KR101792220B1 - Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication - Google Patents
Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication Download PDFInfo
- Publication number
- KR101792220B1 KR101792220B1 KR1020160105424A KR20160105424A KR101792220B1 KR 101792220 B1 KR101792220 B1 KR 101792220B1 KR 1020160105424 A KR1020160105424 A KR 1020160105424A KR 20160105424 A KR20160105424 A KR 20160105424A KR 101792220 B1 KR101792220 B1 KR 101792220B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- token
- user
- server
- biometric
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- G06K9/00885—
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06V—IMAGE OR VIDEO RECOGNITION OR UNDERSTANDING
- G06V40/00—Recognition of biometric, human-related or animal-related patterns in image or video data
- G06V40/10—Human or animal bodies, e.g. vehicle occupants or pedestrians; Body parts, e.g. hands
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
Abstract
Description
본 발명은 생체 인증 결합 사용자 간편 인증 방법, 이를 위한 인증 어플리케이션, 인증 서비스 장치 및 컴퓨터 프로그램에 대한 것으로서, 보다 상세하게는 사용자의 공인 인증서 또는 온라인 서비스의 사용자 계정 등의 이용시 사용자 인증을 위해 요구되는 패스워드 등의 인증 정보를 분할하여 디바이스 토큰과 서버 토큰으로 생성하고 이를 사용자 생체 인증 결과에 따라 사용자 모바일 단말기와 온라인 서비스 장치에 분리시켜 보관하며, 해당 공인 인증서나 온라인 서비스 이용에 따라 패스워드가 요구되는 경우 사용자 생체 인증을 수행한 생체 인증 결과에 따라 상기 온라인 서비스 장치로부터 서버 토큰을 전달받아 디바이스 토큰과의 결합으로 인증 정보를 복구하여 패스워드를 자동 입력하는 인증 과정을 수행함으로써 사용자의 편리성은 증대되면서 동시에 보안 신뢰성도 더욱 강화시키는 인증 방안에 관한 것이다.The present invention relates to a biometric authentication combined user authentication method, an authentication application, an authentication service device, and a computer program. More particularly, the present invention relates to a biometric authentication combined user authentication method, And stores the generated authentication information as a device token and a server token separately from the user mobile terminal and the on-line service device according to a result of the user biometric authentication. When a password is requested according to the authorized certificate or the online service, The server token is received from the on-line service device according to the biometric authentication result obtained by performing the biometric authentication, and authentication is performed by recovering the authentication information by combining with the device token and automatically inputting the password. He will at the same time on the authentication scheme that also reinforces security reliability.
ICT 기술 발달에 따라 업무분야에서 일상생활까지 인터넷의 활용은 크게 증가하였으며, 인터넷을 이용한 온라인 서비스를 통하지 않고는 업무뿐만 아니라 일상생활까지도 어려워지고 있는 실정이다.With the development of ICT technology, the use of the Internet has increased dramatically from work to everyday life, and everyday life as well as business has been difficult without the online service using the Internet.
온라인 서비스가 광범위한 분야로 확장되면서 사용자에 대한 인증은 매우 중요한 문제가 되었으며, 특히 개인 정보의 유출시 사용자에게 정신적 또는 경제적 피해가 야기되는 온라인 서비스의 경우 일반적으로 사용자가 설정한 패스워드 입력 방식으로 사용자에 대한 인증이 수행되고 있다.As the online service has expanded into a wide range of fields, authentication of the user has become a very important issue. Especially, in case of online service which causes mental or economic damage to the user when the personal information is leaked, Authentication is being performed.
가령, 온라인 금융 서비스의 이용시 금융 원문에 대한 사용자 공인 인증서의 전자 서명이 요구되는데, 이때 공인 인증서를 이용하기 위해서는 공인 인증서에 대응되어 사용자가 설정한 패스워드를 입력받는 인증 방식이 수행된다.For example, when an online financial service is used, a digital signature of a user certificate is required for a financial statement. In order to use the authorized certificate, an authentication method in which a password set by the user is input in response to the authorized certificate is performed.
나아가서 온라인 금융 서비스 분야 이외에 개인 정보의 보호가 필요한 온라인 서비스의 경우에도 사용자 계정에 대응되는 패스워드를 입력받아 사용자 인증이 수행되고 있다.Further, even in the case of online services that require protection of personal information in addition to the field of online financial services, user authentication is performed by receiving a password corresponding to a user account.
허나, 패스워드 입력 인증 방식은 패스워드 유출시 큰 피해가 야기될 수 있으며, 사용자가 일일이 패스워드를 입력해야 되는 번거로움이 있고 또한 다양한 온라인 서비스마다 각기 다른 패스워드를 설정함에 따라 사용자가 패스워드를 기억하지 못하는 문제가 발생되고 있다.However, the password input authentication method may cause a large damage when a password is leaked, and it is troublesome that the user has to input a password every time, and since different passwords are set for various online services, the user can not remember the password .
이와 같은 패스워드 입력 인증 기술의 불편함과 보안 취약성의 문제점을 해소하고자 생체 인식을 통한 인증 방식이 확산되고 있는데, 온라인 환경에서 생체 인식 기술을 활용한 인증 방식에 대한 개방형 기술 표준을 FIDO 얼라이언스(Alliance) 등에서 제시하고 있다.In order to solve the inconvenience of the password input authentication technique and the problem of security vulnerability, authentication methods using biometrics are spreading. In the online environment, the FIDO Alliance is used to open the open technology standard for the authentication method using the biometric technology. .
FIDO에서는 아이디와 비밀번호 대신 지문 인식, 홍채 인식, 얼굴 인식 등을 통해 대체가 불가능하면서도 간단한 절차를 통해 인증을 처리 할 수 있도록 해주는 새로운 인증 시스템의 표준 규격을 제시하는데, 일례로서 UAF 인증 방식은 패스워드를 입력하지 않는 인증(Passwordless Experience) 방식으로서 Authenticator가 단말 기기에 포함된 형태로 구현되어 단말기가 지문 등 사용자 고유의 생체 정보를 인식하고 이를 사전에 등록된 인증 정보와 대비하여 인증이 수행된다. FIDO proposes a new standard for a new authentication system that allows authentication to be processed through simple procedures that can not be replaced by fingerprint recognition, iris recognition, face recognition, etc. instead of ID and password. For example, the UAF authentication method uses a password The authentication is implemented in a form of being included in the terminal device so that the terminal recognizes the user's own biometric information such as a fingerprint and performs authentication in comparison with the previously registered authentication information.
그러나 사용자 인증이 요구되는 대부분의 온라인 시스템이 패스워드 입력 인증 방식으로 구축되어 있기에 이들 온라인 시스템의 사용자 인증 정책을 생체 인증 방식으로 변경하기 위해서는 전체적인 시스템 보안 정책을 변경하여야 하기에 막대한 비용이 소요될 뿐만 아니라 사용자 개개인의 해당 보안 정책 이용을 유도하는데 오랜 시간이 소요되게 된다. 그로 인해 이러한 과도기적인 기간에 보다 효과적으로 패스워드 입력 인증 방식을 생체 인증 방식으로 대체할 수 있는 인증 기술이 요구되고 있다.However, since most of the online systems requiring user authentication are constructed as a password input authentication method, in order to change the user authentication policy of the online system to the biometric authentication method, it is necessary to change the overall system security policy, It will take a long time to get the individual to use the corresponding security policy. Therefore, there is a need for an authentication technique that can more effectively replace the password input authentication method with the biometric authentication method during such a transitional period.
나아가서 공인 인증서의 패스워드를 생체 인증으로 대체하는 다양한 인증 기술들이 제시되고 있기는 하나, 이러한 인증 기술들은 패스워드 통째로 사용자 모바일 단말기나 기타 다른 저장소에 보관하기에 사용자 모바일 단말기를 분실하거나 패스워드가 보관된 저장소가 해킹을 당하는 경우에 패스워드 자체가 유출될 수 있는 문제가 있어 오히려 사용자가 직접 패스워드를 입력하는 경우보다도 보안성이 더욱 취약해질 수 있다.In addition, various authentication techniques for replacing the password of the authorized certificate with the biometric authentication have been proposed. However, such authentication techniques are not suitable for storing the entire password in the user mobile terminal or other storage, The security itself may be leaked in the case of being hacked, and the security may be made more vulnerable than when the user directly inputs the password.
본 발명은 상술한 바와 같은 종래 기술의 문제점을 해결하고자 하는 것으로서, 패스워드 입력 인증 방식의 경우 패스워드 유출시 큰 피해가 야기될 수 있는 문제를 해소하고자 하며, 나아가서 사용자가 일일이 패스워드를 입력해야 되는 번거로움을 제거하고 또한 다양한 온라인 서비스마다 각기 다른 패스워드를 설정함에 따라 사용자가 패스워드를 기억하지 못하는 문제를 해소하고자 한다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems of the prior art, and it is an object of the present invention to solve the problem that a large amount of damage may be caused when a password is leaked in a password input authentication method, And by setting different passwords for various online services, users want to solve the problem of not remembering passwords.
특히, 현재까지 구축된 대부분의 온라인 시스템들은 사용자 인증을 패스워드 입력 인증 방식으로 적용하고 있기에 이들 온라인 시스템의 사용자 인증 정책을 변경하기 위해서 막대한 비용과 사용자의 이용 유도에 오랜 시간이 걸리는 문제를 해소하고자 한다.Especially, since most of the on-line systems that have been built up to now apply user authentication as a password input authentication method, it is necessary to solve the problem that it takes a long time to induce user's use and enormous cost to change the user authentication policy of the online system .
나아가서 공인 인증서의 패스워드를 생체 인증으로 대체하는 인증 기술들의 경우, 패스워드 자체를 통째로 사용자 모바일 단말기나 기타 다른 저장소에 보관함으로써 사용자 모바일 단말기를 분실하거나 패스워드가 보관된 저장소가 해킹을 당하는 경우에 패스워드 자체가 유출될 수 있는 보안 취약성의 문제를 해결하고자 한다.Further, in the case of authentication technologies for replacing the password of the authorized certificate with the biometric authentication, the password itself is stored entirely in the user's mobile terminal or other storage, so that if the user's mobile terminal is lost or the password-stored storage is hacked, We want to solve the problem of security vulnerability that can be leaked.
상기 기술적 과제를 달성하고자 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법의 일실시예는, 사용자 모바일 단말기에 탑재된 인증 어플리케이션이, 사용자 인증을 위한 패스워드를 포함하는 인증 정보를 복수의 조각으로 분할하여, 하나 이상의 조각을 포함하는 디바이스 토큰과 나머지 조각을 포함하는 서버 토큰을 생성하고, 상기 사용자에 대한 생체 인증 결과에 따라 인증 서비스 장치에 상기 서버 토큰을 등록시키고 상기 디바이스 토큰을 상기 사용자 모바일 단말기에 보관하는 인증 서비스 등록 단계; 및 상기 인증 어플리케이션이, 상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과를 상기 인증 서비스 장치로 전송하여 상기 인증 서비스 장치로부터 상기 생체 인증 결과에 따라 상기 서버 토큰을 전송받고, 상기 서버 토큰과 상기 디바이스 토큰에 포함된 조각들을 결합하여 상기 인증 정보를 복구하고 상기 사용자에 대한 인증을 위해 상기 인증 정보에 포함된 패스워드를 제공하는 인증 서비스 제공 단계를 포함할 수 있다.According to an aspect of the present invention, there is provided a biometric authentication combined user authentication method, wherein an authentication application installed in a user mobile terminal divides authentication information including a password for user authentication into a plurality of fragments , A server token including a device token including one or more fragments and a remaining fragment is generated, the server token is registered in the authentication service device according to the biometric authentication result for the user, and the device token is stored in the user mobile terminal An authentication service registration step; And the authentication application transmits the biometric authentication result of the user according to the authentication request for the user to the authentication service apparatus, receives the server token from the authentication service apparatus according to the biometric authentication result, And an authentication service providing step of combining pieces included in the device token to recover the authentication information and providing a password included in the authentication information for authentication to the user.
바람직하게는 상기 인증 서비스 등록 단계는, 상기 인증 정보에 대응되는 암호키를 생성하여 상기 인증 정보를 암호화하는 인증 정보 암호화 단계; 암호화된 상기 인증 정보 및 상기 암호키를 각각 복수의 조각으로 분할하고, 인증 정보 조각과 암호키 조각에서 선택된 조각들의 조합으로 디바이스 토큰을 생성하고 나머지 조각들의 조합으로 서버 토큰을 생성하는 토큰 생성 단계; 및 상기 사용자에 대한 생체 인증 결과에 따라 상기 서버 토큰을 상기 인증 서비스 장치에 등록시키고 상기 디바이스 토큰을 상기 사용자 모바일 단말기에 보관하는 토큰 보관 단계를 포함할 수 있다.Preferably, the authentication service registration step includes: an authentication information encryption step of generating an encryption key corresponding to the authentication information and encrypting the authentication information; A token generation step of dividing the encrypted authentication information and the encryption key into a plurality of fragments, generating a device token with a combination of fragments selected from the authentication information fragments and the encryption key fragments, and generating a server token with a combination of remaining fragments; And a token storage step of registering the server token in the authentication service device according to the biometric authentication result for the user and storing the device token in the user mobile terminal.
바람직하게는 상기 인증 서비스 제공 단계는, 상기 사용자에 대한 인증 요청에 따라 수행한 상기 사용자에 대한 생체 인증 결과를 상기 인증 서비스 장치로 전송하여 상기 인증 서비스 장치로부터 상기 생체 인증 결과에 대한 검증 결과에 따라 상기 서버 토큰을 전송받고, 상기 디바이스 토큰을 추출하는 토큰 추출 단계; 상기 서버 토큰과 상기 디바이스 토큰에 포함된 인증 정보 조각과 암호키 조각을 결합하여 암호화된 상기 인증 정보 및 상기 암호키를 복구하는 인증 정보 복구 단계; 상기 암호키로 암호화된 상기 인증 정보를 복호화하고 상기 인증 정보에 포함된 패스워드를 추출하는 패스워드 추출 단계; 및 상기 사용자에 대한 인증을 위해 상기 패스워드를 제공하는 패스워드 제공 단계를 포함할 수 있다.Preferably, the authentication service providing step may include transmitting a biometric authentication result for the user performed according to an authentication request for the user to the authentication service apparatus, and transmitting the biometric authentication result to the authentication service apparatus according to the verification result of the biometric authentication result A token extracting step of receiving the server token and extracting the device token; An authentication information recovery step of recovering the encrypted authentication information and the encryption key by combining the server token and an authentication information fragment included in the device token and an encryption key fragment; A password extracting step of decrypting the authentication information encrypted with the encryption key and extracting a password included in the authentication information; And a password providing step of providing the password for authentication to the user.
나아가서 상기 토큰 보관 단계는, 상기 사용자에 대한 생체 인증 결과에 따라 기보유된 생체 인증키로 서명한 서버 토큰을 상기 인증 서비스 장치로 전송하는 단계; 상기 인증 서비스 장치로부터 서명된 상기 서버 토큰에 대한 검증 결과에 따른 상기 서버 토큰의 등록 결과를 전송받는 단계; 및 상기 등록 결과에 따라 상기 디바이스 토큰을 상기 사용자 모바일 단말기에 보관하는 단계를 포함할 수 있다.Further, the storing of the token may include transmitting a server token signed with a biometric authentication key previously held in accordance with the biometric authentication result for the user to the authentication service apparatus; Receiving a registration result of the server token according to a verification result of the server token signed by the authentication service device; And storing the device token in the user mobile terminal according to the registration result.
또한 상기 토큰 추출 단계는, 상기 사용자에 대한 인증 요청에 따라 수행한 상기 사용자에 대한 생체 인증 결과를 생성하는 단계; 상기 인증 서비스 장치로 상기 생체 인증 결과를 전송하면서 상기 서버 토큰을 요청하는 단계; 상기 인증 서비스 장치로부터 상기 생체 인증 결과에 대한 검증 결과에 따라 상기 서버 토큰을 전송받는 단계; 및 상기 검증 결과에 따라 상기 디바이스 토큰을 추출하는 단계를 포함할 수 있다.The step of extracting the token may further include: generating a biometric authentication result for the user performed according to an authentication request for the user; Requesting the server token while transmitting the biometric authentication result to the authentication service device; Receiving the server token according to the verification result of the biometric authentication result from the authentication service device; And extracting the device token according to the verification result.
나아가서 상기 인증 서비스 등록 단계는, 복수의 패스워드 각각에 대응되는 인증 정보마다 디바이스 토큰과 서버 토큰을 생성하여 복수의 상기 서버 토큰 각각을 상기 인증 서비스 장치에 등록시키고 복수의 상기 디바이스 토큰 각각을 상기 사용자 모바일 단말기에 보관할 수 있다.Further, the authentication service registration step may include generating a device token and a server token for each authentication information corresponding to each of a plurality of passwords, registering each of the plurality of server tokens in the authentication service apparatus, It can be stored in the terminal.
한걸음 더 나아가서 상기 인증 서비스 등록 단계는, 복수의 인증 정보 각각에 대응되는 디바이스 토큰과 서버 토큰의 토큰 쌍마다 복수의 생체 인증 방식 중 어느 하나의 생체 인증 방식이 설정되어 설정된 생체 인증 방식에 따른 생체 인증 결과를 기초로 각각의 상기 서버 토큰을 상기 인증 서비스 장치에 등록시키며, 상기 인증 서비스 제공 단계는, 해당 토큰 쌍에 대응되어 설정된 생체 인증 방식으로 사용자에 대한 생체 인증을 수행한 생체 인증 결과를 기초로 상기 인증 서비스 장치로부터 서버 토큰을 전송받을 수 있다.The authentication service registration step further includes a step of registering, in the authentication service registration step, any one of the plurality of biometric authentication methods for the device token corresponding to each of the plurality of pieces of authentication information and the token pair of the server token, And registering each of the server tokens in the authentication service device based on a result of the biometric authentication, wherein the authentication service providing step includes a step of, based on the biometric authentication result obtained by performing the biometric authentication on the user using the biometric authentication method set corresponding to the pair of tokens The server token can be received from the authentication service device.
또한 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법의 다른 실시예는, 인증 서비스 장치가, 사용자 모바일 단말기에 탑재된 인증 어플리케이션으로부터 사용자 인증을 위한 패스워드를 포함하는 인증 정보를 분할한 하나이상의 조각을 포함하는 서버 토큰을 상기 사용자에 대한 생체 인증 결과에 대응되어 전송받고, 상기 생체 인증 결과에 대한 검증에 따라 상기 서버 토큰을 등록하는 인증 서비스 등록 단계; 및 상기 인증 서비스 장치가, 상기 인증 어플리케이션으로부터 상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과와 함께 상기 서버 토큰의 전송 요청을 수신하고, 상기 생체 인증 결과에 대한 검증에 따라 상기 서버 토큰을 추출하여 상기 인증 어플리케이션으로 전송하는 인증 서비스 제공 단계를 포함할 수 있다.Another embodiment of the biometric authentication combined user authentication method according to the present invention is characterized in that the authentication service apparatus includes one or more fragments obtained by dividing authentication information including a password for user authentication from an authentication application installed in the user mobile terminal An authentication service registration step of receiving a server token corresponding to the biometric authentication result for the user and registering the server token according to the verification of the biometric authentication result; And the authentication service apparatus receives a transmission request of the server token together with the biometrics authentication result of the user according to an authentication request for the user from the authentication application, and transmits the server token in accordance with the verification of the biometrics authentication result And transmitting the extracted authentication service to the authentication application.
바람직하게는 상기 인증 서비스 등록 단계는, 상기 인증 어플리케이션으로부터 상기 인증 정보에 대응되는 암호키로 암호화된 상기 인증 정보 및 상기 암호키를 각각 복수의 조각으로 분할하여 인증 정보 조각과 암호키 조각에서 선택된 조각들의 조합으로 생성된 서버 토큰을 상기 사용자에 대한 생체 인증 결과에 대응되어 전송받는 토큰 수신 단계; 및 상기 생체 인증 결과에 대한 검증을 수행하여 검증 결과에 따라 상기 서버 토큰을 등록하고 등록 결과를 상기 인증 어플리케이션에 전송하는 등록 결과 전송 단계를 포함할 수 있다.Preferably, the authentication service registration step divides the authentication information and the cryptographic key, which are encrypted with the cryptographic key corresponding to the authentication information, from the authentication application into a plurality of fragments, A token receiving step of receiving a server token generated as a combination corresponding to a biometric authentication result for the user; And a registration result transmission step of performing verification of the biometric authentication result, registering the server token according to the verification result, and transmitting the registration result to the authentication application.
나아가서 상기 인증 서비스 제공 단계는, 상기 인증 어플리케이션으로부터 상기 사용자에 대한 인증 요청에 따라 수행한 상기 사용자에 대한 생체 인증 결과와 함께 상기 서버 토큰의 전송 요청을 수신하는 토큰 요청 수신 단계; 상기 생체 인증 결과에 대한 검증을 수행하고 검증 결과에 따라 상기 서버 토큰을 추출하는 토큰 추출 단계; 및 상기 서버 토큰을 상기 인증 어플리케이션으로 전송하는 토큰 전송 단계를 포함할 수 있다.Further, the providing of the authentication service may include: receiving a request for transmitting the server token together with a biometric authentication result for the user performed according to an authentication request for the user from the authentication application; A token extracting step of verifying the biometric authentication result and extracting the server token according to a verification result; And a token transfer step of transferring the server token to the authentication application.
보다 바람직하게는 상기 토큰 수신 단계는, 상기 인증 어플리케이션으로부터 상기 사용자의 생체 인증에 대응되는 생체 인증키로 서명된 상기 서버 토큰을 전송받으며, 상기 등록 결과 전송 단계는, 상기 서버 토큰의 서명을 기보유된 생체 인증키로 검증할 수 있다.More preferably, the token receiving step receives the server token signed with the biometric authentication key corresponding to the biometric authentication of the user from the authentication application, and the registration result transmitting step transmits the signature of the server token It can be verified with biometric authentication key.
한걸음 더 나아가서 상기 인증 서비스 등록 단계는, 복수의 패스워드 각각에 대응되는 인증 정보마다 생성된 서버 토큰 각각을 상기 인증 어플리케이션으로부터 전송받아 복수의 상기 서버 토큰 각각을 등록할 수 있다.Further, in the authentication service registration step, each of the server tokens generated for each authentication information corresponding to each of the plurality of passwords is received from the authentication application and each of the plurality of server tokens is registered.
또한 본 발명에 따른 인증 어플리케이션은, 사용자 모바일 단말기에 탑재되어, 사용자 인증을 위한 패스워드를 포함하는 인증 정보를 분할하여 디바이스 토큰과 서버 토큰을 생성하고, 상기 사용자에 대한 생체 인증 결과에 따라 인증 서비스 장치에 상기 서버 토큰의 등록을 요청하고, 상기 디바이스 토큰을 보관하며, 상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과를 기초로 상기 인증 서비스 장치로부터 상기 서버 토큰을 전송받아 상기 서버 토큰과 상기 디바이스 토큰에 포함된 조각들을 결합하여 상기 인증 정보를 복구하고 상기 사용자에 대한 인증을 위해 상기 인증 정보에 포함된 패스워드를 제공하는 인증 결합 어플리케이션을 포함할 수 있다.In addition, the authentication application according to the present invention includes a device token and a server token, which are installed in a user mobile terminal and divide authentication information including a password for user authentication to generate a device token and a server token, The server token is stored in the device token, the server token is received from the authentication service device based on the biometric authentication result of the user according to the authentication request for the user, And an authentication combination application that combines fragments included in the device token to recover the authentication information and to provide the password included in the authentication information for authentication to the user.
일례로서, 상기 사용자 모바일 단말기에 탑재되어 사용자의 공인 인증서의 관리와 전자 서명을 지원하는 공인 인증 어플리케이션으로부터 상기 공인 인증서에 대한 패스워드를 포함하는 인증 정보를 전송받아 상기 인증 정보에 대한 서버 토큰과 디바이스 토큰을 생성하며, 상기 사용자에 대한 인증 요청에 따라 상기 서버 토큰과 디바이스 토큰을 기초로 인증 정보를 복구하여 상기 공인 인증서에 대한 패스워드를 상기 공인 인증 어플리케이션으로 제공할 수 있다.As an example, the authentication information including the password for the authorized certificate is received from the authorized authentication application installed in the user mobile terminal and supporting the management of the user's authorized certificate and digital signature, and the server token and the device token And recover the authentication information based on the server token and the device token according to the authentication request for the user to provide a password for the authorized certificate to the authorized authentication application.
다른 일례로서, 상기 사용자 모바일 단말기에 탑재되어 사용자에 대한 생체 인증을 수행하는 생체 인증 어플리케이션으로 사용자의 생체 인증을 통한 상기 서버 토큰에 대한 서명을 요청하여 서명된 상기 서버 토큰을 전달받으며, 상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과를 상기 생체 인증 어플리케이션으로부터 전달받을 수 있다.As another example, a biometric authentication application installed in the user mobile terminal for performing biometric authentication for a user may request the signature of the server token through the biometric authentication of the user, receive the signed server token, The biometric authentication result of the user according to the authentication request for the biometric authentication application can be received from the biometric authentication application.
나아가서 상기 인증 결합 어플리케이션은, 사용자의 생체 인증을 수행하여 상기 서버 토큰을 서명하며, 상기 사용자에 대한 인증 요청에 따라 상기 사용자의 생체 인증을 수행하여 생체 인증 결과를 생성하는 생체 인증 지원부를 포함할 수 있다.Further, the authentication combining application may include a biometric authentication support unit for performing a biometric authentication of a user, signing the server token, and performing a biometric authentication of the user according to an authentication request for the user to generate a biometric authentication result have.
한걸음 더 나아가서 상기 인증 결합 어플리케이션은, 사용자의 공인 인증서의 관리와 전자 서명을 지원하며, 상기 공인 인증서에 대한 패스워드를 포함하는 인증 정보를 추출하여 제공하며, 상기 사용자에 대한 인증 요청에 따라 상기 공인 인증서에 대한 패스워드를 전달받아 상기 공인 인증서의 전자 서명을 제공하는 공인 인증 지원부를 포함할 수 있다.The authentication combination application further includes management and digital signature support of a user's authorized certificate, extracting and providing authentication information including a password for the authorized certificate, and providing the authorized certificate And a public authentication support unit for receiving the password for the public key certificate and providing the digital signature of the public key certificate.
또한 본 발명에 따른 인증 서비스 장치는, 사용자 모바일 단말기에 탑재된 인증 어플리케이션으로부터 사용자 인증을 위한 패스워드를 포함하는 인증 정보를 분할한 하나이상의 조각을 포함하는 서버 토큰을 상기 사용자에 대한 생체 인증 결과에 대응되어 전송받아 상기 서버 토큰을 등록하고, 상기 인증 어플리케이션으로부터 상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과와 함께 상기 서버 토큰의 전송 요청을 수신하여 상기 서버 토큰을 제공하는 인증 지원부; 상기 사용자에 대한 생체 인증에 대응되는 생체 인증키를 보유하고, 상기 인증 지원부로부터의 상기 사용자의 생체 인증 결과를 전달받아 검증하여 검증 결과를 제공하는 생체 인증 검증부; 및 상기 인증 지원부의 등록 결정에 따라 상기 서버 토큰을 저장하는 서버 토큰 저장부를 포함할 수 있다.The authentication service apparatus according to the present invention may further include a server token including one or more fragments obtained by dividing authentication information including a password for user authentication from an authentication application installed in the user mobile terminal to a biometric authentication result for the user An authentication support unit for registering the server token and receiving the server token transmission request together with the biometric authentication result of the user according to the authentication request for the user from the authentication application and providing the server token; A biometric authentication unit which holds a biometric authentication key corresponding to biometric authentication for the user and receives and verifies the biometric authentication result of the user from the authentication support unit and provides a verification result; And a server token storage unit for storing the server token according to the registration decision of the authentication support unit.
또한 본 발명은, 상기의 생체 인증 결합 사용자 간편 인증 방법의 각 단계를 실행시키기 위해 사용자 단말기에 저장된 컴퓨터 프로그램을 포함한다.The present invention also includes a computer program stored in a user terminal for executing each step of the biometric authentication combined user authentication method.
또한 본 발명은, 상기의 생체 인증 결합 사용자 간편 인증 방법의 각 단계를 실행시키기 위해 인증 서비스 장치에 저장된 컴퓨터 프로그램을 포함한다.The present invention also includes a computer program stored in an authentication service apparatus for executing each step of the biometric authentication combined user authentication method.
이와 같은 본 발명에 의하면, 패스워드 입력 인증 방식에 생체 인증 방식을 결합시켜 사용자가 패스워드의 입력 없이 생체 인증을 통해 사용자 인증 과정을 수행할 수 있게 되므로, 사용자가 일일이 패스워드를 입력해야 되는 번거로움이 제거되고 또한 다양한 온라인 서비스마다 각기 다른 패스워드를 설정하는 경우에 사용자가 패스워드를 일일이 기억할 필요가 없게 된다.According to the present invention, since the biometric authentication method is combined with the password input authentication method, the user can perform the user authentication process through the biometric authentication without inputting the password, so that the hassle of the user having to input the password is eliminated In addition, when setting different passwords for various online services, the user does not have to remember the passwords individually.
또한 현재까지 구축된 대부분의 온라인 시스템들이 사용자 인증을 패스워드 입력 인증 방식으로 적용하고 있는 상황에서 온라인 시스템 자체의 변경 없이 생체 인증 기술을 적용할 수 있게 된다.In addition, most online systems that have been built up to now apply biometric authentication technology without changing the online system in a situation where user authentication is applied as a password input authentication method.
특히, 외부 유출시 심각한 피해를 야기할 수 있는 패스워드 등의 인증 정보를 분할하여 디바이스 토큰과 서버 토큰으로 생성하고 이를 생체 인증에 대응시켜 인증 서비스 장치와 사용자 모바일 단말기에 분리 보관함으로써, 사용자 모바일 단말기를 분실하거나 해킹당하는 경우에도 패스워드의 일부 조각만 유출되고 패스워드 전체를 확인할 수 없기에 보다 보안 신뢰성을 강화시킬 수 있게 된다.Particularly, authentication information such as a password, which may cause serious damage in the case of external leakage, is divided into a device token and a server token, and the authentication information is stored in the authentication service device and the user mobile terminal in association with the biometric authentication. Even if a user is lost or hacked, only a part of the password is leaked, and the entire password can not be confirmed, thereby enhancing the security reliability.
나아가서 암호화된 패스워드뿐만 아니라 이를 복호화시킬 수 있는 암호키도 여러 조각으로 분할하여 분리 보관되기에 보안성을 더욱 높일 수 있게 된다.Furthermore, not only the encrypted password but also the encryption key capable of decrypting the encrypted password can be divided into several pieces and stored, thereby further enhancing the security.
도 1은 본 발명에 따른 인증 서비스 시스템의 실시예에 대한 구성도를 도시하며,
도 2는 본 발명이 적용되는 사용자 모바일 단말기의 실시예에 대한 구성도를 도시하며,
도 3은 본 발명에 따른 인증 어플리케이션의 실시예에 대한 구성도를 도시하며,
도 4는 본 발명에 따른 인증 어플리케이션의 변형예에 대한 구성도를 도시하며,
도 5는 본 발명에 따른 인증 서비스 장치의 실시예에 대한 구성도를 도시하며,
도 6은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 등록 과정의 개념도를 도시하며,
도 7은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 제공 과정의 개념도를 도시하며,
도 8은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 등록 과정에 대한 실시예의 흐름도를 도시하며,
도 9는 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 제공 과정에 대한 실시예의 흐름도를 도시하며,
도 10은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법으로 복수의 공인 인증서 패스워드 및 온라인 서비스 계정 패스워드에 대한 인증 서비스를 제공하기 위한 일례를 도시한다.1 shows a block diagram of an embodiment of an authentication service system according to the present invention,
Figure 2 shows a block diagram of an embodiment of a user mobile terminal to which the present invention is applied,
Figure 3 shows a block diagram of an embodiment of an authentication application according to the present invention,
4 shows a configuration diagram of a modification of the authentication application according to the present invention,
5 shows a configuration diagram of an embodiment of an authentication service apparatus according to the present invention,
6 is a conceptual diagram of an authentication service registration process in a biometric authentication combined user authentication method according to the present invention,
7 is a conceptual diagram of a process of providing an authentication service in a biometric authentication combined user authentication method according to the present invention,
8 is a flowchart illustrating an authentication service registration process in the biometric authentication combined user authentication method according to the present invention,
9 is a flowchart of an embodiment of an authentication service providing process in a biometric authentication combined user authentication method according to the present invention,
FIG. 10 illustrates an example of providing authentication services for a plurality of authorized certificate passwords and online service account passwords in a biometric authentication combined user authentication method according to the present invention.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 설명하기 위하여 이하에서는 본 발명의 바람직한 실시예를 예시하고 이를 참조하여 살펴본다.BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings.
먼저, 본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니며, 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 또한 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.First, the terminology used in the present application is used only to describe a specific embodiment, and is not intended to limit the present invention, and the singular expressions may include plural expressions unless the context clearly indicates otherwise. Also, in this application, the terms "comprise", "having", and the like are intended to specify that there are stated features, integers, steps, operations, elements, parts or combinations thereof, But do not preclude the presence or addition of features, numbers, steps, operations, components, parts, or combinations thereof.
본 발명을 설명함에 있어서, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.In the following description of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear.
본 발명은, 공인 인증서나 온라인 서비스 계정 등의 패스워드를 사용자의 생체 인증에 매칭시켜 사용자의 생체 인증 성공시 자동으로 패스워드 인증을 수행할 수 있는 생체 인증 결합 사용자 간편 인증 방안을 제시한다.The present invention proposes a biometric authentication combined user authentication method capable of automatically performing a password authentication when a biometric authentication success of a user by matching a password of an authorized certificate or an online service account with a biometric authentication of a user.
특히, 본 발명에서는 사용자의 공인 인증서를 통한 전자 서명 수행시 요구되는 패스워드 입력 과정을 생체 인증으로 대체함으로써 사용자 인증 수행 과정의 편리성을 도모하는데, 이때 외부 유출시 심각한 피해를 야기할 수 있는 패스워드 등의 인증 정보를 복수의 조각으로 분리하여 그 일부를 사용자 생체 인증 결과에 따라 별도의 인증 서비스 장치에 분산 보관하면서, 사용자의 공인 인증서에 대한 전자 서명이 요청되는 경우 사용자의 생체 인증을 수행하고 생체 인증 결과에 대한 상기 인증 서비스 장치의 검증에 따라 분산 보관된 조각들의 회수 및 결합으로 패스워드 등의 인증 정보를 복구하여 사용자 인증을 자동 수행함으로써 보다 보안 신뢰성을 강화시킬 수 있는 방안을 제시한다.Particularly, in the present invention, the convenience of the user authentication process is improved by replacing the password input process required for performing digital signature using the user's authorized certificate with biometric authentication. At this time, passwords The authentication information of the user is divided into a plurality of fragments, and a part of the authentication information is stored in a separate authentication service apparatus according to the result of the user biometric authentication, and when the digital signature of the user's authorized certificate is requested, And a method for enhancing security reliability by automatically performing user authentication by restoring authentication information such as a password by collecting and combining distributed pieces in accordance with the verification of the authentication service device with respect to the result.
도 1은 본 발명에 따른 인증 서비스 시스템의 실시예에 대한 구성도를 도시한다.1 shows a block diagram of an embodiment of an authentication service system according to the present invention.
본 발명에 따른 인증 서비스 시스템은, 개략적으로 각종 온라인 서비스를 제공받는 사용자 모바일 단말기(100), 생체 인증 결합 사용자 간편 인증 서비스를 사용자 모바일 단말기(100)로 제공하는 인증 서비스 장치(200), 사용자 인증을 통해 온라인 서비스를 사용자 모바일 단말기(100)로 제공하는 온라인 서비스 서버(300)를 포함하여 구성될 수 있다.The authentication service system according to the present invention includes a user
사용자 모바일 단말기(100)는 일반적으로 보급되고 있는 스마트폰, 테블릿, PDA 등의 다양한 휴대용 무선 통신 단말이 적용될 수 있으며, 각종 통신사에서 제공하는 무선 통신망 등을 통해 인증 서비스 장치(200)와의 연동으로 사용자 인증을 수행하고 그에 따라 온라인 서비스 서버(300)로부터 해당 온라인 서비스를 제공받을 수 있다.The user
사용자 모바일 단말기(100)에는 본 발명에 따른 인증 어플리케이션이 탑재되며, 사용자 인증 요청에 따라 패스워드 입력이 요구되는 경우에 인증 어플리케이션이 사용자에 대한 생체 인증 결과를 기초로 해당 패스워드를 자동 입력하여 인증을 수행하게 된다. 이를 위해 본 발명에 따른 인증 어플리케이션은 사전에 해당 패스워드 등의 인증 정보를 복수의 조각으로 분할하여 서버 토큰과 디바이스 토큰으로 생성한 후 사용자의 생체 인증 결과에 따라 상기 디바이스 토큰은 사용자 모바일 단말기(100)에 보관하고 상기 서버 토큰은 인증 서비스 장치(200)에 등록시킨다. 그리고 온라인 서비스 이용을 위해 사용자에 대한 인증이 요청되면, 상기 인증 어플리케이션은 사용자의 생체 인증을 수행한 생체 인증 결과에 따라 분리 보관된 서버 토큰과 디바이스 토큰을 다시 회수하여 결합하고 패스워드 등의 인증 정보를 복구하여 제공한다.When the authentication application according to the present invention is installed in the user
인증 서비스 장치(200)는 사용자 모바일 단말기(100)에 탑재된 인증 어플리케이션과의 연동하여, 해당 패스워드 등의 인증 정보에 대한 서버 토큰을 사용자의 생체 인증 결과를 검증한 후 등록하고, 사용자 모바일 단말기(100)의 인증 어플리케이션으로부터 사용자 인증 요청에 따른 서버 토큰의 전송 요청시 사용자에 대한 생체 인증 결과를 전송받아 이에 대한 검증 결과에 따라 등록된 서버 토큰을 사용자 모바일 단말기(100)의 인증 어플리케이션으로 제공한다. 물론, 인증 서비스 장치(200)에서 사용자에 대한 생체 인증 결과를 검증하기 위해서는 사용자 모바일 단말기(100)의 인증 어플리케이션과의 상호 연동으로 사전에 해당 사용자에 대한 생체 인증의 등록이 전제된다. 여기서 사용자에 대한 생체 인증 등록은 기존 생체 인증 방식의 다양한 인증 기술이 적용될 수 있는데, 일례로서 FIDO 규격에 따른 UAF(Universal Authentification Framework) 인증 방식 등이 적용될 수도 있을 것이다.The
온라인 서비스 서버(300)는 패스워드 입력 인증 방식을 거쳐 각종 온라인 서비스를 사용자 모바일 단말기(100)로 제공한다. 일례로서 뱅킹 서버의 경우 사용자 공인 인증서 등의 전자 서명을 토대로 해당 사용자 모바일 단말기(100)로 다양한 온라인 금융 서비스를 제공하며, 메일 서버 등의 경우 사용자의 아이디와 패스워드 등의 인증 정보를 토대로 해당 사용자에게 메일 서비스를 제공한다. 이와 같이 본 발명에서 온라인 서비스 서버(300)는 패스워드 입력 인증 방식으로 사용자에 대한 인증이 요구되는 온라인 서비스를 제공하는 다양한 분야의 각종 온라인 서비스 장치가 적용될 수 있다.The
또한 상기 도 1에 도시되진 않았으나 본 발명이 적용되는 보안 정책에 따라 인증 기관 서버가 추가적으로 구성될 수도 있는데, 가령 사용자가 신용 정보 기관 등으로부터 공인 인증서를 발행 받아 사용하는 경우에 해당 공인 인증서의 서명을 검증하기 위한 신용 정보 기관 서버 등이 본 발명에 따른 인증 시스템에 포함될 수도 있다.Although not shown in FIG. 1, an authentication authority server may be additionally configured according to a security policy to which the present invention is applied. For example, when a user issues a public key certificate from a credit information agency, And a credit information agency server for verification may be included in the authentication system according to the present invention.
본 발명에 따른 인증 서비스 시스템의 세부 구성과 관련하여, 먼저 사용자 모바일 단말기에 대하여 그 실시예를 통해 좀 더 살펴보기로 한다.With reference to the detailed configuration of the authentication service system according to the present invention, the user mobile terminal will be described in more detail with reference to the embodiment.
도 2는 본 발명이 적용되는 사용자 모바일 단말기의 실시예에 대한 구성도로서, 상기 도 2의 (a)에 도시된 실시예의 경우 사용자 모바일 단말기(100a)에는 온라인 금융 서비스를 이용하기 위한 뱅킹 어플리케이션(110a)과 본 발명에 따른 인증 어플리케이션(150a)이 탑재된다.FIG. 2 is a block diagram of an embodiment of a user mobile terminal to which the present invention is applied. In the embodiment shown in FIG. 2 (a), the user
상기 실시예에서 뱅킹 어플리케이션(110a)을 하나의 예시로서 제시하는데, 본 발명은 이에 국한되지 않고 온라인 금융 서비스 이외에도 패스워드 등의 인증 정보를 통한 사용자 인증이 요구되는 각종 온라인 서비스를 이용하기 위한 다양한 온라인 서비스 어플리케이션이 사용자 모바일 단말기(100a)에 탑재되어 본 발명에 따른 인증 어플리케이션(150a)을 통해 사용자 인증 과정을 지원받을 수 있다. 또한 사용자 모바일 단말기(100a) 상에 탑재된 모바일 브라우저를 통해 온라인 서비스 이용에 대한 사용자 인증을 수행하는 과정에서도 인증 어플리케이션(150a)을 통해 사용자 인증 과정을 지원받을 수도 있다.In the above embodiment, the
뱅킹 어플리케이션(110a)은 각종 은행이나 증권사 등에서 배포하여 해당 금융사의 온라인 금융 서비스에 대한 이용을 지원하기 위한 어플리케이션으로서, 이를 이용하고자 하는 사용자는 자신의 사용자 모바일 단말기(100a)에 이를 탑재시키며, 뱅킹 어플리케이션(110a)을 통해 온라인 금융 서비스의 이용시 필수적으로 사용자 공인 인증서 등을 통한 사용자 인증 과정이 수반된다. 일례로 사용자의 공인 인증서로 해당 온라인 금융 원문에 대한 전자 서명시 해당 공인 인증서에 대한 패스워드 입력이 요구되는데, 인증 어플리케이션(150a)은 사용자로부터 별도의 패스워드를 입력받는 과정을 거치지 않고 사용자의 생체 인증을 통해 패스워드 입력을 대체하여 해당 온라인 금융 원문에 대한 공인 인증서의 전자 서명 과정을 지원하게 된다. A user who wishes to use the
이를 위해 인증 어플리케이션(150a)은 해당 공인 인증서의 패스워드를 포함하는 인증 정보를 분할한 조각들을 사용자의 생체 인증 결과에 따라 서로 다른 장소에 분리 보관하고 이후 해당 공인 인증서의 사용시에 사용자의 생체 인증 결과에 따라 분리 보관된 조각들을 회수하여 패스워드를 포함하는 인증 정보를 복구함으로써 해당 공인 인증서의 전자 서명을 수행하게 된다. 이와 같이 본 발명에서는 패스워드를 포함하는 인증 정보의 조각들을 분리 보관함으로써 사용자 모바일 단말기(100a)의 해킹 등으로 일부 정보가 유출되는 경우에도 안전하게 패스워드의 보안을 유지시킬 수 있게 된다.To this end, the
나아가서 상기 도 2의 (a)와 같이 온라인 서비스 어플리케이션과 인증 어플리케이션이 서로 분리되어 사용자 모바일 단말기 상에 각각 별개로 탑재될 수도 있으나 상황에 따라서는 온라인 서비스 어플리케이션 상에 인증 어플리케이션이 포함된 형태로 본 발명의 인증 어플리케이션이 구현될 수도 있는데, 이를 상기 도 2의 (b)에 도시된 실시예를 통해 살펴본다.Further, as shown in FIG. 2 (a), the online service application and the authentication application may be separately installed on the user mobile terminal, but the authentication application may be included in the online service application, Authentication application may be implemented, which will be described with reference to the embodiment shown in FIG. 2 (b).
뱅킹 어플리케이션(110b)의 경우 해당 금융사의 보안 정책을 반영하여 뱅킹 어플리케이션 자체에 사용자 인증 기능이 탑재되는 경우가 있는데, 이와 같은 뱅킹 어플리케이션(110b)에 인증 SDK(150b)로서 본 발명이 적용될 수도 있다.In the case of the
가령, 뱅킹 어플리케이션(110b) 자체에 사용자 인증 기능을 수행하는 인증 툴킷(110b)이 탑재되고 추가적으로 본 발명을 적용하기 위한 인증 SDK(150b)가 탑재되어 인증 툴킷(110b)과 인증 SDK(150b) 간의 상호 연동으로 본 발명에 따른 인증 서비스가 구현될 수 있다.For example, an
즉, 인증 툴킷(110b)은 온라인 금융 서비스 이용시 사용자 인증을 수행하기 위한 공인 인증서의 전자 서명을 수행하는데, 이와 연동하는 SDK(Software Development Kit)나 API(Application Programming Interface) 형태로 본 발명의 인증 어플리케이션이 뱅킹 어플리케이션(110b) 상에 구현되어 인증 툴킷(110b)에서 이용하는 공인 인증서의 패스워드 등의 인증 정보를 분할하고 사용자의 생체 인증 결과에 따라 서로 다른 장소에 분리 보관하며 인증 툴킷(110b)에서 해당 공인 인증서의 사용시에 사용자의 생체 인증 결과에 따라 분리 보관된 조각들을 회수하여 패스워드를 포함하는 인증 정보를 복구한 후 해당 패스워드를 인증 툴킷(110b)으로 전달할 수 있다.That is, the
나아가서 본 발명에 따른 인증 어플리케이션의 또다른 실시예로서, 인증 어플리케이션이 여러 기능별로 각 구성이 분리되어 각각의 기능별 어플리케이션이 사용자 모바일 단말기에 탑재될 수 있는데, 이와 관련하여 도 3의 실시예를 살펴본다.Furthermore, as another embodiment of the authentication application according to the present invention, the authentication application may be divided into various functions according to various functions, and each functional application may be loaded on the user mobile terminal. In this regard, the embodiment of FIG. 3 will be described .
인증 어플리케이션(400)은 공인 인증 어플리케이션(410), 생체 인증 어플리케이션(430), 인증 결합 어플리케이션(450) 등을 포함하여 구성될 수 있다.The
공인 인증 어플리케이션(410)은 사용자의 공인 인증서를 관리하면서 사용자에 대한 인증 요청시 공인 인증서를 통한 전자 서명을 제공하는데, 종래 공인 인증서를 관리하는 다양한 인증 어플리케이션이나 인증 모듈 등이 필요에 따라 적용될 수 있다. 또한 공인 인증 어플리케이션(410)은 다수의 공인 인증서를 보관하면서 요청되는 사용자 인증에 대응되어 사용자가 선택하는 해당 공인 인증서로 전자 서명을 제공할 수도 있다.The authorized
나아가서 공인 인증서가 요구되지 않는 온라인 서비스 계정 등에 대한 패스워드 입력에 따른 사용자 인증에 본 발명을 적용하는 경우에는 공인 인증 어플리케이션(410)이 생략될 수 있으며, 인증 어플리케이션(400)은 본 발명에 따른 인증 서비스의 사용자 등록시 해당 온라인 서비스 서버나 사용자 입력을 통해 해당 계정에 대한 패스워드 등의 인증 정보를 전달받을 수도 있다.In addition, when applying the present invention to a user authentication based on a password input for an online service account or the like for which a public authentication certificate is not required, the
생체 인증 어플리케이션(430)은 사용자의 생체 인식을 통해 사용자 인증을 수행하는데, 사용자에 대한 생체 인식은 사용자의 지문 인식, 홍채 인식, 혈관 인식 또는 음성 인식 등 다양한 생체 인식 방식이 적용될 수 있으며, 이를 위해 생체 인증 어플리케이션(430)은 별도로 해당 인식 수단을 구비할 수도 있고 또는 사용자 모바일 단말기에 이미 구비된 다양한 인식 수단과 상호 연동할 수도 있다.The
인증 결합 어플리케이션(450)은 공인 인증 어플리케이션(410)이 보관하는 공인 인증서의 패스워드 등의 인증 정보를 분할하여 디바이스 토큰과 서버 토큰을 생성한 후 생체 인증 어플리케이션(430)을 통한 사용자의 생체 인증 결과에 따라 서버 토큰을 인증 서비스 장치(200)에 등록시키고 디바이스 토큰을 사용자 모바일 단말기 상에 구비된 토큰 저장소에 보관한다. 이때 인증 결합 어플리케이션(450)은 생체 인증 결과에 따라 서명한 서버 토큰을 인증 서비스 장치(200)로 전송하여 인증 서비스 장치(200)에서 생체 인증 결과에 대한 검증 결과에 따라 서버 토큰이 등록되면 그 등록 결과에 따라 디바이스 토큰을 토큰 저장소에 보관할 수도 있다. 인증 결합 어플리케이션(450)은 서버 토큰에 식별 정보 태그 등을 달아 인증 서비스 장치(200)로 전송할 수 있으며, 인증 서비스 장치(200)는 식별 정보 태그를 참조하여 서버 토큰을 등록할 수도 있다.The
바람직하게는 인증 결합 어플리케이션(450)은 공인 인증 어플리케이션(410)으로부터 사용자의 공인 인증서에 대한 패스워드 등을 포함하는 인증 정보를 전달받고 해당 인증 정보에 대응되는 암호키를 생성하여 상기 인증 정보를 암호화하며, 암호화된 인증 정보와 암호키를 각각 분할한 인증 정보 조각들과 암호키 조각들의 조합으로 서버 토큰과 디바이스 토큰을 생성할 수도 있다.Preferably, the
또한 인증 결합 어플리케이션(450)은 공인 인증 어플리케이션(410)의 사용자에 대한 공인 인증서의 전자 서명이 요청되는 경우, 생체 인증 어플리케이션(430)을 통해 사용자에 대한 생체 인증을 수행한 생체 인증 결과를 인증 서비스 장치(200)로 전송하면서 서버 토큰을 요청한다. 그리고 인증 서비스 장치(200)로부터 상기 생체 인증 결과에 대한 검증 결과를 기초로 해당 서버 토큰을 전송받으면 인증 결합 어플리케이션(450)은 토큰 저장소에서 디바이스 토큰을 추출한 후 상기 서버 토큰과 상기 디바이스 토큰으로 인증 정보를 복구하여 상기 인증 정보에 포함된 패스워드를 공인 인증 어플리케이션(410)으로 전달한다.When the digital signature of the authorized certificate for the user of the authorized
이때 인증 결합 어플리케이션(450)은 서버 토큰의 요청시 해당 서버 토큰의 식별 정보를 전송하며, 인증 서비스 장치(200)는 등록된 서버 토큰에 대한 식별 정보를 기초로 보관된 해당 서버 토큰을 추출할 수 있다.At this time, the
또한 상기 서버 토큰과 상기 디바이스 토큰이 암호화된 인증 정보의 조각과 암호키 조각으로 생성된 경우에, 인증 결합 어플리케이션(450)은 암호화된 인증 정보와 암호키를 각각 복구하고 암호키로 암호화된 인증 정보를 복호화하여 인증 정보를 복구할 수 있다.Also, when the server token and the device token are generated as a fragment of the encrypted authentication information and the encrypted key fragment, the
나아가서 본 발명에서 인증 결합 어플리케이션에 공인 인증 어플리케이션이나 생체 인증 어플리케이션을 선택적으로 결합하여 인증 어플리케이션이 구성될 수도 있는데, 이를 도 4에 도시된 실시예를 통해 살펴본다.Furthermore, in the present invention, an authentication application may be configured by selectively combining a public authentication application and a biometric authentication application in an authentication combining application, which will be described with reference to the embodiment shown in FIG.
상기 도 4의 (a)는 인증 결합 어플리케이션(450a)이 생체 인증 지원부(455a)를 포함하는 실시예로서, 인증 결합 어플리케이션(450a)이 공인 인증 어플리케이션(410a)과 연동하여 본 발명에 따른 인증 서비스를 제공함에 있어서, 앞서 상기 도 3을 통해 살펴본 인증 결합 어플리케이션(450a)의 기본적 기능 이외에 생체 인증 지원부(455a)를 포함하여 생체 인증 어플리케이션이 수행하던 생체 인증 기능까지 수행할 수 있다.4A is an embodiment in which the
또한 상기 도 4의 (b)는 인증 결합 어플리케이션(450b)이 공인 인증 지원부(455b)를 포함하는 실시예로서, 인증 결합 어플리케이션(450b)이 생체 인증 어플리케이션(430b)과 연동하여 본 발명에 따른 인증 서비스를 제공함에 있어서, 앞서 상기 도 3을 통해 살펴본 인증 결합 어플리케이션(450b)의 기본적 기능 이외에 공인 인증 지원부(455b)를 포함하여 공인 인증 어플리케이션이 수행하던 공인 인증서의 관리와 서명 기능까지 수행할 수 있다.4B shows an embodiment in which the
본 발명에 따른 인증 어플리케이션은 이후 살펴볼 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법의 각 단계를 실행시키기 위해 사용자 단말기에 저장된 컴퓨터 프로그램으로 구현될 수도 있다.The authentication application according to the present invention may be implemented as a computer program stored in a user terminal to execute each step of the biometric authentication combined user authentication method according to the present invention to be described later.
다음으로 본 발명에 따른 인증 서비스 장치에 대하여 도 5에 도시된 실시예의 구성도를 참조하여 살펴본다.Next, an authentication service apparatus according to the present invention will be described with reference to the configuration diagram of the embodiment shown in FIG.
인증 서비스 장치(200)는 생체 인증 검증부(210), 인증 지원부(230), 서버 토큰 저장부(250)를 포함할 수 있다.The
생체 인증 검증부(210)는 사용자에 대한 생체 인증에 대응되는 생체 인증키를 보유하고 사용자 모바일 단말기의 인증 어플리케이션으로부터 전송되는 생체 인증 결과에 대하여 검증하여 그에 따른 검증 결과를 제공한다.The biometric
이를 위해 생체 인증 검증부(210)는 사전에 사용자 모바일 단말기의 인증 어플리케이션으로부터 해당 사용자에 대한 생체 인증에 대응되는 생체 인증키를 전송받아 해당 사용자에 대한 생체 인증을 등록하는데, 이때 생체 인증에 대한 공개키와 개인키 방식이 적용될 수 있으며, 생체 인증 검증부(210)는 사용자 모바일 단말기의 인증 어플리케이션으로부터 생체 인증 결과에 대응되는 공개키를 전송받아 등록하고, 인증 어플리케이션으로부터의 생체 인증 결과에 따른 개인키의 서명을 등록된 공개키로 검증하여 검증 결과를 생성할 수 있다.For this, the biometric
인증 지원부(230)는 사용자 모바일 단말기에 탑재된 인증 어플리케이션으로부터 사용자 인증을 위한 패스워드를 포함하는 인증 정보를 분할한 하나이상의 조각을 포함하는 서버 토큰을 상기 사용자에 대한 생체 인증 결과에 대응되어 전송받는데, 이때 사용자의 생체 인증 결과에 따라 생체 인증키로 서명된 서버 토큰을 전송받을 수 있다. 그러면 인증 지원부(230)는 생체 인증 검증부(210)를 통해 서버 토큰의 서명을 검증하여 검증 결과에 따라 상기 서버 토큰을 등록하고 서버 토큰 저장부(250)에 저장한 후 등록 결과를 인증 어플리케이션으로 전송한다. 이때 인증 어플리케이션으로부터 전송되는 서버 토큰에는 식별 정보 태그가 부착될 수 있고 인증 지원부(230)는 상기 식별 정보 태그를 기초로 상기 서버 토큰을 등록할 수도 있다.The
그리고 인증 지원부(230)는 사용자 모바일 단말기의 인증 어플리케이션으로부터 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과와 함께 서버 토큰의 전송 요청을 수신하면, 생체 인증 검증부(210)로 상기 생체 인증 결과를 전달하여 이에 대한 검증 결과를 전달받고 상기 검증 결과에 따라 해당 서버 토큰을 추출하여 인증 어플리케이션으로 전송한다. 이때 인증 어플리케이션으로부터 서버 토큰에 대한 전송 요청시 해당 서버 토큰에 대응되는 식별 정보를 전송받을 수 있고, 상기 식별 정보를 기초로 등록된 서버 토큰을 추출할 수 있다.When the
서버 토큰 저장부(250)는 인증 지원부(230)의 해당 서버 토큰에 대한 등록 결정에 따라 인증 지원부(230)로부터 서버 토큰을 전달받아 저장한다.The server
이와 같은 인증 서비스 장치는 각 구성이 개별적인 장치로 구성될 수도 있으며, 나아가서 일반적으로 보급되는 서버를 인증 서비스 장치로 적용하는 경우에는 이후에 살펴볼 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법의 각 단계를 실행시키기 위해 컴퓨터 프로그램이 탑재된 서버가 인증 서비스 장치로 적용될 수도 있다.The authentication service device may be constituted by individual devices. In addition, when a commonly-used server is applied as an authentication service device, each step of the biometric authentication combined user authentication method according to the present invention A server on which a computer program is loaded may be applied as an authentication service apparatus.
이와 같이 본 발명에 따른 인증 시스템은 사용자 모바일 단말기(100)에 탑재되는 인증 어플리케이션과 인증 서비스 장치(200)를 통해 현재까지 구축된 대부분의 온라인 시스템들이 사용자 인증을 패스워드 입력 인증 방식으로 적용하고 있는 온라인 서비스 시스템 자체의 변경 없이 생체 인증 기술을 적용할 수 있게 된다. As described above, the authentication system according to the present invention includes an authentication application installed in the user
나아가서 본 발명에서는 상기에서 살펴본 인증 서비스 시스템의 각 구성들을 통한 생체 인증 결합 사용자 간편 인증 방법을 제시한다.In addition, the present invention proposes a biometric authentication combined user authentication method through each of the above-described configurations of the authentication service system.
본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법은 인증 서비스 등록 과정과 인증 서비스 제공 과정으로 구분될 수 있는데, 먼저 인증 서비스 등록 과정에서는, 사용자 모바일 단말기에 탑재된 인증 어플리케이션이 사용자 인증을 위한 패스워드를 포함하는 인증 정보를 두 개 이상의 조각으로 분할하여 하나 이상의 조각을 포함하는 디바이스 토큰과 나머지 조각을 포함하는 서버 토큰을 생성한다. 그리고 상기 인증 어플리케이션은 사용자에 대한 생체 인증을 수행한 생체 인증 결과에 따라 상기 서버 토큰을 인증 서비스 장치에 전송하며, 상기 인증 서비스 장치는 상기 생체 인증 결과를 검증하여 검증 결과에 따라 상기 서버 토큰을 등록하고 등록 결과를 상기 인증 어플리케이션으로 전송한다. 그러면 상기 인증 어플리케이션은 상기 서버 토큰의 등록 결과에 따라 상기 디바이스 토큰을 상기 사용자 모바일 단말기에 보관한다.A biometric authentication combined user authentication method according to the present invention can be classified into an authentication service registration process and an authentication service providing process. First, in an authentication service registration process, an authentication application installed in a user mobile terminal includes a password for user authentication The authentication information is divided into two or more pieces to generate a server token including a device token and a remaining piece including one or more pieces. The authentication application transmits the server token to the authentication service device according to the biometric authentication result of the biometric authentication performed by the user. The authentication service device verifies the biometric authentication result and registers the server token according to the verification result And transmits the registration result to the authentication application. The authentication application then stores the device token in the user mobile terminal according to the registration result of the server token.
상기 인증 서비스 등록 과정을 거친 후 사용자의 인증이 요구되는 경우에 인증 서비스 제공 과정을 수행하는데, 사용자 모바일 단말기를 통해 공인 인증서의 서명이나 온라인 계정 이용 등으로 인해 패스워드 입력의 사용자 인증이 요청되면, 상기 사용자 모바일 단말기에 탑재된 인증 어플리케이션은 사용자에 대한 생체 인증을 수행한 생체 인증 결과를 인증 서비스 장치로 전송하면서 서버 토큰을 요청한다. 그리고 상기 인증 서비스 장치는 상기 생체 인증 결과를 검증하고 검증 결과에 따라 해당 서버 토큰을 추출하여 상기 인증 어플리케이션으로 전송하며, 상기 인증 어플리케이션은 전송받은 서버 토큰과 상기 사용자 모바일 단말기에 보관된 디바이스 토큰을 결합하여 인증 정보를 복구하여 상기 사용자에 대한 인증을 위해 상기 인증 정보에 포함된 패스워드를 제공한다.When the user authentication is requested after the authentication service registration process, the authentication service providing process is performed. When the user authentication of the password input is requested through signing of the authorized certificate or using the online account through the user mobile terminal, The authentication application installed in the user mobile terminal requests the server token while transmitting the biometric authentication result of biometric authentication to the user to the authentication service device. The authentication service device verifies the biometric authentication result, extracts a corresponding server token according to the verification result, and transmits the extracted server token to the authentication application. The authentication application combines the transmitted server token and the device token stored in the user mobile terminal And provides the password included in the authentication information for authentication to the user.
이하에서는 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법은 인증 서비스 등록 과정과 인증 서비스 제공 과정을 실시예를 통해 자세히 살펴보기로 한다.Hereinafter, a biometric authentication combined user authentication method according to the present invention will be described in detail with reference to embodiments of an authentication service registration process and an authentication service provision process.
도 6은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 등록 과정의 개념도를 도시한다.6 is a conceptual diagram of an authentication service registration process in a biometric authentication combined user authentication method according to the present invention.
사용자 단말기(100)의 인증 어플리케이션은 사용자 인증을 위한 패스워드(510)에 대응되는 암호키(520)를 생성하여 패스워드(510)를 암호화한다.The authentication application of the
그리고 암호키(520)와 암호화된 패스워드(530)를 각각 분할하여 암호키 조각(521, 525)과 패스워드 조각(531, 535)으로 분리한 후 암호키 조각(521, 525) 중 일부 조각(521)과 패스워드 조각(531, 535) 중 일부 조각(531)을 선택하여 디바이스 토큰(540)을 생성하고 나머지 암호키 조각(525)과 패스워드 조각(535)으로 서버 토큰(550)을 생성한다.The
패스워드 조각(535)으로 서버 토큰(550)을 생성되면, 인증 어플리케이션은 사용자에 대한 생체 인증(560)을 수행하여 생체 인증 결과에 따라 생체 인증키로 서버 토큰(550)을 서명하고, 서명된 서버 토큰(570)을 인증 서비스 장치(200)로 전송한다.Once the
인증 서비스 장치(200)는 사용자 모바일 단말기(100)의 인증 어플리케이션으로부터 전송받은 서버 토큰(570)의 서명을 검증하는데, 이를 위해 사전에 인증 서비스 장치(200)에 해당 사용자 생체 인증의 등록이 전제되어 인증 서비스 장치(200)는 해당 사용자 생체 인증에 대응되는 생체 인증키를 보유하고 있다.The
그리고 인증 서비스 장치(200)는 서버 토큰(570)의 서명에 대한 검증 결과에 따라 서버 토큰을 등록하여 보관하며, 등록 결과를 사용자 모바일 단말기(100)의 인증 어플리케이션으로 전송한다. Then, the
사용자 모바일 단말기(100)의 인증 어플리케이션은 인증 서비스 장치(200)로부터의 서버 토큰에 대한 등록 결과에 따라 이에 대응되는 디바이스 토큰(540)을 사용자 모바일 단말기(100) 상에 보관한다.The authentication application of the user
이와 같은 과정으로 서비스 등록 과정이 완료된 상태에서 사용에 대한 패스워드 인증이 요청되는 경우 생체 인증을 통해 해당 패스워드를 자동 입력하는데, 이와 관련하여 도 7은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 제공 과정의 개념도를 도시한다.7 is a flowchart illustrating an authentication method according to an embodiment of the present invention. Referring to FIG. 7, in the biometric authentication combination user authentication method according to an exemplary embodiment of the present invention, when a password authentication is requested for use in a state where the service registration process is completed, And a service providing process.
사용자 인증이 요청되면, 사용자 모바일 단말기(100)의 인증 어플리케이션은 사용자에 대한 생체 인증(610)을 수행한 생체 인증 결과를 인증 서비스 장치(200)로 전송하면서 서버 토큰을 요청한다.When the user authentication is requested, the authentication application of the user
그러면 인증 서비스 장치(200)는 인증 어플리케이션으로부터 전송된 생체 인증 결과를 검증하고 검증 결과에 따라 서버 토큰(630)을 추출하여 사용자 모바일 단말기(100)의 인증 어플리케이션에 전송한다. 이때 상기 생체 인증 결과에 대한 검증 결과가 함께 전송될 수도 있다.Then, the
사용자 모바일 단말기(100)의 인증 어플리케이션은 인증 서비스 장치(200)로부터 전송된 서버 토큰(630)에 대응되는 디바이스 토큰(620)을 추출하고, 디바이스 토큰(620)에 포함된 암호키 조각(621)과 서버 토큰(630)에 포함된 암호키 조각(631)을 결합(640)하여 암호키(660)를 복구하고, 또한 디바이스 토큰(620)에 포함된 패스워드 조각(625)과 서버 토큰(630)에 포함된 패스워드 조각(635)을 결합(650)하여 암호화된 패스워드(670)를 복구한다. 암호키(660)와 암호화된 패스워드(670)가 복구되면, 인증 어플리케이션은 암호키(660)로 암호화된 패스워드(670)를 복호화하여 패스워드(680)를 재생성하고, 사용자 인증을 위해 패스워드(680)를 제공한다.The authentication application of the user
이와 같이 본 발명에서는 사용자 모바일 단말기(100)에 탑재된 인증 어플리케이션과 인증 서비스 장치(200) 간의 연동으로 사용자 인증을 위한 패스워드를 사용자 생체 인증으로 대체할 수 있는데, 특히 패스워드를 분할하여 다른 장소에 분리 보관함으로써 보안 신뢰성을 높일 수 있다.As described above, in the present invention, the password for user authentication can be replaced with the user biometric authentication by interlocking with the authentication application installed in the user
본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법이 사용자 모바일 단말기와 인증 서비스 장치 상에서 실제적으로 어떻게 구현되는지를 세부적인 실시예를 통해 좀더 자세히 살펴보기로 한다.The biometric authentication combined user authentication method according to the present invention will be described in more detail with reference to a detailed embodiment by way of how the embodiment is practically implemented on a user mobile terminal and an authentication service device.
도 8은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 등록 과정에 대한 실시예의 흐름도를 도시한다.FIG. 8 shows a flowchart of an embodiment of the authentication service registration process in the biometric authentication combined user authentication method according to the present invention.
상기 도 8의 실시예는 앞서 살펴본 상기 도 3의 인증 어플리케이션을 적용하는 경우로서, 이는 본 발명의 설명을 위한 하나의 실시예이며, 인증 서비스 시스템의 세부 구성은 앞서 설명한 바와 같이 다양하게 변형될 수 있으며, 인증 서비스 시스템의 세부 구성에서 수행하는 각 과정도 그에 따라 변형될 수 있다.The embodiment of FIG. 8 is a case of applying the authentication application of FIG. 3 as described above, which is one embodiment for explaining the present invention. The detailed configuration of the authentication service system may be variously modified as described above And each process performed in the detailed configuration of the authentication service system can be modified accordingly.
본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법을 이용하기 위해서 사용자 모바일 단말기(100)의 생체 인증 어플리케이션(430)이 사용자의 생체 인증을 인증 서비스 장치(200)에 등록시키는 과정이 전제된다. 여기서 생체 인증의 등록 과정은 여러 가지 방식으로 구현될 수 있는데, 상기 도 8의 실시예에서는 생체 인증 어플리케이션(430)이 사용자의 생체 인식을 수행하고 이에 대응되는 생체 인증키를 생성(S10)하여 인증 서비스 장치(200)로 사용자 생체 인증의 등록을 요청(S30)하면서 상기 생체 인증키를 인증 서비스 장치(200)로 전송하며, 인증 서비스 장치(200)는 해당 사용자의 생체 인증을 등록(S50)하면서 상기 생체 인증키를 보관한다.The
이때, 사용자 생체 인식은 사용자의 지문 인식, 홍채 인식, 혈관 인식 또는 음성 인식 등 다양한 생체 인식이 적용될 수 있으며, 사용자에 대한 각 생체 인식마다 개별적인 생체 인증키를 생성할 수도 있고 또는 선택된 복수의 생체 인식에 대응되는 하나의 생체 인증키를 생성할 수도 있다.At this time, the user biometrics may be applied to various biometrics such as fingerprint recognition, iris recognition, blood vessel recognition or voice recognition of the user, and may generate individual biometrics keys for each biometrics for a user, The biometric authentication key corresponding to the biometric authentication key may be generated.
바람직하게는 생체 인증키가 공개키와 개인키의 쌍키 방식으로 생성될 수 있고, 사용자의 생체 인식에 대응시켜 공개키를 인증 서비스 장치(200)에 등록시킬 수 있다.Preferably, the biometric authentication key can be generated in a two-key manner between the public key and the private key, and the public key can be registered in the
사용자에 대한 생체 인증이 인증 서비스 장치(200)에 등록된 후, 본 발명에 따른 생체 인증 결합 사용자 간편 인증 서비스를 이용하기 위해 인증 결합 어플리케이션(450)은 공인 인증 어플리케이션(410)으로부터 해당 공인 인증서의 패스워드를 전달(S110)받는다. 상기 도 8에서는 사용자 공인 인증서의 패스워드로 설명하는데, 이는 하나의 예시로서 앞서 설명한 바와 같이 패스워드 외에 추가적인 인증 정보를 적용할 수 있으며 또한 온라인 서비스 계정의 패스워드 등 사용자 인증시 패스워드 입력이 요구되는 다양한 사용자 인증 형태에 본 발명이 적용될 수 있다.After the biometric authentication for the user is registered in the
인증 결합 어플리케이션(450)은 공인 인증서의 패스워드를 전달받으면 이에 대응시켜 암호키를 생성(S120)하고 상기 암호키로 상기 패스워드를 암호화(S130)한다. 그리고 암호화된 패스워드와 암호키 각각을 복수의 조각으로 분할하여 패스워드 조각과 암호키 조각으로 만든 후 패스워드 조각과 암호키 조각 중 일부를 선택한 조합으로 디바이스 토큰을 생성하고 나머지 조각의 조합으로 서버 토큰을 생성(S140, S150)한다.Upon receiving the password of the authorized certificate, the
바람직하게는 복수의 공인 인증서 각각의 패스워드에 대응되는 디바이스 토큰과 서버 토큰을 구별할 수 있도록 디바이스 토큰과 서버 토큰에 식별 정보 태그가 부착될 수 있다.Preferably, an identification tag may be attached to the device token and the server token so that the device token corresponding to the password of each of the plurality of authorized certificates can be distinguished from the server token.
디바이스 토큰과 서버 토큰의 생성 과정을 구체적인 예를 들어 살펴보자면, 암호화된 인증 정보와 암호키 각각을 두개의 조각으로 분할할 후 각 조각들의 순차적인 순번에 따라 인증 정보 조각 중 첫번째 조각과 암호키 조각 중 첫번째 조각을 조합하여 디바이스 토큰을 생성하고, 인증 정보 조각 중 두번째 조각과 암호키 조각 중 두번째 조각을 조합하여 서버 토큰을 생성할 수 있다. A concrete example of the process of generating the device token and the server token is as follows. First, each of the encrypted authentication information and the encryption key is divided into two pieces. Then, according to the sequential order of the pieces, To generate a device token, and a second piece of the authentication information piece and a second piece of the encryption key piece may be combined to generate a server token.
만약 암호화된 인증 정보와 암호키 각각을 세개 이상의 조각으로 분할하여 조합하거나 무작위로 조합하는 경우에는 인증 정보 조각의 순차적인 순번과 암호키 조각의 순차적인 순번을 설정하고 인증 정보 조각의 순번과 암호키 조각의 순번을 조합하여 디바이스 토큰과 서버 토큰을 생성할 수 있으며, 이때 디바이스 토큰과 서버 토큰에 포함되는 인증 정보 조각의 순번과 암호키 조각의 순번에 대한 조합 정보를 생성하여 별도 보관하거나 디바이스 토큰과 서버 토큰에 태그로 부착시킬 수 있다. 그리고 이후 디바이스 토큰과 서버 토큰을 결합하여 암호화된 인증 정보와 암호키의 복구시 상기 조합 정보를 기초로 각 조각들을 배열하여 암호화된 인증 정보와 암호키를 복구시킬 수 있게 된다.If the encrypted authentication information and the encryption key are divided into three or more pieces and combined or randomly combined, the sequential order of the pieces of authentication information and the sequential order of the cipher key pieces are set, The device token and the server token can be generated by combining the sequential numbers of the pieces of the key. At this time, the combination information of the order of the pieces of the authentication information pieces included in the device token and the server token and the order of the cipher key pieces is generated, You can attach tags to server tokens. Then, when the device token and the server token are combined to recover the encrypted authentication information and the encryption key, the pieces of authentication information and the encryption key can be restored by arranging each piece based on the combination information.
이와 같은 과정을 거쳐 디바이스 토큰과 서버 토큰이 생성되면 인증 결합 어플리케이션(450)은 생체 인증 어플리케이션(430)에 해당 사용자에 대한 생체 인증을 요청(S160)하며, 생체 인증 어플리케이션(430)이 해당 사용자의 생체 인증을 수행(S170)하고 생체 인증 결과를 인증 결합 어플리케이션(450)으로 전달(S180)한다. 여기서 결합 어플리케이션(450)은 해당 사용자에 대한 생체 인증을 요청하면서 생체 인증 어플리케이션(430)으로 생성된 서버 토큰을 전달하며, 생체 인증 어플리케이션(430)은 생체 인증 결과에 따라 생체 인증키로 서버 토큰을 서명하여 서명된 서버 토큰을 생체 인증 결과와 함께 전달할 수 있다.When the device token and the server token are generated through the above process, the
그리고 인증 결합 어플리케이션(450)은 생체 인증 결과를 기초로 서명된 서버 토큰을 인증 서비스 장치(200)로 전송(S190)하면서 서버 토큰의 등록을 요청한다.Then, the
인증 서비스 장치(200)는 인증 결합 어플리케이션(450)으로부터 전송받은 서명된 서버 토큰에 대하여 사전에 해당 사용자에 대하여 등록된 생체 인증을 토대로 검증을 수행하는데, 사용자에 대한 생체 인증 등록에 따라 보관된 생체 인증키로 서버 토큰의 서명을 검증할 수 있다.The
서버 토큰의 서명에 대한 검증 결과에 따라 인증 서비스 장치(200)는 서버 토큰을 등록하여 저장(S220)하고, 등록 결과를 인증 결합 어플리케이션(450)으로 전송(S230)한다.In accordance with the verification result of the signature of the server token, the
인증 결합 어플리케이션(450)은 인증 서비스 장치(200)로부터의 등록 결과에 따라 등록된 서버 토큰과 쌍을 이루는 디바이스 토큰을 사용자 모바일 단말기(100) 상에 저장(S240)한다.The
이와 같은 과정을 통해 공인 인증서의 패스워드 등의 인증 정보를 분할하여 분할한 조각을 서로 다른 장소에 분리 보관할 수 있게 된다.Through such a process, the authentication information such as the password of the authorized certificate can be divided and the divided pieces can be separately stored in different places.
다음으로 사용자 인증을 위한 패스워드 입력을 생체 인증으로 자동 수행하는 인증 서비스의 이용 과정에 대하여 도 9에 도시된 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법에서 인증 서비스 제공 과정에 대한 실시예의 흐름도를 참조하여 살펴본다.Next, referring to the flow chart of the embodiment of the authentication service providing process in the biometric authentication combined user authentication method according to the present invention shown in FIG. 9 with reference to the use process of the authentication service in which the password input for user authentication is automatically performed by biometric authentication .
상기 도 9의 실시예는 앞서 살펴본 상기 도 8의 실시예 이후 연계되는 과정으로서, 온라인 서비스 서버인 뱅킹 서버(300)에서 제공하는 온라인 금융 서비스의 이용시 공인 인증서의 서명을 본 발명을 통해 제공하는 실시예를 나타낸다.The embodiment of FIG. 9 is a process of connecting after the embodiment of FIG. 8, which has been described above, in which the signature of the authorized certificate is provided through the present invention when the online banking service provided by the
사용자 모바일 단말기(100)를 통해 뱅킹 서버(300)에서 제공하는 온라인 금융 서비스의 이용 과정 중 뱅킹 서버(300)로부터 사용자 공인 인증서의 서명을 요청(S310)받는 경우, 공인 인증 어플리케이션(410)은 해당 공인 인증서에 대한 인증 수행을 인증 결합 어플리케이션(450)으로 요청(S320)한다.When the
인증 수행 요청에 따라 인증 결합 어플리케이션(450)은 생체 인증 어플리케이션(430)으로 사용자에 대한 생체 인증을 요청(S330)하며, 생체 인증 어플리케이션(430)은 사용자의 생체 인증을 수행(S340)하는데, 바람직하게는 해당 공인 인증서에 대응되는 생체 인식 방식이 특정 생체 인식 방식으로 설정되어 있는 경우에는 설정된 생체 인식 방식으로 생체 인식을 수행하며, 만약 생체 인식 방식의 제한이 없는 경우에는 사용자의 선택을 받아 선택된 생체 인식 방식으로 생체 인식을 수행한다. In response to the authentication execution request, the
그리고 생체 인증 어플리케이션(430)은 생체 인식에 따른 생체 인증 결과를 인증 결합 어플리케이션(450)으로 전달(S350)한다. 이때 인증 결합 어플리케이션(450)이 해당 인증 과정에 대응되는 인증 원문을 생체 인증 어플리케이션(430)에 제공하고 생체 인증 어플리케이션(430)은 생체 인증 결과에 따라 생체 인증키로 서명한 인증 원문을 인증 결합 어플리케이션(450)에 전달할 수도 있다.Then, the
사용자에 대한 생체 인증 결과를 획득하면 인증 결합 어플리케이션(450)은 생체 인증 결과를 인증 서비스 장치(200)로 전송(S350)하면서 서버 토큰을 요청한다. 서버 토큰의 요청시 인증 결합 어플리케이션(450)은 사용자 인증에 사용될 공인 인증서에 대응되는 서버 토큰의 식별 정보를 인증 서비스 장치(200)로 전송할 수도 있다.Upon acquiring the biometric authentication result for the user, the
서버 토큰의 요청 수신에 따라 인증 서비스 장치(200)는 전송받은 생체 인증 결과를 검증(S370)하는데, 일례로 사전에 사용자 생체 인증을 위해 등록된 생체 인증키를 기초로 인증 원문의 서명을 검증할 수 있다.Upon receipt of the request for the server token, the
그리고 인증 서비스 장치(200)는 생체 인증 결과의 검증 결과에 따라 서버 토큰을 추출(S380)하여 인증 결합 어플리케이션(450)으로 전송(S390)하는데, 이때 인증 서비스 장치(200)는 인증 결합 어플리케이션(450)으로부터 서버 토큰의 요청시 전송받은 식별 정보를 기초로 저장된 복수의 서버 토큰 중 해당 서버 토큰을 확인하여 추출할 수 있다.Then, the
인증 서비스 장치(200)로부터 서버 토큰을 전송받으면, 인증 결합 어플리케이션(450)은 전송받은 서버 토큰과 쌍을 이루는 디바이스 토큰을 추출(S410)하고 서버 토큰과 디바이스 토큰에 포함된 패스워드 조각과 암호키 조각을 결합(S420)하여 암호화된 패스워드와 암호키를 복구한다.Upon receiving the server token from the
암호화된 패스워드와 암호키를 복구하는 과정을 구체적인 예를 들어 살펴보자면, 디바이스 토큰과 서버 토큰의 생성시 미리 설정된 순번의 조합으로 인증 정보 조각과 암호키 조각이 조합되어 디바이스 토큰과 서버 토큰이 생성된 경우에는, 디바이스 토큰과 서버 토큰에 포함된 인증 정보 조각과 암호키 조각들을 설정된 순번의 조합에 따라 결합하여 암호화된 인증 정보와 암호키를 복구할 수 있다. The process of recovering the encrypted password and the encryption key will be described in detail. The authentication information piece and the encryption key piece are combined in the combination of the device token and the preset sequence number at the time of generating the server token to generate the device token and the server token , The authentication information pieces and the encryption key fragments included in the device token and the server token can be combined according to the combination of the set sequence numbers to recover the encrypted authentication information and the encryption key.
만약 디바이스 토큰과 서버 토큰의 생성시 암호화된 인증 정보와 암호키 각각을 세개 이상의 조각으로 분할하여 조합하거나 무작위로 조합하여 디바이스 토큰과 서버 토큰이 생성된 경우에는, 별도 보관된 조합 정보나 디바이스 토큰과 서버 토큰에 태그로 부착된 조합 정보를 기초로 디바이스 토큰과 서버 토큰에 포함된 인증 정보 조각과 암호키 조각을 배열하여 결합함으로써 암호화된 인증 정보와 암호키를 복구할 수 있다.If a device token and a server token are generated by dividing each of the encrypted authentication information and the encryption key into three or more pieces when the device token and the server token are generated or by randomly combining them, It is possible to recover the encrypted authentication information and the encryption key by arranging and combining the authentication information pieces and the encryption key pieces included in the device token and the server token based on the combination information tagged in the server token.
다시 상기 도 9로 회귀하여 이후 과정을 계속하여 살펴보면, 암호화된 패스워드와 암호키를 복구한 후 인증 결합 어플리케이션(450)은 암호키로 암호화된 패스워드를 복호화(S430)하고, 복구된 패스워드를 공인 인증 어플리케이션(410)으로 전달(S440)한다.9, after restoring the encrypted password and the encryption key, the
공인 인증 어플리케이션(410)은 인증 결합 어플리케이션(450)으로부터 해당 공인 인증서에 대한 패스워드를 전달받음으로써 사용자로부터 해당 공인 인증서에 대한 패스워드를 입력 받을 필요 없이 전달받은 패스워드로 공인 인증서에 대한 인증을 수행(S520)하여 해당 공인 인증서의 사용자 서명을 뱅킹 서버(300)로 전달(S550)할 수 있게 된다.The authorized
상기 도 9에는 뱅킹 어플리케이션이 제외되었으나, 사용자 모바일 단말기(100)에 뱅킹 서버(300)의 온라인 금융 서비스를 이용하기 위한 뱅킹 어플리케이션이 탑재된 경우 뱅킹 서버(300)와 공인 인증 어플리케이션(410) 간에 뱅킹 어플리케이션이 개입될 수 있으며, 나아가서 뱅킹 어플리케이션이 공인 인증 어플리케이션(410), 생체 인증 어플리케이션(430), 인증 결합 어플리케이션(450) 등을 선택적으로 포함하여 구성될 수도 있다.9, when a banking application for using the online banking service of the
나아가서 사용자 모바일 단말기 상에 복수의 공인 인증서가 보관되어 있거나 복수의 온라인 서비스 계정에 대한 패스워드 등의 인증 정보에 본 발명을 적용하는 경우와 관련하여, 도 10은 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법으로 복수의 공인 인증서 패스워드 및 온라인 서비스 계정 패스워드에 대한 인증 서비스를 제공하기 위한 일례를 도시한다.Furthermore, in the case where the present invention is applied to authentication information such as a password for a plurality of online service accounts or a plurality of authorized certificates stored on a user mobile terminal, FIG. 10 is a flowchart illustrating a biometric authentication combined user authentication ≪ / RTI > shows an example for providing authentication services for a plurality of authorized certificate passwords and online service account passwords.
상기 도 10과 같이 하나의 사용자 모바일 단말기를 통해 공인 인증서 A, 공인 인증서 B 등의 선택적 이용시에 본 발명을 적용하는 경우나 공인 인증서 이외에 추가적으로 온라인 서비스 계정 C, 온라인 서비스 계정 D 등의 이용시에도 본 발명을 적용하는 경우에, 사용자 모바일 단말기에 탑재된 인증 어플리케이션은 공인 인증서 A 패스워드(710)에 대응되는 암호키 A(711)를 생성하고 공인 인증 A 패스워드(710)와 암호키 A(711)에 대하여 앞서 살펴본 과정을 거쳐 디바이스 토큰 A(713)와 서버 토큰 A(715)의 토큰 쌍을 생성한다. 그리고 사용자 생체 인증을 수행하여 생체 인증 결과에 따라 서버 토큰 A(715)는 인증 서비스 장치에 등록하고 디바이스 토큰 A(713)은 사용자 모바일 단말기에 보관한다.As shown in FIG. 10, when the present invention is applied to the selective use of the public certificate A, the public certificate B, and the like through one user mobile terminal, or when the online service account C and the online service account D are additionally used in addition to the public certificate, The authentication application installed in the user mobile terminal generates the
마찬가지로 공인 인증서 B 패스워드(720), 온라인 서비스 계정 C 패스워드(730), 온라인 서비스 계정 D 패스워드(740) 각각에 대한 개별적인 암호키(721, 731, 741)를 생성하고 이에 대응되는 각각의 디바이스 토큰(723, 733, 743)과 서버 토큰(725, 735, 745)의 토큰 쌍을 생성하여 사용자 생체 인증 결과에 따라 각 서버 토큰(725, 735, 745)은 인증 서비스 장치에 등록하고 각 디바이스 토큰(723, 733, 743)은 사용자 모바일 단말기에 보관한다.Similarly,
이와 같이 복수의 토큰 쌍을 등록 및 보관하는 경우, 각 토큰 쌍을 구분하기 위해 각 디바이스 토큰(713, 723, 733, 743)과 각 서버 토큰(715, 725, 735, 745)에는 식별 정보가 부가되어, 각 디바이스 토큰(713, 723, 733, 743)과 각 서버 토큰(715, 725, 735, 745) 중 필요로 하는 디바이스 토큰과 서버 토큰을 식별 정보를 기초로 추출할 수 있다.When a plurality of pairs of tokens are registered and stored, identification information is added to each of the
나아가서 본 발명에서는 사용자에 대한 생체 인식은 사용자의 지문 인식(751), 홍채 인식(753), 음성 인식(755), 혈관 인식(757) 등 다양한 생체 인식(750) 방식이 적용될 수 있으며, 생체 인증에 대한 제한이 설정되지 않은 경우에는 사용자 모바일 단말기의 인증 어플리케이션은 인증 서비스 장치에 등록된 생체 인증 중 사용자가 선택하는 생체 인식 방식으로 생체 인증을 수행하여 본 발명에 따른 생체 인증 결합 사용자 간편 인증 방법의 각 과정을 수행할 수 있다.Furthermore, in the present invention, various biometric methods such as a
만약, 특정 공인 인증서나 특정 온라인 서비스 계정에 대해서 보안 정책 등의 이유나 사용자 선택에 따라 특정한 생체 인증으로 제한되는 경우가 있을 수 있는데, 상기 도 10의 경우와 같이 복수의 인증 정보 각각에 대응되는 디바이스 토큰(713, 723, 733, 743)과 서버 토큰(715, 725, 735, 745)의 토큰 쌍마다 복수의 생체 인증 방식 중 어느 하나의 생체 인증 방식이 설정되어 설정된 생체 인증 방식에 따른 생체 인증 결과를 기초로 각각의 서버 토큰(715, 725, 735, 745)을 인증 서비스 장치에 등록시키고, 또한 각각의 서버 토큰(715, 725, 735, 745)의 요청시에도 설정된 생체 인증 방식에 따른 생체 인증 결과로 해당 서버 토큰을 요청할 수 있다. If a specific authorized certificate or a specific online service account is limited to specific biometric authentication for reasons such as a security policy or a user's selection, as in the case of FIG. 10, a device token The biometric authentication method according to the biometric authentication method in which any one of the plurality of biometric authentication methods is set and set for each pair of
가령, 공인 인증서 A 패스워드(710)에 대응되는 디바이스 토큰 A(713)와 서버 토큰 A(715)는 홍채 인식(753) 방식으로 생체 인증이 설정된 경우에는 사용자 모바일 단말기에 탑재된 인증 어플리케이션은 홍채 인식(753)에 대응되어 인증 서비스 장치에 등록된 생체 인증으로만 공인 인증서 A 패스워드(710)에 대응되는 디바이스 토큰 A(713)를 등록시킬 수 있으며, 또한 인증 서비스 장치로 디바이스 토큰 A(713)를 요청할 때 사용자 모바일 단말기에 탑재된 인증 어플리케이션은 홍채 인식(753)을 통한 생체 인증 결과로만 디바이스 토큰 A(713)를 전송받을 수 있게 된다.For example, when the device token A 713 corresponding to the authentication
이와 같은 본 발명을 통해 현재까지 구축된 대부분의 온라인 시스템들이 사용자 인증을 패스워드 입력 인증 방식으로 적용하고 있는 상황에서 온라인 시스템 자체의 변경 없이 생체 인증 기술을 적용할 수 있게 된다.According to the present invention, most of the on-line systems established up to now apply biometric authentication technology without changing the on-line system itself in a situation where user authentication is applied as a password input authentication method.
특히, 외부 유출시 심각한 피해를 야기할 수 있는 패스워드 등의 인증 정보를 분할하여 디바이스 토큰과 서버 토큰으로 생성하고 이를 생체 인증에 대응시켜 인증 서비스 장치와 사용자 모바일 단말기에 분리 보관함으로써, 사용자 모바일 단말기를 분실하거나 해킹당하는 경우에도 패스워드의 일부 조각만 유출되고 패스워드 전체를 확인할 수 없기에 보다 보안 신뢰성을 강화시킬 수 있게 된다.Particularly, authentication information such as a password, which may cause serious damage in the case of external leakage, is divided into a device token and a server token, and the authentication information is stored in the authentication service device and the user mobile terminal in association with the biometric authentication. Even if a user is lost or hacked, only a part of the password is leaked, and the entire password can not be confirmed, thereby enhancing the security reliability.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서 본 발명에 기재된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상이 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의해서 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The foregoing description is merely illustrative of the technical idea of the present invention, and various changes and modifications may be made by those skilled in the art without departing from the essential characteristics of the present invention. Therefore, the embodiments of the present invention are not intended to limit the scope of the present invention but to limit the scope of the present invention. The scope of protection of the present invention should be construed according to the following claims, and all technical ideas within the scope of equivalents thereof should be construed as being included in the scope of the present invention.
100, 100a, 100b : 사용자 모바일 단말기,
110a, 110b : 뱅킹 어플리케이션,
111b : 인증 툴킷,
150a , 400 : 인증 어플리케이션,
150b : 인증 SDK,
200 : 인증 서비스 장치,
210 : 생체 인증 검증부,
230 : 인증 지원부,
250 : 서버 토큰 저장부,
300 : 온라인 서비스 서버,
410, 410a : 공인 인증 어플리케이션,
430, 430b : 생체 인증 어플리케이션,
450, 450a, 450b : 인증 결합 어플리케이션,
455a : 생체 인증 지원부,
455b : 공인 인증 지원부.100, 100a, 100b: a user mobile terminal,
110a, 110b: banking application,
111b: authentication toolkit,
150a, 400: authentication application,
150b: Authentication SDK,
200: authentication service device,
210: biometric authentication verification unit,
230: Certification Authority,
250: a server token storage unit,
300: online service server,
410, 410a: Certified authentication application,
430, 430b: biometric authentication application,
450, 450a, 450b: Authentication combination application,
455a: biometric authentication support unit,
455b: Certified Certification Support.
Claims (20)
상기 인증 어플리케이션이, 암호화된 상기 인증 정보 및 상기 암호키를 각각 복수의 조각으로 분할하고, 인증 정보 조각과 암호키 조각에서 선택된 복수의 조각들의 조합으로 디바이스 토큰을 생성하고 나머지 조각들의 조합으로 서버 토큰을 생성하며, 상기 디바이스 토큰과 상기 서버 토큰에 포함되는 상기 인증 정보 조각의 순번과 상기 암호키 조각의 순번에 대한 조합 정보를 생성하는 토큰 생성 단계; 및
상기 인증 어플리케이션이, 상기 사용자에 대한 생체 인증 결과에 따라 상기 서버 토큰을 인증 서비스 장치에 등록시키고 상기 디바이스 토큰을 상기 사용자 모바일 단말기에 보관하는 토큰 보관 단계를 포함하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.An authentication information encryption step of encrypting the authentication information by generating an encryption key corresponding to authentication information including a password for user authentication in an authentication application installed in a user mobile terminal;
Wherein the authentication application divides the encrypted authentication information and the encryption key into a plurality of fragments and generates a device token with a combination of a plurality of fragments selected from the authentication information fragments and the encryption key fragments, A token generating step of generating combination information on the order of the pieces of authentication information pieces included in the device token and the server token and the order of the cipher key pieces; And
Wherein the authentication application includes a token storage step of registering the server token in the authentication service device according to the biometric authentication result for the user and storing the device token in the user mobile terminal. Authentication method.
상기 인증 어플리케이션이, 상기 사용자에 대한 인증 요청에 따라 수행한 상기 사용자에 대한 생체 인증 결과를 상기 인증 서비스 장치로 전송하여 상기 인증 서비스 장치로부터 상기 생체 인증 결과에 대한 검증 결과에 따라 상기 서버 토큰을 전송받고, 상기 디바이스 토큰을 추출하는 토큰 추출 단계;
상기 인증 어플리케이션이, 상기 서버 토큰과 상기 디바이스 토큰에 포함된 조각들을 상기 조합 정보를 기초로 결합하여 암호화된 상기 인증 정보 및 상기 암호키를 복구하는 인증 정보 복구 단계;
상기 인증 어플리케이션이, 상기 암호키로 암호화된 상기 인증 정보를 복호화하고 상기 인증 정보에 포함된 패스워드를 추출하는 패스워드 추출 단계; 및
상기 인증 어플리케이션이, 상기 사용자에 대한 인증을 위해 상기 패스워드를 제공하는 패스워드 제공 단계를 포함하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.The method according to claim 1,
The authentication application transmits the biometric authentication result for the user performed according to the authentication request for the user to the authentication service device and transmits the server token according to the verification result of the biometric authentication result from the authentication service device A token extracting step of extracting the device token;
An authentication information recovery step of the authentication application recovering the authentication information and the encryption key encrypted by combining the server token and fragments included in the device token based on the combination information;
A password extracting step of the authentication application decrypting the authentication information encrypted with the encryption key and extracting a password included in the authentication information; And
Wherein the authentication application includes a password providing step of providing the password for authentication of the user.
상기 토큰 보관 단계는,
상기 사용자에 대한 생체 인증 결과에 따라 기보유된 생체 인증키로 서명한 서버 토큰을 상기 인증 서비스 장치로 전송하는 단계;
상기 인증 서비스 장치로부터 서명된 상기 서버 토큰에 대한 검증 결과에 따른 상기 서버 토큰의 등록 결과를 전송받는 단계; 및
상기 등록 결과에 따라 상기 디바이스 토큰을 상기 사용자 모바일 단말기에 보관하는 단계를 포함하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.The method according to claim 1,
Wherein the token storage step comprises:
Transmitting a server token signed with a previously stored biometric authentication key to the authentication service apparatus according to the biometric authentication result for the user;
Receiving a registration result of the server token according to a verification result of the server token signed by the authentication service device; And
And storing the device token in the user mobile terminal according to the registration result.
상기 토큰 추출 단계는,
상기 사용자에 대한 인증 요청에 따라 수행한 상기 사용자에 대한 생체 인증 결과를 생성하는 단계;
상기 인증 서비스 장치로 상기 생체 인증 결과를 전송하면서 상기 서버 토큰을 요청하는 단계;
상기 인증 서비스 장치로부터 상기 생체 인증 결과에 대한 검증 결과에 따라 상기 서버 토큰을 전송받는 단계; 및
상기 검증 결과에 따라 상기 디바이스 토큰을 추출하는 단계를 포함하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.3. The method of claim 2,
The token extracting step includes:
Generating a biometric authentication result for the user performed according to an authentication request for the user;
Requesting the server token while transmitting the biometric authentication result to the authentication service device;
Receiving the server token according to the verification result of the biometric authentication result from the authentication service device; And
And extracting the device token according to the verification result.
복수의 패스워드 각각에 대응되는 인증 정보마다 상기 인증 정보 암호화 단계와 상기 토큰 생성 단계를 수행하여 복수의 디바이스 토큰과 복수의 서버 토큰을 생성하며,
상기 토큰 보관 단계는,
복수의 상기 서버 토큰 각각을 상기 인증 서비스 장치에 등록시키고 복수의 상기 디바이스 토큰 각각을 상기 사용자 모바일 단말기에 보관하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.3. The method of claim 2,
Generating a plurality of device tokens and a plurality of server tokens by performing the authentication information encryption step and the token generation step for each authentication information corresponding to a plurality of passwords,
Wherein the token storage step comprises:
Wherein each of the plurality of server tokens is registered in the authentication service apparatus and each of the plurality of device tokens is stored in the user mobile terminal.
상기 토큰 보관 단계는,
복수의 인증 정보 각각에 대응되는 디바이스 토큰과 서버 토큰의 토큰 쌍마다 복수의 생체 인증 방식 중 어느 하나의 생체 인증 방식이 설정되어 설정된 생체 인증 방식에 따른 생체 인증 결과를 기초로 각각의 상기 서버 토큰을 상기 인증 서비스 장치에 등록시키며,
상기 토큰 추출 단계,
해당 토큰 쌍에 대응되어 설정된 생체 인증 방식으로 사용자에 대한 생체 인증을 수행한 생체 인증 결과를 기초로 상기 인증 서비스 장치로부터 서버 토큰을 전송받는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.The method according to claim 6,
Wherein the token storage step comprises:
Wherein each of the plurality of biometric authentication methods is set for each of a pair of a device token and a token pair of a server token corresponding to each of a plurality of pieces of authentication information and sets each of the server tokens based on a biometric authentication result in accordance with the biometric authentication method And registers it in the authentication service apparatus,
The token extraction step,
And a server token is received from the authentication service device based on a biometric authentication result obtained by performing a biometric authentication on a user using a biometric authentication method set corresponding to the pair of tokens.
상기 인증 서비스 장치가, 상기 생체 인증 결과에 대한 검증을 수행하여 검증 결과에 따라 상기 서버 토큰을 등록하고 등록 결과를 상기 인증 어플리케이션에 전송하는 등록 결과 전송 단계; 및
상기 인증 서비스 장치가, 상기 인증 어플리케이션으로부터 상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과와 함께 상기 서버 토큰의 전송 요청을 수신하고, 상기 생체 인증 결과에 대한 검증에 따라 상기 서버 토큰을 추출하여 상기 인증 어플리케이션으로 전송하는 인증 서비스 제공 단계를 포함하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.The authentication service apparatus includes an authentication information piece generated by dividing the encrypted authentication information including the password for user authentication and the encryption key corresponding to the encrypted authentication information into a plurality of fragments, respectively, A token receiving step of receiving a server token generated as a combination of pieces selected from the cipher key piece and the cipher key piece, corresponding to the biometric authentication result for the user;
A registration result transmission step of the authentication service device performing verification of the biometrics authentication result, registering the server token according to a verification result, and transmitting a registration result to the authentication application; And
The authentication service apparatus receives a transmission request of the server token together with the biometrics authentication result of the user according to an authentication request for the user from the authentication application, extracts the server token according to the verification of the biometrics authentication result And transmitting the authentication service to the authentication application.
상기 인증 서비스 제공 단계는,
상기 인증 어플리케이션으로부터 상기 사용자에 대한 인증 요청에 따라 수행한 상기 사용자에 대한 생체 인증 결과와 함께 상기 서버 토큰의 전송 요청을 수신하는 토큰 요청 수신 단계;
상기 생체 인증 결과에 대한 검증을 수행하고 검증 결과에 따라 상기 서버 토큰을 추출하는 토큰 추출 단계; 및
상기 서버 토큰을 상기 인증 어플리케이션으로 전송하는 토큰 전송 단계를 포함하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.9. The method of claim 8,
The authentication service providing step may include:
A token request receiving step of receiving a transmission request for the server token together with a biometric authentication result for the user performed according to an authentication request for the user from the authentication application;
A token extracting step of verifying the biometric authentication result and extracting the server token according to a verification result; And
And a token transmission step of transmitting the server token to the authentication application.
상기 토큰 수신 단계는,
상기 인증 어플리케이션으로부터 상기 사용자의 생체 인증에 대응되는 생체 인증키로 서명된 상기 서버 토큰을 전송받으며,
상기 등록 결과 전송 단계는,
상기 서버 토큰의 서명을 기보유된 생체 인증키로 검증하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.9. The method of claim 8,
The token receiving step includes:
Receives the server token signed with the biometric authentication key corresponding to the biometric authentication of the user from the authentication application,
The registration result transmission step includes:
And verifying the signature of the server token with a previously stored biometric authentication key.
상기 토큰 수신 단계는,
복수의 패스워드 각각에 대응되는 인증 정보마다 생성된 서버 토큰 각각을 상기 인증 어플리케이션으로부터 전송받으며,
상기 등록 결과 전송 단계는,
복수의 상기 서버 토큰 각각을 등록하고 각각의 등록 결과를 상기 인증 어플리케이션에 전송하는 것을 특징으로 하는 생체 인증 결합 사용자 간편 인증 방법.9. The method of claim 8,
The token receiving step includes:
Receiving a server token generated for each authentication information corresponding to each of a plurality of passwords from the authentication application,
The registration result transmission step includes:
And registering each of the plurality of server tokens and transmitting the respective registration results to the authentication application.
상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과를 기초로 상기 인증 서비스 장치로부터 상기 서버 토큰을 전송받아 상기 서버 토큰과 상기 디바이스 토큰에 포함된 조각들을 상기 조합 정보를 기초로 결합하여 상기 인증 정보를 복구하고 상기 사용자에 대한 인증을 위해 상기 인증 정보에 포함된 패스워드를 제공하는 인증 어플리케이션이 탑재된 것을 특징으로 하는 사용자 모바일 단말기.Generating a cryptographic key corresponding to authentication information including a password for user authentication, encrypting the authentication information, dividing the encrypted authentication information and the cryptographic key into a plurality of fragments, Selecting a plurality of fragments from the fragment and generating a device token with a combination of the fragments, and generating a server token with a combination of the remaining fragments, and comparing the sequence number of the authentication information fragments included in the device token, Generating combination information for the sequence number, requesting the authentication service device to register the server token according to the biometric authentication result for the user, storing the device token,
Receiving the server token from the authentication service device based on the biometric authentication result of the user in response to the authentication request for the user and combining the server token and fragments included in the device token based on the combination information, And an authentication application for restoring the information and providing the password included in the authentication information for authenticating the user.
상기 사용자 모바일 단말기에 탑재되어 사용자의 공인 인증서의 관리와 전자 서명을 지원하는 공인 인증 어플리케이션으로부터 상기 공인 인증서에 대한 패스워드를 포함하는 인증 정보를 전송받아 상기 인증 정보에 대한 서버 토큰과 디바이스 토큰을 생성하며,
상기 사용자에 대한 인증 요청에 따라 상기 서버 토큰과 디바이스 토큰을 기초로 인증 정보를 복구하여 상기 공인 인증서에 대한 패스워드를 상기 공인 인증 어플리케이션으로 제공하는 인증 어플리케이션이 탑재된 것을 특징으로 하는 사용자 모바일 단말기.14. The method of claim 13,
The server receives the authentication information including the password for the authorized certificate from the authorized authentication application installed in the user mobile terminal and supports the management of the user's authorized certificate and the digital signature to generate a server token and a device token for the authentication information ,
And an authentication application for restoring authentication information based on the server token and the device token according to an authentication request for the user and providing a password for the authorized certificate to the authorized authentication application.
상기 사용자 모바일 단말기에 탑재되어 사용자에 대한 생체 인증을 수행하는 생체 인증 어플리케이션으로 사용자의 생체 인증을 통한 상기 서버 토큰에 대한 서명을 요청하여 서명된 상기 서버 토큰을 전달받으며,
상기 사용자에 대한 인증 요청에 따른 상기 사용자의 생체 인증 결과를 상기 생체 인증 어플리케이션으로부터 전달받는 인증 어플리케이션이 탑재된 것을 특징으로 하는 사용자 모바일 단말기.14. The method of claim 13,
A biometric authentication application installed in the user mobile terminal and performing biometric authentication for a user, receives a signature of the server token, requests signature of the server token through biometric authentication of the user,
And an authentication application for receiving the biometric authentication result of the user according to the authentication request for the user from the biometric authentication application.
상기 사용자에 대한 생체 인증에 대응되는 생체 인증키를 보유하고, 상기 인증 지원부로부터의 상기 사용자의 생체 인증 결과를 전달받아 검증하여 검증 결과를 제공하는 생체 인증 검증부; 및
상기 인증 지원부의 등록 결정에 따라 상기 서버 토큰을 저장하는 서버 토큰 저장부를 포함하는 것을 특징으로 하는 인증 서비스 장치.The encrypted authentication information including the password for user authentication and the encryption key corresponding to the encrypted authentication information from the authentication application installed in the user mobile terminal are divided into a plurality of fragments, A server token generated by combining the selected pieces of the server token with the server biometric authentication result for the user, and registering the server token; and, in response to the authentication request for the user, An authentication support unit for receiving a server token transmission request and providing the server token;
A biometric authentication unit which holds a biometric authentication key corresponding to biometric authentication for the user and receives and verifies the biometric authentication result of the user from the authentication support unit and provides a verification result; And
And a server token storage unit for storing the server token according to the registration decision of the authentication support unit.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160105424A KR101792220B1 (en) | 2016-08-19 | 2016-08-19 | Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160105424A KR101792220B1 (en) | 2016-08-19 | 2016-08-19 | Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101792220B1 true KR101792220B1 (en) | 2017-11-02 |
Family
ID=60383186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160105424A KR101792220B1 (en) | 2016-08-19 | 2016-08-19 | Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101792220B1 (en) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102010776B1 (en) * | 2018-04-27 | 2019-10-21 | 현대카드 주식회사 | Method for password processing based on blockchain, method for user login authentication and server using the same |
| KR20200118303A (en) * | 2019-04-04 | 2020-10-15 | (주)누리텔레콤 | Private key securing methods of decentralizedly storying keys in owner's device and/or blockchain nodes |
| KR20200129799A (en) * | 2019-05-10 | 2020-11-18 | 주식회사 피노텍 | Banking service providing system and method using cryptocurrency |
| KR102391952B1 (en) * | 2021-06-08 | 2022-04-29 | 주식회사 에이치에스엠클라우디피아 | System, device or method for encryption distributed processing |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006277028A (en) * | 2005-03-28 | 2006-10-12 | Nec Corp | User registration method and proxy authentication system using biometric information |
| JP2006301992A (en) * | 2005-04-21 | 2006-11-02 | Base Technology Inc | Authentication management method and system |
| JP2012079231A (en) * | 2010-10-05 | 2012-04-19 | Hitachi Ltd | Authentication information management device and authentication information management method |
-
2016
- 2016-08-19 KR KR1020160105424A patent/KR101792220B1/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006277028A (en) * | 2005-03-28 | 2006-10-12 | Nec Corp | User registration method and proxy authentication system using biometric information |
| JP2006301992A (en) * | 2005-04-21 | 2006-11-02 | Base Technology Inc | Authentication management method and system |
| JP2012079231A (en) * | 2010-10-05 | 2012-04-19 | Hitachi Ltd | Authentication information management device and authentication information management method |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102010776B1 (en) * | 2018-04-27 | 2019-10-21 | 현대카드 주식회사 | Method for password processing based on blockchain, method for user login authentication and server using the same |
| KR20200118303A (en) * | 2019-04-04 | 2020-10-15 | (주)누리텔레콤 | Private key securing methods of decentralizedly storying keys in owner's device and/or blockchain nodes |
| WO2020204444A3 (en) * | 2019-04-04 | 2020-12-17 | (주)누리텔레콤 | Secret key security method of distributing and storing key in blockchain node and/or possession device having wallet app installed therein |
| KR102322118B1 (en) * | 2019-04-04 | 2021-11-05 | (주)누리플렉스 | Private key securing methods of decentralizedly storying keys in owner's device and/or blockchain nodes |
| KR20200129799A (en) * | 2019-05-10 | 2020-11-18 | 주식회사 피노텍 | Banking service providing system and method using cryptocurrency |
| KR102279342B1 (en) * | 2019-05-10 | 2021-07-20 | 주식회사 피노텍 | Banking service providing system and method using cryptocurrency |
| KR102391952B1 (en) * | 2021-06-08 | 2022-04-29 | 주식회사 에이치에스엠클라우디피아 | System, device or method for encryption distributed processing |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3319292B1 (en) | Methods, client and server for checking security based on biometric features | |
| EP3257194B1 (en) | Systems and methods for securely managing biometric data | |
| EP2999189B1 (en) | Network authentication method for secure electronic transactions | |
| US11824991B2 (en) | Securing transactions with a blockchain network | |
| US20180082050A1 (en) | Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device | |
| CN107358441B (en) | Payment verification method and system, mobile device and security authentication device | |
| JP5601729B2 (en) | How to log into a mobile radio network | |
| EP2819050B1 (en) | Electronic signature system for an electronic document using a third-party authentication circuit | |
| US10848304B2 (en) | Public-private key pair protected password manager | |
| US20160134599A1 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
| EP2690840B1 (en) | Internet based security information interaction apparatus and method | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| WO2015188424A1 (en) | Key storage device and method for using same | |
| TWI632798B (en) | Server, mobile terminal, and network real-name authentication system and method | |
| WO2019226115A1 (en) | Method and apparatus for user authentication | |
| US8397281B2 (en) | Service assisted secret provisioning | |
| CN114788226A (en) | Unmanaged tool for building decentralized computer applications | |
| CN109063438A (en) | A kind of data access method, device, local data secure access equipment and terminal | |
| KR101792220B1 (en) | Method, mobile terminal, device and program for providing user authentication service of combining biometric authentication | |
| CN106850201A (en) | Intelligent terminal multiple-factor authentication method, intelligent terminal, certificate server and system | |
| WO2014141263A1 (en) | Asymmetric otp authentication system | |
| US20120124378A1 (en) | Method for personal identity authentication utilizing a personal cryptographic device | |
| CN108616352A (en) | Dynamic password formation method based on safety element and system | |
| CN105072136B (en) | A kind of equipment room safety certifying method and system based on virtual drive | |
| KR20170042137A (en) | A authentication server and method thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GRNT | Written decision to grant |