KR101792494B1 - Method for authenticating user and apparatus for performing the method - Google Patents
Method for authenticating user and apparatus for performing the method Download PDFInfo
- Publication number
- KR101792494B1 KR101792494B1 KR1020160042153A KR20160042153A KR101792494B1 KR 101792494 B1 KR101792494 B1 KR 101792494B1 KR 1020160042153 A KR1020160042153 A KR 1020160042153A KR 20160042153 A KR20160042153 A KR 20160042153A KR 101792494 B1 KR101792494 B1 KR 101792494B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- authentication
- value
- user terminal
- dimensional barcode
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/06009—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
- G06K19/06037—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3231—Biological data, e.g. fingerprint, voice or retina
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Abstract
사용자 인증 방법 및 장치에 관한 기술이 개시된다. 본 발명의 사용자 인증 방법은 제2 사용자 단말에서 수행되며, 인증 서버로부터 도전 값이 포함된 2차원 바코드가 생성되어 제1 사용자 단말의 화면에 디스플레이됨에 따라 2차원 바코드를 인식하는 프로세스를 실행시켜 2차원 바코드를 인식하는 단계, 2차원 바코드가 인식됨에 따라 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 사용자 인터페이스를 제공하는 단계, 사용자 인터페이스를 통해 사용자 비밀 정보가 입력됨에 따라 인식된 2차원 바코드에 포함된 도전 값과 사용자 비밀 정보를 이용하여 사용자 응답 값을 산출하는 단계 및 사용자 응답 값을 인증 서버에 전송하여 사용자 인증을 수행시키는 단계를 포함한다. 따라서, 사용자 인증의 편의성 및 보안성을 향상시킬 수 있다.A technique relating to a user authentication method and apparatus is disclosed. The user authentication method of the present invention is performed in a second user terminal, and a two-dimensional barcode including a challenge value is generated from an authentication server and is displayed on a screen of the first user terminal, Dimensional barcode, recognizing the 2D barcode, providing a user interface to receive user secret information from the user as the two-dimensional barcode is recognized, receiving the user secret information through the user interface, Calculating a user response value using the challenge value and the user secret information, and transmitting the user response value to the authentication server to perform user authentication. Therefore, convenience of user authentication and security can be improved.
Description
본 발명은 사용자 인증 기술에 관한 것으로, 더욱 상세하게는, 서비스 제공 서버로부터 온라인 서비스를 제공받는 제1 사용자 단말의 사용자가 보유한 제2 사용자 단말을 이용하여 사용자 인증을 수행하는 방법 및 이를 수행하는 장치에 관한 것이다.The present invention relates to a user authentication technique, and more particularly, to a method of performing user authentication using a second user terminal owned by a user of a first user terminal that receives an online service from a service providing server, .
이동 통신 기술이 발달함에 따라 사용자는 자신이 운용하는 사용자 단말을 통해 은행 업무, 물건 주문, 대금 결제, 게임 등과 같이 회원제로 운영되는 다양한 온라인 서비스를 이용할 수 있게 되었다. 사용자가 사용자 단말을 이용하여 온라인 서비스를 제공받기 위해서는 온라인 서비스를 제공하는 서비스 제공 서버에 대한 사용자 인증이 필수적으로 수행되어야 한다.As the mobile communication technology develops, the user can use various online services such as banking, ordering, payment, game, etc. through the user terminal operated by the user. In order for a user to receive an online service using a user terminal, user authentication for a service providing server that provides an online service must be performed.
일반적으로, 사용자가 사용자 단말을 통해 사용자 식별번호(ID, Identification)와 비밀번호(password)를 포함하는 로그인 계정을 입력하면, 서비스 제공 서버에서 미리 등록된 사용자의 로그인 계정과 일치하는 지를 확인함으로써 사용자 인증이 수행된다.Generally, when a user inputs a login account including a user identification number (ID) and a password through a user terminal, the service providing server checks whether the login account matches a login account of a user registered in advance, Is performed.
다만, 상술한 종래의 기술은 서비스 제공 서버에 대한 접근 요청과 사용자 인증이 하나의 사용자 단말에서 수행되기 때문에 사용자 단말이 해킹 되거나 네트워크를 감청하는 공격자에 의해 사용자의 로그인 계정 정보가 노출되면, 사용자의 로그인 계정 정보가 불법으로 도용되거나 사용자의 개인 정보가 유출될 수 있다는 문제가 있다. 또한, 단순히 ID와 비밀번호를 입력하는 사용자 인증 방법만으로 인터넷 뱅킹 또는 모바일 뱅킹과 같은 전자 금융 서비스의 보안 사고를 막는 것은 한계가 있다.However, since the access request and the user authentication to the service providing server are performed in one user terminal, when the user's login account information is exposed by an attacker who is hacked or tapped by the network, There is a problem that the login account information may be illegally stolen or the user's personal information may be leaked. In addition, there is a limitation in preventing security accidents of electronic banking services such as Internet banking or mobile banking only by a user authentication method of inputting an ID and a password.
그리하여, 상술한 종래 기술의 문제를 해결하기 위해 서비스 제공 서버에 접근하는 사용자 단말과는 다른 사용자 단말을 이용하여 사용자 인증을 수행하는 기술이 제안되었다.In order to solve the above-described problems of the related art, a technique for performing user authentication using a user terminal different from a user terminal accessing a service providing server has been proposed.
도 1은 종래의 사용자 인증 방법을 설명하는 흐름도이다.1 is a flowchart illustrating a conventional user authentication method.
도 1을 참조하면, 제1 사용자 단말(100)은 서비스 제공 서버(400)에서 제공하는 온라인 서비스를 이용하기 위한 접근을 요청하고, 서비스 제공 서버(400)에 대한 사용자 인증은 제1 사용자 단말(100)의 사용자가 보유한 제2 사용자 단말(200)을 이용하여 수행된다.Referring to FIG. 1, the
보다 구체적으로, 제1 사용자 단말(100)이 서비스 제공 서버(400)에 온라인 서비스를 이용하기 위한 접근을 요청하면(S101), 서비스 제공 서버(400)는 제1 사용자 단말(100)의 사용자에 대한 인증을 수행하기 위해 인증 서버(300)에 접근을 요청한다(S102). 서비스 제공 서버(400)의 접근 요청을 수신한 인증 서버(300)는 제1 사용자 단말(100)에 로그인 정보를 입력할 수 있는 서식(form)을 전송함으로써 제1 사용자 단말(100)에 사용자 인증을 요청한다(S103). 그리하여, 제1 사용자 단말(100)에서 사용자에 의해 입력된 ID와 비밀번호를 포함하는 로그인 정보를 전송하면(S104), 인증 서버(300)는 로그인 정보를 수신하여 1차적으로 사용자 인증을 수행한다(S105).More specifically, when the
인증 서버(300)에서 1차적으로 사용자가 인증되면, 사용자는 자신이 보유한 제2 사용자 단말(200)에 미리 설치된 일회용 비밀번호(OTP, One Time Password) 생성 앱(App, Application)을 실행시켜(S106) 일회용 비밀번호를 생성 받는다(S107). 제2 사용자 단말(200)에서 생성된 일회용 비밀번호를 확인한(S108) 사용자가 제1 사용자 단말(100)을 통해 일회용 비밀번호를 입력하면(S109), 인증 서버(300)는 일회용 비밀번호를 이용하여 2차 사용자 인증을 수행한 후(S110), 사용자가 인증된 경우에 한하여 제1 사용자 단말(100)의 접근을 허용해도 된다는 명령을 서비스 제공 서버(400)에 전송한다(S111). 이를 수신한 서비스 제공 서버(400)는 제1 사용자 단말(100)이 온라인 서비스를 이용할 수 있도록 제1 사용자 단말(100)에 온라인 서비스에 대한 접근 권한을 최종적으로 부여한다(S112).When the user is first authenticated by the
그러나, 상술한 종래의 사용자 인증 기술은 사용자가 제2 사용자 단말(200)에 설치된 일회용 비밀번호 생성 앱을 통해 생성된 일회용 비밀번호를 확인한 후 이를 제1 사용자 단말(100)에 직접 입력해야 한다는 점에서, 사용자 인증에 대한 사용자의 편의성이 떨어지는 문제가 있다. 또한, 일회용 비밀번호가 6~8자리의 숫자로 생성되기 때문에 도난과 도용에 취약할 뿐 아니라 무차별 대입 공격(Brute-Force Attack), 릴레이 공격(Relay Attack) 등과 같은 각종 사이버 공격에 취약하다는 한계가 있다. 더 나아가, 일회용 비밀번호는 사용 상황과 무관하게 사용자의 요청에 따라 생성되기 때문에 부인 방지(Non-Repudiation) 등의 다양한 기술에 적용하는 것에 한계가 있다.However, in the conventional user authentication technique described above, the user must directly input the one-time password generated through the one-time password generation application installed in the
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, 서비스 제공 서버에 접근하여 온라인 서비스를 제공받는 사용자 단말과 다른 사용자 단말을 이용하여 사용자 인증을 수행함으로써 사용자 인증의 보안성을 강화시킬 수 있는 사용자 인증 방법 및 이를 수행하는 장치를 제공하는데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems and it is an object of the present invention to provide a method and system for managing a user who can enhance security of a user authentication by performing user authentication using a user terminal, And an apparatus for performing the authentication method.
또한, 본 발명의 다른 목적은, 2차원 바코드와 생체 인식 정보를 활용함으로써 사용자 인증에 대한 사용자 편의성을 향상시킬 뿐만 아니라 금융 거래를 위한 부인 방지 기술 등 다양한 기술분야에 적용할 수 있는 사용자 인증 방법 및 이를 수행하는 장치를 제공하는데 있다.It is another object of the present invention to provide a user authentication method that can be applied to various technical fields such as a non-repudiation technique for financial transaction as well as improving user convenience in user authentication by utilizing a two-dimensional bar code and biometric information, And to provide an apparatus for performing the same.
상기 목적을 달성하기 위한 본 발명의 일 측면에 따른 사용자 인증 방법은, 서비스 제공 서버로부터 온라인 서비스를 제공받는 제1 사용자 단말의 사용자가 보유한 제2 사용자 단말에서 수행되며, 인증 서버로부터 도전(challenge) 값이 포함된 2차원 바코드가 생성되어 제1 사용자 단말의 화면에 디스플레이됨에 따라 2차원 바코드를 인식하는 프로세스를 실행시켜 제1 사용자 단말의 화면에 디스플레이된 2차원 바코드를 인식하는 단계, 2차원 바코드가 인식됨에 따라 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 사용자 인터페이스를 제공하는 단계, 사용자 인터페이스를 통해 사용자 비밀 정보가 입력됨에 따라 인식된 2차원 바코드에 포함된 도전 값과 사용자 비밀 정보를 이용하여 사용자 응답(response) 값을 산출하는 단계 및 사용자 응답 값을 인증 서버에 전송하여 사용자 인증을 수행시키는 단계를 포함한다.According to an aspect of the present invention, there is provided a method for authenticating a user, the method comprising: receiving a challenge from an authentication server, the challenge being performed in a second user terminal held by a user of the first user terminal, Recognizing a two-dimensional barcode displayed on the screen of the first user terminal by executing a process of recognizing the two-dimensional barcode as the two-dimensional barcode including the value is displayed and displayed on the screen of the first user terminal, Providing a user interface to receive user secret information from a user as the user is recognized; inputting user secret information through a user interface, receiving user secret information from the user using the challenge value and user secret information included in the recognized two- Calculating a response value, and calculating a user response value By sending the authentication server comprises the step of performing the user authentication.
여기에서, 인증 서버는, 2차원 바코드를 인식하는 단계 이전에 제1 사용자 단말로부터 사용자 식별 ID 및 비밀번호가 포함된 로그인(login) 정보가 수신됨에 따라, 수신된 로그인 정보와 제1 사용자 단말의 사용자에 대하여 미리 등록된 로그인 정보를 비교하는 사용자 인증이 선택적으로 수행될 수 있다.Here, the authentication server receives the login information including the user identification ID and the password from the first user terminal before the step of recognizing the two-dimensional bar code, The user authentication for comparing the login information registered in advance with the login information can be selectively performed.
여기에서, 인증 서버는, 선택적으로 수행되는 사용자 인증을 통해 제1 사용자 단말의 사용자가 인증되거나 서비스 제공 서버로부터 접근 요청이 수신됨에 따라, 도전 값이 발급되고 발급된 도전 값을 포함하여 2차원 바코드를 생성할 수 있다.Here, as the user of the first user terminal is authenticated or the access request is received from the service providing server through the user authentication performed selectively, the authentication server issues a challenge value and transmits the challenge value including the issued challenge value to the two- Lt; / RTI >
여기에서, 2차원 바코드를 인식하는 단계는, 제1 사용자 단말의 화면에 인증 서버에 생성된 2차원 바코드가 디스플레이됨에 따라 사용자에 의해 2차원 바코드를 인식하는 프로세스가 실행되고, 프로세스가 카메라의 동작을 활성화시킨 후 사용자의 조작에 상응하도록 제1 사용자 단말의 화면에 디스플레이된 2차원 바코드를 촬영하면, 촬영된 2차원 바코드에서 도전 값을 추출할 수 있다.In the step of recognizing the two-dimensional barcode, a process of recognizing the two-dimensional barcode by the user is executed as the two-dimensional barcode generated in the authentication server is displayed on the screen of the first user terminal, Dimensional barcode displayed on the screen of the first user terminal so as to correspond to the operation of the user after the activation of the two-dimensional barcode.
여기에서, 사용자 비밀 정보는, 사용자가 사용자 인터페이스를 통해 음성, 지문, 홍채 및 얼굴 중 적어도 하나를 인식시킴에 따라 발생하는 생체 인식 정보 및 사용자 인증을 위해 사용자가 인증 서버에 미리 등록한 비밀번호(password) 중 어느 하나를 의미할 수 있다.Here, the user secret information may include biometric information generated as a user recognizes at least one of a voice, a fingerprint, an iris, and a face through a user interface, and a password previously registered in the authentication server by the user for user authentication, ≪ / RTI >
여기에서, 사용자 응답 값을 산출하는 단계는, 사용자 인터페이스를 통해 입력받은 사용자 비밀 정보를 정규화하고, 정규화된 사용자 비밀 정보와 2차원 바코드로부터 추출된 도전 값을 연산하여 사용자 응답 값을 산출할 수 있다.Here, the step of calculating the user response value may normalize the user secret information inputted through the user interface and calculate the user response value by calculating the normalized user secret information and the conductive value extracted from the two-dimensional barcode .
여기에서, 인증 서버는, 2차원 바코드를 생성하기 위해 발급한 도전 값과 사용자 인증을 위해 사용자가 미리 등록한 사용자 비밀 정보를 연산하여 사용자 확인 값을 산출하고, 사용자 확인 값과 사용자 응답 값을 비교함으로써 제1 사용자 단말의 사용자에 대한 사용자 인증을 수행할 수 있다.Here, the authentication server computes the challenge value issued to generate the two-dimensional bar code and the user secret information previously registered by the user for user authentication, calculates the user authentication value, and compares the user authentication value and the user response value And may perform user authentication of the user of the first user terminal.
여기에서, 사용자 인증 방법은, 금융 거래를 위한 부인 방지(non-repudiation) 기술에 적용할 수 있다.Here, the user authentication method can be applied to a non-repudiation technique for financial transactions.
또한, 상기 목적을 달성하기 위한 본 발명의 다른 측면에 따른 사용자 인증 장치는, 서비스 제공 서버로부터 온라인 서비스를 제공받는 제1 사용자 단말의 사용자가 보유한 제2 사용자 단말에 구현되며, 인증 서버로부터 도전 값이 포함된 2차원 바코드가 생성되어 제1 사용자 단말의 화면에 디스플레이됨에 따라 2차원 바코드를 인식하는 프로세스를 실행시켜 제1 사용자 단말의 화면에 디스플레이된 2차원 바코드를 인식하는 2차원 바코드 인식부, 2차원 바코드가 인식됨에 따라 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 사용자 인터페이스를 제공하는 인터페이스 제공부, 사용자 인터페이스를 통해 사용자 비밀 정보가 입력됨에 따라 2차원 바코드에 포함된 도전 값과 사용자 비밀 정보를 이용하여 사용자 응답 값을 산출하는 응답 값 산출부 및 사용자 인증이 수행되도록 사용자 응답 값을 인증 서버에 전송하는 응답 값 전송부를 포함한다.According to another aspect of the present invention, there is provided a user authentication apparatus, which is implemented in a second user terminal held by a user of a first user terminal receiving an online service from a service provision server, A two-dimensional barcode recognition unit for recognizing a two-dimensional barcode displayed on the screen of the first user terminal by executing a process of recognizing the two-dimensional barcode as being displayed on the screen of the first user terminal, Dimensional barcode, and provides a user interface to receive user secret information from the user as the two-dimensional barcode is recognized. When the user secret information is input through the user interface, a challenge value and user secret information included in the two- A response value calculating unit And a response value transmission unit for transmitting a user response value to the authentication server so that user authentication is performed.
상술한 바와 같은 본 발명의 실시예에 따른 사용자 인증 방법 및 이를 수행하는 장치에 따르면, 서비스 제공 서버에 접근하여 온라인 서비스를 제공받는 사용자 단말과 다른 사용자 단말을 이용하여 사용자 인증을 수행함으로써 사용자 인증의 보안성을 강화시킬 수 있다.According to the user authentication method and apparatus for performing the user authentication according to the present invention as described above, the user authentication is performed by using a user terminal other than the user terminal that accesses the service providing server and accesses the online service, The security can be enhanced.
또한, 2차원 바코드와 생체 인식 정보를 활용함으로써 사용자 인증에 대한 사용자 편의성을 향상시킬 뿐만 아니라 금융 거래를 위한 부인 방지 기술 등 다양한 기술분야에 적용할 수 있다.In addition, the present invention can be applied to various technical fields such as non-repudiation technology for financial transaction as well as improving user convenience in user authentication by utilizing two-dimensional barcode and biometric information.
도 1은 종래의 사용자 인증 방법을 설명하는 흐름도이다.
도 2는 본 발명의 실시예에 따른 사용자 인증 방법을 설명하는 흐름도이다.
도 3은 본 발명의 실시예에 따른 2차원 바코드가 인식됨에 따라 사용자 인터페이스가 제공되는 것을 설명하는 예시도이다.
도 4는 도 2에서 설명한 사용자 인증 방법을 적용하여 로그인에 활용하는 것을 설명하는 예시도이다.
도 5는 도 2에서 설명한 사용자 인증 방법을 금융 거래를 위한 부인 방지 기술에 적용한 것을 설명하는 예시도이다.
도 6은 본 발명의 실시예에 따른 사용자 인증 장치를 나타내는 블록도이다.1 is a flowchart illustrating a conventional user authentication method.
2 is a flowchart illustrating a user authentication method according to an embodiment of the present invention.
FIG. 3 is a diagram illustrating an example in which a user interface is provided as a two-dimensional bar code is recognized according to an embodiment of the present invention.
FIG. 4 is an exemplary diagram for explaining application of the user authentication method described in FIG. 2 for login.
5 is an exemplary diagram illustrating application of the user authentication method described in FIG. 2 to a non-repudiation technique for financial transactions.
6 is a block diagram illustrating a user authentication apparatus according to an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.
도 2는 본 발명의 실시예에 따른 사용자 인증 방법을 설명하는 흐름도이고, 도 3은 본 발명의 실시예에 따른 2차원 바코드가 인식됨에 따라 사용자 인터페이스가 제공되는 것을 설명하는 예시도이다.FIG. 2 is a flowchart illustrating a user authentication method according to an exemplary embodiment of the present invention. FIG. 3 is a diagram illustrating an example in which a user interface is provided as a two-dimensional bar code according to an exemplary embodiment of the present invention is recognized.
도 2를 참조하여, 본 발명에 따른 사용자 인증 방법을 설명하면 다음과 같다.Referring to FIG. 2, a user authentication method according to the present invention will now be described.
사용자가 사용자 단말을 이용하여 온라인 서비스를 제공받기 위해서는 온라인 서비스를 제공하는 서비스 제공 서버에 대한 사용자 인증이 필수적으로 수행되어야 한다. 그러나, 현재 일반적으로 사용되는 사용자 인증 기술은 서비스 제공 서버에 대한 접근 요청과 이에 따른 사용자 인증이 하나의 사용자 단말에서 수행되기 때문에 보안성이 떨어진다는 문제가 있다.In order for a user to receive an online service using a user terminal, user authentication for a service providing server that provides an online service must be performed. However, the currently used user authentication technology has a problem in that the security of the access request to the service providing server and the corresponding user authentication are performed in a single user terminal.
그리하여, 사용자 인증을 수행함에 있어 일회용 비밀번호(OTP, One Time Password)를 이용하는 방법이 제안되었다. 일회용 비밀번호를 이용하는 사용자 인증 기술은 서비스 제공 서버에 접근을 요청하는 사용자 단말과 사용자 인증을 수행하는 사용자 단말을 분리하므로, 앞서 설명한 사용자 인증 기술에 비해 보안성이 향상되는 장점이 있다. 그러나, 일회용 비밀번호가 도난과 도용뿐 아니라 각종 사이버 공격에 취약하며, 사용자 인증에 대한 사용자의 편의성이 떨어진다는 문제가 있다.Thus, a method of using one time password (OTP) in performing user authentication has been proposed. The user authentication technique using the disposable password has a merit that the security is improved as compared with the user authentication technique described above since the user terminal requesting access to the service providing server and the user terminal performing the user authentication are separated. However, the disposable password is vulnerable to various types of cyber attacks as well as theft and theft, and there is a problem that the user's convenience for user authentication is reduced.
상술한 종래 기술들의 문제를 해결하기 위해, 본 발명은 서비스 제공 서버에 접근하여 온라인 서비스를 제공받는 사용자 단말과 사용자 인증을 수행하는 사용자 단말을 구분하여 보안성을 향상시키되, 사용자 인증을 수행함에 있어 2차원 바코드와 생체 인식 정보를 활용함으로써 사용자 인증에 대한 보안성과 사용자 편의성을 향상시킬 수 있는 사용자 인증 방법을 제안한다.In order to solve the problems of the related art described above, the present invention improves security by distinguishing a user terminal that accesses a service providing server and receives an on-line service from a user terminal that performs user authentication, We propose a user authentication method that can improve the security and user convenience of user authentication by using 2D barcode and biometric information.
따라서, 본 발명에 제안하는 사용자 인증 방법은 제1 사용자 단말(100)의 사용자가 보유한 제2 사용자 단말(200)에서 수행된다.Accordingly, the user authentication method proposed by the present invention is performed in the
여기에서, 제1 사용자 단말(100)은 서비스 제공 서버(400)에 접근을 요청하는 컴퓨터, 노트북, 스마트 가전 기기 등과 같은 정보 통신 장치를 의미할 수 있고, 제2 사용자 단말(200)은 서비스 제공 서버(400)에 대한 접근 권한을 부여받을 수 있도록 인증 서버(300)와 연동되어 사용자 인증을 수행하는 스마트폰, 태블릿 PC 및 PDA(Personal Digital Assistant)와 같은 모바일 장치 또는 웨어러블 디바이스(wearable device)를 의미할 수 있으나, 이에 한정되는 것은 아니다.Herein, the
본 발명에 따른 사용자 인증 방법은, 인증 서버(300)로부터 생성된 2차원 바코드를 인식하는 단계(S210), 2차원 바코드가 인식됨에 따라 사용자 비밀 정보를 입력받을 수 있는 사용자 인터페이스를 제공하는 단계(S220), 2차원 바코드와 사용자 비밀 정보를 기반으로 사용자 응답 값을 생성하는 단계(S230) 및 인증 서버(300)에 사용자 응답 값을 전송하여 사용자 인증을 수행시키는 단계(S240)를 포함할 수 있다.The user authentication method according to the present invention includes the steps of recognizing a two-dimensional barcode generated from the authentication server 300 (S210), providing a user interface capable of receiving user secret information as the two-dimensional barcode is recognized S230) generating a user response value based on the two-dimensional bar code and the user secret information, and performing a user authentication by transmitting a user response value to the authentication server 300 (S240) .
사용자 인증을 위해 이용되는 2차원 바코드는 인증 서버(300)에서 생성될 수 있다. 여기에서, 인증 서버(300)는 제1 사용자 단말(100) 또는 서비스 제공 서버(400)의 요청에 따라 제2 사용자 단말(200)과 연동되어 사용자 인증을 수행하는 웹 서버 또는 클라우드 서버를 의미할 수 있으나, 이에 한정되는 것은 아니다. 또한, 여기에서 2차원 바코드는 QR(Quick Response) 코드를 의미할 수 있으나, 이에 한정되는 것은 아니다.The two-dimensional barcode used for user authentication may be generated in the
이때, 인증 서버(300)는 2차원 바코드를 생성하기 이전에 제1 사용자 단말(100)로부터 사용자 식별 ID 및 비밀번호가 포함된 로그인(login) 정보가 수신됨에 따라, 수신된 로그인 정보와 제1 사용자 단말(100)의 사용자에 의해 미리 등록된 로그인 정보를 비교하는 사용자 인증이 선택적으로 수행될 수 있다.At this time, the
인증 서버(300)는 서비스 제공 서버(400)로부터 접근 요청이 수신되거나 선택적으로 수행되는 사용자 인증을 통해 제1 사용자 단말(100)의 사용자가 인증되면, 도전(challenge) 값을 발급한 후 이를 저장할 수 있다. 여기에서, 도전 값은 사용자 인증을 수행하기 위해 발급하는 난수를 의미할 수 있으며, 예를 들어, 챌린지-응답(challenge-response) 기반의 SCRAM(Salted Challenge Response Authentication Mechanism) 기술을 채용함에 따라 2차원 바코드에 포함되는 도전 값은 'NonceS, Salt, IterationCount, ServerID'으로 대체될 수 있다.When the user of the
여기에서, NonceS는 인증 서버(300)에서 생성되는 임의의 난수를 의미할 수 있고, Salt는 제1 사용자 단말(100)과 인증 서버(300)에 의해 미리 합의된 숫자 또는 문자를 의미할 수 있으며, IterationCount는 해시 함수가 반복 연산될 횟수를 지정하는 상수 값을 의미할 수 있으나 이에 한정되는 것은 아니다.Here, NonceS may mean any random number generated by the
그리하여, 인증 서버(300)는 발급된 도전 값이 포함되도록 2차원 바코드를 생성한 후 이를 이미지(image)의 형태로 제1 사용자 단말(100)에 전송할 수 있다.Thus, the
제1 사용자 단말(100)이 인증 서버(300)로부터 수신된 2차원 바코드를 도 3의 (a)에 도시된 바와 같이 화면에 디스플레이하면, 제1 사용자 단말(100)의 사용자는 자신이 보유한 제2 사용자 단말(200)에 미리 설치되어 있는 2차원 바코드를 인식하는 프로세스를 실행시킬 수 있다. 이때, 2차원 바코드를 인식하는 프로세스는 이미지 형태의 2차원 바코드에 내포된 정보를 추출할 수 있는 전용 어플리케이션을 의미할 수 있다.When the
사용자에 의해 실행된 프로세스가 제2 사용자 단말(200)에 탑재된 카메라의 동작을 활성화시켜 도 3의 (a)와 같이 제1 사용자 단말(100)의 화면에 디스플레이된 2차원 바코드를 촬영하면, 촬영된 2차원 바코드에서 인증 서버(300)로부터 발급한 도전 값을 추출함으로써 2차원 바코드를 인식할 수 있다(S210).When the process executed by the user activates the operation of the camera mounted on the
2차원 바코드가 인식됨에 따라 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 사용자 인터페이스를 제공할 수 있다(S220).As the two-dimensional barcode is recognized, a user interface may be provided to receive user secret information from the user (S220).
이때, 사용자 인터페이스는 도 3의 (b)에 도시된 바와 같이 사용자가 음성, 지문, 홍채 및 얼굴 중 적어도 하나를 인식시킬 수 있도록 제공되거나, 비밀번호를 입력할 수 있도록 제공될 수 있으나 이에 한정되는 것은 아니다.At this time, the user interface may be provided so that the user can recognize at least one of voice, fingerprint, iris, and face as shown in FIG. 3B, or may be provided so as to input a password, no.
따라서, 사용자 비밀 정보는 사용자가 사용자 인터페이스를 통해 음성, 지문, 홍채 및 얼굴 중 적어도 하나를 인식시킴에 따라 발생하는 생체 인식 정보 및 사용자 인증을 위해 사용자가 인증 서버(300)에 미리 등록한 PIN(Personal Identification Number) 등의 비밀번호(password) 중 어느 하나를 의미할 수 있으나, 이에 한정되는 것은 아니다.Accordingly, the user secret information may be stored in the
사용자 인터페이스를 통해 사용자 비밀 정보가 입력되면, 2차원 바코드에 포함된 도전 값과 사용자 비밀 정보를 이용하여 사용자 응답(response) 값을 산출할 수 있다(S230).When the user secret information is input through the user interface, a user response value may be calculated using the challenge value and the user secret information included in the two-dimensional bar code (S230).
이를 위해, 사용자 인터페이스를 통해 입력받은 사용자 비밀 정보를 정규화(normalize)할 수 있다. 이때, 사용자 비밀 정보를 정규화하는 이유는 2차원 바코드에 포함된 도전 값과 연산할 수 있도록 변화시키기 위함이다.To this end, the user secret information inputted through the user interface can be normalized. At this time, the reason for normalizing the user secret information is to change it so that it can be calculated with the challenge value included in the two-dimensional bar code.
이와 같이 정규화된 사용자 비밀 정보 및 도전 값을 입력으로 하는 다양한 함수의 결과물로 사용자 응답 값을 산출할 수 있다.The user response value can be calculated as a result of various functions using the normalized user secret information and the challenge value.
예를 들면, 이러한 함수에는 해시 함수도 있을 수 있고, 기타 다른 암호화 함수가 될 수도 있다.For example, such a function may have a hash function or some other cryptographic function.
또는, 제2 사용자 단말(200)이 인증 서버(300)로부터 미리 받은 공개 키를 가지고 있을 수도 있다. 예를 들어, 제2 사용자 단말(200)은 도전 값을 이용하여, 정규화된 사용자 비밀 정보를 암호화한다. 그리고 나서, 암호화된 사용자 비밀 정보에 공개 키를 적용하여 암호화한 결과 값을 포함한 값을 사용자 응답 값으로 산출할 수 있다.Alternatively, the
또한, 더 구체적으로는 SCRAM(Salted Challenge Response Authentication Mechanism) 방식이 그 예가 될 수 있다.More specifically, the Salted Challenge Response Authentication Mechanism (SCRAM) scheme is an example.
다만, 이러한 방법은 예시일 뿐이고, 도전 값 및 사용자 비밀 정보를 인증 서버(300)에서 직, 간접적으로 검증할 수 있는 다양한 종류의 암호화 방법이 적용될 수 있다.However, this method is merely an example, and various types of encryption methods that can directly or indirectly verify the challenge value and the user secret information in the
산출된 사용자 응답 값을 인증 서버(300)에 전송하여 사용자 인증을 수행시킬 수 있다(S240).The calculated user response value may be transmitted to the
사용자 인증을 수행하는 방법은 사용자 응답 값을 수신한 인증 서버(300)가 사용자 응답 값과 미리 또는 수신 후 산출한 사용자 확인 값을 비교함으로써 수행된다.The method of performing the user authentication is performed by the
여기에서, 사용자 확인 값은 인증 서버(300)에서 2차원 바코드를 생성하기 위해 발급한 도전 값과 사용자에 의해 미리 등록된 사용자 비밀 정보를 입력으로 하는 다양한 함수의 결과물로 산출할 수 있다.Here, the user confirmation value can be calculated as a result of various functions including the challenge value issued to generate the two-dimensional barcode in the
예를 들면, 이러한 함수에는 해시 함수도 있을 수 있고, 기타 다른 암호화 함수가 있을 수도 있다.For example, such a function may have a hash function, and there may be other cryptographic functions.
또는, 제2 사용자 단말(200)이 인증 서버(300)로부터 미리 받은 공개 키를 가지고 있을 수도 있다. 예를 들어, 제2 사용자 단말(200)이 도전 값을 이용하여, 정규화된 사용자 비밀 정보를 암호화한다. 그리고 나서, 암호화된 사용자 비밀 정보에 공개 키를 적용하여 암호화한 결과 값을 포함한 값을 사용자 응답 값으로 산출한 경우가 있을 수 있다. 그러한 경우, 인증 서버(300)는 이러한 사용자 응답 값을 공개 키에 대응한 비밀 키를 사용하여 변환할 수 있고, 변환된 값을 사용자 확인 값과 비교함으로써 인증을 수행할 수 있다.Alternatively, the
다만, 위와 같은 방법은 예시일 뿐이고, 이러한 방법 이외에도, 도전 값 및 사용자 비밀 정보를 직, 간접적으로 인증할 수 있는 다양한 방법이 적용될 수 있다.However, the above method is merely an example. In addition to this method, various methods for directly or indirectly authenticating the challenge value and the user secret information can be applied.
인증 서버(300)는 사용자 확인 값과 사용자 응답 값이 상응하면, 서비스 제공 서버(400)에 제1 사용자 단말(100)의 사용자에 대해 접근을 허용해도 된다는 메시지를 전송하고, 사용자 확인 값과 사용자 응답 값이 상응하지 않으면, 제2 사용자 단말(200)과 인증 서버(300) 간의 사용자 인증을 수행하는 과정에서 공격자에 의해 사용자 인증에 필요한 정보가 조작된 것으로 판단하여 서비스 제공 서버(400)에 제1 사용자 단말(100)의 사용자에 대해 접근을 차단하라는 메시지를 전송할 수 있다.The
상술한 바와 같이 본 발명에서 제안하는 사용자 인증 방법은, 온라인 서비스를 제공하는 서비스 제공 서버(400)에 접근을 요청하는 제1 사용자 단말(100)의 사용자가 보유한 제2 사용자 단말(200)을 이용하여 사용자 인증을 수행함으로써 종래의 사용자 인증 기술들에 비해 보안성을 향상시킬 수 있다.As described above, the user authentication method proposed in the present invention uses a
특히, 2차원 바코드를 통해 전달되는 도전 값과 생체 인식 정보 또는 비밀번호 중 어느 하나의 사용자 비밀 정보를 입력으로 하는 다양한 함수를 이용하여 사용자 응답 값을 산출하고, 사용자 확인 값과 사용자 응답 값 간의 무결성 확인을 통해 사용자 인증이 수행된다는 점에서, 사용자 인증에 대한 보안성을 더욱 강화시킬 수 있다.Particularly, a user response value is calculated by using various functions such as a challenge value transmitted through a two-dimensional barcode, and biometric information or a password, and an integrity check between a user verification value and a user response value The security for the user authentication can be further strengthened.
이와 같이, 본 발명에 따른 사용자 인증 방법은 챌린지-응답(challenge-response)에 기반하며 사용자 인증을 수행함에 있어 2차원 바코드 및 생체 인식 정보 등을 활용하므로, 다양한 기술 분야에 적용할 수 있다. 이와 관련된 구체적인 예는 이하 도 4 및 도 5를 통해 구체적으로 설명하도록 한다.As described above, the user authentication method according to the present invention is based on a challenge-response and utilizes two-dimensional barcode and biometric information in performing user authentication, and thus can be applied to various technical fields. A specific example related to this will be described below with reference to FIG. 4 and FIG.
도 4는 도 2에서 설명한 사용자 인증 방법을 적용하여 로그인에 활용하는 것을 설명하는 예시도이고, 도 5는 도 2에서 설명한 사용자 인증 방법을 금융 거래를 위한 부인 방지 기술에 적용한 것을 설명하는 예시도이다.FIG. 4 is a diagram illustrating an example in which the user authentication method described with reference to FIG. 2 is applied to login, and FIG. 5 is an example illustrating application of the user authentication method illustrated in FIG. 2 to a non-repudiation technique for financial transactions .
도 4 및 도 5를 참조하여, 본 발명에 따른 사용자 인증 방법을 적용하는 구체적인 예를 설명하면 다음과 같다.A specific example of applying the user authentication method according to the present invention will be described with reference to FIGS. 4 and 5. FIG.
먼저, 도 4는 온라인 서비스를 제공받기 위한 로그인(login) 과정에 사용자 인증 방법을 활용하는 것을 설명할 수 있다.First, FIG. 4 illustrates the use of a user authentication method in a login process for receiving an online service.
구체적으로, 온라인 서비스를 제공받고자 하는 사용자가 제1 사용자 단말(100)을 이용하여 서비스 제공 서버(400)에 접근을 요청하면(S401), 서비스 제공 서버(400)는 제1 사용자 단말(100)의 접근을 허용할지 차단할지에 대한 인증을 위해 인증 서버(300)에 접근을 요청할 수 있다(S402).Specifically, when a user desiring to receive the online service requests access to the
서비스 제공 서버(400)의 접근 요청을 수신한 인증 서버(300)는 제1 사용자 단말(100)에 사용자 식별 ID 및 비밀번호를 포함하는 로그인 정보를 입력할 수 있는 사용자 인터페이스를 전송함으로써 제1 사용자 단말(100)에 사용자 인증을 요청할 수 있다(S403). 이를 수신한 제1 사용자 단말(100)이 사용자 인터페이스에 사용자 식별 ID와 비밀번호를 입력하여 인증 서버(300)에 로그인 정보를 전송하면(S404), 인증 서버(300)는 수신한 로그인 정보와 제1 사용자 단말(100)의 사용자에 대하여 미리 등록된 로그인 정보를 비교하여 1차적으로 사용자 인증을 수행할 수 있다(S405). 여기에서, 1차적으로 사용자 인증이 수행되는 과정(A)은 선택적으로 수행될 수 있다.Upon receiving the access request from the
인증 서버(300)는 서비스 제공 서버(400)로부터 접근 요청이 수신되거나(S402), 선택적으로 수행되는 사용자 인증 과정(A)을 통해 제1 사용자 단말(100)의 사용자가 인증됨에 따라 도전 값을 발급하고, 발급된 도전 값이 포함되도록 2차원 바코드를 생성할 수 있다(S406).The
예를 들어, 챌린지-응답(challenge-response) 기반의 SCRAM(Salted Challenge Response Authentication Mechanism) 기술을 채용함에 따라 2차원 바코드에 포함되는 도전 값은 'NonceS, Salt, IterationCount, ServerID'으로 대체될 수 있다. 여기에서, NonceS는 인증 서버(300)에서 생성되는 임의의 난수를 의미할 수 있고, Salt는 제1 사용자 단말(100)과 인증 서버(300)에 의해 미리 합의된 숫자 또는 문자를 의미할 수 있으며, IterationCount는 해시 함수가 반복 연산될 횟수를 지정하는 상수 값을 의미할 수 있으나 이에 한정되는 것은 아니다.For example, by employing a Challenge Response (SCRAM) based challenge-response technique, the challenge value included in the two-dimensional bar code can be replaced with 'NonceS, Salt, IterationCount, ServerID' . Here, NonceS may mean any random number generated by the
인증 서버(300)가 2차원 바코드를 이미지의 형태로 전송하면(S407), 제1 사용자 단말(100)은 이를 수신하여 화면에 디스플레이할 수 있다(S408).When the
이를 확인한 제1 사용자 단말(100)의 사용자는 자신이 보유한 제2 사용자 단말(200)에 미리 설치되어 있는 2차원 바코드를 인식하는 프로세스를 실행시킨다. 사용자에 의해 실행된 프로세스가 제2 사용자 단말(200)에 탑재된 카메라의 동작을 활성화시켜 제1 사용자 단말(100)의 화면에 디스플레이된 2차원 바코드를 촬영하면, 촬영된 2차원 바코드에서 인증 서버(300)로부터 발급한 도전 값을 추출함으로써 2차원 바코드를 인식할 수 있다(S210).The user of the
2차원 바코드가 인식됨에 따라 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 제2 사용자 단말(200)의 화면에 사용자 인터페이스를 제공할 수 있다(S220). 여기에서, 사용자 비밀 정보는 사용자가 사용자 인터페이스를 통해 음성, 지문, 홍채 및 얼굴 중 적어도 하나를 인식시킴에 따라 발생하는 생체 인식 정보 및 사용자 인증을 위해 사용자가 인증 서버(300)에 미리 등록한 PIN(Personal Identification Number) 등의 비밀번호(password) 중 어느 하나를 의미할 수 있으나, 이에 한정되는 것은 아니다.As the two-dimensional barcode is recognized, the user interface may be provided on the screen of the
사용자 인터페이스를 통해 사용자 비밀 정보가 입력됨에 따라, 2차원 바코드에 포함된 도전 값과 사용자 비밀 정보를 이용하여 사용자 응답 값을 산출할 수 있다(S230). As the user secret information is input through the user interface, the user response value can be calculated using the challenge value and the user secret information included in the two-dimensional bar code (S230).
이때, 사용자 응답 값을 산출하기 위해 사용자 인터페이스를 통해 입력받은 사용자 비밀 정보를 정규화(normalize)할 수 있다. At this time, the user secret information inputted through the user interface can be normalized to calculate the user response value.
이와 같이 정규화된 사용자 비밀 정보 및 도전 값을 입력으로 하는 다양한 함수의 결과물로 사용자 응답 값을 산출할 수 있다.The user response value can be calculated as a result of various functions using the normalized user secret information and the challenge value.
예를 들면, 이러한 함수에는 해시 함수도 있을 수 있고, 기타 다른 암호화 함수가 될 수도 있다.For example, such a function may have a hash function or some other cryptographic function.
또는, 제2 사용자 단말(200)이 인증 서버(300)로부터 미리 받은 공개 키를 가지고 있을 수도 있다. 예를 들어, 제2 사용자 단말(200)은 도전 값을 이용하여, 정규화된 사용자 비밀 정보를 암호화한다. 그리고 나서, 암호화된 사용자 비밀 정보에 공개 키를 적용하여 암호화한 결과 값을 포함한 값을 사용자 응답 값으로 산출할 수 있다.Alternatively, the
또한, 더 구체적으로는 SCRAM(Salted Challenge Response Authentication Mechanism) 방식이 그 예가 될 수 있다.More specifically, the Salted Challenge Response Authentication Mechanism (SCRAM) scheme is an example.
다만, 이러한 방법은 예시일 뿐이고, 도전 값 및 사용자 비밀 정보를 인증 서버(300)에서 직, 간접적으로 검증할 수 있는 다양한 종류의 암호화 방법이 적용될 수 있다.However, this method is merely an example, and various types of encryption methods that can directly or indirectly verify the challenge value and the user secret information in the
상술한 사용자 응답 값을 인증 서버(300)에 전송하여(S240) 사용자 인증을 수행시킬 수 있다(S409). 보다 구체적으로, 사용자 응답 값을 수신한 인증 서버(300)는 사용자 인증을 수행하기 위해 미리 저장된 사용자 확인 값과 사용자 응답 값을 비교할 수 있다. 그리하여, 사용자 확인 값과 사용자 응답 값이 상응하는 경우에 한하여, 서비스 제공 서버(400)에 제1 사용자 단말(100)의 사용자에 대해 접근을 허용해도 된다는 메시지를 전송할 수 있다(S410).The above-described user response value may be transmitted to the authentication server 300 (S240) and user authentication may be performed (S409). More specifically, the
이를 수신한 서비스 제공 서버(400)는 제1 사용자 단말(100)이 온라인 서비스를 이용할 수 있도록 최종적으로 제1 사용자 단말(100)에 접근 권한을 부여할 수 있다(S411).In step S411, the
도 5는 금융 거래를 위한 부인 방지 기술에 사용자 인증 방법을 활용하는 것을 설명할 수 있다.FIG. 5 illustrates the use of a user authentication method in the anti-counterfeiting technology for financial transactions.
구체적으로, 사용자가 제1 사용자 단말(100)을 이용하여 서비스 제공 서버(400)에 금융 거래 서비스를 요청하면(S510), 서비스 제공 서버(400)는 인증 서버(300)에 서비스 페이지를 요청할 수 있다(S520).Specifically, when the user requests the
서비스 제공 서버(400)로부터 서비스 페이지를 요청받은 인증 서버(300)는 도 5a와 같이 제1 사용자 단말(100)에 서비스 정보를 요청하여(S530) 제1 사용자 단말(100)로부터 전송받거나(S540), 도 5b와 같이 서비스 제공 서버(400)에 서비스 페이지를 제공한 후(S521) 서비스 제공 서버(400)가 제1 사용자 단말(100)에 서비스 정보를 요청함에 따라(S530) 제1 사용자 단말(100)로부터 서비스 정보를 전송받을 수 있다(S540).The
제1 사용자 단말(100)로부터 서비스 정보를 수신받은 인증 서버(300)는 도전 값을 발급하고, 발급된 도전 값이 포함되도록 2차원 바코드를 생성할 수 있다(S550). Upon receiving the service information from the
인증 서버(300)가 2차원 바코드를 이미지의 형태로 전송하면(S560), 제1 사용자 단말(100)은 이를 수신하여 화면에 디스플레이할 수 있다(S570).When the
이를 확인한 제1 사용자 단말(100)의 사용자는 자신이 보유한 제2 사용자 단말(200)에 미리 설치되어 있는 2차원 바코드를 인식하는 프로세스를 실행시켜 2차원 바코드에서 인증 서버(300)로부터 발급한 도전 값을 추출함으로써 2차원 바코드를 인식할 수 있다(S210). 2차원 바코드가 인식됨에 따라 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 제2 사용자 단말(200)의 화면에 사용자 인터페이스를 제공할 수 있다(S220).The user of the
사용자 인터페이스를 통해 사용자 비밀 정보가 입력됨에 따라, 2차원 바코드에 포함된 도전 값과 사용자 비밀 정보를 이용하여 사용자 응답 값을 산출할 수 있다(S230).As the user secret information is input through the user interface, the user response value can be calculated using the challenge value and the user secret information included in the two-dimensional bar code (S230).
상술한 사용자 응답 값을 인증 서버(300)에 전송하여(S240) 인증을 수행시킬 수 있다(S580). 보다 구체적으로, 사용자 응답 값을 수신한 인증 서버(300)는 금융 거래 서비스 이용에 대한 인증을 수행하기 위해 미리 저장된 사용자 확인 값과 사용자 응답 값을 비교할 수 있다. The above-described user response value may be transmitted to the authentication server 300 (S240) and the authentication may be performed (S580). More specifically, the
그리하여, 사용자 확인 값과 사용자 응답 값이 상응하는 경우에 한하여, 제1 사용자 단말(100)로부터 수신된 서비스 정보 및 Evidence 정보를 서비스 제공 서버(400)에 전송할 수 있다(S590). 여기에서, Evidence 정보는 제1 사용자 단말(100)로부터 수신된 서비스 정보, 2차원 바코드 및 사용자 응답 값을 묶은 데이터에 대하여 무결성, 보안 인증성 및 기밀성 처리가 수행된 정보를 의미할 수 있다.Thus, only when the user confirmation value and the user response value correspond, the service information and the Evidence information received from the
이를 수신한 서비스 제공 서버(400)는 제1 사용자 단말(100)이 금융 거래 서비스를 이용할 수 있도록 최종적으로 제1 사용자 단말(100)에 접근 권한을 부여할 수 있다(S600).In step S600, the
이와 같이, 본 발명의 사용자 인증 방법을 통해 금융 거래에 이용되는 다양한 메시지 또는 정보에 대한 무결성, 보안 인증성 및 기밀성을 보장할 수 있어 금융 거래에 따른 부인 방지 기술로 활용 가능하다.As described above, the integrity, security authentication, and confidentiality of various messages or information used in financial transactions can be guaranteed through the user authentication method of the present invention, so that it can be utilized as a non-repudiation technique based on financial transactions.
도 6은 본 발명의 실시예에 따른 사용자 인증 장치를 나타내는 블록도이다.6 is a block diagram illustrating a user authentication apparatus according to an embodiment of the present invention.
도 6을 참조하면, 본 발명에 따른 사용자 인증 장치(210)는 제2 사용자 단말(200)에 구현되며, 인증 서버(300)와 연동되어 서비스 제공 서버(400)에 대한 사용자 인증을 수행할 수 있다.Referring to FIG. 6, the
여기에서, 제2 사용자 단말(200)은 제1 사용자 단말(100)의 사용자가 보유하는 스마트폰, 태블릿 PC 및 PDA(Personal Digital Assistant)와 같은 모바일 장치 또는 웨어러블 디바이스(wearable device)를 의미할 수 있고, 인증 서버(300)는 제1 사용자 단말(100) 또는 서비스 제공 서버(400)의 요청에 따라 제2 사용자 단말(200)에 구현된 사용자 인증 장치(210)와 연동되어 사용자 인증을 수행하는 웹 서버 또는 클라우드 서버를 의미할 수 있으나, 이에 한정되는 것은 아니다.Here, the
이때, 제1 사용자 단말(100)은 서비스 제공 서버(400)에 접근을 요청하는 컴퓨터, 노트북, 스마트 가전 기기 등과 같은 정보 통신 장치를 의미할 수 있고, 서비스 제공 서버(400)는 접근 권한이 부여된 사용자에게 온라인 서비스를 제공하는 웹 서버 또는 클라우드 서버를 의미할 수 있다.Here, the
상술한 제1 사용자 단말(100), 제2 사용자 단말(200), 인증 서버(300) 및 서비스 제공 서버(400) 각각은 USB(Universal Serial Bus), 블루투스(bluetooth), 와이파이(Wireless Fidelity), 3G(3generation), LTE(Long Term Evolution) 등과 같은 유무선 네트워크로 연결될 수 있다.Each of the
본 발명에 따른 사용자 인증 장치(210)는 2차원 바코드 인식부(211), 인터페이스 제공부(213), 응답 값 산출부(215) 및 응답 값 전송부(217)를 포함할 수 있다.The
2차원 바코드 인식부(211)는 인증 서버(300)로부터 도전 값이 포함된 2차원 바코드가 생성되어 제1 사용자 단말(100)의 화면에 디스플레이됨에 따라 2차원 바코드를 인식하는 프로세스를 실행시켜 제1 사용자 단말(100)의 화면에 디스플레이된 2차원 바코드를 인식할 수 있다.The two-dimensional
보다 구체적으로, 제1 사용자 단말(100)의 화면에 인증 서버(300)로부터 수신한 2차원 바코드가 디스플레이되면, 제1 사용자 단말(100)의 사용자는 자신이 보유한 제2 사용자 단말(200)에 미리 설치되어 있는 2차원 바코드를 인식하는 프로세스를 실행시킬 수 있다. 이때, 2차원 바코드를 인식하는 프로세스는 이미지 형태의 2차원 바코드에 내포된 정보를 추출할 수 있는 전용 어플리케이션을 의미할 수 있다.More specifically, when the two-dimensional barcode received from the
사용자에 의해 실행된 프로세스가 제2 사용자 단말(200)에 탑재된 카메라의 동작을 활성화시켜 제1 사용자 단말(100)의 화면에 디스플레이된 2차원 바코드를 촬영하면, 촬영된 2차원 바코드에서 인증 서버(300)로부터 발급한 도전 값을 추출함으로써 2차원 바코드를 인식할 수 있다.When the process executed by the user activates the operation of the camera mounted on the
인터페이스 제공부(213)는 2차원 바코드 인식부(211)에서 2차원 바코드가 인식됨에 따라 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 사용자 인터페이스를 제공할 수 있다.The
여기에서, 사용자 비밀 정보는 사용자가 사용자 인터페이스를 통해 음성, 지문, 홍채 및 얼굴 중 적어도 하나를 인식시킴에 따라 발생하는 생체 인식 정보 및 사용자 인증을 위해 사용자가 인증 서버(300)에 미리 등록한 PIN(Personal Identification Number) 등의 비밀번호(password) 중 어느 하나를 의미할 수 있으나, 이에 한정되는 것은 아니다.Here, the user secret information may include a PIN (PIN) previously registered in the
응답 값 산출부(215)는 2차원 바코드에 포함된 도전 값과 사용자 비밀 정보를 이용하여 사용자 응답 값을 산출할 수 있다.The response
이를 위해서는 먼저, 사용자 인터페이스를 통해 입력받은 사용자 비밀 정보를 정규화(normalize)할 수 있다. 정규화된 사용자 비밀 정보와 2차원 바코드로부터 추출된 도전 값을 연산하여 사용자 응답 값을 산출할 수 있다.To do this, the user secret information input through the user interface can be normalized. The user response value can be calculated by calculating the normalized user secret information and the conductive value extracted from the two-dimensional bar code.
이와 같이 정규화된 사용자 비밀 정보 및 도전 값을 입력으로 하는 다양한 함수의 결과물로 사용자 응답 값을 산출할 수 있다.The user response value can be calculated as a result of various functions using the normalized user secret information and the challenge value.
예를 들면, 이러한 함수에는 해시 함수도 있을 수 있고, 기타 다른 암호화 함수가 될 수도 있다.For example, such a function may have a hash function or some other cryptographic function.
또는, 제2 사용자 단말(200)이 인증 서버(300)로부터 미리 받은 공개 키를 가지고 있을 수도 있다. 예를 들어, 제2 사용자 단말(200)은 도전 값을 이용하여, 정규화된 사용자 비밀 정보를 암호화한다. 그리고 나서, 암호화된 사용자 비밀 정보에 공개 키를 적용하여 암호화한 결과값을 포함한 값을 사용자 응답 값으로 산출할 수 있다.Alternatively, the
또한, 더 구체적으로는 SCRAM(Salted Challenge Response Authentication Mechanism) 방식이 그 예가 될 수 있다.More specifically, the Salted Challenge Response Authentication Mechanism (SCRAM) scheme is an example.
다만, 이러한 방법은 예시일 뿐이고, 도전 값 및 사용자 비밀 정보를 인증 서버(300)에서 직, 간접적으로 검증할 수 있는 다양한 종류의 암호화 방법이 적용될 수 있다.However, this method is merely an example, and various types of encryption methods that can directly or indirectly verify the challenge value and the user secret information in the
응답 값 전송부(217)는 사용자 인증이 수행되도록 사용자 응답 값을 인증 서버(300)에 전송할 수 있다.The response
사용자 응답 값을 수신한 인증 서버(300)는 미리 또는 수신 후 산출한 사용자 확인 값과 사용자 응답 값을 비교함으로써 사용자 인증을 수행할 수 있다. Upon receiving the user response value, the
여기에서, 사용자 확인 값은 인증 서버(300)에서 2차원 바코드를 생성하기 위해 발급한 도전 값과 사용자에 의해 미리 등록된 사용자 비밀 정보를 입력으로 하는 다양한 함수의 결과물로 산출할 수 있다.Here, the user confirmation value can be calculated as a result of various functions including the challenge value issued to generate the two-dimensional barcode in the
예를 들면, 이러한 함수에는 해시 함수도 있을 수 있고, 기타 다른 암호화 함수가 있을 수도 있다.For example, such a function may have a hash function, and there may be other cryptographic functions.
또는, 제2 사용자 단말(200)이 인증 서버(300)로부터 미리 받은 공개 키를 가지고 있을 수도 있다. 예를 들어, 제2 사용자 단말(200)이 도전 값을 이용하여, 정규화된 사용자 비밀 정보를 암호화한다. 그리고 나서, 암호화된 사용자 비밀 정보에 공개 키를 적용하여 암호화한 결과값을 포함한 값을 사용자 응답 값으로 산출한 경우가 있을 수 있다. 그러한 경우, 인증 서버(300)는 이러한 사용자 응답 값을 공개 키에 대응한 비밀 키를 사용하여 변환할 수 있고, 변환된 값을 사용자 확인 값과 비교함으로써 인증을 수행할 수 있다.Alternatively, the
다만, 위와 같은 방법은 예시일 뿐이고, 이러한 방법 이외에도, 도전 값 및 사용자 비밀 정보를 직, 간접적으로 인증할 수 있는 다양한 방법이 적용될 수 있다.However, the above method is merely an example. In addition to this method, various methods for directly or indirectly authenticating the challenge value and the user secret information can be applied.
그리하여, 인증 서버(300)는 사용자 확인 값과 사용자 응답 값이 상응하면, 서비스 제공 서버(400)에 제1 사용자 단말(100)의 사용자에 대해 접근을 허용해도 된다는 메시지를 전송하고, 사용자 확인 값과 사용자 응답 값이 상응하지 않으면, 제2 사용자 단말(200)과 인증 서버(300) 간의 사용자 인증을 수행하는 과정에서 공격자에 의해 사용자 인증에 필요한 정보가 조작된 것으로 판단하여 서비스 제공 서버(400)에 제1 사용자 단말(100)의 사용자에 대해 접근을 차단하라는 메시지를 전송할 수 있다.If the user verification value and the user response value correspond to each other, the
상술한 본 발명의 실시예에 따른 사용자 인증 장치(210)의 구성을 설명의 편의상 2차원 바코드 인식부(211), 인터페이스 제공부(213), 응답 값 산출부(215) 및 응답 값 전송부(217)로 나열하여 설명하였으나, 각 구성부 중 적어도 두 개가 합쳐져 하나의 구성부로 이루어지거나, 하나의 구성부가 복수개의 구성부로 나뉘어져 기능을 수행할 수 있고 이러한 각 구성부의 통합 및 분리된 실시예의 경우도 본 발명의 본질에서 벗어나지 않는 한 본 발명의 권리범위에 포함된다.The configuration of the
또한, 본 발명의 실시예에 따른 사용자 인증 장치(210)의 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다. In addition, the operation of the
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다. It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the present invention as defined by the following claims It can be understood that
100: 제1 사용자 단말 200: 제2 사용자 단말
210: 사용자 인증 장치 211: 2차원 바코드 인식부
213: 인터페이스 제공부 215: 응답 값 산출부
217: 응답 값 전송부 300: 인증 서버
400: 서비스 제공 서버100: first user terminal 200: second user terminal
210: user authentication device 211: two-dimensional barcode recognition unit
213: interface providing unit 215: response value calculating unit
217: response value transmission unit 300: authentication server
400: service providing server
Claims (15)
인증 서버로부터 도전(challenge) 값이 포함된 2차원 바코드가 생성되어 상기 제1 사용자 단말의 화면에 디스플레이됨에 따라 2차원 바코드를 인식하는 프로세스를 실행시켜 상기 제1 사용자 단말의 화면에 디스플레이된 2차원 바코드를 인식하는 단계;
상기 2차원 바코드가 인식됨에 따라 상기 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 사용자 인터페이스를 제공하는 단계;
상기 사용자 인터페이스를 통해 상기 사용자 비밀 정보가 입력됨에 따라 상기 인식된 2차원 바코드에 포함된 도전 값과 상기 사용자 비밀 정보를 이용하여 사용자 응답(response) 값을 산출하는 단계; 및
상기 산출된 사용자 응답 값을 상기 인증 서버에 전송하여 사용자 인증을 수행시키는 단계를 포함하고,
상기 사용자 응답 값을 산출하는 단계는,
상기 사용자 비밀 정보를 정규화하는 단계;
정규화된 사용자 비밀 정보를 상기 2차원 바코드로부터 추출된 도전 값을 이용하여 암호화함으로써 암호화된 사용자 비밀 정보를 도출하는 단계; 및
상기 암호화된 사용자 비밀 정보에 공개 키를 적용하여 상기 사용자 응답 값을 산출하는 단계를 포함하는, 사용자 인증 방법.A user authentication method performed by a second user terminal held by a user of a first user terminal that receives an online service from a service providing server,
A two-dimensional barcode including a challenge value is generated from an authentication server and is displayed on a screen of the first user terminal, and a process of recognizing a two-dimensional barcode is executed to display a two-dimensional barcode displayed on the screen of the first user terminal Recognizing a bar code;
Providing a user interface to receive user secret information from the user as the two-dimensional barcode is recognized;
Calculating a user response value using a challenge value included in the recognized two-dimensional bar code and the user secret information as the user secret information is input through the user interface; And
And transmitting the calculated user response value to the authentication server to perform user authentication,
The step of calculating the user response value comprises:
Normalizing the user secret information;
Deriving the encrypted user secret information by encrypting the normalized user secret information using the challenge value extracted from the two-dimensional bar code; And
And applying the public key to the encrypted user secret information to calculate the user response value.
상기 인증 서버는,
상기 2차원 바코드를 인식하는 단계 이전에,
상기 제1 사용자 단말로부터 사용자 식별 ID 및 비밀번호가 포함된 로그인(login) 정보가 수신됨에 따라, 상기 수신된 로그인 정보와 상기 제1 사용자 단말의 사용자에 대하여 미리 등록된 로그인 정보를 비교하는 사용자 인증이 선택적으로 수행되는 것을 특징으로 하는, 사용자 인증 방법.The method according to claim 1,
The authentication server includes:
Before the step of recognizing the two-dimensional bar code,
User authentication for comparing the received login information with login information registered in advance with respect to a user of the first user terminal as the login information including the user identification ID and the password is received from the first user terminal, Wherein the authentication is performed selectively.
상기 인증 서버는,
상기 선택적으로 수행되는 사용자 인증을 통해 상기 제1 사용자 단말의 사용자가 인증되거나 상기 서비스 제공 서버로부터 접근 요청이 수신됨에 따라 도전 값이 발급되고, 상기 발급된 도전 값을 포함하여 2차원 바코드를 생성하는 것을 특징으로 하는, 사용자 인증 방법.The method of claim 2,
The authentication server includes:
A challenge value is issued as a user of the first user terminal is authenticated through the selectively performed user authentication or an access request is received from the service providing server, and a two-dimensional barcode including the issued challenge value is generated And a user authentication method.
상기 2차원 바코드를 인식하는 단계는,
상기 제1 사용자 단말의 화면에 상기 인증 서버로부터 생성된 2차원 바코드가 디스플레이됨에 따라 상기 사용자에 의해 2차원 바코드를 인식하는 프로세스가 실행되고,
상기 프로세스가 카메라의 동작을 활성화시킨 후 상기 사용자의 조작에 상응하도록 상기 제1 사용자 단말의 화면에 디스플레이된 2차원 바코드를 촬영하면,
상기 촬영된 2차원 바코드에서 상기 도전 값을 추출하는 것을 특징으로 하는, 사용자 인증 방법.The method of claim 3,
The step of recognizing the two-
Dimensional barcode generated by the authentication server is displayed on the screen of the first user terminal, a process of recognizing the two-dimensional barcode by the user is executed,
When the process activates the operation of the camera and photographs the two-dimensional barcode displayed on the screen of the first user terminal so as to correspond to the operation of the user,
And extracting the conductive value from the photographed two-dimensional bar code.
상기 사용자 비밀 정보는,
상기 사용자가 상기 사용자 인터페이스를 통해 음성, 지문, 홍채 및 얼굴 중 적어도 하나를 인식시킴에 따라 발생되는 생체 인식 정보 및 상기 사용자 인증을 위해 상기 사용자가 상기 인증 서버에 미리 등록한 비밀번호(password) 중 어느 하나인 것을 특징으로 하는, 사용자 인증 방법.The method according to claim 1,
The user-
The biometric information generated by the user recognizing at least one of a voice, a fingerprint, an iris, and a face through the user interface, and a password previously registered in the authentication server by the user for the user authentication The user authentication method comprising the steps of:
상기 인증 서버는,
상기 2차원 바코드를 생성하기 위해 발급한 도전 값과 사용자 인증을 위해 상기 사용자가 미리 등록한 사용자 비밀 정보를 연산하여 사용자 확인 값을 산출하고, 상기 산출된 사용자 확인 값과 상기 사용자 응답 값을 비교함으로써 상기 제1 사용자 단말의 사용자에 대한 사용자 인증을 수행하는 것을 특징으로 하는, 사용자 인증 방법.The method according to claim 1,
The authentication server includes:
Calculating a user authentication value by calculating a challenge value issued to generate the two-dimensional bar code and user secret information previously registered by the user for user authentication, and comparing the calculated user authentication value with the user response value, And performing user authentication for a user of the first user terminal.
상기 사용자 인증 방법은,
금융 거래를 위한 부인 방지(non-repudiation) 기술에 적용 가능한 것을 특징으로 하는, 사용자 인증 방법.The method according to claim 1,
The user authentication method includes:
A method for authenticating a user, the method being applicable to non-repudiation techniques for financial transactions.
인증 서버로부터 도전(challenge) 값이 포함된 2차원 바코드가 생성되어 상기 제1 사용자 단말의 화면에 디스플레이됨에 따라 2차원 바코드를 인식하는 프로세스를 실행시켜 상기 제1 사용자 단말의 화면에 디스플레이된 2차원 바코드를 인식하는 2차원 바코드 인식부;
상기 2차원 바코드가 인식됨에 따라 상기 사용자로부터 사용자 비밀 정보를 입력받을 수 있도록 사용자 인터페이스를 제공하는 인터페이스 제공부;
상기 사용자 인터페이스를 통해 상기 사용자 비밀 정보가 입력됨에 따라 상기 인식된 2차원 바코드에 포함된 도전 값과 상기 사용자 비밀 정보를 이용하여 사용자 응답(response) 값을 산출하는 응답 값 산출부; 및
사용자 인증이 수행되도록 상기 산출된 사용자 응답 값을 상기 인증 서버에 전송하는 응답 값 전송부를 포함하고,
상기 응답 값 산출부는,
상기 사용자 비밀 정보를 정규화하고,
정규화된 사용자 비밀 정보를 상기 2차원 바코드로부터 추출된 도전 값을 이용하여 암호화함으로써 암호화된 사용자 비밀 정보를 도출하고,
상기 암호화된 사용자 비밀 정보에 공개 키를 적용하여 상기 사용자 응답 값을 산출하는, 사용자 인증 장치.A user authentication apparatus implemented in a second user terminal held by a user of a first user terminal receiving an online service from a service providing server,
A two-dimensional barcode including a challenge value is generated from an authentication server and is displayed on a screen of the first user terminal, and a process of recognizing a two-dimensional barcode is executed to display a two-dimensional barcode displayed on the screen of the first user terminal A two-dimensional barcode recognition unit for recognizing a barcode;
An interface providing unit for providing a user interface to receive user secret information from the user as the two-dimensional barcode is recognized;
A response value calculation unit for calculating a user response value using the challenge value and the user secret information included in the recognized two-dimensional bar code as the user secret information is input through the user interface; And
And a response value transmission unit for transmitting the calculated user response value to the authentication server so that user authentication is performed,
The response value calculator calculates,
Normalizing the user secret information,
Deriving the encrypted user secret information by encrypting the normalized user secret information using the challenge value extracted from the two-dimensional bar code,
And the user response value is calculated by applying a public key to the encrypted user secret information.
상기 인증 서버는,
상기 제1 사용자 단말로부터 사용자 식별 ID 및 비밀번호가 포함된 로그인(login) 정보가 수신됨에 따라, 상기 수신된 로그인 정보와 상기 제1 사용자 단말의 사용자에 대하여 미리 등록된 로그인 정보를 비교하는 사용자 인증이 선택적으로 수행되는 것을 특징으로 하는, 사용자 인증 장치.The method of claim 9,
The authentication server includes:
User authentication for comparing the received login information with login information registered in advance with respect to a user of the first user terminal as the login information including the user identification ID and the password is received from the first user terminal, Wherein the authentication is performed selectively.
상기 인증 서버는,
상기 선택적으로 수행되는 사용자 인증을 통해 상기 제1 사용자 단말의 사용자가 인증되거나 상기 서비스 제공 서버로부터 접근 요청이 수신됨에 따라 도전 값이 발급되고, 상기 발급된 도전 값을 포함하여 2차원 바코드를 생성하는 것을 특징으로 하는, 사용자 인증 장치.The method of claim 10,
The authentication server includes:
A challenge value is issued as a user of the first user terminal is authenticated through the selectively performed user authentication or an access request is received from the service providing server, and a two-dimensional barcode including the issued challenge value is generated And the user authentication device.
상기 2차원 바코드 인식부는,
상기 제1 사용자 단말의 화면에 상기 인증 서버로부터 생성된 2차원 바코드가 디스플레이됨에 따라 상기 사용자에 의해 2차원 바코드를 인식하는 프로세스가 실행되고,
상기 프로세스가 카메라의 동작을 활성화시킨 후 상기 사용자의 조작에 상응하도록 상기 제1 사용자 단말의 화면에 디스플레이된 2차원 바코드를 촬영하면,
상기 촬영된 2차원 바코드에서 상기 도전 값을 추출하는 것을 특징으로 하는, 사용자 인증 장치.The method of claim 9,
The two-dimensional bar code recognizing unit,
Dimensional barcode generated by the authentication server is displayed on the screen of the first user terminal, a process of recognizing the two-dimensional barcode by the user is executed,
When the process activates the operation of the camera and photographs the two-dimensional barcode displayed on the screen of the first user terminal so as to correspond to the operation of the user,
And extracts the conductive value from the photographed two-dimensional bar code.
상기 사용자 비밀 정보는,
상기 사용자가 상기 사용자 인터페이스를 통해 음성, 지문, 홍채 및 얼굴 중 적어도 하나를 인식시킴에 따라 발생되는 생체 인식 정보 및 상기 사용자 인증을 위해 상기 사용자가 상기 인증 서버에 미리 등록한 비밀번호(password) 중 어느 하나인 것을 특징으로 하는, 사용자 인증 장치.The method of claim 12,
The user-
The biometric information generated by the user recognizing at least one of a voice, a fingerprint, an iris, and a face through the user interface, and a password previously registered in the authentication server by the user for the user authentication And the user authentication device.
상기 인증 서버는,
상기 2차원 바코드를 생성하기 위해 발급한 도전 값과 사용자 인증을 위해 상기 사용자가 미리 등록한 사용자 비밀 정보를 연산하여 사용자 확인 값을 산출하고, 상기 산출된 사용자 확인 값과 상기 사용자 응답 값을 비교함으로써 상기 제1 사용자 단말의 사용자에 대한 사용자 인증을 수행하는 것을 특징으로 하는, 사용자 인증 장치.
The method of claim 9,
The authentication server includes:
Calculating a user authentication value by calculating a challenge value issued to generate the two-dimensional bar code and user secret information previously registered by the user for user authentication, and comparing the calculated user authentication value with the user response value, And performs user authentication for a user of the first user terminal.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160042153A KR101792494B1 (en) | 2016-04-06 | 2016-04-06 | Method for authenticating user and apparatus for performing the method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160042153A KR101792494B1 (en) | 2016-04-06 | 2016-04-06 | Method for authenticating user and apparatus for performing the method |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170114713A KR20170114713A (en) | 2017-10-16 |
KR101792494B1 true KR101792494B1 (en) | 2017-11-02 |
Family
ID=60295719
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160042153A KR101792494B1 (en) | 2016-04-06 | 2016-04-06 | Method for authenticating user and apparatus for performing the method |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101792494B1 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR3092692A1 (en) | 2019-02-11 | 2020-08-14 | Panini S.P.A. | METHOD FOR REGISTRATION AND IDENTIFICATION OF A USER OF AN INSTITUTION USING BIOMETRIC INFORMATION AND ASSOCIATED REGISTRATION SYSTEM AND IDENTIFICATION DEVICE |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101305901B1 (en) * | 2012-07-06 | 2013-09-11 | 주식회사 더존넥스트 | Method and system for authentication |
-
2016
- 2016-04-06 KR KR1020160042153A patent/KR101792494B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101305901B1 (en) * | 2012-07-06 | 2013-09-11 | 주식회사 더존넥스트 | Method and system for authentication |
Also Published As
Publication number | Publication date |
---|---|
KR20170114713A (en) | 2017-10-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10075437B1 (en) | Secure authentication of a user of a device during a session with a connected server | |
TWI667585B (en) | Method and device for safety authentication based on biological characteristics | |
EP3257194B1 (en) | Systems and methods for securely managing biometric data | |
KR102358546B1 (en) | System and method for authenticating a client to a device | |
EP2954451B1 (en) | Barcode authentication for resource requests | |
US9112705B2 (en) | ID system and program, and ID method | |
US9647840B2 (en) | Method for producing a soft token, computer program product and service computer system | |
US9544143B2 (en) | System and method of notifying mobile devices to complete transactions | |
US9935953B1 (en) | Secure authenticating an user of a device during a session with a connected server | |
US10523441B2 (en) | Authentication of access request of a device and protecting confidential information | |
US10848304B2 (en) | Public-private key pair protected password manager | |
CA2813855C (en) | Methods and systems for conducting smart card transactions | |
US20200196143A1 (en) | Public key-based service authentication method and system | |
KR20120034572A (en) | Authentication method and authentication system | |
KR101856530B1 (en) | Encryption system providing user cognition-based encryption protocol and method for processing on-line settlement, security apparatus and transaction approval server using thereof | |
KR101652966B1 (en) | System for digital authentication using pairing between universal RF tag and smart phone | |
CN113924751A (en) | System and method for providing secure data access | |
KR101792494B1 (en) | Method for authenticating user and apparatus for performing the method | |
KR101868564B1 (en) | Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same | |
KR101611099B1 (en) | Method for issuing of authentication token for real name identification, method for certifying user using the authentication token and apparatus for performing the method | |
KR20180037168A (en) | Cross authentication method and system using one time password | |
KR20160037520A (en) | System and method for federated authentication based on biometrics | |
KR102123405B1 (en) | System and method for providing security membership and login hosting service | |
KR101619282B1 (en) | Cloud system for manging combined password and control method thereof | |
KR101536122B1 (en) | Secure User Authentication Scheme using SmartCard in Printer Security Device Method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |