KR101955950B1 - 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말 - Google Patents

다채널 인증 방법, 이를 위한 인증 서버와 인증 단말 Download PDF

Info

Publication number
KR101955950B1
KR101955950B1 KR1020170073043A KR20170073043A KR101955950B1 KR 101955950 B1 KR101955950 B1 KR 101955950B1 KR 1020170073043 A KR1020170073043 A KR 1020170073043A KR 20170073043 A KR20170073043 A KR 20170073043A KR 101955950 B1 KR101955950 B1 KR 101955950B1
Authority
KR
South Korea
Prior art keywords
authentication
user
information
terminal
server
Prior art date
Application number
KR1020170073043A
Other languages
English (en)
Other versions
KR20180135222A (ko
Inventor
김동현
김선호
Original Assignee
주식회사 엔터소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔터소프트 filed Critical 주식회사 엔터소프트
Priority to KR1020170073043A priority Critical patent/KR101955950B1/ko
Publication of KR20180135222A publication Critical patent/KR20180135222A/ko
Application granted granted Critical
Publication of KR101955950B1 publication Critical patent/KR101955950B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3223Realising banking transactions through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes

Abstract

제1 채널을 통해 요청된 트랜잭션 처리 요청을 미리 등록된 인증 단말과 제2 통신 채널을 형성하고, 제2 통신 채널을 통해 지식기반인증요소, 소프트웨어적 소지기반인증요소, 하드웨어적 소지기반인증요소를 이용하여 사용자를 인증하는 다채널 인증 방법 이를 위한 인증 서버 및 인증 단말을 제공한다.

Description

다채널 인증 방법, 이를 위한 인증 서버와 인증 단말{Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS}
본 발명은 다채널 인증 방법 및 이를 위한 인증 서버와 인증 단말에 관한 것으로, 상세하게는, 다중인증요소를 이용한 다채널 인증 방법 및 이를 위한 인증 서버와 인증 단말에 관한 것이다.
정보통신기술의 발달로 다양한 금융 거래가 온라인을 통해 처리되고 있다. 개인정보누출로 인한 금융 사고를 방지하기 위해, 온라인 금융 거래에는 다양한 보안 기술이 적용되어 해킹의 위험으로부터 금융 거래자를 보호하고 있다.
보안 기술은 그 인증요소에 따라 비밀번호, PIN (Personal Identification Number) 등과 같이 정당한 사용자가 알고 있는 정보를 통해 인증을 수행하는 지식기반인증(What you know), OTP(One Time Password), 보안토큰 등과 같이 사용자가 해당 요소를 소유하고 있는지로 인증을 수행하는 소지기반인증(What you have), 지문, 홍채 등과 같이 사용자가 가진 고유한 특성을 이용하여 인증을 수행하는 특성기반인증(What you are) 등으로 분류될 수 있다.
최근 온라인 금융 거래에서는 보안성을 강화하기 위해 지식기반의 인증 방식과 OTP를 이용한 소지기반의 인증 방법을 함께 이용하여 이용되고 있다.
다만, OPT는 토큰 구입 비용이 주기적으로(약 2~3년 간격) 발생하고, 진정한 사용자라도 OTP를 소지하지 않은 경우 금융 서비스의 이용이 불가능하고, OTP를 불법으로 취득한자가 진정한 사용자로 행동할 수 있다는 문제점이 있다.
나아가, 2011년 미국 RSA사의 사례에서 지적된 것과 같이 OTP생성 기술이 유출되거나, 디아블로 3에서 지적된 것과 같이 시간동기화 방식의 허점을 이용하는 경우 여전히 해킹에 취약한 문제점이 있다.
아울러, OTP기술은 여전히 단일채널인증의 한계점을 가지고 있다. 구체적으로, 도 1에 도시된 것과 같이 해커는 멀웨어(malicious software, malware)를 통해 서비스 제공 서버(인터넷 뱅킹서버)와 사용자 단말의 통신 채널을 왜곡하고, 사용자가 입력한 비밀번호, OTP등을 탈취하여 정당한 사용자로 인증될 수 있다.
이와 같은 문제점을 해결하기 위해 2-채널 앱인증 및 시스템(특허출원 제10-2012-0151201호)와 앱위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법(특허출원 제 10-2016-008062호) 등의 기술이 제안되었으나, 역공학에 대한 문제로 인해 상용화되지 못하고 있는 실정이다.
본 발명이 해결하고자 하는 일 기술적 과제는,다중요소인증 방법이 적용된 다채널 인증 방법, 다채널 인증을 수행하는 인증 서버 및 인증 단말을 제공하는 데 있다.
본 발명이 해결하고자 하는 기술적 과제는 상술된 것에 제한되지 않는다.
상술한 기술적 과제를 해결하기 위해, 본 발명은 다채널 인증 방법, 및 이를 위한 인증 서버 및 인증 단말을 제공한다.
일 실시예에 따른 다채널 인증 방법은 서비스 제공 장치가 사용자의 트랜잭션 처리를 위해 인증 서버에 사용자 인증을 요청하는 단계와 인증 서버가 트랜잭션에 대응되는 사용자 ID, 세션 ID, 트랜잭션 정보, 및 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성하는 단계와 인증 서버가 사용자 ID에 대응되는 인증 단말 및 인증 단말에 대해 미리 설정된 인증키를 탐색하는 단계와 인증 서버가 인증 단말에 미리 저장된 인증 어플리케이션으로 인증키를 전송하는 단계와 인증 어플리케이션이 인증키를 이용하여 인증 단말에 미리 저장된 유저 토큰을 복호화하여 인증 서버로 전송하는 단계와 인증 어플리케이션으로부터 복호화된 유저 토큰이 전송되면, 인증 서버가 인증 어플리케이션으로 트랜잭션 정보를 전송하는 단계와 인증 어플리케이션이 트랜잭션 정보를 표시하고, 사용자로부터 비밀 번호를 입력 받는 단계와 인증 어플리케이션이 인증키를 이용하여 복호화한 유저 토큰 및 인증키를 이용하여 암호화한 비밀번호, 및 인증 단말의 디바이스 정보로 구성된 인증 정보를 생성하여 인증 서버에 전송하는 단계와 인증 서버가 인증 정보에 기초하여 사용자를 검증하고, 서비스 제공 장치에 마련된 리스너에 검증 결과를 푸시하는 단계를 포함한다.
이때, 인증 정보를 전송하는 단계는,인증 단말과 인증 서버 간의 통신을 위한 채널을 생성하는 단계;를 포함할 수 있다.
또한, 인증 서버에 전송하는 단계는,인증 정보의 생성이 완료되면 인증 서버로부터 전송된 인증키를 삭제하는 단계;를 더 포함할 수 있다.
또한, 다채널 인증 방법은 인증 서버가 인증 단말의 등록을 위해 임시 ID를 발급하는 단계와 인증 어플리케이션이 설치된 인증 단말이 임시 ID를 이용하여 인증 서버에 등록을 요청하는 단계와 인증 단말을 통해 전송된 임시 ID 및 사용자 정보에 기초하여 등록을 요청한 사용자를 검증하는 단계와 사용자 검증이 완료되면, 유저 토큰, 및 인증키를 발행하고, 유저 토큰, 인증키, 인증 단말을 통해 전송된 비밀번호, 및 인증 단말의 디바이스 정보를 포함하는 사용자 레코드를 저장하는 단계와 인증키에 의하여 복호화되도록 유저 토큰을 암호화하여 인증 단말에 전송하는 단계를 더 포함할 수 있다.
일 실시예에 따른 인증 서버는 서비스 제공 장치로부터 트랜잭션 처리를 위한 사용자 인증 요청이 수신되면, 인증을 요청한 사용자 ID, 세션 ID, 트랜잭션 정보, 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성하는 트랜잭션 관리부와 사용자 ID에 대응되는 인증 단말 및 인증 단말에 대해 미리 설정된 인증키를 탐색하는 정보 관리부와 인증 단말에 미리 저장된 인증 어플리케이션으로 인증키를 전송하는 푸시처리부와인증 어플리케이션으로부터 인증키를 이용하여 복호화된 유저 토큰이 전송되면, 인증 어플리케이션으로 트랜잭션 정보를 전송하는 정보 제공부와인증 어플리케이션으로부터 복호화된 유저 토큰, 인증키를 이용하여 암호화된 비밀 번호, 인증 단말의 디바이스 정보로 구성된 인증 정보를 수신하여 검증하는 인증 처리부를 포함할 수 있다.
이때, 인증 처리부는, 검증이 완료되면, 서비스 제공 장치에 마련된 리스너로 검증 결과를 푸시하고, 트랜잭션 레코드의 진행 상태를 완료로 변경할 수 있다.
또한, 정보 관리부는,인증 단말로부터 미리 발급된 임시 ID를 이용한 접근이 발생하면, 임시 ID를 이용하여 사용자를 검증하고, 유저 토큰 및 인증키를 발행하고,임시 ID를 이용하여 접근한 인증 단말의 디바이스 정보, 유저 토큰, 인증키로 구성된 사용자 레코드를 생성하여 저장하고, 인증키를 이용하여 유저 토큰을 암호화하여 임시 ID를 이용하여 접근한 인증 단말로 전송하는 사용자 레코드 관리부를 포함할 수 있다.
일 실시예에 따른 인증 단말은 인증 서버와 데이터를 송수신하는 통신부와 암호화된 유저 토큰 및 인증 어플리케이션이 저장되는 저장부와인증 서버의 인증키 푸시에 따라 인증 어플리케이션을 실행하는 프로세스를 포함하고, 인증 어플리케이션은,사용자로부터 입력 받은 비밀번호, 인증키를 이용하여 복호화된 유저 토큰, 및 인증 단말의 디바이스 정보로 구성된 인증 정보를 생성하고 인증 서버에 인증 정보를 전송할 수 있다.
또한, 인증 어플리케이션은 인증 서버와 통신 채널을 생성하고, 통신 채널을 통해 인증 정보를 전송할 수 있다.
또한, 인증 단말은 인증 단말로부터 수신한 트랜잭션 정보를 표시하고, 사용자로부터 비밀 번호를 입력 받는 입출력부;를 더 포함하고,인증 어플리케이션은 통신 채널을 통해 인증 서버로부터 복호화된 유저 토큰을 전송하여 인증 서버로부터 트랜잭션 정보를 수신할 수 있다.
또한, 프로세스는 인증 정보의 생성이 완료되면 인증키를 삭제할 수 있다.
본 발명의 실시예에 따르면, 지식기반인증 요소인 비밀번호, 소프트웨어 소지기반인증 요소인 유저 토큰, 및 하드웨어 소지기반인증 요소인 디바이스 정보를 함께 이용하여 트랜잭션 처리 요청에 대해 인증함으로써, 그 보안 신뢰성이 향상된다.
또한, 복수의 채널을 통해 트랜잭션 처리와 인증을 처리하는 다채널 인증 방법, 이를 위한 인증 서버 및 인증 단말을 제공함으로써, 온라인 금융 거래의 보안성을 더욱 향상시킬 수 있다.
도 1은 종래 OTP를 이용한 보안 방법의 취약점을 설명하기 위한 도면이다.
도 2는 일 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이다.
도 3은 도2의 다채널 인증 시스템을 구성하는 장치간의 통신 보안 방법의 일례를 도시한 도면이다.
도 4는 다른 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이다.
도 5는 일 실시예에 따른 다채널 인증 방법을 이용하기 위한 등록 절차를 도시한 도면이다.
도 6은 일 실시예에 따른 다채널 인증 방법을 개략적으로 도시한 도면이다.
도 7은 트랜잭션 정보 제공의 일례를 도시한 도면이다.
도 8은 사용자 검증에 이용되는 인증 정보의 일례를 도시한 도면이다.
도 9는 일 실시예에 따른 다채널 인증 방법의 채널 설정의 일례를 도시한 도면이다.
도 10은 일 실시예에 따른 다채널 인증 방법의 채널 설정의 다른례를 도시한 도면이다.
도 11은 일 실시예에 따른 다채널 인증 시스템의 인증 단말의 제어 블럭도이다.
도 12는 일 실시예에 따른 다채널 인증 시스템의 인증 서버의 제어 블록블럭도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다. 이하, 도면을 참조하여 본 발명에 대하여 구체적으로 설명한다.
이하에서는, 다채널 인증 시스템에 의해 처리되는 트랜잭션 처리가 금융정보조회, 자금이체, 송금 등과 같은 금융 처리인 것으로 설명하나, 다채널 인증 시스템을 통해 처리될 수 있는 트랜잭션이 이에 한정되는 것은 아니다.
도 2는 일 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이고, 도 3은 도2의 다채널 인증 시스템을 구성하는 장치간의 통신 보안 방법의 일례를 도시한 도면이고, 도 4는 다른 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이다.
도 2를 참조하면, 일 실시예에 따른 다채널 인증 시스템은 서비스 제공 장치(100), 인증 서버(200), 푸시 서버(300), 및 인증 단말(400)을 포함하며,서비스 요청 단말(10)로부터 트랜잭션 처리가 요청되면 정당한 사용자의 요청인지 검증하고 요청된 트랜잭션을 처리한다.
이때, 다채널 인증 시스템을 구성하는 서비스 제공 장치(100), 인증 서버(200), 푸시 서버(300), 및 인증 단말(400) 간 통신에는 소정의 보안 프로토콜이 적용될 수 있다. 예컨대, 도 3에 도시된 것과 같이 서비스 제공 장치(100)와 인증 서버(200)는VPN(virtual private network)으로 구성되어 특수 통신체계와 암호화 기법을 적용하여 상호간 통신하고, 인증 서버(200), 인증 단말(400), 및 푸시 서버(300)는SSL (Secure Socket Layer 혹은 TLS, Transport Layer Security)로 구성되어 상호간 통신할 수 있다.
한편, 도 2에서는 인증 서버(200)와 푸시 서버(300)가 별도로 구성된 것으로 도시되어 있으나, 인증 서버(200)와 푸시 서버(300)는 도 4에 도시된 것과 같이 하나의 장치로 구성될 수도 있음을 이해하여야 한다.
이하에서는, 일 실시예에 따른 다채널 인증 방법 및 시스템을 설명하기 앞서, 도 5를 참조하여 인증을 위해 필요한 사용자 등록 단계에 대하여 먼저 설명한다. 도 5는 일 실시예에 따른 다채널 인증 방법을 이용하기 위한 등록 절차를 도시한 도면이다.
사용자는 인증 서버(200)에 인증 단말(400)을 등록하는 단계를 거쳐 다채널 인증 방법 및 시스템을 이용할 수 있다. 사용자는 계좌번호, 카드번호등과 같이 사용자를 식별하기 하기 위한 사용자 정보를 인증 서버(200)로 전송하여 인증 단말(400) 등록을 요청할 수 있으며, 경우에 따라 오프라인(은행창구)을 통해서만 인증 단말(400)의 등록 절차가 진행될 수도 있다.
인증 단말 등록 요청이 수신되면, 인증 서버(200)는 인증 단말 등록 요청과 함께 수신한 사용자 정보를 이용하여 등록을 요청한 사용자가 기 등록된 사용자인지 판단한다(510).
등록을 요청한 사용자가기 등록된 사용자인 경우(510의 예)기 등록된 사용자 ID와 매칭하여 임시 ID를 발급하고, 등록되지 않은 사용자인 경우(510의 아니오)사용자 ID를 생성하는 사용자 등록 단계(520)를 거쳐 임시 ID를 발급한다(530). 이때, 임시 ID는 숫자 또는 문자로 이루어진 형태일 수 있으나, 경우에 따라 QR코드 또는 BAR 코드와 같은 소정의 코드 형태일 수 있으며, 임시ID 타임 레코드를 가져 미리 설정된 시간 동안만 유효한 것으로 처리될 수 있다.
임시 ID가 발급되면, 사용자는 발급된 임시 ID를 이용하여 인증 단말(400)의 등록을 요청할 수 있다(540). 구체적으로, 등록이 필요한 인증 단말(400)에 미리 지정된 인증 어플리케이션이 설치되면(541), 사용자는 인증 어플리케이션을 통해 임시 ID입력과 비밀번호를 등록하게 된다(542, 543).
임시 ID 입력과 비밀번호 등록이 완료되면, 인증 어플리케이션은 인증 단말(400)의 디바이스 정보를 추출할 수 있다.
여기서, 디바이스 정보는 해당인증 단말(400)의 물리적인 특성에 따른 정보로 인증 단말(400)을 다른 단말과 식별할 수 있는 정보라면 디바이스 정보가 될 수 있다. 예컨대, 인증 단말(400)은모델번호, Wi-Fi 주소, Bluetooth 주소, WCDMA 휴대폰에 내장되어 있는 15자리 숫자로된 단말기 고유 일련번호인 IMEI, IMSI와 함께 SIM카드 번호를 구성하는 고정번호(89로 시작하는 19자리 숫자)인 ICCID, 일부 CDMA 연산자가 각 핸드폰을 고유하게 식별하기 위해 사용하는 일련의 코드인 MEID 중 적어도 하나의 정보를 추출하여 디바이스 정보를 생성할 수 있다.
디바이스 정보의 생성이 완료되면, 인증 어플리케이션은 사용자로부터 입력 받은 임시 ID, 등록된 비밀번호, 디바이스 정보를 인증 서버(200)에 전송한다(544). 이때, 인증 어플리케이션은 등록을 요청한 사용자가 정당한 사용자인지 확인하기 위해 사용자 등록시에 저장된 정보, 예컨대. 사용자 ID등을 함께 전송할 수도 있다.
인증 어플리케이션을 통해 임시 ID, 비밀번호, 디바이스 정보가 전송되면, 인증 서버(200)는 이를 기 등록된 사용자 ID와 매칭하여 사용자 레코드를 생성할 수 있다(550).
구체적으로, 인증 서버(200)는 임시 ID 및 임시 ID와 함께 전송된 정보를 이용하여 등록을 요청한 사용자의 동일성을 확인하고(551), 전송된 디바이스 정보를 이용하여 디바이스 토큰을 생성한다(552).
디바이스 토큰은인증 단말(400)을 다른 단말과 식별하기 위한 것으로, 디바이스 정보 중 적어도 하나로 구성되어 생성될 수 있으며, 미리 설정된 알고리즘에 따라 디바이스 정보를 변환하여 생성될 수도 있다. 이와 같이 디바이스 정보를 토큰으로 변환하여 관리함으로써, 디바이스 정보를 외부 위협으로부터 더욱 안전하게 보호할 수 있다.
또한, 인증 서버(200)는 유저 토큰과 유저 토큰의 암호화 및 복호화에 이용될 인증키를 생성할 수 있다(553).
유저 토큰은 사용자 정보를 외부 위협으로부터 안전하게 보호하기 위한 것으로, 소정의 알고리즘에 따라 타 사용자와의 구별 가능한 고유한 값을 가지도록 생성된다. 경우에 따라 유저 토큰 생성을 위해 사용자 ID, 계좌번호 등과 같은 사용자 정보가 이용될 수도 있다. 인증키는 유저 토큰의 암호화와 복호화에 이용되는 키를 의미한다.
인증 서버(200)는 사용자 ID에 디바이스 토큰, 비밀번호, 유저토크, 인증키를 매칭하여 사용자 레코드를생성하고 이를 저장할 수 있다. 이때, 사용자 레코드에는 푸시 서버(300) 또는 인증 서버(200)가 인증 단말(400)과 통신하기 위한 디바이스 ID가 포함될 수 있다. 여기서, 디바이스 ID는 인증 단말(400)의 고유 문자 또는 식별 코드이거나, 소프트웨어 구축에 쓰이는 표준 식별자인 UUID(Universally Unique IDentifier)일 수 있으나, 이에 한정되는 것은 아니다.
이와 같은 과정을 통해 생성된 사용자 레코드는 소정의 데이터 베이스 형태로 저장될 수 있으면, 필요에 따라 별도로 마련된 데이터 베이스 장치에 저장될 수도 있다.
사용자 레코드 생성이 완료되면, 인증 서버(200)는 인증키를 이용하여 유저 토큰을 암호화하고(560), 암호화된 유저 토큰을 인증 단말(400)로 전송할 수 있다(570). 유저 토큰의 암호화에는 AES(Advanced Encryption Standard) 암호화 기법이 이용될 수 있으나, 암호화 기법이 이에 한정되는 것이 아니고, 인증키를 통해 복호화 가능한 형태의 공지된 암호화 기법 또는 추후 기술의 발달로 개시될 암호화 기법이 적용될 수도 있다.
한편, 인증 어플리케이션은 인증 서버(200)로부터 수신한 암호화된 유저 토큰을 인증 단말(400)에 저장할 수 있다(580). 이때, 유저 토큰은 비휘발성 메모리에 저장된다.
도 6은 일 실시예에 따른 다채널 인증 방법을 개략적으로 도시한 도면이고, 도 7은 트랜잭션 정보 제공의 일례를 도시한 도면이고, 도 8은 사용자 검증에 이용되는 인증 정보의 일례를 도시한 도면이고, 도 9는 일 실시예에 따른 다채널 인증 방법의 채널 설정의 일례를 도시한 도면이고, 도 10은 일 실시예에 따른 다채널 인증 방법의 채널 설정의 다른례를 도시한 도면이다.
이하 도 2 및 도 6을 참조하여일 실시예에 따른 다채널 인증 시스템의 인증 절차를 상세히 설명한다.
서비스 제공 장치(100)는 서비스 요청 단말(10)로부터 트랜잭션 처리 요청을 수신한다(601). 이때, 트랜잭션 처리 요청에는 트랜잭션 처리를 요청한 사용자 ID, 세션 ID, 트랜잭션 정보 등이 포함될 수 있다.
트랜잭션 처리 요청이 수신되면 서비스 제공 장치(100)는 사용자 ID, 세션 ID, 트랜잭션 정보, 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성한다(603). 여기서, 트랜잭션 정보는 처리가 요청된 트랜잭션과 관련된 것으로, 예컨대, 이체 계좌, 이체 금액, 계좌 소유자 등과 같이 송금과 관련된 정보일 수 있다.
한편, HTTP/HTTPS 프로토콜의 특성상 서버는 클라이언트의 요청(Request)이 있을 때만 응답(Response)할 수 있으므로,인증 단말(400)을 통해 인증 절차가 진행되는 동안 클라이언트인 서비스 요청 단말(10)은 Javascript 등을 통해 주기적(5~10")으로 서비스 제공 장치(100)에 트랜잭션 처리 요청을 전송하게 된다. 그러므로, 서비스 제공 장치(100)는 서비스 요청 단말(10)로부터 트랜잭션 처리 요청이 수신되면,수신된 트랜잭션 처리 요청이 사용자에 의한 요청인지 판단한다(605).
구체적으로, 서비스 제공 장치(100)는 생성된 트랜잭션 레코드와 처리 중인 트랜잭션 레코드를 비교하여, 생성된 트랜잭션 레코드와 사용자 ID, 세션 ID, 및 트랜잭션 정보 중 적어도 하나가 동일한 처리중인 트랜잭션 레코드가 있으면, 처리 상태를 확인하기 위해 주기적으로 전송되는 트랜잭션 요청인 것으로 판단하여(605의 아니오), 생성된 트랜잭션 레코드를 폐기하고 인증결과를 확인할 수 있다.
반대로, 생성된 트랜잭션 레코드와 사용자 ID, 세션 ID, 및 트랜잭션 정보 중 적어도 하나가 동일한 처리중인 트랜잭션 레코드가 없으면, 사용자의 요청인 것으로 판단하여(605의 예), 생성된 트랜잭션 레코드의 처리 상태를 진행중으로 변경하고, 인증 서버(200)에 사용자 인증을 요청할 수 있다(606). 이때, 서비스 제공 장치(100)는 트랜잭션 레코드를 인증 요청과 함께 전송할 수 있다.
서비스 제공 장치(100)로부터 인증 요청이 수신되면, 인증 서버(200)는 사용자 레코드를 검색한다(607).
구체적으로, 인증 서버(200)는 사용자 ID에 대응되는 사용자 레코드를 검색하고, 사용자 레코드에저장된 디바이스 ID에 대응되는 인증 단말(400)로 사용자 레코드의 인증키를 전송한다(609). 이때, 도 2와 같이 별도의 푸시 서버(300)가 있는 경우, 인증 서버(200)의 요청에 따라 푸시 서버(300)가 디바이스 ID에 대응되는 인증 단말(400)에 설치된 인증 어플리케이션으로인증키를푸시하게 되며, 도 4와 같이 인증 서버(200)가 푸시 서버(300)의 기능을 함께 수행하는 경우에는 인증 서버(200)가 인증 단말(400)에 설치된 인증 어플리케이션으로인증키를푸시할 수 있다.
인증 키를 수신한 인증 단말(400)은 인증 어플리케이션을 실행한다(611). 이때, 인증 어플리케이션의 실행은 자동으로 이루어질 수 있으나, 경우에 따라 사용자의 조작에 의하여 실행될 수 있다.
인증 어플리케이션이 실행되면, 인증 어플리케이션은 푸시된인증키를 이용하여 유저 토큰을 복호화한다(613). 이때, 인증키의복호화 기법은 상술한 등록 단계에서 사용된 암호화기법에 대응되는 것이다. 예컨대, 유저 토큰의 암호화에 AES가 사용된 경우, 인증 어플리케이션은 AES의 복호화 기법을 이용하여 유저 토큰을 복호화할 수 있다.
인증 어플리케이션을 통해 인증키가 복호화되면, 인증 단말(400)은 복호화된 유저 토큰을 인증 서버(200)로 전송하고(615),인증 서버(200)는 수신한 유저 토큰이 유효하면 트랜잭션 레코드에 저장된 트랜잭션 정보를 인증 단말(400)로 전송한다(617). 이때, 유저 토큰의 유효성 검증은 인증 단말(400)로부터 수신한 유저 토큰과 사용자 레코드에 저장된 유저 토큰의 비교를 통해 수행될 수 있다.
인증 서버(200)로부터 트랜잭션 정보가 수신되면, 인증 어플리케이션은 인증 정보를 생성한다(621).
구체적으로, 인증 어플리케이션은 도 7에 도시된 것과 같이 인증 서버(200)로부터 수신한 트랜잭션 정보를 표시하고(701), 사용자로부터 등록된 비밀번호를 입력 받는다.
또한, 인증 어플리케이션은 인증 단말(400)의 물리적인 특성인 디바이스 정보를 추출할 수 있다. 이때, 디바이스 정보는 등록 단계에서 추출된 디바이스 정보에 대응되는 것으로, 상술한 것과 같이 Wi-Fi 주소, Bluetooth 주소, IMEI, ICCID, MEID 중 적어도 하나를 포함할 수 있다.
디바이스 정보의 생성이 완료되면, 인증 단말(400)은 8(a)에 도시된 것과 같이 유저 토큰, 비밀번호, 디바이스 정보로 구성된 인증 정보를 생성하고(621), 이를 인증 서버(200)에 전송할 수 있다(623)
이때, 인증 정보는 암호화되어 전송될 수 있다. 인증 단말(400)과 인증 서버(200)는 인증키를 공유하므로, 인증 단말(400)은 인증키를 이용하여 유저 토큰, 비밀번호, 디바이스 정보 중 적어도 하나의 정보를 암호화하여 전송할 수 있다. 인증 정보의 암호화는 유저 토큰의 암호화 기법과 동일할 수 있으나, 선택적으로 유저 토큰의 암호화 기법과 다른 암호화 기법이 이용될 수도 있다.
아울러, 인증 단말(400)은 인증 정보를 보호하기 위해 인증 서버(200)와 종래 통신 채널과 다른 채널을 생성하고, 이를 통해 인증 정보를 전송할 수도 있다.
인증 정보의 전송이 완료되면, 인증 단말(400)은 인증 단말(400)에 저장된 암호키를 메모리에서 삭제(release)시킬 수 있다.
한편, 인증 정보를 수신한 인증 서버(200)는 인증 정보를 이용하여 사용자를 검증을 수행한다(625). 구체적으로, 인증정보에 포함된 유저 토큰과 비밀번호를 사용자 레코드에 포함된 유저 토큰과 비밀번호와 비교하고, 인증 정보에 포함된 디바이스 정보를 이용하여 생성된 디바이스 토큰과 사용자 레코드에 포함된 디바이스 토큰을 비교하여 사용자를 검증할 수 있다. 이때, 디바이스 토큰의 생성 방법은 상술한 등록 단계와 동일한 것일 수 있다.
인증 단말(400)은 이와 같이 과정을 통해 인증이 종료되면,서비스 제공 장치(100)로 인증 결과를 전송하고(627), 트랜잭션 레코드의 처리 상태를 종료 상태로 변경할 수 있다.
검증 결과는 푸시 형태로 서비스 제공 장치(100)로 전달될 수 있으면, 푸시 형태의 검증 결과 수신을 위해 서비스 제공 장치(100)에는 리스너(도 12의 110)가 마련될 수 있다.
서비스 제공 장치(100)는 리스너(110) 조회를 통해 인증 결과를 확인하고(629), 인증 결과가 유효한 경우에 사용자가 요청한 트랜잭션을 처리한다.
한편, 도 6에서는 인증 단말(400)이 인증키를 이용하여 인증 정보를 암호화하는 것으로 설명하였으나, 인증 정보의 암호화 방법이 이에 한정되는 것이 아니다.
인증 정보의 암호화의 다른례로, 사용자가 입력한 비밀번호를 이용하여 인증 정보를 암호화할 수 있다.
구체적으로, 인증 단말(400)은 사용자가 입력한 비밀번호를 암호화키로 이용하거나, 미리 설정된 규칙에 따라 비밀번호와 인증키의 조합으로 생성된 암호화키를 이용하여 인증 정보의 전부 또는 일부를 암호화하여 인증 서버(200)에 전송할 수 있다.
예컨대, 인증 단말(400)은 비밀번호를 암호화키로 이용하여 유저 토큰을 암호화하거나, 비밀번호와 인증키 조합으로 생성된 암호화키를 이용하여 디바이스 정보를 암호화할 수 있다.
나아가, 인증 정보의 각 필드 별로 서로 다른 암호화키가 이용될 수도 있다. 예컨대, 유저 토큰은 비밀번호로 암호화하고 디바이스 정보는 인증키로 암호화되거나, 유저 토큰은 인증키에 의하여 다시 암호화되고, 비밀번호는 인증키로 암호화되고, 디바이스 정보는 비밀번호와 인증키의 조합으로 생성된 암호화키에 의하여 암호화될 수 있다.
이와 같이 인증 정보가 비밀번호를 이용하여 암호화되는 경우, 인증 서버(200)는 사용자 레코드에 저장된 비밀번호 및 인증키를 이용하여 복호화키를 생성하고 생성된 복호화 키를 이용하여 수신한 인증 정보를 복호화한다.
또한, 인증 정보 암호화에 비밀번호가 이용되는 경우, 인증 정보는 도 8(b)에 도시된 것과 같이 유저 토큰과 디바이스 정보로만 구성될 수 있다.
이와 같이 비밀정보를 인증 정보의 암호화에 이용함으로써, 보안성을 더욱 향상시킬 수 있다.
인증 정보의 암호화의 또 다른례로, 인증 단말(400)은 도 8(c)에 도시된 것과 같이 인증 단말(400)에서 추출된 디바이스 정보를 미리 미리 설정된 알고리즘에 따라 디바이스 토큰으로 변환하여 인증 정보를 생성함으로써, 디바이스 정보에 대한 보안성을 더욱 향상시킬 수 있다.
상술한것과 같이 일 실시예에 따른 다채널 인증 방법은 지식기반인증 요소인 비밀번호, 소프트웨어 소지기반인증 요소인 유저 토큰, 및 하드웨어 소지기반인증 요소인 디바이스 정보를 함께 이용하여 트랜잭션 처리 요청에 대해 인증함으로써, 그 보안 신뢰성이 향상된다.
또한, 상술한 다채널 인증 방법은, 2개의 통신 채널을 이용하여 인증을 처리하게 되므로, 키로커 또는 메모리 해킹 등에 있어서도 강한 보안성을 지닌다. 구체적으로, 도 9에 도시된 것과 같이 서비스 요청 단말(10)은 서비스 요청 단말(10)과 형성된 제1 채널(901)을 통해 트랜잭션 처리를 요청하고, 인증 절차는 인증 단말(400)과 인증 단말(400) 사이에 형성된 제2 채널(902)을 통해 처리된다. 그러므로, 하나의 채널을 해킹한다고 하더라도 인증과 트랜잭션 처리에 영향을 받지 않으므로, 일 실시예에 따른 다채널 인증 방법은 더욱 높은 보안성을 가지게 된다.
한편, 다채널 인증 방법은 인증에 이용되는 채널 수를 더욱 확장될 수도 있다. 일례로, 도 10에 도시된 것과 같이 인증 서버(200)와 인증 단말(400) 간에 형성된 제2채널(1021)을 통해 유저 토큰과 부가정보의 전송(615, 617)이 이루어지고, 최종적으로 인증에 이용되는 인증 정보는 제2 채널(1021)과 별도로 마련된 제3 채널을 통해 전송될 수 있다.
이하에서는, 도면을 참조하여 다채널 인증 시스템의 주요 구성 요소에 대하여 상세히 설명한다.
도 11은 일 실시예에 따른 다채널 인증 시스템의 인증 단말의 제어 블럭도이다.
도 11을 참조하면, 인증 단말(400)은 통신부(410), 단말 저장부(420),표시부, 입력부, 및 제어부를 포함한다. 인증 단말(400)은 도 2에 도시된 것과 같이, 휴대성이 높고 통신망의 접근이 용이한 스마트폰일 수 있으나, 이에 한정되는 것이 아니다. 예컨대, 인증 단말(400)은 데스크 탑 등과 같이 고정된 위치에서 사용되는 정보처리장치 또는 PMP(Portable Media Player), PDA(Personal Digital Assistant), 타블렛 PC(Tablet PC)등과 같이 휴대가 용이한 정보 처리 장치로 치환될 수 있음을 이해하여야 한다.
통신부(410)는 통신망에 연결되어 인증 서버(200)와 데이터를 송수신할 수 있다. 통신부(410)는 GSM/3GPP 계열의 통신 방식(GSM, HSDPA, LTE 어드밴스드), 3GPP2 계열의 통신 방식(CDMA 등) 또는 와이맥스 등의 무선 통신 프로토콜를 통해 통신망에 연결될 수 있으나, 통신부(410)는 종래의 통신 프로토콜 또는 추후 기술의 개발에 따라 개발될 통신 프로토콜을 통해 통신망에 연결될 수도 있다.
구체적으로, 통신부(410))는 인증 서버(200) 또는 푸시 서버(300)로부터 푸시 방식으로 전송되는 인증키를 수신할 수 있으며, 프로세서(440)의 제어에 따라 인증 서버(200)와 형성된 통신 채널을 형성하고, 형성된 통신 채널을 통해 부가 정보를 수신하거나, 인증 정보를 전송할 수 있다.
입출력부(430)는 사용자에게 인증에 필요한 각종 정보를 표시하고, 사용자의 각종 입력을 수신한다. 이를 위해, 입출력부(430)는 디스플레이 패널(Plasma Display Panel, PDP), 액정 디스플레이(Liquid Crystal Display: LCD) 패널, 발광 다이오드(Light Emitting Diode: LED) 패널, 또는 유기 발광 다이오드(Organic Light Emitting Diode: OLED) 패널, 능동형 유기 발광 다이오드(Active-matrix Organic Light-Emitting Diode, AMOLED) 패널 등과 같은 표시 수단을 포함할 수 있으며, 키패드, 푸시 버튼(push button), 또는 멤브레인 버튼(membrane button)등과 같은 버튼 입력 수단, 터치 패드(touch pad) 등과 같은 터치 입력 수단을 포함할 수 있으며, 입출력이 모두 가능한 터치 스크린 형태로 구현될 수도 있다.
구체적으로, 입출력부(430)는 인증 서버(200)로부터 수신한 부가정보를 표시하고, 사용자로부터 미리 설정된 비밀번호를 입력받을 수 있다.
단말 저장부(420)는다채널 인증을 위해 필요한 각종 데이터를 저장한다. 단말 저장부(420)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광 디스크 중 적어도 하나의 타입의 저장 장치를 포함할 수 있다.
구체적으로, 단말 저장부(420)는 인증 어플리케이션 및 인증 어플리케이션의 실행에 따라 발생하는 데이터를 저장할 수 있으며, 인증 서버(200)로부터 수신한 인증 키를 저장할 수 있다. 이때, 인증 키는 인증 절차가 종료되거나, 인증 어플리케이션의 실행이 종료되는 경우 삭제될 수 있다.
그리고, 프로세서(440)는 단말 저장부(420)에 저장된 각종 정보를 이용하여 각 장치를 제어하는 것으로, 프로세서(440)는 CPU, micro CPU 등의 장치일 수 있다. 즉, 본 명세서에서 인증 어플리케이션이 수행하는 동작은 실질적으로 프로세서(440)의 구동을 통해 이루어지는 것임을 이해하여야 한다.
구체적으로, 프로세서(440)는 인증 서버(200)로부터 인증키가 푸시되면, 단말 저장부(420)에 저장된 인증 어플리케이션을 실행한다. 이때, 인증키는 유저 토큰과 달리 휘발성 저장장치에 저장될 수 있다.
프로세서(440)에 의하여 실행된 인증 어플리케이션은 인증키를 이용하여 단말 저장부(420)에 미리 저장된 유저 토큰을 복호화하고, 통신부(410)와 인증 서버(200)간에 형성된 통신 채널을 통해 복호화된유저 토큰을 인증 서버(200)로 전송한다.
또한, 프로세서는 입출력부(430)를 제어하여인증 서버(200)로부터 수신된 트랜잭션 정보하고, 사용자로부터 비밀번호를 입력 받을 수 있으며, 비밀번호, 복호화된유저 토큰, 디바이스 정보 등으로 구성된 인증 정보를 생성할 수 있다.
이와 같이 인증 정보가 생성되면 인증 어플리케이션은 상술한 것과 같이 인증키 또는 비밀 번호 등을 이용하여 이를 암호화하여 인증 서버(200)로 전송할 수 있다.
이때, 암호화된 인증 정보는 유저 토큰이 전송되는 통신 채널과 동일한 통신 채널을 통해 전송될 수 있으나, 유저 토큰 및 부가정보가 전송된 통신 채널과 별도의 채널을 통해 전송될 수도 있다. 예컨대. 인증 어플리케이션은 인증키가 푸시되면인증 서버(200)와 통신을 위해 제1 통신 채널을 형성하여 인증키 및 트랜잭션 정보를 송수신하고, 인증 정보가 생성되면 제1 통신 채널과 다른 제2 통신 채널을 생성하고, 제2 통신 채널을 통해 인증 정보를 전송할 수 있다.
이와 같이 인증 절차에 다수개의 통신 채널을 형성하여 통신함으로써, 다채널 인증 시스템의 보안성은 더욱 향상될 수 있다.
또한, 프로세서(440)는 인증 정보의 생성 및 전송이 완료되거나, 인증 어플리케이션의 실행이 종료되면 인증키를단말 저장부(420)에서 삭제할 수 있다.
도 12는 일 실시예에 따른 다채널 인증 시스템의 인증 서버의 제어 블록블럭도이다.
도 12를 참조하면, 인증 서버(200)는 트랜잭션 관리부(210), 정보 관리부(220), 푸시처리부(230), 정보 제공부(240), 인증 처리부(250)를 포함할 수 있다.
트랜잭션 관리부(210)는서비스 제공 장치(100)로부터 인증 요청과 함께 수신된 트랜잭션 레코드를 저장하고, 인증의 처리 단계가 진행됨에 따라 트랜잭션의 처리 상태를 갱신할 수 있으며, 필요에 따라 처리가 종료된 트랜잭션 레코드를 별도로 저장할 수도 있다.
정보 관리부(220)는 사용자 레코드를 생성하고, 인증을 요청한 사용자에 대응되는 사용자 레코드를 검색할 수 있다.
사용자 레코드 생성을 위해 정보 관리부(220)는 사용자 레코드 관리부(221)를 더 포함할 수 있으며, 사용자 레코드 관리부(221)는 인증 단말(400)과 연동하여 도 5의 인증 단말(400) 등록 절차를 수행한다. 즉, 사용자 레코드 관리부(221)는사용자 ID에 디바이스 토큰, 비밀번호, 유저토크, 인증키,데이터를 푸시하기 위해 디바이스 ID를 매칭하여 사용자 레코드를 생성하고, 인증을 요청한 인증 단말(400)에 인증키를 이용하여 암호화된 유저 토큰을 전송할 수 있다.
이와 같이 생성된 사용자 레코드는 서버저장부(260)에 저장될 수 있으며, 사용자 레코드 관리부(221)는 보안성을 향상시키기 위해 사용자 레코드를 복수의 데이터베이스로 분할하여 관리할 수도 있다. 예컨대, 사용자 레코드 관리부(221)는 인증 단말(400)로 인증키를 전송하기 위해 필요한 사용자 ID, 인증키, 디바이스 ID는 제1 데이터 베이스로 관리하고, 인증 절차에서 이용되는 유저 토큰, 디바이스 토큰, 비밀 번호는 제2 데이터 베이스로 관리할 수도 있다.
푸시처리부(230)는 트랜잭션 처리를 요청한 사용자가 미리 등록한 인증 단말(400)로 인증키를 전송한다. 이때, 인증키는 푸시 형태로 전송될 수 있으며, 다채널 인증 시스템이 별도의 푸시 서버(300)를 구비한 경우, 푸시처리부(230)는 푸시 서버(300)에 인증키 푸시를 요청할 수 있다.
정보 제공부(240)는인증 단말(400)로부터 수신된 유저 토큰이 유효하면 트랜잭션 레코드에 저장된 트랜잭션 정보를 인증 단말(400)로 전송한다.
인증 처리부(250)는 인증 단말(400)로부터 수신된 인증 정보에 기초하여 사용자를 검증하고, 검증 결과를 서비스 제공 장치(100)에 리스너(110)에 전송한다. 이때, 검증 결과는 푸시 방법으로 전송될 수 있다.
구체적으로, 인증 처리부(250)는 인증 정보를 복호화할 수 있다. 이때, 복화화에 이용되는 키는 인증 단말(400)에서 암호화에 사용된 키와 동일한 것으로, 상술할 것과 같이 인증 단말(400)이 인증키를 이용하여 인증 정보를 암호화한 경우 인증키를 이용하여 복호화하고, 비밀번호를 이용하여 인증 정보를 암호화한 경우 비밀번호를 이용하여 복호화하고, 비밀번호와 인증키의 조합으로 생성된 인증키로 암호화한 경우 인증 단말(400)과 동일한 방식으로 비밀번호와 인증키를 조합하여 복호화할 수 있다.
또한, 인증 처리부(250)는 복호화한 인증 정보에 포함된 유저 토큰, 비밀번호, 디바이스 정보와 사용자 레코드의 해당값을 비교하여 사용자를 검증을 수행하고, 검증 결과를 리스너(110)로 푸시한다.
본원 발명의 실시예 들과 관련된 기술 분야에서 통상의 지식을 가진 자는 상기 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로, 개시된 방법들은 한정적인 관점이 아닌 설명적 관점에서 고려되어야 한다. 본 발명의 범위는 발명의 상세한 설명이 아닌 특허청구 범위에 나타나며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 서비스 제공 장치
200: 인증 서버
300: 푸시 서버
400: 인증 단말

Claims (11)

  1. 서비스 제공 장치가 사용자의 트랜잭션 처리를 위해 인증 서버에 사용자 인증을 요청하는 단계;
    상기 인증 서버가 상기 트랜잭션에 대응되는 사용자 ID, 세션 ID, 트랜잭션 정보, 및 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성하는 단계;
    상기 인증 서버가 상기 사용자 ID에 대응되는 인증 단말 및 상기 인증 단말에 대해 미리 설정된 인증키를 탐색하는 단계;
    상기 인증 서버가 상기 인증 단말에 미리 저장된 인증 어플리케이션으로 상기 인증키를 전송하는 단계;
    상기 인증 어플리케이션이 상기 인증키를 이용하여 상기 인증 단말에 미리 저장된 유저 토큰을 복호화하여 상기 인증 서버로 전송하는 단계;
    상기 인증 어플리케이션으로부터 복호화된 유저 토큰이 전송되면, 상기 인증 서버가 상기 인증 어플리케이션으로 상기 트랜잭션 정보를 전송하는 단계;
    상기 인증 어플리케이션이 상기 트랜잭션 정보를 표시하고, 상기 사용자로부터 비밀 번호를 입력 받는 단계;
    상기 인증 어플리케이션이 상기 인증키를 이용하여 복호화한 유저 토큰 및 상기 인증키를 이용하여 암호화한 상기 비밀번호, 및 상기 인증 단말의 디바이스 정보로 구성된 인증 정보를 생성하여 상기 인증 서버에 전송하는 단계; 및
    상기 인증 서버가 상기 인증 정보에 기초하여 사용자를 검증하고, 상기 서비스 제공 장치에 마련된 리스너에 검증 결과를 푸시하는 단계;를 포함하되,
    상기 유저 토큰을 상기 인증 단말에 저장하는 단계는,
    상기 사용자를 식별하기 위한 사용자 정보가 상기 인증 서버로 전송되는 단계;
    상기 인증 서버가, 상기 사용자가 기 등록된 사용자인지 판단하여, 기 등록된 사용자인 경우 기 등록된 상기 사용자 ID와 매칭하여 임시 ID를 발급하고, 기 등록된 사용자가 아닌 경우 사용자 등록 단계를 거쳐 임시 ID를 발급하되, 상기 임시 ID는 타임 레코드를 가져 기 설정된 시간 동안만 유효한 것을 포함하는 단계;
    상기 인증 단말의 상기 인증 어플리케이션을 이용하여, 상기 임시 ID 및 상기 비밀 번호가 등록되고, 상기 인증 어플리케이션이 상기 인증 단말의 상기 디바이스 정보를 추출하는 단계;
    상기 인증 서버는 상기 인증 단말로부터 상기 임시 ID, 상기 비밀 번호, 및 상기 디바이스 정보를 전송 받아 상기 사용자를 검증하는 단계;
    상기 인증 서버가, 상기 사용자 검증이 완료되면, 상기 유저 토큰, 및 상기 인증키를 발행하고, 상기 유저 토큰, 상기 인증키, 상기 인증 단말을 통해 전송된 상기 비밀번호, 및 상기 인증 단말의 상기 디바이스 정보를 포함하는 사용자 레코드를 저장하는 단계; 및
    상기 인증키에 의하여 복호화되도록 상기 유저 토큰을 암호화하여 상기 인증 단말에 전송하는 단계;를 포함하는 다채널 인증 방법.
  2. 제1항에 있어서,
    상기 인증 정보를 전송하는 단계는,
    상기 인증 단말과 상기 인증 서버 간의 통신을 위한 채널을 생성하는 단계;를 포함하는 다채널 인증 방법.
  3. 제1항에 있어서,
    상기 인증 서버에 전송하는 단계는,
    상기 인증 정보의 생성이 완료되면 상기 인증 서버로부터 전송된 인증키를 삭제하는 단계;를 더 포함하는 다채널 인증 방법.
  4. 삭제
  5. 제1 항에 따른 다채널 인증 방법을 수행하는 인증 서버에 있어서,
    상기 서비스 제공 장치로부터 트랜잭션 처리를 위한 사용자 인증 요청이 수신되면, 인증을 요청한 상기 사용자 ID, 상기 세션 ID, 상기 트랜잭션 정보, 상기 진행 상태 중 적어도 하나로 구성된 상기 트랜잭션 레코드를 생성하는 트랜잭션 관리부;
    상기 사용자 ID에 대응되는 상기 인증 단말 및 상기 인증 단말에 대해 미리 설정된 상기 인증키를 탐색하는 정보 관리부;
    상기 인증 단말에 미리 저장된 상기 인증 어플리케이션으로 상기 인증키를 전송하는 푸시처리부;
    상기 인증 어플리케이션으로부터 상기 인증키를 이용하여 복호화된 상기 유저 토큰이 전송되면, 상기 인증 어플리케이션으로 상기 트랜잭션 정보를 전송하는 정보 제공부; 및
    상기 인증 어플리케이션으로부터 복호화된 상기 유저 토큰, 상기 인증키를 이용하여 암호화된 상기 비밀 번호, 상기 인증 단말의 상기 디바이스 정보로 구성된 상기 인증 정보를 수신하여 검증하는 인증 처리부;
    를 포함하는 인증 서버.
  6. 제5항에 있어서,
    상기 인증 처리부는,
    상기 검증이 완료되면, 상기 서비스 제공 장치에 마련된 리스너로 상기 검증 결과를 푸시하고, 상기 트랜잭션 레코드의 진행 상태를 완료로 변경하는 인증 서버.
  7. 제6항에 있어서,
    상기 정보 관리부는,
    상기 인증 단말로부터 미리 발급된 상기 임시 ID를 이용한 접근이 발생하면, 상기 임시 ID를 이용하여 상기 사용자를 검증하고, 상기 유저 토큰 및 상기 인증키를 발행하고,
    상기 임시 ID를 이용하여 접근한 상기 인증 단말의 상기 디바이스 정보, 상기 유저 토큰, 상기 인증키로 구성된 상기 사용자 레코드를 생성하여 저장하고,
    상기 인증키를 이용하여 상기 유저 토큰을 암호화하여 상기 임시 ID를 이용하여 접근한 상기 인증 단말로 전송하는 사용자 레코드 관리부;
    를 포함하는 인증 서버.
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
KR1020170073043A 2017-06-12 2017-06-12 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말 KR101955950B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170073043A KR101955950B1 (ko) 2017-06-12 2017-06-12 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170073043A KR101955950B1 (ko) 2017-06-12 2017-06-12 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말

Publications (2)

Publication Number Publication Date
KR20180135222A KR20180135222A (ko) 2018-12-20
KR101955950B1 true KR101955950B1 (ko) 2019-06-24

Family

ID=64952700

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170073043A KR101955950B1 (ko) 2017-06-12 2017-06-12 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말

Country Status (1)

Country Link
KR (1) KR101955950B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102505012B1 (ko) * 2022-09-01 2023-03-02 (주)엠나인파이브 대체 불가능한 토큰의 사용자 위치 기반 발행 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388935B1 (ko) * 2012-10-22 2014-04-24 소프트포럼 주식회사 2채널 기반의 사용자 인증 장치 및 방법
KR101659847B1 (ko) * 2015-07-14 2016-09-26 (주)케이스마텍 모바일 단말을 이용한 2채널 사용자 인증 방법
KR101680525B1 (ko) * 2016-07-12 2016-12-06 김주한 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100038990A (ko) * 2008-10-07 2010-04-15 조영미 네트워크 인증 시스템의 보안 인증 방법 및 그 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101388935B1 (ko) * 2012-10-22 2014-04-24 소프트포럼 주식회사 2채널 기반의 사용자 인증 장치 및 방법
KR101659847B1 (ko) * 2015-07-14 2016-09-26 (주)케이스마텍 모바일 단말을 이용한 2채널 사용자 인증 방법
KR101680525B1 (ko) * 2016-07-12 2016-12-06 김주한 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법

Also Published As

Publication number Publication date
KR20180135222A (ko) 2018-12-20

Similar Documents

Publication Publication Date Title
US11223948B2 (en) Anonymous authentication and remote wireless token access
JP6818679B2 (ja) セキュアホストカードエミュレーションクレデンシャル
US9338163B2 (en) Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method
KR102408761B1 (ko) 비대칭 암호화를 이용하여 otp를 구현하기 위한 시스템 및 방법
KR102304778B1 (ko) 소프트웨어 애플리케이션에서 초기에 신뢰를 설정하고 주기적으로 확인하기 위한 시스템 및 방법
US9350548B2 (en) Two factor authentication using a protected pin-like passcode
US20180082050A1 (en) Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
EP2485453B1 (en) Method for online authentication
JP2019512961A (ja) 改善されたセキュリティーを伴うユーザ認証のための方法およびシステム
KR20160048203A (ko) 복수의 장치로부터 데이터에 액세스하기 위한 시스템
TR201810238T4 (tr) Bir mobil kimlik doğrulama uygulaması kullanarak kullanıcıya uygun kimlik doğrulama yöntemi ve aparatı.
JP2019530265A (ja) グラフィックコード情報を提供及び取得する方法及び装置並びに端末
EP2879421A1 (en) Terminal identity verification and service authentication method, system, and terminal
WO2015065249A1 (ru) Способ и система защиты информации от несанкционированного использования (её варианты)
KR20180013710A (ko) 공개키 기반의 서비스 인증 방법 및 시스템
NO340355B1 (en) 2-factor authentication for network connected storage device
KR101955950B1 (ko) 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말
KR20160063250A (ko) 카드 디바이스를 사용한 네트워크 인증 방법
KR101799517B1 (ko) 인증 서버 및 방법
KR20160082426A (ko) 사용자 단말기, 이를 위한 웨어러블 단말기 지원 방법과 어플리케이션 및 인증 서버
EP3731480B1 (en) Systems and methods for secure communication
KR102547682B1 (ko) Puf기반 otp를 이용하여 사용자 인증을 지원하는 서버 및 그 동작 방법
KR101843644B1 (ko) 3차원 터치를 이용한 인증 서비스 제공 장치 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant