KR101868564B1 - Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same - Google Patents

Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same Download PDF

Info

Publication number
KR101868564B1
KR101868564B1 KR1020160061991A KR20160061991A KR101868564B1 KR 101868564 B1 KR101868564 B1 KR 101868564B1 KR 1020160061991 A KR1020160061991 A KR 1020160061991A KR 20160061991 A KR20160061991 A KR 20160061991A KR 101868564 B1 KR101868564 B1 KR 101868564B1
Authority
KR
South Korea
Prior art keywords
user
public key
authentication
identity verification
time
Prior art date
Application number
KR1020160061991A
Other languages
Korean (ko)
Other versions
KR20170130963A (en
Inventor
김영진
서영준
범진규
김대식
Original Assignee
(주)드림시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)드림시큐리티 filed Critical (주)드림시큐리티
Priority to KR1020160061991A priority Critical patent/KR101868564B1/en
Publication of KR20170130963A publication Critical patent/KR20170130963A/en
Application granted granted Critical
Publication of KR101868564B1 publication Critical patent/KR101868564B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 사용자 인증 장치는 사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 본인 확인부; 본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 공개키 수신부; 외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 사용자 등록부 및 상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 사용자 관리부를 포함한다.A user authentication apparatus and method in which user identification registration and local authentication are linked is disclosed. A user authentication unit according to an embodiment of the present invention includes a user authentication unit for providing a user's identity verification request to an external identity verification unit and receiving the identity verification result from the identity verification unit; A public key receiver for receiving a public key corresponding to a key pair generated corresponding to the identified user and verifying the public key; A user registration unit for requesting an external authentication authority for a timestamp of the public key, receiving and storing a timestamp token issued based on the public key, and performing user authentication corresponding to the user using the timestamp token And a user management unit.

Figure R1020160061991
Figure R1020160061991

Description

사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 {APPARATUS FOR AUTHENTICATING USER IN ASSOCIATION WITH USER-IDENTIFICATION-REGISTRATION AND LOCAL-AUTHENTICATION AND METHOD FOR USING THE SAME}BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a user authentication apparatus and a method for authenticating a user,

본 발명은 로컬 기반 사용자 등록 및 인증 기술에 관한 것으로 공개키기반구조(Public Key Infrastructure, PKI)의 인증 기술 및 파이도(FIDO, Fast IDentity Online) 기반 생체인식 인증 기술과도 관련이 있다.The present invention relates to a local-based user registration and authentication technique and also relates to a public key infrastructure (PKI) authentication technique and a FIDO (Fast IDentity Online) -based biometric authentication technology.

최근 로컬 기반 사용자 인증 기술 중 하나로 지문, 홍채 및 안면인식과 같은 생체인식 인증 기술인 파이도(FIDO, Fast IDentity Online) 기반 생체인식 인증 기술이 액티브X와 공인인증서를 대체할 수 있는 효과적인 인증 기술로 주목 받고 있다. FIDO 기반 생체 인증 기술은 사용자 인증, 전자상거래 등에서 종래의 비밀번호 및 공인인증서를 대체하는 인증 수단으로 확대될 전망이다.One of the recent local user authentication technologies is Biometric authentication technology based on FIDO (Fast IDentity Online), which is a biometric authentication technology such as fingerprint, iris and facial recognition, as an effective authentication technology that can replace Active X and authorized certificates. . FIDO-based biometric authentication technology is expected to be used as an authentication method to substitute conventional passwords and authorized certificates for user authentication and electronic commerce.

생체인식 인증 기술은 토큰과 같이 저장이 필요한 정보와 다르게, 사용자의 신체의 고유 정보를 이용하기 때문에 높은 편의성을 가지는 것이 장점이다. 이러한 장점으로 생체인식 인증 기술은 비대면 금융거래인 인터넷 뱅킹, 스마트 뱅킹 등 핀테크 분야에서 활용도가 높은 기술로 평가되고 있다. 금융거래 분야 외에도 단말 장치의 로그인 등 다양한 분야의 적용이 응용될 것으로 기대되고 있다.The biometric authentication technology is advantageous in that it has high convenience because it uses the unique information of the user's body, unlike the information requiring to be stored like the token. As a result, biometric authentication technology is evaluated as a technology that is highly utilized in the field of pin-tecs such as non-face-to-face financial transactions such as Internet banking and smart banking. In addition to the field of financial transactions, application of various fields such as login of terminal devices is expected to be applied.

단, 사용자 고유의 생체인식 인증 정보가 사업자의 서버에 저장될 경우, 해킹 등으로 유출되면 그 피해는 더욱 치명적일 수 있다. 일반적인 생체인식 인증 정보를 암호화 및 토큰화시켜 저장되기 때문에 유출되더라도 이를 직접 악용하기는 어렵지만, 지문과 같은 정보는 비밀번호처럼 언제든 손쉽게 변경할 수 있는 것이 아니기 때문에 큰 불편을 야기할 수 있다.However, if the biometrics authentication information unique to the user is stored in the server of the provider, if the authentication information is leaked by hacking or the like, the damage may be more fatal. It is difficult to directly exploit biometric authentication information even if it is leaked because it is encrypted and tokenized. However, information such as a fingerprint can cause inconvenience because it is not always easy to change like a password.

FIDO 인증 기술은 이러한 문제점을 보완하고자 생체인식 인증 정보를 사업자 서버에 저장하지 않고, 사용자 단말 장치에서 처리한 후 결과값만을 서버에서 검증 받음으로써 인증이 진행된다. 이 과정에는 공개키 기반구조(PKI) 등 기존 인증 관련 기술이 연계되어 안전한 통신을 뒷받침한다.FIDO authentication technology does not store the biometric authentication information in the server, but the authentication is performed by processing the result in the user terminal and only the result is verified by the server. This process links existing authentication technologies such as public key infrastructure (PKI) to support secure communications.

공개키 기반구조는 암호화와 복호화키로 구성된 공개키를 이용하여 송수신 데이터를 이용해 데이터를 암호화 하고 디지털 인증서를 통해 사용자를 인증하는 시스템에 상응한다. 공개키 방식은 키쌍(공개키 및 개인키)을 생성하여 데이터를 암호화(공개키)하고 이를 다시 풀 수 있는 열쇠(개인키)가 서로 다르기 때문에 데이터의 보안이 가능하다.The public key infrastructure corresponds to a system for encrypting data using transmission / reception data using a public key composed of encryption and decryption keys and authenticating the user through a digital certificate. The public key method is able to secure the data because it generates the key pair (public key and private key), encrypts the data (public key), and the key (private key) that can solve it again.

즉, 사용자의 생체인식 인증 정보와 사용자 단말 장치라는 2가지가 모두 충족되어 공개키 기반구조로 인증이 처리되기 때문에 보안성도 높다.That is, since both of the biometric authentication information of the user and the user terminal device are satisfied and the authentication is processed by the public key infrastructure, security is also high.

이와 관련하여, 한국등록특허 제 10-0876003 호 "생체정보를 이용하는 사용자 인증방법" 는 생체정보를 이용하는 사용자 인증방법에 관한 것으로서, 더욱 상세하게는 온라인 전자금융거래 등에서 사용자에 대한 인증 및 금융거래 행위, 결제 행위에 대한 전자적 인증과 전자결제 서명 등의 안전성을 확보하기 위해 생체센서를 포함하는 인증장치를 이용하여, 매 로그인 할 때 마다 사용자의 생체정보를 이용하여 실시간으로 사용자를 인증하고, 비밀키 값을 획득하여 다른 주요 키값들은 안전하게 암호화하여 저장 및 운영되도록 하는 방법을 제공함으로써, 사용자 인증장치의 변조방지 기능 및 보안 수준을 한층 더 강화시킬 수 있도록 해주는 사용자 인증방법에 관하여 개시하고 있다.In this regard, Korean Patent Registration No. 10-0876003 entitled " User Authentication Method Using Biometric Information "relates to a user authentication method using biometric information, and more particularly, To authenticate the user in real time using biometric information of the user every time the user logs in, using an authentication device including a biometric sensor to secure safety such as electronic authentication and electronic payment signature for the payment transaction, And a method for securely encrypting and storing and operating other key key values, thereby providing a tamper-resistant function of the user authentication device and a user authentication method capable of further enhancing the security level.

그러나, 이러한 공개키 기반의 생체인식 인증 기술 및 한국등록특허 제 10-0876003 호는 등록을 요청한 사용자를 검증하는 과정이 없이 공개키를 등록하기 때문에 기존의 공인인증서 발급과정의 사용자 검증을 하지 못하고, FIDO 인증 기술 표준에 따르면 사용자의 공개키를 장치의 개인키로 서명하여 확인하는데, 사용자의 공개키에 상응하는 개인키의 소지여부 및 공개키의 유효 여부 및 유효 기간을 확인할 수 없다는 문제점이 존재한다.However, since the public key based biometric authentication technology and the Korean Registration No. 10-0876003 register the public key without verifying the user requesting registration, the user can not verify the existing certificate issuing process, According to the FIDO authentication technology standard, a user's public key is signed and verified with the private key of the device. However, there is a problem in that it is impossible to confirm whether the private key corresponding to the user's public key exists, and whether the public key is valid or valid.

이에 따라, 등록된 사용자의 공개키에 대한 신뢰성이 낮을 수밖에 없고, 사업자 서버의 사용자 인증 과정에서의 취약점을 보완하기 위하여 생체인식 인증 또는 비밀번호확인 등의 로컬 인증 정보를 처리하는 사용자 단말 장치가 해킹 된 경우에는 여전히 보안의 위협이 존재한다.Accordingly, the reliability of the public key of the registered user is low. In order to compensate for the weak point in the user authentication process of the provider server, the user terminal device that processes the local authentication information such as the biometric authentication or the password confirmation is hacked There is still a security threat.

본 발명은 공개키 기반 구조의 로컬 기반 사용자 인증 기술의 신뢰성을 향상시키는 것을 목적으로 한다.The present invention aims at improving the reliability of a local-based user authentication technique of a public key infrastructure.

또한, 본 발명은 사용자의 공개키의 상응하는 개인키의 사용자 소지여부를 검증하는 것을 목적으로 한다.The present invention also aims to verify whether a corresponding private key of a user's public key is owned by a user.

또한, 본 발명은 사용자의 공개키의 신뢰성을 보장하기 위하여 유효 여부 및 유효 기간을 설정하는 것을 목적으로 한다.It is another object of the present invention to set validity and validity period in order to ensure reliability of a public key of a user.

또한, 본 발명은 사용자의 공개키와 사용자의 연관 여부를 보증하는 것을 목적으로 한다.It is another object of the present invention to guarantee the association between a user's public key and a user.

또한, 본 발명은 위조된 공개키의 사용 여부에 대한 증거력을 부여하는 것을 목적으로 한다.It is another object of the present invention to provide evidence of whether a falsified public key is used or not.

상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 사용자 인증 장치는 사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 본인 확인부; 본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 공개키 수신부; 외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 사용자 등록부 및 상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 사용자 관리부를 포함한다.In order to accomplish the above object, according to an embodiment of the present invention, there is provided a user authentication apparatus comprising: an identity confirmation unit for providing a user's identity verification request to an external identity verification unit and receiving a result of identity verification from the identity verification unit; A public key receiver for receiving a public key corresponding to a key pair generated corresponding to the identified user and verifying the public key; A user registration unit for requesting an external authentication authority for a timestamp of the public key, receiving and storing a timestamp token issued based on the public key, and performing user authentication corresponding to the user using the timestamp token And a user management unit.

이 때, 상기 사용자 인증 장치는 상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 공개키 인증부를 더 포함할 수 있다.In this case, the user authentication apparatus may further include a public key authentication unit for authenticating the public key using the issuance time of the time stamp token.

이 때, 상기 본인 확인 기관은 상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인부는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행할 수 있다.At this time, the identity verification organization generates user identification information corresponding to the user, and the identity verification unit identifies the identity of the user based on at least one of the user identification information and the identification information input from the user Can be performed.

이 때, 상기 사용자 식별 정보는 상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다.At this time, the user identification information may correspond to at least one of Duplication Information (DI) and Member Information (CI) for identifying the user.

이 때, 상기 공개키 수신부는 상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증할 수 있다.At this time, the public key receiver can verify the public key by decrypting the public key encrypted with the verification key corresponding to the key pair with the verification key.

이 때, 상기 공개키 수신부는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.At this time, the public key receiver can verify the private key by decrypting the public key encrypted with the private key corresponding to the key pair with the public key.

이 때, 상기 키쌍은 상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다.At this time, the key pair can be generated only when the local authentication performed using any one of the biometric information and the authentication information corresponding to the user is successful.

이 때, 상기 사용자 등록부는 상기 외부의 인증 기관에 상기 공개키와 상기 사용자 식별 정보의 타임스탬프를 요청하고, 상기 공개키 및 사용자 식별 정보에 기반하여 발급된 타임스탬프 토큰, 상기 공개키 및 상기 사용자 식별 정보를 매칭하여 저장할 수 있다.At this time, the user registration unit requests the external authentication authority for the public key and the time stamp of the user identification information, and transmits the time stamp token issued based on the public key and the user identification information, the public key, The identification information can be matched and stored.

이 때, 상기 타임스탬프 토큰은 상기 외부의 인증 기관의 개인키로 전자서명한 전자서명 및 상기 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함할 수 있다.At this time, the time stamp token may include at least one of an electronic signature digitally signed with the private key of the external certification authority and an issuance time of the time stamp token.

이 때, 상기 사용자 등록부는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.At this time, the user registration unit may set and store the authentication validity period of the public key based on the issuance time of the timestamp token.

이 때, 상기 사용자 등록부는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다At this time, the user registration unit may set and store an update valid period for re-registration of the public key based on the issuance time of the timestamp token

이 때, 상기 사용자 등록부는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장할 수 있다.At this time, the user registration unit may list the public key based on the issuance time of the time stamp token and store the public key.

또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 사용자 인증 방법은 사용자 인증 장치를 이용하는 방법에 있어서, 사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 단계; 본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 단계; 외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 단계 및 상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method of using a user authentication device, the method comprising: providing a user's identity verification request to an external identity verification authority; Receiving an identity verification result; Receiving a public key corresponding to a key pair generated corresponding to the identified user and verifying the public key; Receiving a time stamp of the public key from an external authentication authority, receiving and storing a time stamp token issued based on the public key, and performing a user authentication corresponding to the user using the time stamp token .

이 때, 상기 사용자 인증 방법은 상기 사용자 인증을 수행하는 단계 이전에, 상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 단계를 더 포함할 수 있다.In this case, the user authentication method may further include authenticating the public key using the issuance time of the timestamp token before performing the user authentication.

이 때, 상기 본인 확인 기관은 상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인 결과를 수신하는 단계는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행할 수 있다.At this time, the identity verification organization generates user identification information corresponding to the user, and the step of receiving the identity verification result includes a step of receiving, based on at least one of the user identification information and the identification information inputted by the user, User identity verification can be performed.

이 때, 상기 사용자 식별 정보는 상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다.At this time, the user identification information may correspond to at least one of Duplication Information (DI) and Member Information (CI) for identifying the user.

이 때, 상기 공개키를 검증하는 단계는 상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증할 수 있다.At this time, the verification of the public key may verify the public key by decrypting the public key encrypted with the verification key corresponding to the key pair with the verification key.

이 때, 상기 공개키를 검증하는 단계는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.In this case, the verifying the public key may verify the private key by decrypting the public key encrypted with the private key corresponding to the key pair with the public key.

이 때, 상기 키쌍은 상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다.At this time, the key pair can be generated only when the local authentication performed using any one of the biometric information and the authentication information corresponding to the user is successful.

이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 외부의 인증 기관에 상기 공개키와 상기 사용자 식별 정보의 타임스탬프를 요청하고, 상기 공개키 및 사용자 식별 정보에 기반하여 발급된 타임스탬프 토큰, 상기 공개키 및 상기 사용자 식별 정보를 매칭하여 저장할 수 있다.The step of receiving and storing the public key includes: requesting the external authentication authority for the public key and the time stamp of the user identification information; generating a time stamp token issued based on the public key and the user identification information; The public key and the user identification information may be matched and stored.

이 때, 상기 타임스탬프 토큰은 상기 외부의 인증 기관의 개인키로 전자서명한 전자서명 및 상기 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함할 수 있다.At this time, the time stamp token may include at least one of an electronic signature digitally signed with the private key of the external certification authority and an issuance time of the time stamp token.

이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.At this time, the step of receiving and storing the public key may set and store the authentication valid period of the public key based on the issuance time of the timestamp token.

이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다At this time, receiving and storing the public key may set and store an update valid period for re-registration of the public key based on the issuance time of the timestamp token

이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장할 수 있다.At this time, receiving and storing the public key may list and store the public key based on the issuance time of the timestamp token.

본 발명은 공개키 기반 구조의 로컬 기반 사용자 인증 기술의 신뢰성을 향상시킬 수 있다.The present invention can improve the reliability of a locally based user authentication technique of a public key infrastructure.

또한, 본 발명은 사용자의 공개키의 상응하는 개인키의 사용자 소지여부를 검증할 수 있다.In addition, the present invention can verify whether a corresponding private key of a user's public key is owned by a user.

또한, 본 발명은 사용자의 공개키의 신뢰성을 보장하기 위하여 유효 여부 및 유효 기간을 설정할 수 있다.In addition, the present invention can set validity and validity period to ensure the reliability of the public key of the user.

또한, 본 발명은 사용자의 공개키와 사용자의 연관 여부를 보증할 수 있다.In addition, the present invention can guarantee the association between the user's public key and the user.

또한, 본 발명은 위조된 공개키의 사용 여부에 대한 증거력을 부여할 수 있다.In addition, the present invention can give evidence of whether a falsified public key is used or not.

도 1은 본 발명의 일실시예에 따른 사용자 인증 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 2채널을 이용한 사용자 인증 시스템을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 사용자 인증 장치를 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 사용자 인증 방법을 나타낸 동작흐름도이다.
도 5는 도 4에 도시된 본인 확인 단계의 일 예를 세부적으로 나타낸 동작 흐름도이다.
도 6은 도 4에 도시된 공개키 수신 및 검증 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 7은 도 4에 도시된 공개키의 타임 스탬프 수행 및 저장 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 8은 본 발명의 일실시예에 따른 FIDO 사용자 등록 방법을 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 FIDO 사용자 인증 방법을 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a block diagram of a user authentication system according to an embodiment of the present invention.
2 is a diagram illustrating a user authentication system using two channels according to an embodiment of the present invention.
3 is a block diagram illustrating a user authentication apparatus according to an exemplary embodiment of the present invention.
4 is a flowchart illustrating a method of authenticating a user according to an exemplary embodiment of the present invention.
FIG. 5 is a flowchart illustrating an example of the identity verification step shown in FIG. 4 in detail.
FIG. 6 is an operation flowchart illustrating an example of the public key reception and verification step shown in FIG. 4 in detail.
FIG. 7 is an operation flowchart illustrating an example of a time stamp execution and storage step of the public key shown in FIG.
8 is a diagram illustrating a FIDO user registration method according to an embodiment of the present invention.
9 is a diagram illustrating a FIDO user authentication method according to an embodiment of the present invention.
10 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 사용자 인증 시스템을 나타낸 도면이다. 도 2는 본 발명의 일실시예에 따른 2채널을 이용한 사용자 인증 시스템을 나타낸 도면이다. 1 is a block diagram of a user authentication system according to an embodiment of the present invention. 2 is a diagram illustrating a user authentication system using two channels according to an embodiment of the present invention.

도 1 및 2를 참조하면, 본 발명의 일실시예에 따른 사용자 인증 시스템은 사용자(10)의 사용자 단말 장치(20), 본인 확인 기관(30), 타임스탬프 서버(40) 및 사용자 인증 장치(100)을 포함한다.1 and 2, a user authentication system according to an embodiment of the present invention includes a user terminal device 20, a principal authentication device 30, a time stamp server 40, and a user authentication device 100).

사용자 단말 장치(20)는 사용자에 의해 사용되는 컴퓨터 시스템에 상응할 수 있다. 예를 들어, 사용자 단말 장치(20)는 스마트폰, 태블릿(tablet), PDA(Personal Digital Assistant), 랩톱(laptop), 데스크톱(desktop) 등과 같은 컴퓨터 시스템에 상응할 수 있다. 이 때, 사용자 단말기(20)는 로컬 인증을 통하여 공개키와 개인키의 키쌍을 생성할 수 있다. The user terminal device 20 may correspond to a computer system used by a user. For example, the user terminal device 20 may correspond to a computer system such as a smart phone, a tablet, a personal digital assistant (PDA), a laptop, a desktop, and the like. At this time, the user terminal 20 can generate a key pair of a public key and a private key through local authentication.

본인 확인 기관(30)은 공증된 외부의 본인 확인 기관에 상응할 수 있고, 본인 인증 서비스를 제공할 수 있다. 예를 들어, 본인 확인 기관(30)은 본인 확인 정보가 입력 받아 본인 확인을 수행하고, 본인 확인 결과를 전송할 수 있다. 예를 들어, 본인 확인 기관(30)의 본인 확인 서비스는 아이핀과 같은 본인 확인 서비스에 상응할 수 있다.The identity verification institution 30 may correspond to an external authentication institution and may provide the authentication service. For example, the identity verification institution 30 can receive identity verification information, perform identity verification, and transmit the identity verification result. For example, the identity verification service of the identity verification institution 30 may correspond to an identity verification service such as IPIN.

타임스탬프 서버(40)는 외부의 공증된 인증기관에서 원격으로 타임스탬프를 수행할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.The timestamp server 40 may remotely timestamp at an external notarized certificate authority. The timestamp may correspond to a time at which the data is present at a particular location to prove that the data was present at some point in time, and may correspond to a time displacement parameter that represents the origin of time for a commonly referenced time.

이 때, 타임스탬프 서버(40)가 발급하는 타임스탬프는 RFC3161표준을 따르는 경우, 타임스탬프 토큰의 형태에 상응할 수 있다.At this time, the time stamp issued by the time stamp server 40 may correspond to the form of the time stamp token when conforming to the RFC3161 standard.

이 때, 타임스탬프 서버(40)가 발급하는 타임스탬프는 RFC3161표준을 따르지 않는 경우, 타임스탬프가 요청된 발급 시각과 데이터에 타임스탬프 서버(40)의 개인키로 전자서명하여 발급될 수도 있다.At this time, if the time stamp issued by the time stamp server 40 does not conform to the RFC3161 standard, the time stamp may be issued by electronically signing with the private key of the time stamp server 40 in the requested issuance time and data.

사용자 인증 시스템은 먼저 사용자(10)가 사용자 단말 장치(20)를 통해 사용자 인증 장치(100)에 본인 확인 요청을 할 수 있다.The user authentication system can first make a user authentication request to the user authentication device 100 through the user terminal device 20. [

1. 본인 확인 요청에서 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.1. In the identity verification request, the user 10 can select a method for performing identity verification through the user terminal device 20. [ At this time, the user 10 can input information required for identity verification through the user terminal 20. [ In the case of using the mobile communication company, the user 10 can input the identification information of the identity verification information (mobile phone number, name, date of birth, etc.). In the case of the IPIN, the user 10 can input his / her identification information (IPIN ID, password).

2. 본인 확인 요청 전송에서 사용자(10)가 사용자 단말 장치(20)에 입력한 본인 확인 정보를 사용자 인증 장치(100)에 전송할 수 있다. 2. In the transmission of the identity verification request, the user 10 can transmit the identity verification information input by the user 10 to the user terminal device 20 to the user authentication device 100. [

3. 본인 확인 요청 전송에서 사용자 인증 장치(100)는 사용자가 입력한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다.3. In transmitting the identity verification request, the user authentication apparatus 100 may transmit the identity verification information entered by the user to the identity verification institution 30. [

4. 본인 확인에서 본인 확인 기관(30)은 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다.4. In identity verification, the identity verification entity (30) can perform identity verification based on the identity verification information.

5. 본인 확인 결과 전송에서 사용자 인증 장치(100)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. 이 때, 본인 확인 기관(30)은 본인 확인 결과가 성공인 경우, 사용자 식별 정보를 사용자 인증 장치(100)에 전송할 수 있다. 사용자 식별 정보는 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다.5. In transmitting the identity verification result, the user authentication apparatus 100 may receive the identity verification result from the identity verification institution 30. [ At this time, the identity verification organization 30 can transmit the user identification information to the user authentication apparatus 100 when the identity verification result is successful. The user identification information may correspond to at least one or more of Duplication Information (DI) and Member Information (CI) identifying the user. At this time, the identification information of the user may correspond to the hash value of DI and CI.

이 때, 사용자 인증 시스템은 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.At this time, the user authentication system may perform data encryption such as SSL to protect information transmitted and received between the user terminal 20, the identity verification institution 30, and the user authentication apparatus 100.

6. 본인 확인 결과 전송에서 사용자 인증 장치(100)는 사용자 단말 장치(20)에 본인 확인 결과를 전송할 수 있다.6. In transmitting the identity verification result, the user authentication apparatus 100 may transmit the identity verification result to the user terminal device 20. [

7. 본인 확인 결과 확인에서 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우 사용자 단말 장치(20)에 본인 확인 결과와 함께 본인 확인 코드 입력 요청이 출력될 수 있다. 본인 확인 코드 입력 요청은 본인 확인 기관(30)이 본인 확인 정보에 기반하여 사용자 인증 장치(100)을 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.7. The user 10 can confirm the identity verification result outputted by the user terminal device 20 in the identity verification result confirmation. Referring to FIG. 2, when performing 2-channel authentication, a request for inputting a personal identification code may be output along with a result of identification of the user in the user terminal 20. The identity verification code input request may be directly transmitted to the user terminal 20 by the identity verification institution 30 based on the identity verification information without passing through the user authentication apparatus 100. [

8. 사용자 인식에서 사용자(10)는 본인 확인 결과가 성공인 경우, 사용자 단말 장치(20)를 통해 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.8. In the user recognition, the user 10 can input the biometric authentication information through the biometric authentication through the user terminal device 20 when the result of the identity verification is successful. The biometric authentication information may correspond to various biometric information such as iris, voice, face, and fingerprint recognition. At this time, the user 10 can input authentication information through the ID, the password, and other information corresponding to the user through the user terminal 20 capable of local authentication in addition to the biometric authentication. Referring to FIG. 2, when performing 2-channel authentication, the user 10 can input a personal identification code through the user terminal 20 based on a request for inputting a personal identification code. The identity verification code may correspond to an SMS authentication number or a secondary password.

9. 키쌍 생성에서 사용자 단말 장치(20)는 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.9. In generating the key pair, the user terminal device 20 can generate a key pair corresponding to the public key and the private key based on at least one of biometrics and personal information of the user 10. [ The key pair can be generated only when the local authentication performed using the biometric information corresponding to the user 10 via the user terminal device 20 is successful. At this time, the local authentication may be performed using authentication information such as other information corresponding to the user 10 or a password.

10. 공개키 수신에서 사용자 인증 장치(100)는 사용자 단말 장치(20)에서 생성된 사용자(10)의 공개키를 수신할 수 있다. 이 때, 사용자 단말 장치(20)는 공개키를 검증용 키로 암호화하여 사용자 인증 장치(100)에 전송할 수 있다.10. At the reception of the public key, the user authentication apparatus 100 can receive the public key of the user 10 generated at the user terminal apparatus 20. [ At this time, the user terminal device 20 can encrypt the public key with the verification key and transmit it to the user authentication apparatus 100.

11. 공개키 검증에서 사용자 인증 장치(100)는 키쌍에 상응하는 검증용 키로 암호화된 공개키를 수신하여 검증용 키로 복호화하여 공개키를 검증할 수 있다.11. In the public key verification, the user authentication apparatus 100 can receive the public key encrypted with the verification key corresponding to the key pair, decrypt it with the verification key, and verify the public key.

이 때, 사용자 인증 장치(100)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.At this time, the user authentication apparatus 100 can verify the private key by decrypting the public key encrypted with the private key corresponding to the key pair with the public key.

12. 공개키 타임스탬프 요청에서 사용자 인증 장치(100)는 타임스탬프를 수행하는 공증된 외부 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청할 수 있다. 이 때, 사용자 인증 장치(100)는 5. 본인 확인 결과 수신에서 수신한 사용자 식별 정보를 공개키와 함께 타임 스탬핑을 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다.12. In the public key time stamp request, the user authentication apparatus 100 may request the timestamp of the public key to the timestamp server 40 of the notified external certification authority performing the time stamp. At this time, the user authentication apparatus 100 may request the time stamping of the user identification information received at the reception of the 5. identity verification result together with the public key. When the user identification information and the public key are received together with the time stamp from the certificate authority, the public key can be further assured of reliability as being associated with the user.

13. 공개키 타임스탬프 수행에서 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명, 타임스탬프 토큰 발급 시간을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.13. In carrying out the public key timestamp, the timestamp server 40 generates a timestamp token including an electronic signature digitally signed with the private key of the timestamp server 40, a timestamp token issuance time based on the public key timestamp request Can be issued. Timestamp tokens are based on RFC 3161 and can add time and electronic signatures to the requested data.

14. 공개키 타임스탬프 결과 전송에서 타임스탬프 서버(40)는 발급된 타임스탬프 토큰을 사용자 인증 장치(100)에 전송할 수 있다.14. In transmitting the public key timestamp result, the timestamp server 40 may transmit the issued timestamp token to the user authentication apparatus 100. [

15. 타임스탬핑된 공개키 저장에서 사용자 인증 장치(100)는 타임스탬프 토큰, 공개키, 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.15. In the timestamped public key storage, the user authentication apparatus 100 can register a user by matching and storing a time stamp token, a public key, and user identification information.

16. 공개키 등록 결과 전송에서 사용자 인증 장치(100)는 사용자가 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.16. In transmitting the public key registration result, the user authentication apparatus 100 can transmit the registration result to the user terminal device 20 by the user.

도 3은 본 발명의 일실시예에 따른 사용자 인증 장치를 나타낸 블록도이다.3 is a block diagram illustrating a user authentication apparatus according to an exemplary embodiment of the present invention.

도 3을 참조하면, 본 발명의 일실시예에 따른 사용자 인증 장치(100)는 본인 확인부(110), 정보 수신부(120), 사용자 등록부(130), 공개키 인증부(140) 및 사용자 관리부(150)을 포함한다.3, a user authentication apparatus 100 according to an exemplary embodiment of the present invention includes an identity verification unit 110, an information receiving unit 120, a user registration unit 130, a public key authentication unit 140, (150).

이 때, 본인 확인부(110)는 사용자(10)의 본인 확인 요청을 외부의 본인 확인 기관(30)으로 제공하고, 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)을 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.At this time, the identity verification unit 110 may provide the identity verification request of the user 10 to the external identity verification institution 30, and may receive the identity verification result from the identity verification institution 30. The user 10 can select a method for performing identity verification through the user terminal device 20. [ At this time, the user 10 can input the information required for the identity verification through the user terminal 20. In the case of using the mobile communication company, the user 10 can input the identification information of the identity verification information (mobile phone number, name, date of birth, etc.). In the case of the IPIN, the user 10 can input his / her identification information (IPIN ID, password).

이 때, 본인 확인부(110)는 사용자 단말 장치(20)로부터 사용자(10)가 입력한 본인 확인 정보를 수신할 수 있다. 이 때, 본인 확인부(110)는 수신한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다.At this time, the identity verification unit 110 can receive the identity verification information input by the user 10 from the user terminal device 20. [ At this time, the identity verification unit 110 can transmit the received identity confirmation information to the identity verification institution 30. [

본인 확인 기관(30)은 본인 확인을 수행하는 공증된 외부 기관에 상응할 수 있다. 이 때, 본인 확인 기관(30)은 수신한 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다. 이 때, 본인 확인 기관(30)은 본인 확인 결과가 성공인 경우, 사용자(10)에 상응하는 사용자 식별 정보를 생성할 수 있다. 사용자 식별 정보는 사용자(10)를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다. 이 때, 본인 확인 기관(30)은 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 본인 확인부에(110) 전송할 수 있다. 이 때, 본인 확인 기관(30)은 본인 확인 코드 입력 요청을 사용자 단말 장치(20)에 직접 요청할 수도 있다.The identity verification entity 30 may correspond to a notarized external entity performing identity verification. At this time, the identity verification institution (30) can perform identity verification based on the received identification information. At this time, the identity verification organization 30 can generate the user identification information corresponding to the user 10 if the identity verification result is successful. The user identification information may correspond to at least one or more of Duplication Information (DI) and Member Information (CI) identifying the user 10. At this time, the identification information of the user may correspond to the hash value of DI and CI. At this time, when the two-channel authentication is performed, the principal verification institution 30 can transmit a request for inputting the principal identification code to the principal identification unit 110. At this time, the identity verification institution (30) may directly request the user terminal device (20) to input a personal identification code.

이 때, 본인 확인부(110)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. 이 때, 본인 확인부(110)는 본인 확인 결과가 성공인 경우, 본인 확인 기관(30)으로부터 사용자 식별 정보를 본인 확인 결과와 함께 수신할 수 있다. 이 때, 본인 확인부(110)는 사용자 식별 정보 및 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 사용자(10)의 본인 확인을 수행할 수 있다.At this time, the identity verification unit 110 may receive the identity verification result from the identity verification institution 30. [ At this time, if the identity verification result is successful, the identity verification unit 110 may receive the user identification information from the identity verification institution 30 together with the identity verification result. At this time, the identity verification unit 110 may perform identity verification of the user 10 based on at least one of the user identification information and the identity confirmation information input from the user.

이 때, 본인 확인부(110)는 본인 확인 결과가 성공이고, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 더 수신할 수 있다.At this time, the identity verification unit 110 can further receive a request to input a personal identification code when the identity verification result is successful and the two-channel authentication is performed.

이 때, 사용자 인증 장치(100)는 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.At this time, the user authentication apparatus 100 may perform data encryption such as SSL to protect information transmitted and received between the user terminal apparatus 20, the identity verification institution 30, and the user authentication apparatus 100.

이 때, 본인 확인부(110)는 본인 확인 결과를 사용자 단말 장치(20)에 전송할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 사용자 단말 장치(20)는 본인 확인 결과와 함께 본인 확인 코드 입력 요청을 출력할 수 있다. 본인 확인 코드 입력 요청은 본인 확인부(110)가 본인 확인 기관(30)으로부터 수신하여 사용자 단말 장치(20)로 전송될 수도 있고, 본인 확인 기관(30)이 본인 확인 정보에 기반하여 본인 확인부(110)를 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.At this time, the identity verification unit 110 can transmit the identity verification result to the user terminal device 20. At this time, the user 10 can confirm the identity verification result outputted by the user terminal device 20. Referring to FIG. 2, when performing 2-channel authentication, the user terminal 20 can output a request for inputting a personal identification code together with a result of identity verification. The identity verification code input request may be received by the identity verification unit 110 from the identity verification unit 30 and transmitted to the user terminal 20 or may be transmitted to the home identity verification unit 30 based on the identification information, To the user terminal device 20 without passing through the terminal device 110.

사용자(10)는 본인 확인 결과가 성공인 경우, 사용자 단말 장치(20)를 통해 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.The user 10 can input the biometric authentication information through biometrics through the user terminal 20 when the identity verification result is successful. The biometric authentication information may correspond to various biometric information such as iris, voice, face, and fingerprint recognition. At this time, the user 10 can input authentication information through the ID, the password, and other information corresponding to the user through the user terminal 20 capable of local authentication in addition to the biometric authentication. Referring to FIG. 2, when performing 2-channel authentication, the user 10 can input a personal identification code through the user terminal 20 based on a request for inputting a personal identification code. The identity verification code may correspond to an SMS authentication number or a secondary password.

사용자 단말 장치(20)는 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.The user terminal 20 can generate a key pair corresponding to the public key and the private key based on at least one of biometrics and personal information of the user 10. [ The key pair can be generated only when the local authentication performed using the biometric information corresponding to the user 10 via the user terminal device 20 is successful. At this time, the local authentication may be performed using authentication information such as other information corresponding to the user 10 or a password.

공개키 수신부(120)는 사용자 단말 장치(20)로부터 본인 확인된 사용자(10)에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증할 수 있다. 사용자 단말 장치(20)는 공개키를 검증용 키로 암호화하여 공개키 수신부(120)에 전송할 수 있다. 공개키 수신부(120)는 키쌍에 상응하는 검증용 키로 암호화된 공개키를 수신하여 검증용 키로 복호화하여 공개키를 검증할 수 있다.The public key receiving unit 120 can receive the public key corresponding to the key pair generated corresponding to the user 10 identified as the user who is identified from the user terminal device 20 and verify the public key. The user terminal 20 can encrypt the public key with the verification key and transmit it to the public key receiving unit 120. [ The public key receiving unit 120 can receive the public key encrypted with the verification key corresponding to the key pair, decrypt it with the verification key, and verify the public key.

이 때, 공개키 수신부(120)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.At this time, the public key receiving unit 120 can verify the private key by decrypting the public key encrypted with the private key corresponding to the key pair with the public key.

사용자 등록부(130)는 외부의 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청하고, 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장할 수 있다. 외부의 인증 기관은 타임스탬프를 수행하는 공증된 인증기관에 상응할 수 있고, 원격으로 타임스탬프를 수행할 수 있도록, 타임스탬프 서버(40)를 포함할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.The user registration unit 130 requests the time stamp server 40 of the external certification authority for the time stamp of the public key, and receives and stores the time stamp token issued based on the public key. The external certification authority may correspond to a notarized certificate authority performing a time stamp and may include a timestamp server 40 so that it can perform timestamps remotely. The timestamp may correspond to a time at which the data is present at a particular location to prove that the data was present at some point in time, and may correspond to a time displacement parameter that represents the origin of time for a commonly referenced time.

이 때, 사용자 등록부(130)는 타임스탬프 서버(40)에 공개키와 사용자 식별정보를 함께 타임스탬프를 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다. 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명 및 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.At this time, the user registration unit 130 may request the time stamp server 40 to time-stamp the public key and the user identification information together. When the user identification information and the public key are received together with the time stamp from the certificate authority, the public key can be further assured of reliability as being associated with the user. The timestamp server 40 may issue a timestamp token including at least one of the electronic signature and the issuance time of the timestamp token with the private key of the timestamp server 40 based on the public key timestamp request have. Timestamp tokens are based on RFC 3161 and can add time and electronic signatures to the requested data.

이 때, 사용자 등록부(130)는 타임스탬프 서버(40)가 발급한 타임스탬프 토큰을 수신할 수 있다, 이 때, 사용자 등록부(130)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.At this time, the user registration unit 130 can receive the time stamp token issued by the time stamp server 40. At this time, the user registration unit 130 matches the time stamp token, the public key, and the user identification information, So that the user can be registered.

이 때, 사용자 등록부(130)는 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.At this time, the user registration unit 130 may set and store the authentication validity period of the public key based on the issuance time of the time stamp token.

이 때, 사용자 등록부(130)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.At this time, the user registration unit 130 may set and store an update valid period for re-registration of the public key based on the issuance time of the time stamp token.

이 때, 사용자 등록부(130)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.At this time, the user registration unit 130 may generate a private certificate using at least one of a time stamp token, a public key, user identification information, an authentication valid period, and an update valid period.

이 때, 사용자 등록부(130)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.At this time, the user registering unit 130 may list and store the public keys based on the issuance time of the time stamp token.

이 때, 사용자 등록부(130)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.At this time, the user registration unit 130 can transmit the user registration result to the user terminal 20 when the user registration is completed.

공개키 인증부(140)는 타임스탬프 토큰의 발급 시간을 이용하여 공개키를 인증할 수 있다.The public key authenticator 140 can authenticate the public key using the issuance time of the time stamp token.

사용자 관리부(150)는 타임스탬프 토큰을 이용하여 사용자(10)에 상응하는 사용자 인증을 수행할 수 있다.The user management unit 150 may perform user authentication corresponding to the user 10 using the time stamp token.

사용자 관리부(150)는 사용자(10)가 결제 등을 수행하는 과정에서, 사용자 단말 장치(20)가 개인키로 서명한 전자서명을 수신하여, 저장된 공개키로 전자서명을 검증하고 본인확인을 수행할 수 있다.The user management unit 150 receives the digital signature signed by the user terminal 20 with the private key in the course of performing the payment or the like by the user 10, verifies the digital signature with the stored public key, have.

즉, 공개키 인증부(140)와 사용자 관리부(150)는 타임스탬프의 발급 시간에 문제가 있었던 것으로 판정되면, 발급 시간에 상응하는 타임스탬프 토큰과 매칭된 공개키 및 사용자 식별 정보를 차단할 수도 있다.That is, when it is determined that there is a problem in the issuance time of the time stamp, the public key authentication unit 140 and the user management unit 150 may block the public key and the user identification information matched with the time stamp token corresponding to the issuance time .

또한, 사용자 인증 장치(100)는 사용자(10)가 사용자 단말 장치(20)를 교체하고 결제 사실을 부인하는 경우, 사용자 인증 장치(100)에 저장된 공개키, 사용자 식별 정보, 타임스탬프 토큰, 결제과정에 사용된 전자서명을 이용하여 사용자(10)의 결제에 대한 부인을 방지할 수 있다.When the user 10 replaces the user terminal device 20 and denies the payment, the user authentication apparatus 100 may also store the public key stored in the user authentication apparatus 100, the user identification information, the time stamp token, It is possible to prevent denial of the payment of the user 10 by using the digital signature used in the process.

도 4는 본 발명의 일실시예에 따른 사용자 인증 방법을 나타낸 동작흐름도이다.4 is a flowchart illustrating a method of authenticating a user according to an exemplary embodiment of the present invention.

도 4를 참조하면, 본 발명의 일실시예에 따른 사용자 인증 방법은 먼저 본인 확인을 수행한다(S210).Referring to FIG. 4, the user authentication method according to an embodiment of the present invention first performs identity verification (S210).

즉, 단계(S210)는 사용자(10)의 본인 확인 요청을 외부의 본인 확인 기관(30)으로 제공하고, 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. That is, the step S210 may provide the user's identity verification request to the external identity verification institution 30 and receive the identity verification result from the identity verification institution 30. [

이 때, 단계(S210)는 먼저 사용자(10)의 사용자 단말 장치(20)로부터 본인 확인을 요청 받을 수 있다(S211).In this case, the user terminal 20 of the user 10 may be requested to confirm the identity of the user 10 (S211).

즉, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)을 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.That is, the step S211 may allow the user 10 to select a method of performing the identity verification through the user terminal device 20. [ At this time, the user 10 can input information necessary for the identity verification through the user terminal 20 in step S211. In the case of using the mobile communication company, the user 10 can input the identification information of the identity verification information (mobile phone number, name, date of birth, etc.). In the case of the IPIN, the user 10 can input his / her identification information (IPIN ID, password).

또한, 단계(S210)는 본인 확인을 수행할 수 있다(S212).In addition, step S210 may perform identity verification (S212).

즉, 단계(S212)는 본인 확인 정보에 기반하여 본인 확인 기관(30)을 통해 본인 확인을 수행할 수 있다.That is, the step S212 may perform identity verification through the identity verification institution 30 based on the identity verification information.

이 때, 단계(S212)는 사용자 단말 장치(20)로부터 사용자(10)가 입력한 본인 확인 정보를 수신할 수 있다. 이 때, 단계(S212)는 수신한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다. 본인 확인 기관(30)은 본인 확인을 수행하는 공증된 외부 기관에 상응할 수 있다. At this time, the step S212 may receive the identification information inputted by the user 10 from the user terminal device 20. [ At this time, the step S212 may transmit the received personal identification information to the personal identification institution 30. [ The identity verification entity 30 may correspond to a notarized external entity performing identity verification.

이 때, 단계(S212)는 본인 확인 기관(30)을 통해 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다.At this time, the step S212 may perform the identity verification based on the identity verification information through the identity verification institution 30.

또한, 단계(S210)는 본인 확인 기관(30)을 통해 본인 확인 정보의 인증 여부를 판단할 수 있다(S213).In addition, the step S210 may determine whether the identity verification information is authenticated through the identity verification institution 30 (S213).

즉, 단계(S213)는 본인 확인 기관(30)의 본인 확인 결과가 성공인 경우, 사용자(10)에 상응하는 사용자 식별 정보를 생성할 수 있다. 사용자 식별 정보는 사용자(10)를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다.That is, the step S213 may generate the user identification information corresponding to the user 10 if the identity verification result of the identity verification institution 30 is successful. The user identification information may correspond to at least one or more of Duplication Information (DI) and Member Information (CI) identifying the user 10. At this time, the identification information of the user may correspond to the hash value of DI and CI.

이 때 단계(S213)는 본인 확인이 실패한 경우 사용자(210)에게 본인 확인을 재요청할 수 있다(S211).At this time, in step S213, if the identity verification fails, the user 210 can request the identity verification again (S211).

또한, 단계(S210)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다(S214).In addition, the step S210 may receive the identity verification result from the identity verification institution 30 (S214).

즉, 단계(S214)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다.That is, the step S214 can receive the result of the identity verification from the identity verification institution 30. [

이 때, 단계(S214)는 본인 확인 결과가 성공인 경우, 본인 확인 기관(30)으로부터 사용자 식별 정보를 본인 확인 결과와 함께 수신할 수 있다. 이 때, 본인 확인부(110)는 본인 확인 결과가 성공이고, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 더 수신할 수 있다.At this time, in step S214, if the identity verification result is successful, the user identity information may be received from the identity verification institution 30 together with the identity verification result. At this time, the identity verification unit 110 can further receive a request to input a personal identification code when the identity verification result is successful and the two-channel authentication is performed.

이 때, 단계(S210)는 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.At this time, the step S210 may perform data encryption such as SSL to protect the information transmitted and received between the user terminal 20, the identity verification institution 30 and the user authentication apparatus 100. [

또한, 단계(S210)는 사용자 단말 장치(20)에 본인 확인 결과를 전송할 수 있다(S215).In addition, the step S210 may transmit the identity verification result to the user terminal 20 (S215).

즉, 단계(S215)는 본인 확인 결과를 사용자 단말 장치(20)에 전송할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 단계(S215)는 2채널 인증을 수행하는 경우, 사용자 단말 장치(20)에 본인 확인 결과와 함께 본인 확인 코드 입력 요청을 출력할 수 있다. 본인 확인 코드 입력 요청은 사용자 인증 장치(100)가 본인 확인 기관(30)으로부터 수신하여 사용자 단말 장치(20)로 전송될 수도 있고, 본인 확인 기관(30)이 본인 확인 정보에 기반하여 사용자 인증 장치(100)를 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.That is, the step S215 may transmit the identity verification result to the user terminal device 20. [ At this time, the user 10 can confirm the identity verification result outputted by the user terminal device 20. Referring to FIG. 2, in step S215, when performing 2-channel authentication, the user terminal 20 may output a request for inputting a personal identification code together with a result of identification. The user identification code input request may be received by the user authentication apparatus 100 from the principal verification institution 30 and transmitted to the user terminal apparatus 20 or may be transmitted to the user authentication apparatus 30 based on the user identification information, To the user terminal device 20 without passing through the network 100. [

이 때, 단계(S215)는 사용자 식별 정보 및 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 사용자(10)의 본인 확인을 수행할 수 있다.At this time, the step S215 may perform the identity verification of the user 10 based on at least one of the user identification information and the identification information inputted from the user.

또한, 본 발명의 일실시예에 따른 사용자 인증 방법은 공개키를 수신 및 검증할 수 있다(S220).In addition, the user authentication method according to an embodiment of the present invention can receive and verify the public key (S220).

즉, 단계(S220)는 먼저 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다(S221).That is, in operation S220, a key pair corresponding to the public key and the private key may be generated (S221).

이 때, 단계(S221)에서 본인 확인 결과가 성공인 경우, 사용자(10)는 사용자 단말 장치(20)를 이용하여 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.At this time, if the identity verification result is successful in step S221, the user 10 can input the biometric authentication information by biometrics using the user terminal device 20. [ The biometric authentication information may correspond to various biometric information such as iris, voice, face, and fingerprint recognition. At this time, the user 10 can input authentication information through the ID, the password, and other information corresponding to the user through the user terminal 20 capable of local authentication in addition to the biometric authentication. Referring to FIG. 2, when performing 2-channel authentication, the user 10 can input a personal identification code through the user terminal 20 based on a request for inputting a personal identification code. The identity verification code may correspond to an SMS authentication number or a secondary password.

이 때, 단계(S221)는 사용자 단말 장치(20)를 이용하여 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.At this time, step S221 may generate a key pair corresponding to the public key and the private key based on at least one of the biometric information and the personal information of the user 10 using the user terminal 20. The key pair can be generated only when the local authentication performed using the biometric information corresponding to the user 10 via the user terminal device 20 is successful. At this time, the local authentication may be performed using authentication information such as other information corresponding to the user 10 or a password.

또한, 단계(S220)는 공개키를 수신할 수 있다(S222).In addition, step S220 may receive the public key (S222).

즉, 단계(S222)는 사용자 단말 장치(20)로부터 본인 확인된 사용자(10)에 상응하여 생성된 키쌍에 상응하는 공개키를 수신할 수 있다. 이 때, 단계(S222)는 사용자 단말 장치(20)로부터 검증용 키를 이용하여 암호화된 공개키를 수신할 수 있다.That is, the step S222 may receive the public key corresponding to the key pair generated corresponding to the user 10 who has been identified from the user terminal device 20. At this time, the step S222 can receive the encrypted public key from the user terminal device 20 using the verification key.

또한, 단계(S220)는 공개키를 검증할 수 있다(S223).In addition, the step S220 can verify the public key (S223).

즉, 단계(S223)는 공개키를 암호화한 사용자 단말 장치(20)의 검증용 키를 이용하여 수신한 공개키를 복호화하여 공개키를 검증할 수 있다.That is, in step S223, the public key may be verified by decrypting the received public key using the verification key of the user terminal 20 that has encrypted the public key.

이 때, 단계(S223)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.At this time, the step S223 may verify the private key by decrypting the public key encrypted with the private key corresponding to the key pair with the public key.

또한, 본 발명의 일실시예에 따른 사용자 인증 장치는 공개키의 타임스탬핑 수행하고, 타임스탬핑된 공개키를 저장할 수 있다(S230).In addition, the user authentication apparatus according to an embodiment of the present invention may perform time stamping of the public key and store the time-stamped public key (S230).

즉, 단계(S230)는 먼저 공개키의 타임스탬핑을 요청할 수 있다(S231).That is, the step S230 may request the time stamping of the public key (S231).

이 때, 단계(S231)는 외부의 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청할 수 있다. 외부의 인증 기관은 타임스탬프를 수행하는 공증된 인증기관에 상응할 수 있고, 원격으로 타임스탬프를 수행할 수 있도록, 타임스탬프 서버(40)를 포함할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.At this time, the step S231 may request the timestamp server 40 of the external certification authority for the timestamp of the public key. The external certification authority may correspond to a notarized certificate authority performing a time stamp and may include a timestamp server 40 so that it can perform timestamps remotely. The timestamp may correspond to a time at which the data is present at a particular location to prove that the data was present at some point in time, and may correspond to a time displacement parameter that represents the origin of time for a commonly referenced time.

이 때, 단계(S231)는 타임스탬프 서버(40)에 공개키와 사용자 식별정보를 함께 타임스탬프를 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다. 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명 및 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.At this time, the step S231 may request the time stamp server 40 to time-stamp the public key and the user identification information together. When the user identification information and the public key are received together with the time stamp from the certificate authority, the public key can be further assured of reliability as being associated with the user. The timestamp server 40 may issue a timestamp token including at least one of the electronic signature and the issuance time of the timestamp token with the private key of the timestamp server 40 based on the public key timestamp request have. Timestamp tokens are based on RFC 3161 and can add time and electronic signatures to the requested data.

또한, 단계(S230)는 타임스탬핑된 공개키를 저장할 수 있다(S232),In addition, the step S230 may store the timestamped public key (S232)

즉, 단계(S232)는 공개키에 기반하여 타임스탬프 서버(40)가 발급한 타임스탬프 토큰을 수신할 수 있다.That is, the step S232 may receive the time stamp token issued by the time stamp server 40 based on the public key.

이 때, 단계(S232)는 수신한 타임스탬프 토큰을 저장할 수 있다, 이 때, 단계(S232)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.In this case, the step S232 may store the received time stamp token. In this case, the step S232 may register the user by matching the time stamp token, the public key, and the user identification information.

또한, 단계(S230)는 공개키의 인증 유효 기간을 설정할 수 있다(S233).In addition, the step S230 may set the authentication validity period of the public key (S233).

즉, 단계(S233)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.That is, the step S233 may set and store the authentication validity period of the public key based on the issuance time of the timestamp token.

또한, 단계(S230)는 공개키의 갱신 유효 기간을 설정할 수 있다(S234).In addition, the step S230 may set the update valid period of the public key (S234).

즉, 단계(S234)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.That is, the step S234 may set and store an update valid period for re-registration of the public key based on the issuance time of the timestamp token.

또한, 단계(S230)는 공개키를 리스트화하여 저장할 수 있다(S235).In addition, the step S230 can list the public keys and store them (S235).

즉, 단계(S235)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.That is, the step S235 may list the public key based on the issuance time of the timestamp token and store the public key.

이 때, 단계(S235)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.At this time, the step S235 may generate the dedicated certificate using at least one of the time stamp token, the public key, the user identification information, the authentication valid period, and the update valid period.

이 때, 단계(S235)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.At this time, the step S235 may transmit the user registration result to the user terminal 20 when the user registration is completed.

도 5는 도 4에 도시된 본인 확인 단계의 일 예를 세부적으로 나타낸 동작 흐름도이다.FIG. 5 is a flowchart illustrating an example of the identity verification step shown in FIG. 4 in detail.

도 5을 참조하면, 단계(S210)는 사용자(10)의 본인 확인 요청을 외부의 본인 확인 기관(30)으로 제공하고, 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. Referring to FIG. 5, step S210 may provide an identity verification request of the user 10 to an external identity confirmation entity 30, and may receive the identity verification result from the identity verification entity 30.

이 때, 단계(S210)는 먼저 사용자(10)의 사용자 단말 장치(20)로부터 본인 확인을 요청 받을 수 있다(S211).In this case, the user terminal 20 of the user 10 may be requested to confirm the identity of the user 10 (S211).

즉, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)을 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.That is, the step S211 may allow the user 10 to select a method of performing the identity verification through the user terminal device 20. [ At this time, the user 10 can input information necessary for the identity verification through the user terminal 20 in step S211. In the case of using the mobile communication company, the user 10 can input the identification information of the identity verification information (mobile phone number, name, date of birth, etc.). In the case of the IPIN, the user 10 can input his / her identification information (IPIN ID, password).

또한, 단계(S210)는 본인 확인을 수행할 수 있다(S212).In addition, step S210 may perform identity verification (S212).

즉, 단계(S212)는 본인 확인 정보에 기반하여 본인 확인 기관(30)을 통해 본인 확인을 수행할 수 있다.That is, the step S212 may perform identity verification through the identity verification institution 30 based on the identity verification information.

이 때, 단계(S212)는 사용자 단말 장치(20)로부터 사용자(10)가 입력한 본인 확인 정보를 수신할 수 있다. 이 때, 단계(S212)는 수신한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다. 본인 확인 기관(30)은 본인 확인을 수행하는 공증된 외부 기관에 상응할 수 있다. At this time, the step S212 may receive the identification information inputted by the user 10 from the user terminal device 20. [ At this time, the step S212 may transmit the received personal identification information to the personal identification institution 30. [ The identity verification entity 30 may correspond to a notarized external entity performing identity verification.

이 때, 단계(S212)는 본인 확인 기관(30)을 통해 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다.At this time, the step S212 may perform the identity verification based on the identity verification information through the identity verification institution 30.

또한, 단계(S210)는 본인 확인 기관(30)을 통해 본인 확인 정보의 인증 여부를 판단할 수 있다(S213).In addition, the step S210 may determine whether the identity verification information is authenticated through the identity verification institution 30 (S213).

즉, 단계(S213)는 본인 확인 기관(30)의 본인 확인 결과가 성공인 경우, 사용자(10)에 상응하는 사용자 식별 정보를 생성할 수 있다. 사용자 식별 정보는 사용자(10)를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다.That is, the step S213 may generate the user identification information corresponding to the user 10 if the identity verification result of the identity verification institution 30 is successful. The user identification information may correspond to at least one or more of Duplication Information (DI) and Member Information (CI) identifying the user 10. At this time, the identification information of the user may correspond to the hash value of DI and CI.

이 때 단계(S213)는 본인 확인이 실패한 경우 사용자(210)에게 본인 확인을 재요청할 수 있다(S211).At this time, in step S213, if the identity verification fails, the user 210 can request the identity verification again (S211).

또한, 단계(S210)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다(S214).In addition, the step S210 may receive the identity verification result from the identity verification institution 30 (S214).

즉, 단계(S214)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다.That is, the step S214 can receive the result of the identity verification from the identity verification institution 30. [

이 때, 단계(S214)는 본인 확인 결과가 성공인 경우, 본인 확인 기관(30)으로부터 사용자 식별 정보를 본인 확인 결과와 함께 수신할 수 있다. 이 때, 본인 확인부(110)는 본인 확인 결과가 성공이고, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 더 수신할 수 있다.At this time, in step S214, if the identity verification result is successful, the user identity information may be received from the identity verification institution 30 together with the identity verification result. At this time, the identity verification unit 110 can further receive a request to input a personal identification code when the identity verification result is successful and the two-channel authentication is performed.

이 때, 단계(S210)는 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.At this time, the step S210 may perform data encryption such as SSL to protect the information transmitted and received between the user terminal 20, the identity verification institution 30 and the user authentication apparatus 100. [

또한, 단계(S210)는 사용자 단말 장치(20)에 본인 확인 결과를 전송할 수 있다(S215).In addition, the step S210 may transmit the identity verification result to the user terminal 20 (S215).

즉, 단계(S215)는 본인 확인 결과를 사용자 단말 장치(20)에 전송할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 단계(S215)는 2채널 인증을 수행하는 경우, 사용자 단말 장치(20)에 본인 확인 결과와 함께 본인 확인 코드 입력 요청을 출력할 수 있다. 본인 확인 코드 입력 요청은 사용자 인증 장치(100)가 본인 확인 기관(30)으로부터 수신하여 사용자 단말 장치(20)로 전송될 수도 있고, 본인 확인 기관(30)이 본인 확인 정보에 기반하여 사용자 인증 장치(100)를 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.That is, the step S215 may transmit the identity verification result to the user terminal device 20. [ At this time, the user 10 can confirm the identity verification result outputted by the user terminal device 20. Referring to FIG. 2, in step S215, when performing 2-channel authentication, the user terminal 20 may output a request for inputting a personal identification code together with a result of identification. The user identification code input request may be received by the user authentication apparatus 100 from the principal verification institution 30 and transmitted to the user terminal apparatus 20 or may be transmitted to the user authentication apparatus 30 based on the user identification information, To the user terminal device 20 without passing through the network 100. [

이 때, 단계(S215)는 사용자 식별 정보 및 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 사용자(10)의 본인 확인을 수행할 수 있다.At this time, the step S215 may perform the identity verification of the user 10 based on at least one of the user identification information and the identification information inputted from the user.

도 6은 도 4에 도시된 공개키 수신 및 검증 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.FIG. 6 is an operation flowchart illustrating an example of the public key reception and verification step shown in FIG. 4 in detail.

도 6을 참조하면, 단계(S220)는 먼저 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다(S221).Referring to FIG. 6, in operation S220, a key pair corresponding to a public key and a private key may be generated (S221).

이 때, 단계(S221)에서 본인 확인 결과가 성공인 경우, 사용자(10)는 사용자 단말 장치(20)를 이용하여 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.At this time, if the identity verification result is successful in step S221, the user 10 can input the biometric authentication information by biometrics using the user terminal device 20. [ The biometric authentication information may correspond to various biometric information such as iris, voice, face, and fingerprint recognition. At this time, the user 10 can input authentication information through the ID, the password, and other information corresponding to the user through the user terminal 20 capable of local authentication in addition to the biometric authentication. Referring to FIG. 2, when performing 2-channel authentication, the user 10 can input a personal identification code through the user terminal 20 based on a request for inputting a personal identification code. The identity verification code may correspond to an SMS authentication number or a secondary password.

이 때, 단계(S221)는 사용자 단말 장치(20)를 이용하여 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.At this time, step S221 may generate a key pair corresponding to the public key and the private key based on at least one of the biometric information and the personal information of the user 10 using the user terminal 20. The key pair can be generated only when the local authentication performed using the biometric information corresponding to the user 10 via the user terminal device 20 is successful. At this time, the local authentication may be performed using authentication information such as other information corresponding to the user 10 or a password.

또한, 단계(S220)는 공개키를 수신할 수 있다(S222).In addition, step S220 may receive the public key (S222).

즉, 단계(S222)는 사용자 단말 장치(20)로부터 본인 확인된 사용자(10)에 상응하여 생성된 키쌍에 상응하는 공개키를 수신할 수 있다. 이 때, 단계(S222)는 사용자 단말 장치(20)로부터 검증용 키를 이용하여 암호화된 공개키를 수신할 수 있다.That is, the step S222 may receive the public key corresponding to the key pair generated corresponding to the user 10 who has been identified from the user terminal device 20. At this time, the step S222 can receive the encrypted public key from the user terminal device 20 using the verification key.

또한, 단계(S220)는 공개키를 검증할 수 있다(S223).In addition, the step S220 can verify the public key (S223).

즉, 단계(S223)는 공개키를 암호화한 사용자 단말 장치(20)의 검증용 키를 이용하여 수신한 공개키를 복호화하여 공개키를 검증할 수 있다.That is, in step S223, the public key may be verified by decrypting the received public key using the verification key of the user terminal 20 that has encrypted the public key.

이 때, 단계(S223)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.At this time, the step S223 may verify the private key by decrypting the public key encrypted with the private key corresponding to the key pair with the public key.

도 7은 도 4에 도시된 공개키의 타임 스탬프 수행 및 저장 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.FIG. 7 is an operation flowchart illustrating an example of a time stamp execution and storage step of the public key shown in FIG.

도 7을 참조하면, 단계(S230)는 먼저 공개키의 타임스탬핑을 요청할 수 있다(S231).Referring to FIG. 7, step S230 may first request time stamping of the public key (S231).

이 때, 단계(S231)는 외부의 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청할 수 있다. 외부의 인증 기관은 타임스탬프를 수행하는 공증된 인증기관에 상응할 수 있고, 원격으로 타임스탬프를 수행할 수 있도록, 타임스탬프 서버(40)를 포함할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.At this time, the step S231 may request the timestamp server 40 of the external certification authority for the timestamp of the public key. The external certification authority may correspond to a notarized certificate authority performing a time stamp and may include a timestamp server 40 so that it can perform timestamps remotely. The timestamp may correspond to a time at which the data is present at a particular location to prove that the data was present at some point in time, and may correspond to a time displacement parameter that represents the origin of time for a commonly referenced time.

이 때, 단계(S231)는 타임스탬프 서버(40)에 공개키와 사용자 식별정보를 함께 타임스탬프를 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다. 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명 및 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.At this time, the step S231 may request the time stamp server 40 to time-stamp the public key and the user identification information together. When the user identification information and the public key are received together with the time stamp from the certificate authority, the public key can be further assured of reliability as being associated with the user. The timestamp server 40 may issue a timestamp token including at least one of the electronic signature and the issuance time of the timestamp token with the private key of the timestamp server 40 based on the public key timestamp request have. Timestamp tokens are based on RFC 3161 and can add time and electronic signatures to the requested data.

또한, 단계(S230)는 타임스탬핑된 공개키를 저장할 수 있다(S232),In addition, the step S230 may store the timestamped public key (S232)

즉, 단계(S232)는 공개키에 기반하여 타임스탬프 서버(40)가 발급한 타임스탬프 토큰을 수신할 수 있다.That is, the step S232 may receive the time stamp token issued by the time stamp server 40 based on the public key.

이 때, 단계(S232)는 수신한 타임스탬프 토큰을 저장할 수 있다, 이 때, 단계(S232)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.In this case, the step S232 may store the received time stamp token. In this case, the step S232 may register the user by matching the time stamp token, the public key, and the user identification information.

또한, 단계(S230)는 공개키의 인증 유효 기간을 설정할 수 있다(S233).In addition, the step S230 may set the authentication validity period of the public key (S233).

즉, 단계(S233)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.That is, the step S233 may set and store the authentication validity period of the public key based on the issuance time of the timestamp token.

또한, 단계(S230)는 공개키의 갱신 유효 기간을 설정할 수 있다(S234).In addition, the step S230 may set the update valid period of the public key (S234).

즉, 단계(S234)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.That is, the step S234 may set and store an update valid period for re-registration of the public key based on the issuance time of the timestamp token.

또한, 단계(S230)는 공개키를 리스트화하여 저장할 수 있다(S235).In addition, the step S230 can list the public keys and store them (S235).

즉, 단계(S235)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.That is, the step S235 may list the public key based on the issuance time of the timestamp token and store the public key.

이 때, 단계(S235)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.At this time, the step S235 may generate the dedicated certificate using at least one of the time stamp token, the public key, the user identification information, the authentication valid period, and the update valid period.

이 때, 단계(S235)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.At this time, the step S235 may transmit the user registration result to the user terminal 20 when the user registration is completed.

도 8은 본 발명의 일실시예에 따른 FIDO 사용자 등록 방법을 나타낸 도면이다.8 is a diagram illustrating a FIDO user registration method according to an embodiment of the present invention.

도 8을 참조하면, 본 발명의 일실시예에 따른 FIDO 사용자 등록 방법은 먼저 사용자가 해당하는 사이트 또는 어플리케이션에서 FIDO 등록을 선택할 수 있다(1. REGISTRATION BEGINS). 이 때, 사용자 인증 장치(100)는 본인 확인 요청을 수신하여 본인 확인 기관(30)을 통해 사용자(10)의 본인 확인을 수행 할 수 있다.Referring to FIG. 8, the FIDO user registration method according to an embodiment of the present invention allows the user to select FIDO registration in the corresponding site or application (1. REGISTRATION BEGINS). At this time, the user authentication apparatus 100 can confirm the identity of the user 10 through the identity verification institution 30 upon receiving the identity verification request.

또한, FIDO 사용자 등록 방법은 사용자 단말 장치(20)의 생체 인증을 통하여 사용자를 인증할 수 있다(2. USER APPROVAL). 이 때, 사용자(10)는 본인 확인 기관(30)의 본인 확인 결과가 성공인 경우, 생체 인증에 상응하는 로컬 인증을 수행할 수 있다.Also, the FIDO user registration method can authenticate the user through the biometric authentication of the user terminal device 20 (USER APPROVAL). At this time, the user 10 can perform the local authentication corresponding to the biometric authentication when the identity verification result of the identity verification institution 30 is successful.

또한, FIDO 사용자 등록 방법은 로컬 인증에 문제가 없을 경우, 사용자 단말 장치(20)는 공개키와 대응되는 개인키에 상응하는 키쌍을 생성할 수 있다(3. NEW KEY CREATED). 사용자 단말 장치(20)는 공개키를 검증용 키를 이용하여 암호화 하여 사용자 인증 장치(100)에 전송할 수 있다.Also, in the FIDO user registration method, if there is no problem in the local authentication, the user terminal device 20 can generate a key pair corresponding to the public key and the corresponding private key (3. NEW KEY CREATED). The user terminal 20 can encrypt the public key using the verification key and transmit it to the user authentication apparatus 100. [

또한, FIDO 사용자 등록 방법은 사용자의 공개키를 등록 할 수 있다(4. REGISTRATION COMPLETE). 수신한 공개키를 검증용 키를 이용하여 복호화하고, 본인 확인 기관(30)으로부터 수신한 사용자 식별정보와 함께 외부 인증 기관의 타임스탬프 서버(40)에 타임스탬프를 요청할 수 있다. 사용자 인증 장치는 타임스탬프 서버(40)로부터 발급된 타임스탬프 토큰을 수신하여 사용자 식별정보 및 공개키와 함께 저장하여 사용자를 등록할 수 있다. 이 때, 사용자 인증 장치(100)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.Also, the FIDO user registration method can register the user's public key (4. REGISTRATION COMPLETE). Decrypts the received public key using the verification key, and requests the time stamp server 40 of the external certification authority for the time stamp together with the user identification information received from the principal verification institution 30. The user authentication apparatus can receive the time stamp token issued from the time stamp server 40 and store it together with the user identification information and the public key to register the user. At this time, the user authentication apparatus 100 can register a user by matching and storing the time stamp token, the public key, and the user identification information.

이 때, 사용자 인증 장치(100)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.At this time, the user authentication apparatus 100 may set and store the authentication validity period of the public key based on the issuance time of the time stamp token.

이 때, 사용자 인증 장치(100)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.At this time, the user authentication apparatus 100 can set and store an update valid period for re-registration of the public key based on the issuance time of the time stamp token.

이 때, 사용자 인증 장치(100)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.At this time, the user authentication apparatus 100 can list and store the public keys based on the issuance time of the time stamp token.

이 때, 사용자 인증 장치(100)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.At this time, the user authentication apparatus 100 may generate a private certificate using at least one of a time stamp token, a public key, user identification information, an authentication valid period, and an update valid period.

이 때, 사용자 인증 장치(100)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.At this time, the user authentication apparatus 100 can transmit the user registration result to the user terminal device 20 when the user registration is completed.

도 9는 본 발명의 일실시예에 따른 FIDO 사용자 인증 방법을 나타낸 도면이다.9 is a diagram illustrating a FIDO user authentication method according to an embodiment of the present invention.

도 9를 참조하면, 본 발명의 일실시예에 따른 FIDO 사용자 인증 방법은 먼저 사용자(10)가 사이트 및 어플리케이션 등에서 FIDO 로그인을 선택할 수 있다(1. LOGIN).Referring to FIG. 9, in the FIDO user authentication method according to an embodiment of the present invention, the user 10 can select FIDO login (1. LOGIN) in a site and an application.

또한, FIDO 사용자 인증 방법은 사용자를 인증할 수 있다(2. USER APPROVAL). 이 때, 사용자(10)는 사용자 단말 장치(20)를 통해 사용자 등록 시 인증했던 방식과 동일한 로컬 인증 방법으로 인증을 수행할 수 있다. 예를 들어, 지문 인식으로 등록한 경우, 지문 인식으로 인증할 수 있다. In addition, the FIDO user authentication method can authenticate the user (2. USER APPROVAL). At this time, the user 10 can perform authentication using the same local authentication method as that used for user registration through the user terminal 20. For example, when registered with fingerprint recognition, fingerprint recognition can be performed.

또한, FIDO 사용자 인증 방법은 전자서명을 전송할 수 있다(3. KEY SELECTED). 이 때, 사용자 단말 장치(20)는 로컬 인증이 성공인 경우, 로컬 인증에 상응하는 개인키로 로그인에 필요한 정보를 암호화한 전자서명을 사용자 인증 장치(100)에 전송할 수 있다.In addition, the FIDO user authentication method can transmit an electronic signature (3. KEY SELECTED). At this time, if the local authentication is successful, the user terminal device 20 can transmit to the user authentication apparatus 100 an electronic signature obtained by encrypting information necessary for log-in using a private key corresponding to the local authentication.

또한, FIDO 사용자 인증 방법은 사용자를 인증할 수 있다(4. LOGIN COMPLETE). 사용자 인증 장치(100)는 공개키를 수신하여 사용자(10)의 전자서명을 검증할 수 있다. 이 때, 사용자 인증 장치(100)는 전자서명 검증에 수행되는 공개키를 전자 서명 검증 이전에 타임스탬프 토큰 발급 시간에 기반하여 문제가 없는지 미리 확인 할 수 있다. 즉, 사용자 인증 장치(100)는 타임스탬프 토큰 발급 시간, 인증 유효 기간, 갱신 유효 기간 중 적어도 하나 이상을 이용하여 공개키를 검증한 후, 공개키가 문제가 없는 경우 수신한 전자서명을 복호화 할 수 있다.In addition, the FIDO user authentication method can authenticate the user (4. LOGIN COMPLETE). The user authentication apparatus 100 can receive the public key and verify the digital signature of the user 10. At this time, the user authentication apparatus 100 can confirm in advance whether there is a problem based on the time stamp token issuance time before the electronic signature verification of the public key performed in the digital signature verification. That is, the user authentication apparatus 100 verifies the public key using at least one of the time stamp token issuance time, the authentication valid period, and the update valid period, and then decrypts the received digital signature when there is no problem in the public key .

도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.10 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.

도 10을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 10에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 입력 장치(1140), 사용자 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.Referring to FIG. 10, embodiments of the present invention may be implemented in a computer system 1100, such as a computer readable recording medium. 10, a computer system 1100 includes one or more processors 1110, a memory 1130, a user input device 1140, a user output device 1150, and a storage 1150 that communicate with one another via a bus 1120. [ (1160). In addition, the computer system 1100 may further include a network interface 1170 connected to the network 1180. Processor 1110 may be a central processing unit or a semiconductor device that executes memory 1130 or processing instructions stored in storage 1160. Memory 1130 and storage 1160 can be various types of volatile or non-volatile storage media. For example, the memory may include ROM 1131 or RAM 1132.

이상에서와 같이 본 발명에 따른 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the configuration and method of the embodiments described above can be applied to a user authentication apparatus and method in which user identification registration and local authentication are linked with each other according to the present invention. All or some of the embodiments may be selectively combined so that various modifications may be made.

10: 사용자 20: 사용자 단말 장치
30: 본인 확인 기관 40: 타임스탬프 서버
100: 사용자 인증 장치 110: 본인 확인부
120: 정보 수신부 130: 사용자 등록부
140: 공개키 인증부 150: 사용자 관리부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 입력 장치 1150: 사용자 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크10: user 20: user terminal device
30: Personal identification institution 40: Time stamp server
100: user authentication device 110:
120: information receiving unit 130: user registration unit
140: public key authentication unit 150: user management unit
1100: Computer system 1110: Processor
1120: bus 1130: memory
1131: ROM 1132: RAM
1140: User input device 1150: User output device
1160: Storage 1170: Network Interface
1180: Network

Claims (22)

사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 본인 확인부;
본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 공개키 수신부;
외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 사용자 등록부; 및
상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 사용자 관리부;
를 포함하고,
상기 키쌍은 상기 본인 확인 결과에 상응하는 제1 조건 및 상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 사용자 단말 장치에서 수행된 로컬 인증에 상응하는 제2 조건이 모두 만족된 경우에만 생성되고,
상기 타임스탬프 토큰은
상기 외부의 인증기관에 의하여 산출된, 상기 공개키에 상응하는 상기 타임스탬프 토큰의 발급 시간을 포함하고,
상기 사용자 등록부는
상기 외부의 인증기관이 상기 공개키에 기반하여 발급한 타임스탬프 토큰, 상기 공개키 및 사용자 식별 정보를 매칭하여 저장하고,
상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간 및 상기 공개키의 재등록을 위한 갱신 유효 기간 중 어느 하나 이상을 설정하고,
상기 사용자 관리부는 상기 인증 유효 기간 및 갱신 유효 기간 중 어느 하나 이상을 고려하여 상기 사용자 인증을 수행하는 것을 특징으로 하는 사용자 인증 장치.An identity verification unit for providing a user's identity verification request to an external identity verification unit and receiving a result of identity verification from the identity verification unit;
A public key receiver for receiving a public key corresponding to a key pair generated corresponding to the identified user and verifying the public key;
A user registration unit for requesting an external authentication authority for a timestamp of the public key, receiving and storing a timestamp token issued based on the public key, And
A user management unit for performing user authentication corresponding to the user using the time stamp token;
Lt; / RTI >
Wherein the key pair is used only when the second condition corresponding to the local authentication performed in the user terminal device is satisfied by using any one of the first condition corresponding to the result of the identity verification and the biometric information and the authentication information corresponding to the user Generated,
The timestamp token
The issuance time of the timestamp token corresponding to the public key calculated by the external certification authority,
The user registration unit
Wherein the external authentication authority matches and stores the time stamp token, the public key, and the user identification information issued based on the public key,
Setting an authentication valid period of the public key based on the issuance time of the time stamp token and an update valid period for re-registering the public key,
Wherein the user management unit performs the user authentication in consideration of at least one of the authentication validity period and the update validity period. 청구항 1에 있어서,
상기 사용자 인증 장치는
상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 공개키 인증부를 더 포함하는 것을 특징으로 하는 사용자 인증 장치.The method according to claim 1,
The user authentication device
And a public key authentication unit for authenticating the public key using the issuance time of the time stamp token. 청구항 2에 있어서,
상기 본인 확인 기관은
상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인부는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행하는 것을 특징으로 하는 사용자 인증 장치.The method of claim 2,
The identity verification authority
Wherein the identity verification unit generates user identification information corresponding to the user and the identity verification unit performs identity verification of the user based on at least one of the user identification information and the identification information inputted from the user, Device. 청구항 3에 있어서,
상기 사용자 식별 정보는
상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응하는 것을 특징으로 하는 사용자 인증 장치.The method of claim 3,
The user identification information
Wherein the user identification information corresponds to at least one of duplication information (DI) and member connection information (CI) identifying the user. 청구항 4에 있어서,
상기 공개키 수신부는
상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증하는 것을 특징으로 하는 사용자 인증 장치.The method of claim 4,
The public key receiver
And verifies the public key by decrypting the public key encrypted with the verification key corresponding to the key pair with the verification key. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 청구항 5에 있어서,
상기 사용자 등록부는
상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장하는 것을 특징으로 하는 사용자 인증 장치.The method of claim 5,
The user registration unit
And the public key is listed and stored based on the issuance time of the time stamp token. 사용자 인증 장치를 이용하는 방법에 있어서,
사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 단계;
본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 단계;
외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 단계; 및
상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 단계;
를 포함하고,
상기 키쌍은 상기 본인 확인 결과에 상응하는 제1 조건 및 상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 사용자 단말 장치에서 수행된 로컬 인증에 상응하는 제2 조건이 모두 만족된 경우에만 생성되고,
상기 타임스탬프 토큰은
상기 외부의 인증기관에 의하여 산출된, 상기 공개키에 상응하는 상기 타임스탬프 토큰의 발급 시간을 포함하고,
상기 외부의 인증기관이 상기 공개키에 기반하여 발급한 타임스탬프 토큰은 상기 공개키 및 사용자 식별 정보와 매칭되어 저장되고,
상기 타임스탬프 토큰의 발급 시간은
상기 공개키의 인증 유효 기간 및 상기 공개키의 재등록을 위한 갱신 유효 기간 중 어느 하나 이상의 설정에 이용되고,
상기 사용자 인증은
상기 인증 유효 기간 및 갱신 유효 기간 중 어느 하나 이상을 고려하여 수행되는 것을 특징으로 하는 사용자 인증 방법.A method for using a user authentication device,
Providing a user's identity verification request to an external identity verification institution and receiving a result of identity verification from the identity verification institution;
Receiving a public key corresponding to a key pair generated corresponding to the identified user and verifying the public key;
Requesting a time stamp of the public key to an external certification authority, receiving and storing a time stamp token issued based on the public key, And
Performing user authentication corresponding to the user using the timestamp token;
Lt; / RTI >
Wherein the key pair is used only when the second condition corresponding to the local authentication performed in the user terminal device is satisfied by using any one of the first condition corresponding to the result of the identity verification and the biometric information and the authentication information corresponding to the user Generated,
The timestamp token
The issuance time of the timestamp token corresponding to the public key calculated by the external certification authority,
The time stamp token issued by the external certification authority based on the public key is stored in a matching manner with the public key and the user identification information,
The issuance time of the timestamp token is
An authentication validity period of the public key, and an update validity period for re-registration of the public key,
The user authentication
Wherein the authentication is performed in consideration of at least one of the authentication validity period and the update validity period. 청구항 12에 있어서,
상기 사용자 인증 방법은
상기 사용자 인증을 수행하는 단계 이전에,
상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.The method of claim 12,
The user authentication method
Prior to performing the user authentication,
And authenticating the public key using an issuance time of the time stamp token. 청구항 13에 있어서,
상기 본인 확인 기관은
상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인부는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행하는 것을 특징으로 하는 사용자 인증 방법.14. The method of claim 13,
The identity verification authority
Wherein the identity verification unit generates user identification information corresponding to the user and the identity verification unit performs identity verification of the user based on at least one of the user identification information and the identification information inputted from the user, Way. 청구항 14에 있어서,
상기 사용자 식별 정보는
상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응하는 것을 특징으로 하는 사용자 인증 방법.15. The method of claim 14,
The user identification information
Wherein the user identification information corresponds to at least one of Duplication Information (DI) and Member Information (CI) for identifying the user. 청구항 15에 있어서,
상기 공개키를 검증하는 단계는
상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증하는 것을 특징으로 하는 사용자 인증 방법.16. The method of claim 15,
The step of verifying the public key
And verifying the public key by decoding the public key encrypted with the verification key corresponding to the key pair with the verification key. 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 청구항 16에 있어서,
상기 타임스탬프 토큰을 수신하여 저장하는 단계는
상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장하는 것을 특징으로 하는 사용자 인증 방법.18. The method of claim 16,
The step of receiving and storing the timestamp token
Wherein the public key is listed and stored based on the issuance time of the time stamp token.
KR1020160061991A 2016-05-20 2016-05-20 Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same KR101868564B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160061991A KR101868564B1 (en) 2016-05-20 2016-05-20 Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160061991A KR101868564B1 (en) 2016-05-20 2016-05-20 Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same

Publications (2)

Publication Number Publication Date
KR20170130963A KR20170130963A (en) 2017-11-29
KR101868564B1 true KR101868564B1 (en) 2018-07-23

Family

ID=60812373

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160061991A KR101868564B1 (en) 2016-05-20 2016-05-20 Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same

Country Status (1)

Country Link
KR (1) KR101868564B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220040976A (en) 2020-09-24 2022-03-31 박성기 Identity verification system using user-based personal information replacement connect information and method thereof

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102196347B1 (en) * 2020-09-21 2020-12-29 주식회사 온비즈스타 System for electronic payment and method for operating the same

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003087332A (en) * 2001-09-12 2003-03-20 Nec Corp Relay connection system, network level authentication server, gateway, information server and program
KR100910378B1 (en) * 2008-10-06 2009-08-04 주식회사 오엘콥스 System and method for issuing electronically accredited certificate using encrypted image

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140000050A (en) * 2012-06-22 2014-01-02 주식회사 케이티 Method and system for providing vehicles rental service using mobile communication terminal

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003087332A (en) * 2001-09-12 2003-03-20 Nec Corp Relay connection system, network level authentication server, gateway, information server and program
KR100910378B1 (en) * 2008-10-06 2009-08-04 주식회사 오엘콥스 System and method for issuing electronically accredited certificate using encrypted image

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220040976A (en) 2020-09-24 2022-03-31 박성기 Identity verification system using user-based personal information replacement connect information and method thereof

Also Published As

Publication number Publication date
KR20170130963A (en) 2017-11-29

Similar Documents

Publication Publication Date Title
CN109522698B (en) User authentication method based on block chain and terminal equipment
CN108768664B (en) Key management method, device, system, storage medium and computer equipment
US11917074B2 (en) Electronic signature authentication system based on biometric information and electronic signature authentication method
KR101863953B1 (en) System and method for providing electronic signature service
CA2753039C (en) System and methods for online authentication
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
KR100876003B1 (en) User Authentication Method Using Biological Information
US9112705B2 (en) ID system and program, and ID method
US8943311B2 (en) System and methods for online authentication
US20090293111A1 (en) Third party system for biometric authentication
TWM623435U (en) System for verifying client identity and transaction services using multiple security levels
CN110990827A (en) Identity information verification method, server and storage medium
KR101897715B1 (en) System for non-password secure biometric digital signagure
CN108141444B (en) Improved authentication method and authentication device
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
KR101388930B1 (en) Divided signature based user authentication apparatus and method
KR101868564B1 (en) Apparatus for authenticating user in association with user-identification-registration and local-authentication and method for using the same
KR101856530B1 (en) Encryption system providing user cognition-based encryption protocol and method for processing on-line settlement, security apparatus and transaction approval server using thereof
KR102056612B1 (en) Method for Generating Temporary Anonymous Certificate
KR101616795B1 (en) Method for manage private key file of public key infrastructure and system thereof
US20210042755A1 (en) A system and method for maintaining a fraud risk profile in a fraud risk engine
US20240129139A1 (en) User authentication using two independent security elements
AU2015202661B2 (en) System and methods for online authentication
TWI828001B (en) System for using multiple security levels to verify customer identity and transaction services and method thereof
KR101804845B1 (en) OTP authentication methods and system

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant