서버(4)와 통신 네트워크(400)의 제3 통신 채널(403)을 통해 통신한다. 검증 서버(3)는 인증 서버(4)와 통신 네트워크(400)의 제4 통신 채널(404)를 통해 통신한다. 클라이언트 디바이스(2)는 인증 서버(4)와 통신 네트워크(400)의 제5 통신 채널(405)을 통해 통신한다. 제1 내지 제5 통신 채널(401-405)은 서로 다른 통신 채널이다. 따라서, 최종 사용자(5)와 연관된 정보를 도용하기 위해 제1 내지 제5 통신 채널(401-405)을 동시에 공격하는 것은 비교적 어렵다.
예를 들면, 네트워크 서버(1)는 웹 은행 서버일 수 있으나, 이에 한정되지는 않는다. 검증 서버(3)는 최종 사용자(5)에게 할당될 인증서(31) 및 인증서(31)에 고유하게 매핑된 인증서 레퍼런스(32)를 그 내부에 저장하기 위한 데이터베이스 유닛(도시되지 않음)을 포함한다. 인증서(31)는 최종 사용자(5)의 UID(unique user identifier)(311) 및 공개 키(312)와 개인 키(313)의 비대칭 키의 쌍을 포함한다. 본 실시예에서, 검증 서버(3)는 사용자에게 인증서를 발급할 수 있고, 나아가 서명 및 데이터를 검증하기 위해 네트워크 서버(1) 및 인증 서버(4)에 의해 지목된 신뢰할 수 있는 제3 자로 여겨질 수 있다.
클라이언트 디바이스(2)는 최종 사용자(5)에 의해 사용되고, 개인용 컴퓨터, 노트북 컴퓨터, 스마트 폰, 태블릿 컴퓨터 등과 같은 인터넷 브라우징 또는 데이터 통신이 가능한 전자 디바이스일 수 있다. 클라이언트 디바이스(2)는, 중앙 처리 유닛, BIOS(basic input/output system) 유닛, 스토리지 유닛, 네트워크 인터페이스 유닛, 마더보드 등과 같은 복수의 하드웨어 요소(도시되지 않음)를 포함하고 이들 각각은 고유의 식별 코드(도시되지 않음)를 갖는다. 클라이언트 디바이스(2)의 스토리지 유닛은 네트워크 서버(1)와 연관된 서비스 어플리케이션(21), 네트워크 인증과 연관된 인증 어플리케이션(22), 인증서 레퍼런트(32) 및 최종 사용자(5)에 의해 결정된 PIN(personal identification number) 코드로 개인 키(313)를 암호화함으로써 얻을 수 있는 레퍼런스 개인 키(23)를 저장한다. 인증 서버(4)는 최종 사용자(5)의 UID(311)와 연관되고, 클라이언트 디바이스(2)의 신원을 검증하기 위해 사용되는 레퍼런스 하드웨어 식별 데이터(41)를 저장한다.
도 1, 도 2a 및 도 2b를 참조하면, 시스템(100)은 본 발명의 일 실시예에 따른 네트워크 인증 방법의 등록 절차를 구현한다. 네트워크 인증 방법의 등록 절차는 인증서 레퍼런스(32) 및 레퍼런스 개인 키(23)가 클라이언트 디바이스(2)에 저장되는 방법과, 레퍼런스 하드웨어 식별 데이터(41)가 인증 서버(4)에 저장되는 방법을 설명하며, 다음 단계들을 포함한다.
단계 S201에서, 클라이언트 디바이스(2) 상에서 서비스 어플리케이션(21)이 실행된 후, 최종 사용자(5)는, 네트워크 서버(1)에 의해 제공된 웹사이트에서 클라이언트 디바이스(2)의 사용자 입력 인터페이스(도시되지 않음)를 이용하여 사용자 로긴 데이터를 입력한다. 그 후 사용자 로긴 데이터는 클라이언트 디바이스(2)로부터 네트워크 서버(1)로 제1 통신 채널(401)을 통해 전송된다. 본 실시예에서, 사용자 로긴 데이터는 UID(311)로서 제공되는 사용자의 식별 정보와 비밀번호를 포함한다.
단계 S202에서, 클라이언트 디바이스(2)로부터 사용자 로긴 데이터를 수신한 후에, 네트워크 서버(1)는 사용자 로긴 데이터가 올바른지 여부를 결정한다. 만일 그 결과가 긍정적이면, 네트워크 서버(1)는 성공적 로긴 메시지를 제1 통신 채널(401)을 통해 클라이언트 디바이스(2)에 전송(단계 S203)한다. 만일 그 결과가 부정적이면, 네트워크 서버(1)는 에러 메시지를 클라이언트 디바이스(2)에 전송하여 클라이언트 디바이스(2)의 디스플레이 유닛(도시되지 않음)에 표시한다(단계 S200).
단계 S204에서, 네트워크 서버(1)로부터 성공적 로긴 메시지를 수신한 후에, 클라이언트 디바이스(2)는, 실행 중인 서비스 어플리케이션(21)을 통해, 최종 사용자(5)에 대한 등록 요청을 제1 통신 채널(401)을 통해 네트워크 서버(1)에 전송한다.
단계 S205에서, 클라이언트 디바이스(2)로부터 등록 요청을 수신한 것에 대한 응답으로, 네트워크 서버(1)는 최종 사용자(5)에 대한 인증서 요청을 제2 통신 채널(402)을 통해 검증 서버(3)에 전송한다. 등록 요청은 최종 사용자(5)의 UID(311)를 포함한다.
단계 S206에서, 네트워크 서버(3)로부터 인증서 요청을 수신한 것에 대한 응답으로, 검증 서버(3)는 최종 사용자(5)에게 인증서(31)를 할당하고, 인증서(31)에 대해 고유하게 매핑되는 인증서 레퍼런스(32)를 생성한다. 검증 서버(3)는 인증서(31) 및 인증서 레퍼런스(32)를 데이터베이스 유닛에 저장하고, 개인 키(313) 및 인증서 레퍼런스(32)를 제2 통신 채널(402)을 통해 네트워크 서버(1)에 전송한다.
단계 S207에서, 검증 서버(3)로부터 개인 키(313) 및 인증서 레퍼런스(32)를 수신한 후에, 네트워크 서버(1)는 최종 사용자(5)에 대한 인증 등록 요청을 제3 통신 채널(403)을 통해 인증 서버(4)로 전송한다. 인증 등록 요청은 최종 사용자(5)의 UID(311), 개인 키(313) 및 인증서 레퍼런스(32)를 포함한다.
단계 S208에서, 네트워크 서버(1)로부터 인증 등록 요청을 수신한 것에 대한 응답으로, 인증 서버(4)는 인증 코드(예컨대, 일회용 코드(one-time code))를 생성하고, 인증 코드를 제3 통신 채널(403)을 통해 네트워크 서버(1)로 전송한다.
단계 S209에서, 인증 서버(4)로부터 인증 코드를 수신한 후에, 네트워크 서버(1)는 인증 코드를 제1 통신 채널(401)을 통해 클라이언트 디바이스(2)에 전송한다.
단계 S210에서, 네트워크 서버(4)로부터 인증 코드를 수신한 것에 대한 응답으로, 클라이언트 디바이스(2)는 인증 어플리케이션(22)을 실행하여 클라이언트 디바이스(2)의 하드웨어 요소의 식별 코드와 연관된 하드웨어 스캐닝 데이터를 생성하고, 수신된 인증 코드 및 생성된 하드웨어 스캐닝 데이터를 제5 통신 채널(405)을 통해 인증 서버(4)로 전송한다.
단계 S211에서, 클라이언트 디바이스(2)로부터 인증 코드 및 하드웨어 스캐닝 데이터를 수신한 후에, 인증 서버(4)는 수신된 인증 코드와 단계 S208에서 생성된 인증 코드의 동일성 여부를 검증한다. 만일 그 결과가 긍정적이면, 인증 서버(4)는 하드웨어 스캐닝 데이터를 레퍼런스 하드웨어 식별 데이터(41)로서 저장하고, 단계 S208의 시작 부분에서 수신된 인증서 레퍼런스(32) 및 개인 키(313)를 제5 통신 채널(405)을 통해 클라이언트 디바이스(2)에 전송한다(단계 S212). 만일 그 결과가 부정적이면, 인증 서버(4)는 에러 메시지를 클라이언트 디바이스(2)에 전송하여 클라이언트 디바이스(2)의 디스플레이 유닛(도시되지 않음)에 표시한다(단계 S213).
단계 S212의 다음으로, 단계 S214에서, 실행 중인 인증 어플리케이션(22)을 통해 인증 서버(4)로부터 개인 키(313) 및 인증서 레퍼런스(32)를 수신한 후에, 클라이언트 디바이스(2)는 최종 사용자(5)에 의해 사용자 입력 인터페이스의 입력 작업을 통해 PIN 코드를 생성하고, 생성된 PIN 코드로 개인 키(313)을 암호화하여 레퍼런스 개인 키(23)를 생성한다. 마지막으로, 클라이언트 디바이스(2)는 레퍼런스 개인 키(23) 및 인증서 레퍼런스(32)를 스토리지 유닛에 저장한다. 이에 따라, 최종 사용자(5)와 관련된 등록 절차가 완료된다.
도 1, 도 3a, 도 3b 및 도 3c를 참조하면, 시스템(100)은 본 발명의 일 실시예에 따른 네트워크 인증 방법에 따른 최종 사용자(5)와 네트워크 서버(1) 사이의 전자 거래 절차를 구현한다. 전자 거래 절차는 신원 검증, 서명 검증 및 데이터 검증을 설명하며, 다음 단계들을 포함한다.
단계 S301에서, 클라이언트 디바이스(2) 상에서 서비스 어플리케이션(21)이 실행된 후, 최종 사용자(5)는, 네트워크 서버(1)에 의해 제공된 웹사이트에서 클라이언트 디바이스(2)의 사용자 입력 인터페이스(도시되지 않음)를 이용하여 사용자 로긴 데이터를 입력한다. 그 후 사용자 로긴 데이터는 클라이언트 디바이스(2)로부터 네트워크 서버(1)로 제1 통신 채널(401)을 통해 전송된다. 본 실시예에서, 사용자 로긴 데이터는 최종 사용자(5)의 UID(311) 및 비밀번호를 포함한다.
단계 S302에서, 클라이언트 디바이스(2)로부터 사용자 로긴 데이터를 수신한 후에, 네트워크 서버(1)는 사용자 로긴 데이터가 올바른지 여부를 결정한다. 만일 그 결과가 긍정적이면, 네트워크 서버(1)는 성공적 로긴 메시지를 제1 통신 채널(401)을 통해 클라이언트 디바이스(2)에 전송(단계 S303)한다. 만일 그 결과가 부정적이면, 네트워크 서버(1)는 에러 메시지를 클라이언트 디바이스(2)에 전송하여 클라이언트 디바이스(2)의 디스플레이 유닛(도시되지 않음)에 표시한다(단계 S300).
단계 S303 다음으로, 단계 S304에서, 실행 중인 서비스 어플리케이션(21)을 통해, 클라이언트 디바이스(2)는 전자 거래와 연관된 거래 메시지를 제1 통신 채널(401)을 통해 네트워크 서버(1)에 전송한다.
단계 S305에서, 클라이언트 디바이스(2)로부터 거래 메시지를 수신한 후에, 네트워크 서버(1)는 수신된 거래 메시지를 처리하여, 최종 사용자(5)가 확인하고 서명할 거래 데이터를 생성한다. 다음으로, 네트워크 서버(1)는 전자 거래에 대한 인증 요청을 제3 통신 채널(403)을 통해 인증 서버(4)에 전송한다. 본 실시예에서, 인증 요청은 최종 사용자(5)의 UID(311) 및 거래 데이터를 포함한다.
단계 S306에서, 네트워크 서버(1)로부터 인증 요청을 수신한 후에, 인증 서버(4)는 수신된 인증 요청과 고유하게 대응되는 일회성 메시지 식별(one-time message identification, MID)을 생성하고, MID를 제3 통신 채널(403)을 통해 네트워크 서버(1)로 전송한다.
단계 S307에서, 네트워크 서버(1)는 MID를 제1 통신 채널(401)을 통해 인증 서버(4)로부터 클라이언트 디바이스(2)로 전송한다.
단계 S308에서, 클라이언트 디바이스(2)는, 네트워크 서버(1)로부터 MID를 수신한 것에 대한 응답으로, 인증 어플리케이션(22)을 실행하여, 클라이언트 디바이스(2)의 하드웨어 요소의 식별 코드와 연관된 하드웨어 스캐닝 데이터를 생성하고, 수신된 MID 및 생성된 하드웨어 스캐닝 데이터를 제5 통신 채널(405)을 통해 인증 서버(4)로 전송한다.
단계 S309에서, 클라이언트 디바이스(2)로부터 MID 및 하드웨어 스캐닝 데이터를 수신한 후에, 인증 서버(4)는 수신된 하드웨어 스캐닝 데이터와, 등록 절차 동안 그 내부에 저장된 레퍼런스 하드웨어 식별 데이터의 동일성 여부를 검증한다(즉, 클라이언트 디바이스(2)의 신원을 검증한다). 만일 그 결과가 긍정적이면(즉, 클라이언트 디바이스(2)의 신원이 성공적으로 검증되었다면), 인증 서버(4)는 거래 데이터에 대한 서명 요청을 제5 통신 채널(405)을 통해 클라이언트 디바이스(2)에 전송한다(단계 S310). 서명 요청은 단계 S306에서 인증 서버(4)에 의해 수신된 거래 데이터를 포함한다. 만일 그 결과가 부정적이면, 인증 서버(4)는 에러 메시지를 클라이언트 디바이스(2)에 전송하여 클라이언트 디바이스(2)의 디스플레이 유닛에 표시한다(단계 S311).
단계 S310 다음으로, 단계 S312에서, 인증 서버(4)로부터 서명 요청을 수신한 후에, 클라이언트 디바이스(2)는 먼저 최종 사용자(5)가 볼 수 있는 디스플레이 유닛 상에 거래 데이터를 표시하여, 최종 사용자(5)가 클라이언트 디바이스(2)의 디스플레이 유닛 상에 표시된 거래 데이터가 올바른지 확인할 수 있도록 한다. 다음으로, 확인 후에, 클라이언트 디바이스(2)는, 실행 중인 인증 어플리케이션(22)을 통해, 사용자 입력 인터페이스를 이용하여 최종 사용자(5)의 입력 작업을 통해 사용자 입력 코드를 생성하고, 현재 키를 획득하기 위해 사용자 입력 코드로 스토리지 유닛에 저장된 레퍼런스 개인 키(23)를 해독하고, 현재 키 및 거래 데이터를 이용하여 거래 데이터에 대한 디지털 서명을 생성한다. 이러한 경우, 레퍼런스 개인 키(23)는 사용자 입력 코드를 이용하여 성공적으로 해독되어, 인증서(31)에 포함된 공개 키(312)와 쌍을 이루고, 사용자 입력 코드가 PIN 코드와 동일한 경우 현재 키의 역할을 하는 개인 키(313)을 획득한다. 다음으로, 클라이언트 디바이스(2)는, 서명 요청에 대한 응답으로, 그 내부에 저장된 인증서 레퍼런스(32)와, 인증서 레퍼런스(32)에 의해 생성되고 인증서 레퍼런스(32)와 연관된 디지털 서명을 제5 통신 채널(405)을 통해 인증 서버(4)로 전송한다.
단계 S313에서, 통신 네트워크(400)를 통해 디지털 서명 및 인증서 레퍼런스(32)를 수신한 후에, 인증 서버(4)는 수신된 디지털 서명에 대한 검증 요청을 제4 통신 채널(404)을 통해 검증 서버(3)에 전송한다. 본 실시예에서, 디지털 서명에 대한 검증 요청은 디지털 서명 및 인증서 레퍼런스(32)를 포함한다.
단계 S314에서, 인증 서버(4)로부터 검증 요청을 수신한 것에 대한 응답으로, 검증 서버(3)는, 인증서 레퍼런스(32)가 고유하게 매핑되는 인증서(31)의 공개 키에 기초하여, 수신된 검증 요청에 포함된 디지털 서명이 개인 키(313)로 서명된 것인지 여부를 검증한다. 만일 그 결과가 긍정적이면(즉, 사용자 입력 코드가 PIN 코드와 동일하다면), 검증 서버(3)는 공개 키(312)로 디지털 서명을 성공적으로 해독하고, 해독된 디지털 서명으로부터, 최종 사용자(5)와 연관될 것으로 결정되고 최종 사용자(5)에 의해 확인된 거래 데이터를 획득하고, 인증 서버(4)에 디지털 서명 검증의 성공을 통지한다(단계 S315). 만일 그 결과가 부정적이면, 검증 서버(3)는 인증 서버(4)에 디지털 서명 검증의 실패를 통지한다(단계 S316).
단계 S315 다음으로, 단계 S317에서, 검증 서버(3)로부터 디지털 서명 검증의 성공을 통지받은 후, 인증 서버(4)는 클라이언트 디바이스(2)에 디지털 서명 검증의 완료를 통지한다.
단계 S316 다음으로, 단계 S318에서, 검증 서버(3)로부터 디지털 서명 검증의 실패를 통지받은 후, 인증 서버(4)는, 전자 거래에 대한 인증 요청과 연관된 실패 카운터(failure counter)(도시되지 않음)의 실패 시도 횟수(failure trial count)를 1회씩 증가시키고, 실패 시도 횟수가 미리 결정된, 예컨대 3과 동일한 문턱 값보다 작은지 여부를 결정한다. 만일 그 결과가 긍정적이면, 단계 S310으로 돌아가 최종 사용자(5)가 다른 디지털 서명의 생성을 위한 다른 사용자의 입력 코드를 재 입력하는 것을 허용한다. 이러한 경우, 단계 S310에서 인증 서버(4)에 의해 전송된 거래 데이터에 대한 서명 요청은 PIN 에러를 통지하는 것을 더 포함한다. 만일 그 결과가 부정적이면, 단계 S311로 돌아간다.
단계 S317 다음으로, 단계 S319에서, 인증 서버(4)로부터 디지털 서명 검증의 완료의 통지를 수신한 후, 클라이언트 디바이스(2)는, 실행 중인 서비스 어플리케이션(21)을 통해, 그 내부에 저장된 인증서 레퍼런스(32)를 제1 통신 채널(401)을 통해 네트워크 서버(1)에 전송한다.
단계 S320에서, 통신 네트워크(400)을 통해 인증서 레퍼런스(32)를 수신한 후에, 네트워크 서버(1)는 거래 데이터에 대한 검증 요청을 제2 통신 채널(402)을 통해 검증 서버(3)에 전송한다. 본 실시예에서, 검증 요청은 거래 데이터 및 수신된 인증서 레퍼런스(32)를 포함한다.
단계 S321에서, 네트워크 서버(1)로부터 검증 요청을 수신한 것에 대한 응답으로, 검증 서버(3)는 네트워크 서버(1)로부터의 거래 데이터가, 단계 S315에서 획득되고 최종 사용자(5)에 의해 실제적으로 확인된 거래 데이터와 일치하는지 여부를 결정한다. 만일 그 결과가 긍정적이면(즉, 클라이언트 디바이스(2)로부터 네트워크 서버(1)로의 전송 동안, 거래 메시지가 변조되지 않았음이 확인된다면), 검증 서버(3)는 네트워크 서버(1)에 거래 데이터 검증의 성공을 통지한다(단계 S322). 만일 그 결과가 부정적이면, 검증 서버(3)는 에러 메시지를 네트워크 서버(1)에 전송한다(단계 S323). 네트워크 서버(1)에 의해 에러 메시지를 수신한 후에, 네트워크 서버(1)는 에러 메시지를 클라이언트 디바이스(2)에 전송하여, 최종 사용자(5)에게 거래가 취소되었음을 통지한다(단계 S327).
단계 S322 다음으로, 단계 S324에서, 검증 서버(3)로부터 거래 데이터 검증의 성공을 통지받은 것에 대한 응답으로, 네트워크 서버(1)는 인증 서버(4)에 거래 데이터 검증의 성공을 통지한다.
단계 S325에서, 네트워크 서버(1)로부터 거래 데이터 검증의 성공을 통지받은 후에, 인증 서버(4)는 네트워크 서버(1)에 전자 거래의 인증 성공을 통지하고, 실패 카운터의 실패 시도 횟수를 삭제한다. 마지막으로, 인증 서버(4)로부터 전자 거래의 인증 성공의 통지를 수신한 후에, 네트워크 서버(1)는 단계 S305에서 생성된 거래 데이터를 처리하여 전자 거래를 수행한다(단계 S326).
다음은 본 발명의 다양한 실시예에 따른 네트워크 인증 방법으로 인한 이점들이다.
1. 클라이언트 디바이스(2)는 개인 키(313) 대신에 레퍼런스 개인 키(23)를 저장한다. 개인 키(313)는, 오로지 최종 사용자(5)에 의해 입력된 PIN 코드와 동일한 올바를 사용자 입력 코드를 이용해서만 레퍼런스 개인 키(23)를 해독함으로써 획득될 수 있다. 사용에 있어서, 사용자에게는 오로지 최종 사용자(5)에 의해 알 수 있는 PIN 코드를 입력하기 위해 매우 짧은 시간만이 주어지고, 입력된 PIN 코드는 단지 임시적으로만 저장된다. 이러한 경우, PIN 코드는 시스템(100)의 어떠한 요소에도 영속적으로 저장되지 않기 때문에, 공격자에 의한 오프라인 공격 또는 클라이언트 디바이스(2)의 복제/클론이, PIN 코드가 발견되었는지 여부를 알 수 있는 어떠한 수단도 없는 상태로 PIN 코드를 추측하도록 제한된다. 또한, 미리 결정된 문턱 값의 상한은 사용자 입력 코드를 입력하기 위한 이용 가능한 시도의 횟수(즉, 실패 카운터의 실패 시도 횟수)에 부여되고, 이로 인해 유효한 전자 서명을 보장하고, 공격자가 클라이언트 디바이스(2)로부터 PIN 코드 및/또는 개인 키(313)을 거의 획득하지 못하도록 할 수 있다.
2. 완전한 인증서(31) 대신에 인증서 레퍼런스(32)만이 통신 네트워크(400) 내에서 전송된다. 다시 말해서, 인증서(31)의 공개 키(312)는 검증 서버(3)에 의해 출력되지 않으며 통신 네트워크(400) 내에서 전달되지 않는다. 따라서, 공격자는 검증 서버(3)에 저장된 인증서(31)를 통신 네트워크(400)를 통해 도용할 수 없고, 유효한 디지털 서명 인증을 보장할 수 있다.
3. 디지털 서명 인증의 성공 후, 네트워크 서버(1)에 의해 획득된 전자 거래의 거래 데이터는 검증 서버(3)에 의해 추가적으로 검증되므로, 거래 메시지(거래 데이터)가 클라이언트 디바이스(2)로부터 네트워크 서버(1)로의 전송 동안 변조되는 것을 효과적으로 방지할 수 있다.
4. 서비스 어플리케이션(21)에 더하여, 인증 어플리케이션(22)는 클라이언트 디바이스(2)에 저장되고 실행되어, 클라이언트 디바이스(2)의 신원을 인증하기 위해 추후에 사용되는 클라이언트 디바이스(2)의 하드웨어 요소와 연관된 하드웨어 스캐닝 데이터를 생성한다.
요컨대, 상술한 이점들로 인해, 본 발명의 네트워크 인증 방법은 종래와 같이 추가적인 신원 검증 디바이스(들)을 갖출 필요 없이 안전한 전자 거래를 제공할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예를 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
1: 네트워크 서버
2: 클라이언트 디바이스
3: 검증 서버
4: 인증 서버
5: 최종 사용자
21: 서비스 어플리케이션
22: 인증 어플리케이션
23: 레퍼런스 개인 키
31: 인증서
32: 인증서 레퍼런스
41: 레퍼런스 하드웨어 식별 데이터
100: 시스템
311: UID
312: 공개 키
313: 개인 키
400: 통신 네트워크
401: 제1 통신 채널
402: 제2 통신 채널
403: 제3 통신 채널
404: 제4 통신 채널
405: 제5 통신 채널

Claims (11)

  1. 통신 네트워크(400)에 연결되는 클라이언트 디바이스(2) 및 검증 서버(3)를 이용하여 구현되는 네트워크 인증 방법으로서,
    상기 클라이언트 디바이스(2)는 최종 사용자(5)와 연관되고, 인증 어플리케이션(22)을 저장하고,
    상기 네트워크 인증 방법은,
    상기 검증 서버(3)에 의해, 상기 최종 사용자(5)에게 할당된, 상기 최종 사용자(5)의 UID(unique user identifier)(311) 및 공개 키(312)와 개인 키(313)의 비대칭 키의 쌍을 포함하는 인증서(31)를 저장하는 a 단계;
    상기 클라이언트 디바이스(2)에 의해, 상기 최종 사용자(5)에게 할당된 상기 인증서(31)에 고유하게 매핑되는 인증서 레퍼런스(32) 및 상기 최종 사용자(5)에 의해 결정된 PIN(personal identification number) 코드로 상기 개인 키(313)를 암호화함으로써 획득한 레퍼런스 개인 키(23)를 저장하는 b 단계;
    상기 클라이언트 디바이스(2)에 의해, 상기 클라이언트 디바이스(2)와 네트워크 서버(1) 사이의 전자 거래와 연관되고, 상기 최종 사용자(5)에 의해 확인될 거래 데이터를 수신한 후, 상기 인증 어플리케이션(22)의 실행에 대한 응답으로, 입력 작업을 통해 사용자 입력 코드를 생성하고, 현재 키를 획득하기 위해 상기 사용자 입력 코드를 이용하여 상기 b 단계에서 저장된 상기 레퍼런스 개인 키(23)를 해독하고, 상기 현재 키 및 상기 거래 데이터를 이용하여 상기 거래 데이터에 대한 디지털 서명을 생성하는 c 단계; 및
    상기 검증 서버(3)에 의해, 상기 통신 네트워크(400)를 통해 디지털 서명 및 인증서 레퍼런스(32)를 수신한 후, 수신된 상기 인증서 레퍼런스(32)가 고유하게 매핑되는 인증서의 상기 공개 키(312)에 기초하여 수신된 상기 디지털 서명이 상기 개인 키(313)으로 서명이 되었는지 여부를 결정하고, 수신된 상기 디지털 서명으로부터, 상기 최종 사용자(5)와 연관될 것으로 결정되고, 상기 디지털 서명이 상기 개인 키(313)로 서명이 되었다고 판단된 경우 상기 최종 사용자(5)에 의해 확인된 거래 데이터를 획득하는 d 단계를 포함하고,
    상기 네트워크 인증 방법은 상기 통신 네트워크(400)에 연결된 상기 네트워크 서버(1) 및 인증 서버(4)를 추가로 이용하여 구현되고,
    상기 네트워크 인증 방법은 상기 b 단계와 상기 c 단계 사이에,
    상기 전자 거래와 연관된 거래 메시지를 수신한 후, 상기 네트워크 서버(1)에 의해, 상기 전자 거래에 대한 인증 요청을 상기 통신 네트워크(400)를 통해 상기 인증 서버(4)로 전송하되, 상기 인증 요청은 상기 최종 사용자(5)의 상기 UID(311) 및 상기 최종 사용자(5)에 의해 확인될 상기 거래 데이터를 포함하는 e 단계; 및
    상기 네트워크 서버(1)로부터 상기 인증 요청을 수신한 후, 상기 인증 서버(4)에 의해, 상기 거래 데이터에 대한 서명 요청을 상기 통신 네트워크(400)를 통해 상기 클라이언트 디바이스(2)에 전송하되, 상기 서명 요청은 상기 거래 데이터를 포함하는 f 단계를 더 포함하고,
    상기 c 단계에서, 상기 사용자 입력 코드를 생성하기 전에 상기 클라이언트 디바이스(2)가 상기 거래 데이터를 상기 클라이언트 디바이스(2) 상에 표시하는 네트워크 인증 방법.
  2. 제1항에 있어서,
    상기 c 단계에서, 상기 사용자 입력 코드가 상기 PIN 코드와 동일한 경우, 상기 현재 키는 상기 개인 키(313)와 동일한 네트워크 인증 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 c 단계와 상기 d 단계 사이에,
    상기 클라이언트 디바이스(2)에 의해, 상기 인증 어플리케이션(22)의 실행에 대한 응답으로, 상기 c 단계에서 생성된 상기 디지털 서명 및 상기 b 단계에서 저장된 상기 인증서 레퍼런스(32)를 상기 통신 네트워크(400)를 통해 상기 인증 서버(4)에 전송하는 g 단계; 및
    상기 통신 네트워크(400)를 통해 디지털 서명 및 인증서 레퍼런스(32)를 수신한 후, 상기 인증 서버(4)에 의해, 상기 디지털 서명에 대한 검증 요청을 상기 통신 네트워크(400)를 통해 상기 검증 서버(3)에 전송하되, 상기 검증 요청은 상기 인증 서버(4)에 의해 수신된 상기 인증서 레퍼런스(32) 및 상기 디지털 서명을 포함하는 h 단계를 더 포함하고,
    상기 d 단계는 상기 검증 요청을 수신한 후 상기 검증 서버(3)에 의해 수행되는 네트워크 인증 방법.
  5. 제4항에 있어서,
    상기 d 단계 이후에,
    상기 디지털 서명이 상기 개인 키(313)로 서명된 것으로 판단된 경우, 상기 검증 서버(3)에 의해, 상기 인증 서버(4)에 디지털 서명 검증의 성공을 통지하는 i 단계;
    상기 검증 서버(3)로부터 상기 디지털 서명 검증의 성공 통지를 수신한 후, 상기 인증 서버(4)에 의해, 상기 클라이언트 디바이스(2)에 디지털 서명 검증의 완료를 통지하는 j 단계;
    상기 인증 서버(4)로부터 상기 디지털 서명 검증의 완료 통지를 수신한 후, 상기 클라이언트 디바이스(2)에 의해, 상기 b 단계에서 저장된 상기 인증서 레퍼런스(32)를 상기 통신 네트워크(400)를 통해 상기 네트워크 서버(1)에 전송하는 k 단계;
    상기 통신 네트워크(400)를 통해 인증서 레퍼런스(32)를 수신한 후, 상기 네트워크 서버(1)에 의해 상기 거래 데이터에 대한 검증 요청을 상기 통신 네트워크(400)를 통해 상기 검증 서버(3)에 전송하되, 상기 검증 요청은 상기 네트워크 서버(1)에 의해 수신된 상기 인증서 레퍼런스(32) 및 상기 거래 데이터를 포함하는 l 단계;
    상기 네트워크 서버(1)로부터 상기 검증 요청을 수신한 것에 대한 응답으로, 상기 검증 서버(3)에 의해, 상기 검증 요청에 포함된 거래 데이터가, 상기 d 단계에서 획득되고 상기 최종 사용자(5)에 의해 확인된 거래 데이터와 일치하는지 여부를 판단하고, 상기 검증 요청에 포함된 거래 데이터가 상기 d 단계에서 획득된 거래 데이터와 일치하는 것으로 판단된 경우, 상기 네트워크 서버(1)에 거래 데이터 검증의 성공을 통지하는 m 단계;
    상기 검증 서버(3)로부터 거래 데이터 검증의 성공 통지를 수신한 후, 상기 네트워크 서버(1)에 의해, 상기 인증 서버(4)에 거래 데이터 검증의 성공을 통지하는 n 단계; 및
    거래 데이터 검증의 성공 통지를 수신한 후, 상기 인증 서버(4)에 의해, 상기 네트워크 서버(1)에 상기 전자 거래의 인증 성공을 통지하는 o 단계를 더 포함하는 네트워크 인증 방법.
  6. 제1항에 있어서,
    상기 클라이언트 디바이스(2)는 복수의 하드웨어 요소를 포함하고, 상기 복수의 하드웨어 요소 각각은 고유한 식별 코드를 구비하고,
    상기 인증 서버(4)는 상기 최종 사용자(5)의 상기 UID(311)와 연관되고 상기 클라이언트 디바이스(2)의 신원을 검증하기 위해 사용되는 레퍼런스 하드웨어 식별 데이터를 저장하고,
    상기 네트워크 인증 방법은 상기 e 단계와 상기 f 단계 사이에,
    상기 네트워크 서버(1)로부터 상기 인증 요청을 수신한 것에 대한 응답으로, 상기 인증 서버(4)에 의해, 상기 인증 요청에 고유하게 대응하는 일회성 메시지 식별(one-time message identification, MID)을 생성하고, 상기 MID를 상기 통신 네트워크(400)를 통해 상기 네트워크 서버(1)에 전송하는 p 단계;
    상기 네트워크 서버(1)에 의해, 상기 MID를 상기 인증 서버(4)로부터 상기 클라이언트 디바이스(2)로 상기 통신 네트워크(400)를 통해 전송하는 q 단계;
    상기 네트워크 서버(1)로부터의 상기 MID에 대한 응답으로, 상기 클라이언트 디바이스(2)에 의해 상기 인증 어플리케이션(22)을 실행시켜 상기 클라이언트 디바이스(2)의 하드웨어 요소에 식별 코드와 연관된 인증을 생성하고, 수신한 상기 MID 및 생성된 하드웨어 스캐닝 데이터를 상기 통신 네트워크(400)를 통해 상기 인증 서버(4)로 전송하는 r 단계; 및
    상기 통신 네트워크(400)를 통해 상기 하드웨어 스캐닝 데이터 및 상기 MID를 수신한 후, 상기 인증 서버(4)에 의해, 수신된 상기 하드웨어 스캐닝 데이터가 인증 서버 내부에 저장된 레퍼런스 하드웨어 식별 데이터와 일치하는지 여부를 판단하는 s 단계를 더 포함하고,
    상기 f 단계는 상기 인증 서버(4)에 의해 수신된 상기 하드웨어 스캐닝 데이터가 상기 인증 서버(4)에 저장된 레퍼런스 하드웨어 식별 데이터와 일치하는 것으로 판단된 경우에 수행되는 네트워크 인증 방법.
  7. 제1항에 있어서,
    상기 a 단계 이전에,
    상기 최종 사용자(5)의 상기 UID(311)를 포함하는 상기 최종 사용자(5)에 대한 인증서 요청을 수신한 것에 대한 응답으로, 상기 검증 서버(3)에 의해, 상기 인증서(31)를 상기 최종 사용자(5)에게 할당하고, 상기 인증서(31)에 고유하게 매핑되고 상기 b 단계에서 상기 클라이언트 디바이스(2)에 저장될 상기 인증서 레퍼런스(32)를 생성하는 I 단계를 더 포함하는 네트워크 인증 방법.
  8. 제7항에 있어서,
    상기 네트워크 인증 방법은 상기 통신 네트워크(400)에 연결된 인증 서버(4)를 추가로 이용하여 구현되고,
    상기 네트워크 인증 방법은 상기 a 단계와 상기 b 단계 사이에,
    상기 인증 서버(4)에 의해, 상기 최종 사용자(5)에 대한 인증 등록 요청을 수신하되, 상기 인증 등록 요청은 상기 최종 사용자(5)의 상기 UID(311), 상기 I 단계에서 상기 검증 서버(3)에 의해 생성된 인증서 레퍼런스(32) 및 공개 키(313)를 포함하는 II 단계;
    상기 인증 서버(4)에 의해, 수신된 상기 인증서 레퍼런스(32) 및 상기 개인 키(313)를 상기 통신 네트워크(400)를 통해 상기 클라이언트 디바이스(2)에 전송하는 III 단계; 및
    상기 인증 서버(4)로부터 상기 인증서 레퍼런스(32) 및 상기 개인 키(313)를 수신한 후, 상기 클라이언트 디바이스(2)에 의해, 상기 인증 어플리케이션(22)의 실행에 대한 응답으로, 상기 최종 사용자(5)에 의한 입력 작업을 통해 상기 PIN 코드를 생성하고, 상기 PIN 코드를 이용하여 상기 개인 키(313)를 암호화하여 상기 레퍼런스 개인 키(23)를 생성하는 IV 단계를 더 포함하는 네트워크 인증 방법.
  9. 제8항에 있어서,
    상기 네트워크 인증 방법은 상기 네트워크 서버(1)를 추가로 이용하여 구현되고, 상기 네트워크 서버(1)는 상기 통신 네트워크(400)에 연결되고,
    상기 네트워크 인증 방법은 상기 I 단계 이전에,
    로그인에 성공한 후, 상기 네트워크 서버(1)에 의해, 상기 인증서 요청을 상기 통신 네트워크(400)를 통해 상기 검증 서버(3)에 전송하는 V 단계를 더 포함하는 네트워크 인증 방법.
  10. 제9항에 있어서,
    상기 a 단계와 상기 II 단계 사이에,
    상기 네트워크 서버(1)로부터 상기 인증서 요청을 수신한 것에 대한 응답으로, 상기 검증 서버(3)에 의해, 상기 개인 키(313) 및 상기 인증서 레퍼런스(32)를 상기 통신 네트워크(400)를 통해 상기 네트워크 서버(1)에 전송하는 VI 단계; 및
    상기 검증 서버(3)로부터 상기 개인 키(313) 및 상기 인증서 레퍼런스(32)를 수신한 후, 상기 네트워크 서버(1)에 의해, 상기 인증 등록 요청을 상기 통신 네트워크(400)를 통해 상기 인증 서버(4)에 전송하는 VII 단계를 더 포함하는 네트워크 인증 방법.
  11. 제9항에 있어서,
    상기 클라이언트 디바이스(2)는 복수의 하드웨어 요소를 포함하고, 상기 복수의 하드웨어 요소 각각은 고유한 식별 코드를 구비하고,
    상기 네트워크 인증 방법은 상기 II 단계와 상기 III 단계 사이에,
    상기 인증 등록 요청을 수신한 것에 대한 응답으로, 상기 인증 서버(4)에 의해, 인증 코드를 생성하고, 상기 인증 코드를 상기 통신 네트워크(400)를 통해 상기 네트워크 서버(1)에 전송하는 VIII 단계;
    상기 인증 서버(4)로부터 상기 인증 코드를 수신한 후, 상기 네트워크 서버(1)에 의해, 상기 인증 코드를 상기 클라이언트 디바이스(2)에 전송하는 IX 단계;
    상기 네트워크 서버(1)로부터 상기 인증 코드를 수신한 것에 대한 응답으로, 상기 클라이언트 디바이스(2)에 의해, 상기 인증 어플리케이션(22)을 실행하여 상기 클라이언트 디바이스(2)의 하드웨어 요소의 식별 코드와 연관된 하드웨어 스캐닝 데이터를 생성하고, 수신된 상기 인증 코드 및 생성된 상기 하드웨어 스캐닝 데이터를 상기 통신 네트워크(400)를 통해 상기 인증 서버(4)에 전송하는 X 단계; 및
    상기 통신 네트워크(400)를 통해 인증 코드 및 하드웨어 스캐닝 데이터를 수신한 후, 상기 인증 서버(4)에 의해, 수신된 상기 인증 코드가, 상기 VIII 단계에서 생성된 상기 인증 코드와 일치하는지 여부를 판단하고, 일치한다고 판단된 경우, 수신된 상기 하드웨어 스캐닝 데이터를, 상기 최종 사용자(5)의 상기 UID(311)와 연관되고, 상기 클라이언트 디바이스(2)의 신원을 검증하기 위해 사용되는 레퍼런스 하드웨어 식별 데이터로서 저장하는 XI 단계를 더 포함하고,
    상기 III 단계는 상기 X 단계에서 상기 인증 서버(4)에 의해 수신된 인증 코드가 상기 VIII 단계에서 상기 인증 서버(4)에 의해 생성된 인증 코드와 동일한 경우에 수행되는 네트워크 인증 방법.
KR1020150092941A 2014-09-16 2015-06-30 안전한 전자 거래를 위한 네트워크 인증 방법 KR101759193B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/488,255 US9231925B1 (en) 2014-09-16 2014-09-16 Network authentication method for secure electronic transactions
US14/488,255 2014-09-16

Publications (2)

Publication Number Publication Date
KR20160032665A KR20160032665A (ko) 2016-03-24
KR101759193B1 true KR101759193B1 (ko) 2017-07-18

Family

ID=52472254

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150092941A KR101759193B1 (ko) 2014-09-16 2015-06-30 안전한 전자 거래를 위한 네트워크 인증 방법

Country Status (9)

Country Link
US (1) US9231925B1 (ko)
EP (1) EP2999189B1 (ko)
JP (1) JP5981610B2 (ko)
KR (1) KR101759193B1 (ko)
CN (1) CN105427099B (ko)
ES (1) ES2687191T3 (ko)
PL (1) PL2999189T3 (ko)
SG (1) SG10201506835PA (ko)
TW (1) TWI522836B (ko)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
BR112017017098A2 (pt) * 2015-02-17 2018-04-03 Visa International Service Association aparelhos, métodos e sistemas de agente de chave de criptografia de nuvem
KR101959492B1 (ko) * 2015-03-22 2019-03-18 애플 인크. 모바일 디바이스에서의 사용자 인증 및 인간 의도 검증을 위한 방법 및 장치
US10778435B1 (en) * 2015-12-30 2020-09-15 Jpmorgan Chase Bank, N.A. Systems and methods for enhanced mobile device authentication
CN111899026B (zh) 2016-06-20 2024-10-01 创新先进技术有限公司 一种支付方法和装置
US10516653B2 (en) 2016-06-29 2019-12-24 Airwatch, Llc Public key pinning for private networks
EP3291502B1 (en) * 2016-09-01 2021-07-28 Roche Diagnostics GmbH Method for authenticating an instrument for processing a biological sample or reagent, and system comprising an instrument for processing a biological sample or reagent
CN106779697A (zh) * 2016-11-18 2017-05-31 合肥联宝信息技术有限公司 一种利用智能终端bios实现安全应答的方法和装置
CN106789060B (zh) * 2016-11-18 2020-04-21 畅捷通信息技术股份有限公司 数据传输方法与装置、数据处理方法与装置、数据传输系统
CN106603636B (zh) 2016-11-29 2020-05-26 中国银联股份有限公司 一种差错交易的标准化方法及装置
CN114676799A (zh) 2016-12-08 2022-06-28 创新先进技术有限公司 一种业务处理方法及装置
KR102453145B1 (ko) * 2017-03-16 2022-10-14 삼성전자주식회사 전자장치 및 그를 이용한 트랜잭션 수행 방법
US10587582B2 (en) * 2017-05-15 2020-03-10 Vmware, Inc Certificate pinning by a tunnel endpoint
TWI673991B (zh) * 2017-11-20 2019-10-01 財團法人工業技術研究院 金鑰儲存裝置、金鑰儲存裝置之交易方法、交易系統及交易方法
TWI669672B (zh) * 2018-02-09 2019-08-21 玉山商業銀行股份有限公司 電子交易方法及系統
CN110135820A (zh) * 2018-02-09 2019-08-16 库币科技有限公司 数字资产的交易方法
EP3531362A1 (en) * 2018-02-22 2019-08-28 Banco Bilbao Vizcaya Argentaria, S.A. Method for validating a voucher
US10693968B2 (en) * 2018-09-12 2020-06-23 Pivotal Software, Inc. Secure binding workflow
US11921884B2 (en) * 2018-11-28 2024-03-05 Visa International Service Association Techniques for preventing collusion using simultaneous key release
US11334881B2 (en) * 2019-01-28 2022-05-17 Bank Of America Corporation Security tool
CN111695897A (zh) * 2019-03-14 2020-09-22 库币科技有限公司 数字资产交易的多重确认方法
CN110335040B (zh) * 2019-05-28 2024-01-23 平安科技(深圳)有限公司 资源转移方法、装置、电子设备及存储介质
CN110971411B (zh) * 2019-12-02 2022-07-12 南京壹证通信息科技有限公司 一种基于sotp技术对私钥乘加密的sm2同态签名方法
CN111178882B (zh) * 2019-12-13 2023-03-31 杜晓楠 一种数字资产安全托管系统和方法
CN111259362B (zh) * 2020-01-15 2023-07-18 北京中金国信科技有限公司 一种硬件数字证书载体的身份鉴别方法
CN111612443B (zh) * 2020-04-30 2024-04-16 沈阳数云科技有限公司 一种公积金业务办理方法、系统、设备及可读存储介质
CN112039663B (zh) * 2020-08-27 2023-08-04 深圳供电局有限公司 一种数据的传输方法及系统
CN114157414B (zh) * 2020-09-07 2024-07-23 仁东控股股份有限公司 一种关于数字货币的身份凭证生成方法、验证方法及系统
TWI813905B (zh) * 2020-09-26 2023-09-01 臺灣網路認證股份有限公司 以線上快速認證之認證機制啟用數位憑證之系統及方法
CN112436938B (zh) * 2020-12-04 2022-12-13 矩阵元技术(深圳)有限公司 数字签名的生成方法、装置和服务器
US12021861B2 (en) * 2021-01-04 2024-06-25 Bank Of America Corporation Identity verification through multisystem cooperation
KR102648350B1 (ko) * 2021-05-18 2024-03-15 주식회사 카카오 서명된 컨텐츠를 전달하는 방법 및 장치
CN113836506A (zh) * 2021-09-30 2021-12-24 奇安信科技集团股份有限公司 身份认证方法、装置、系统、电子设备、存储介质
CN115331331A (zh) * 2021-10-28 2022-11-11 中国银联股份有限公司 基于数字钥匙的数据处理方法、系统和终端设备
CN114760114B (zh) * 2022-03-29 2024-03-12 微位(深圳)网络科技有限公司 身份认证方法、装置、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010008012A1 (en) * 1997-12-23 2001-07-12 Arcot Systems, Inc. Computer-readable medium having a private key encryption program
US20040153419A1 (en) * 2001-06-01 2004-08-05 Jean-Philippe Wary Method and device for the certification of a transaction
EP2355443A2 (en) 2010-01-27 2011-08-10 Keypasco AB Network authentication method and device for implementing the same

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001048648A1 (fr) * 1999-12-28 2001-07-05 Zetabits Inc. Systeme de communication et poste de communication a cet effet
JP2001197054A (ja) * 2000-01-06 2001-07-19 Mitsubishi Electric Systemware Corp 認証書管理装置及び認証書管理方法及びコンピュータ読み取り可能な記録媒体
JP2003069560A (ja) * 2001-08-23 2003-03-07 Kyocera Communication Systems Co Ltd 認証システム、情報端末、加入者識別子発行装置、公開鍵登録装置、認証方法、プログラムおよび記録媒体
JP3897613B2 (ja) * 2002-02-27 2007-03-28 株式会社日立製作所 公開鍵暗号方式における登録局サーバの運用方法、登録局サーバ、及びプログラム
JP4486567B2 (ja) * 2005-08-29 2010-06-23 日本電信電話株式会社 認証システム、認証方法および認証プログラム
US8640203B2 (en) * 2007-06-04 2014-01-28 Rajesh G. Shakkarwar Methods and systems for the authentication of a user
US20120136796A1 (en) * 2010-09-21 2012-05-31 Ayman Hammad Device Enrollment System and Method
WO2014108993A1 (ja) * 2013-01-08 2014-07-17 三菱電機株式会社 認証処理装置、認証処理システム、認証処理方法および認証処理プログラム
CN103067401B (zh) * 2013-01-10 2015-07-01 天地融科技股份有限公司 密钥保护方法和系统
WO2015070160A1 (en) * 2013-11-08 2015-05-14 MustBin Inc. Bin enabled data object encryption and storage apparatuses, methods and systems

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010008012A1 (en) * 1997-12-23 2001-07-12 Arcot Systems, Inc. Computer-readable medium having a private key encryption program
US20040153419A1 (en) * 2001-06-01 2004-08-05 Jean-Philippe Wary Method and device for the certification of a transaction
EP2355443A2 (en) 2010-01-27 2011-08-10 Keypasco AB Network authentication method and device for implementing the same

Also Published As

Publication number Publication date
CN105427099B (zh) 2019-05-03
ES2687191T3 (es) 2018-10-24
CN105427099A (zh) 2016-03-23
TWI522836B (zh) 2016-02-21
PL2999189T3 (pl) 2019-01-31
EP2999189A1 (en) 2016-03-23
US9231925B1 (en) 2016-01-05
KR20160032665A (ko) 2016-03-24
EP2999189B1 (en) 2018-08-22
SG10201506835PA (en) 2016-04-28
JP2016063533A (ja) 2016-04-25
TW201612787A (en) 2016-04-01
JP5981610B2 (ja) 2016-08-31

Similar Documents

Publication Publication Date Title
KR101759193B1 (ko) 안전한 전자 거래를 위한 네트워크 인증 방법
US9838205B2 (en) Network authentication method for secure electronic transactions
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
CN112425114B (zh) 受公钥-私钥对保护的密码管理器
CN112861089B (zh) 授权认证的方法、资源服务器、资源用户端、设备和介质
WO2018021708A1 (ko) 공개키 기반의 서비스 인증 방법 및 시스템
CN105162764A (zh) 一种ssh安全登录的双重认证方法、系统和装置
CN105634737B (zh) 一种数据传输方法、终端及其系统
JP2012530311A5 (ko)
EP3080946A2 (en) Near field communication authentication mechanism
JP2018504789A (ja) 決済認証システム、方法及び装置
CN108322416B (zh) 一种安全认证实现方法、装置及系统
US11424915B2 (en) Terminal registration system and terminal registration method with reduced number of communication operations
UA113415C2 (xx) Спосіб, сервер і система аутентифікації особи
KR20160113248A (ko) 기기 증명서 제공 장치, 기기 증명서 제공 시스템 및 기기 증명서 제공 프로그램을 기록한 컴퓨터 판독 가능한 비 일시적 기록 매체
US20140304510A1 (en) Secure authentication system with automatic cancellation of fraudulent operations
KR101792220B1 (ko) 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션이 탑재된 사용자 모바일 단말기, 인증 서비스 장치 및 컴퓨터 프로그램
CN114444134A (zh) 一种数据使用授权方法、系统及装置
KR20090131114A (ko) 온라인 상호 인증 방법 및 그 시스템
KR101799517B1 (ko) 인증 서버 및 방법
KR20160063250A (ko) 카드 디바이스를 사용한 네트워크 인증 방법
CN115103356A (zh) 计算机安全验证系统、方法、移动终端及可读存储介质
KR20180037169A (ko) Otp를 이용한 사용자 인증 방법 및 시스템
CN114697956B (zh) 一种基于双链路的安全通信方法及设备
KR101737925B1 (ko) 도전-응답 기반의 사용자 인증 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant