KR102070248B1 - User authentication apparatus supporting secure storage of private key and operating method thereof - Google Patents

User authentication apparatus supporting secure storage of private key and operating method thereof Download PDF

Info

Publication number
KR102070248B1
KR102070248B1 KR1020180028573A KR20180028573A KR102070248B1 KR 102070248 B1 KR102070248 B1 KR 102070248B1 KR 1020180028573 A KR1020180028573 A KR 1020180028573A KR 20180028573 A KR20180028573 A KR 20180028573A KR 102070248 B1 KR102070248 B1 KR 102070248B1
Authority
KR
South Korea
Prior art keywords
user
value
client terminal
private key
unique
Prior art date
Application number
KR1020180028573A
Other languages
Korean (ko)
Other versions
KR20190097998A (en
Inventor
문병관
김영한
윤영종
이건희
박정규
엄주화
Original Assignee
주식회사 한컴위드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 한컴위드 filed Critical 주식회사 한컴위드
Publication of KR20190097998A publication Critical patent/KR20190097998A/en
Application granted granted Critical
Publication of KR102070248B1 publication Critical patent/KR102070248B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3825Use of electronic signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

개인키의 안전 보관을 지원하는 사용자 간편 인증 장치 및 그 동작 방법이 개시된다. 본 발명에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치 및 그 동작 방법은 사용자 간편 인증 장치가 개인키의 암호화를 위한 시드(seed) 값을 생성하여 클라이언트 단말에 전송하면, 상기 클라이언트 단말이 상기 시드 값을 기초로 생성된 암호화키로 상기 개인키를 암호화하여 저장해 둔 후 사용자에 대한 인증이 수행될 때, 검증된 사용자일 경우에만 상기 사용자 간편 인증 장치가 상기 시드 값을 상기 클라이언트 단말에 다시 전송해 주어 상기 클라이언트 단말이 상기 시드 값을 기초로 상기 개인키를 복호화할 수 있도록 함으로써, 개인키의 안전한 보관이 가능하도록 지원하고, 개인키의 복호화 과정에서 수행되는 사용자 인증과 관련해서 사용자가 단순히 개인 식별번호만 입력하면 인증 과정이 처리될 수 있도록 구성함으로써, 사용자의 불편을 최소화할 수 있다.Disclosed are a simple user authentication device that supports safe storage of a private key and a method of operating the same. According to an embodiment of the present invention, an apparatus for simple user authentication and a method of operating the secure key of a private key according to the present invention generate a seed value for encryption of a private key and transmit the seed to the client terminal. When the authentication of the user is performed after encrypting and storing the private key with the encryption key generated based on the seed value, the user simple authentication apparatus sends the seed value back to the client terminal only when the user is verified. By allowing the client terminal to decrypt the private key based on the seed value, it supports the secure storage of the private key, and the user simply personal Use only by entering the identification number so that the authentication process can be processed. The inconvenience of sleeping can be minimized.

Description

개인키의 안전 보관을 지원하는 사용자 간편 인증 장치 및 그 동작 방법{USER AUTHENTICATION APPARATUS SUPPORTING SECURE STORAGE OF PRIVATE KEY AND OPERATING METHOD THEREOF}USER AUTHENTICATION APPARATUS SUPPORTING SECURE STORAGE OF PRIVATE KEY AND OPERATING METHOD THEREOF}

본 발명은 사용자 인증에 사용되는 개인키의 안전한 보관을 지원하기 위한 사용자 인증 기법에 대한 기술과 관련된다.The present invention relates to a technique for a user authentication scheme for supporting secure storage of a private key used for user authentication.

최근, 인터넷 등이 널리 보급됨에 따라, 전자 결제나 온라인 기반의 뱅킹 서비스 사용이 급증하고 있다.Recently, with the widespread use of the Internet, the use of electronic payments or online-based banking services is increasing rapidly.

보통, 전자 결제나 온라인 기반의 뱅킹 서비스는 사용자의 단말에 소정의 인증서를 발급한 후 사용자가 전자 결제나 온라인 기반의 뱅킹 서비스를 이용하고자 할 때, 전자 결제나 온라인 기반 뱅킹 서비스를 제공하는 콘텐츠 제공(Contents Provider) 서버가 상기 단말로부터 상기 단말에 설치되어 있는 인증서를 통한 전자서명 값을 수신하여 사용자 인증을 수행하는 방식으로 운영되고 있다.Usually, electronic payment or online banking service provides a content that provides electronic payment or online banking service when a user wants to use electronic payment or online banking service after issuing a predetermined certificate to the user's terminal. (Contents Provider) The server operates in a manner of receiving a digital signature value through a certificate installed in the terminal from the terminal to perform user authentication.

이러한 사용자 인증 방식은 PKI(Public Key Infrastructure) 기반의 암복호화 기술을 이용하는데, 좀 더 상세히 설명하면, 사용자가 자신의 클라이언트 단말을 통해 콘텐츠 제공 서버에 접속하여 전자 결제나 온라인 뱅킹 서비스를 이용하고자 하면, 콘텐츠 제공 서버는 클라이언트 단말에 대해 전자 서명 값의 전송을 요청한다.This user authentication method uses encryption / decryption technology based on PKI (Public Key Infrastructure). In more detail, when a user accesses a content providing server through his client terminal and uses electronic payment or online banking service, The content providing server requests the client terminal to transmit the electronic signature value.

이때, 클라이언트 단말은 해당 전자 서명 값의 전송 요청에 대응하여, 상기 콘텐츠 제공 서버로부터 전자 서명 대상 데이터를 수신하고, 메모리 상에 저장되어 있는 개인키로 상기 전자 서명 대상 데이터를 암호화를 해서 전자 서명 값을 생성한다.At this time, the client terminal receives the electronic signature subject data from the content providing server in response to a request for transmission of the corresponding electronic signature value, encrypts the electronic signature subject data with a private key stored in a memory, and then sets the electronic signature value. Create

이때, 전자 서명 대상 데이터는 전자 결제 정보나 계좌 정보 등과 같은 원문 데이터가 해시 함수에 입력으로 인가되어 생성된 해시 값이 주로 사용된다.In this case, as the electronic signature target data, a hash value generated by inputting original text data such as electronic payment information or account information into the hash function is mainly used.

그러고 나서, 상기 클라이언트 단말은 상기 전자 서명 대상 데이터와 상기 전자 서명 값을 상기 콘텐츠 제공 서버로 전송하고, 이때, 상기 콘텐츠 제공 서버는 상기 전자 서명 대상 데이터와 상기 전자 서명 값이 수신되면, 상기 개인키에 대응하는 공개키로 상기 전자 서명 값에 대한 복호화를 수행하고, 해당 복호화 결과 값과 상기 전자 서명 대상 데이터가 서로 일치하는 것으로 확인되면, 진정한 사용자에 의해 전자 서명이 수행되었음을 확인할 수 있다.Then, the client terminal transmits the electronic signature subject data and the electronic signature value to the content providing server, wherein the content providing server receives the electronic signature subject data and the electronic signature value, and receives the private key. When the digital signature value is decrypted with the public key corresponding to the data, and the corresponding decryption result value and the electronic signature target data are matched with each other, it can be confirmed that the electronic signature has been performed by the true user.

이러한 사용자 인증 방식은 보안을 강화할 수 있다는 점에서, 전자 결제 서비스나 온라인 뱅킹 서비스를 제공하는 업체에서 현재 널리 사용되고 있다.Such a user authentication method is widely used in a company that provides an electronic payment service or an online banking service because it can enhance security.

앞서 설명한 사용자 인증 방식은 개인키가 소정의 암호화키로 암호화되어 클라이언트 단말의 저장소 상에 저장되는 형태로 관리된다.The user authentication scheme described above is managed in a form in which the private key is encrypted with a predetermined encryption key and stored in the storage of the client terminal.

기존의 개인키 관리 방식은 사용자가 직접 개인키의 복호화를 위한 암호화키를 클라이언트 단말에 입력하는 형태로 유지되고 있다는 점에서, 개인키와 함께 암호화키가 노출되어 버리면, 보안상의 심각한 위험이 발생할 수 있다.The existing private key management method is maintained in the form of a user directly inputting an encryption key for decrypting the private key to the client terminal. If the encryption key is exposed together with the private key, serious security risks may occur. have.

이와 관련해서, 사용자 인증 시스템에서 개인키의 노출이 발생하는 것을 방지하기 위해서는 개인키에 대한 암호화키를 사용자가 직접 관리하는 것이 아니라, 별도의 서버를 통해서 해당 암호화키를 관리함으로써, 개인키 노출에 따른 보안상의 위험을 최소화할 수 있는 기법의 도입이 필요하다.In this regard, in order to prevent the exposure of the private key in the user authentication system, the user does not directly manage the encryption key for the private key, but rather manages the encryption key through a separate server. It is necessary to introduce a technique that can minimize security risks.

다만, 개인키에 대한 암호화키를 별도의 서버에서 관리하는 형태의 사용자 인증 시스템은 추가적인 사용자 인증 과정이 포함되어야 한다는 점에서 해당 인증 시스템을 사용하는 사용자가 추가 인증을 위해 비밀번호를 여러 번 입력해야 하는 등의 번거로운 절차를 수행해야 할 가능성도 배제할 수 없다.However, a user authentication system that manages an encryption key for a private key on a separate server has to include an additional user authentication process. Therefore, a user who uses the authentication system must enter a password several times for additional authentication. The possibility of carrying out such cumbersome procedures cannot be excluded.

따라서, 보안이 강화된 개인키의 관리가 가능하도록 함과 동시에 사용자가 취해야 하는 인증 절차를 최소화함으로써, 간편 인증 처리가 가능하도록 지원할 수 있는 사용자 인증 기법에 대한 연구가 필요하다.Therefore, there is a need for a research on a user authentication technique that can support a simple authentication process by minimizing an authentication procedure that a user must take while simultaneously managing a security-enhanced private key.

본 발명에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치 및 그 동작 방법은 사용자 간편 인증 장치가 개인키의 암호화를 위한 시드(seed) 값을 생성하여 클라이언트 단말에 전송하면, 상기 클라이언트 단말이 상기 시드 값을 기초로 생성된 암호화키로 상기 개인키를 암호화하여 저장해 둔 후 사용자에 대한 인증이 수행될 때, 검증된 사용자일 경우에만 상기 사용자 간편 인증 장치가 상기 시드 값을 상기 클라이언트 단말에 다시 전송해 주어 상기 클라이언트 단말이 상기 시드 값을 기초로 상기 개인키를 복호화할 수 있도록 함으로써, 개인키의 안전한 보관이 가능하도록 지원하고, 개인키의 복호화 과정에서 수행되는 사용자 인증과 관련해서 사용자가 단순히 개인 식별번호만 입력하면 인증 과정이 처리될 수 있도록 구성함으로써, 사용자의 불편을 최소화할 수 있도록 한다.According to an embodiment of the present invention, an apparatus for simple user authentication and a method of operating the secure key of a private key according to the present invention generate a seed value for encryption of a private key and transmit the seed to the client terminal. When the authentication of the user is performed after encrypting and storing the private key with the encryption key generated based on the seed value, the user simple authentication apparatus sends the seed value back to the client terminal only when the user is verified. By allowing the client terminal to decrypt the private key based on the seed value, it is possible to securely store the private key, and the user simply relate to the user authentication performed during the decryption of the private key. Use only by entering the identification number so that the authentication process can be processed. Minimize the inconvenience of the ruler.

본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치는 클라이언트 단말로부터 사용자 인증을 위한 사용자 등록 요청이 수신되면, 상기 클라이언트 단말에 대해 사용자 인증에 사용하기 위한 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 사용자 고유 값의 전송을 요청하는 정보 요청부, 상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값을 수신하는 사용자 고유 값 수신부, 상기 클라이언트 단말로부터 상기 사용자 고유 값이 수신되면, 랜덤 값을 생성하고, 상기 랜덤 값과 상기 사용자 고유 값을 선정된(predetermined) 제1 해시 함수에 입력으로 인가하여 제1 해시 값을 생성하는 해시 값 생성부, 암호화키를 생성하기 위한 시드(seed) 값을 생성하고, 데이터베이스 상에 상기 제1 해시 값과 함께 상기 제1 해시 값에 대응되도록 상기 랜덤 값 및 상기 시드 값을 저장하는 저장부 및 상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말로 전송하는 데이터 전송부를 포함하고, 상기 클라이언트 단말은 상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 선정된 제2 해시 함수에 입력으로 인가하여 제2 해시 값을 생성하고, 전자 서명에 사용하기 위한 개인키에 대해 상기 제2 해시 값으로 암호화를 수행한 후 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장한다.In the simple user authentication device supporting safe storage of a private key according to an embodiment of the present invention, when a user registration request for user authentication is received from a client terminal, the user's personal identification for use in user authentication for the client terminal An information requesting unit requesting transmission of a user unique value generated based on a number and a device unique number of the client terminal, the client terminal generated based on a personal identification number of the user and a device unique number of the client terminal A user unique value receiving unit for receiving a user unique value; when the user unique value is received from the client terminal, a random value is generated, and the random value and the user unique value are input to a predetermined first hash function. A hash value generator that generates a first hash value by applying A storage unit for generating a seed value for generating an encryption key and storing the random value and the seed value to correspond to the first hash value together with the first hash value in a database; And a data transmitter configured to transmit a hash value and the seed value to the client terminal, wherein the client terminal receives the personal identification number, the device unique number, and the seed value when the first hash value and the seed value are received. Generates a second hash value by applying it as an input to the selected second hash function, encrypts the second hash value with respect to the private key for use in the digital signature, and then encrypts the first hash value on the private key store. Along with the encrypted private key.

또한, 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법은 클라이언트 단말로부터 사용자 인증을 위한 사용자 등록 요청이 수신되면, 상기 클라이언트 단말에 대해 사용자 인증에 사용하기 위한 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 사용자 고유 값의 전송을 요청하는 단계, 상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값을 수신하는 단계, 상기 클라이언트 단말로부터 상기 사용자 고유 값이 수신되면, 랜덤 값을 생성하고, 상기 랜덤 값과 상기 사용자 고유 값을 선정된 제1 해시 함수에 입력으로 인가하여 제1 해시 값을 생성하는 단계, 암호화키를 생성하기 위한 시드 값을 생성하고, 데이터베이스 상에 상기 제1 해시 값과 함께 상기 제1 해시 값에 대응되도록 상기 랜덤 값 및 상기 시드 값을 저장하는 단계 및 상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말로 전송하는 단계를 포함하고, 상기 클라이언트 단말은 상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 선정된 제2 해시 함수에 입력으로 인가하여 제2 해시 값을 생성하고, 전자 서명에 사용하기 위한 개인키에 대해 상기 제2 해시 값으로 암호화를 수행한 후 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장한다.In addition, the operation method of the simple user authentication device supporting the safe storage of the private key according to an embodiment of the present invention, if a user registration request for user authentication is received from the client terminal, to use for user authentication for the client terminal Requesting transmission of a user unique value generated based on a user identification number of the user and a device identification number of the client terminal, based on the user identification number of the user and the device identification number of the client terminal from the client terminal; Receiving the generated user unique value; when the user unique value is received from the client terminal, a random value is generated, and the random value and the user unique value are input to the selected first hash function as input; 1 generating a hash value, for generating an encryption key Generating a seed value, storing the random value and the seed value to correspond to the first hash value together with the first hash value in a database; and transmitting the first hash value and the seed value to the client terminal. And transmitting, when the first hash value and the seed value are received, the client terminal applies the personal identification number, the device unique number, and the seed value as inputs to a selected second hash function. 2 generate a hash value, encrypt the private key for use in the digital signature with the second hash value, and store the encrypted private key together with the first hash value in a private key store;

본 발명에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치 및 그 동작 방법은 사용자 간편 인증 장치가 개인키의 암호화를 위한 시드(seed) 값을 생성하여 클라이언트 단말에 전송하면, 상기 클라이언트 단말이 상기 시드 값을 기초로 생성된 암호화키로 상기 개인키를 암호화하여 저장해 둔 후 사용자에 대한 인증이 수행될 때, 검증된 사용자일 경우에만 상기 사용자 간편 인증 장치가 상기 시드 값을 상기 클라이언트 단말에 다시 전송해 주어 상기 클라이언트 단말이 상기 시드 값을 기초로 상기 개인키를 복호화할 수 있도록 함으로써, 개인키의 안전한 보관이 가능하도록 지원하고, 개인키의 복호화 과정에서 수행되는 사용자 인증과 관련해서 사용자가 단순히 개인 식별번호만 입력하면 인증 과정이 처리될 수 있도록 구성함으로써, 사용자의 불편을 최소화할 수 있다.According to an embodiment of the present invention, an apparatus for simple user authentication and a method of operating the secure key of a private key according to the present invention generate a seed value for encryption of a private key and transmit the seed to the client terminal. When the authentication of the user is performed after encrypting and storing the private key with the encryption key generated based on the seed value, the user simple authentication apparatus sends the seed value back to the client terminal only when the user is verified. By allowing the client terminal to decrypt the private key based on the seed value, it is possible to securely store the private key, and the user simply relate to the user authentication performed during the decryption of the private key. Use only by entering the identification number so that the authentication process can be processed. The inconvenience of sleeping can be minimized.

도 1은 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 구조를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법을 도시한 순서도이다.1 is a view showing the structure of a simple user authentication device that supports the safe storage of the private key according to an embodiment of the present invention.
2 is a flowchart illustrating a method of operating a simple user authentication device that supports safe storage of a private key according to an embodiment of the present invention.

이하에서는 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설명하기로 한다. 이러한 설명은 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였으며, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 본 명세서 상에서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 사람에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. This description is not intended to limit the invention to the specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the invention. In describing the drawings, similar reference numerals are used for similar components, and unless otherwise defined, all terms used in the present specification, including technical or scientific terms, may be used in the art to which the present invention pertains. It has the same meaning as is commonly understood by someone who has it.

도 1은 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 구조를 도시한 도면이다.1 is a view showing the structure of a simple user authentication device that supports the safe storage of the private key according to an embodiment of the present invention.

도 1을 참조하면, 본 발명에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치(110)는 정보 요청부(111), 사용자 고유 값 수신부(112), 해시 값 생성부(113), 저장부(114) 및 데이터 전송부(115)를 포함한다.Referring to FIG. 1, the user simple authentication apparatus 110 supporting safe storage of a private key according to the present invention includes an information requesting unit 111, a user unique value receiving unit 112, a hash value generating unit 113, and storage. The unit 114 and the data transmission unit 115 is included.

정보 요청부(111)는 클라이언트 단말(120)로부터 사용자 인증을 위한 사용자 등록 요청이 수신되면, 클라이언트 단말(120)에 대해 사용자 인증에 사용하기 위한 사용자의 개인 식별번호와 클라이언트 단말(120)의 기기 고유번호에 기초하여 생성된 사용자 고유 값의 전송을 요청한다.When the information requesting unit 111 receives a user registration request for user authentication from the client terminal 120, the personal identification number of the user for use in user authentication with respect to the client terminal 120 and the device of the client terminal 120. Request transmission of a user unique value generated based on the unique number.

이때, 본 발명의 일실시예에 따르면, 클라이언트 단말(120)은 사용자 간편 인증 장치(110)로부터 사용자 등록을 위한 상기 사용자 고유 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 클라이언트 단말(120)의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유 번호를 선정된(predetermined) 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성하여 상기 사용자 고유 값을 사용자 간편 인증 장치(110)로 전송할 수 있다.In this case, according to an embodiment of the present invention, when the client terminal 120 receives a request for transmitting the user's unique value for user registration from the user simple authentication apparatus 110, the client terminal 120 receives the personal identification number of the user from the user. After receiving the input, and generates a device unique number of the client terminal 120, by applying the user identification number and the device unique number of the user as input to a hash function for generating a predetermined unique value, the user unique value The generated unique value may be transmitted to the user simple authentication apparatus 110.

이때, 클라이언트 단말(120)은 상기 기기 고유번호를 생성하기 위해, 클라이언트 단말(120)의 MAC(Media Access Control) 주소나 클라이언트 단말(120)에 설치되어 있는 운영체제의 시리얼키, 클라이언트 단말(120)에 설치되어 있는 웹 브라우저의 고유 식별 값 등의 고유 정보를 획득한 후 상기 고유 정보를 선정된 고유번호 생성 함수에 입력으로 인가함으로써, 상기 기기 고유번호를 생성할 수 있다.In this case, the client terminal 120 generates a device unique number, the MAC (Media Access Control) address of the client terminal 120 or the serial key of the operating system installed in the client terminal 120, the client terminal 120 The device unique number may be generated by acquiring unique information such as a unique identification value of a web browser installed in the apparatus and then applying the unique information as an input to a selected unique number generation function.

사용자 고유 값 수신부(112)는 클라이언트 단말(120)로부터 상기 사용자의 개인 식별번호와 클라이언트 단말(120)의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값이 전송되면, 상기 사용자 고유 값을 수신한다.The user unique value receiving unit 112 receives the user unique value when the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal 120 is transmitted from the client terminal 120. .

해시 값 생성부(113)는 클라이언트 단말(120)로부터 상기 사용자 고유 값이 수신되면, 랜덤 값을 생성하고, 상기 랜덤 값과 상기 사용자 고유 값을 선정된(predetermined) 제1 해시 함수에 입력으로 인가하여 제1 해시 값을 생성한다.When the user unique value is received from the client terminal 120, the hash value generator 113 generates a random value and applies the random value and the user unique value as input to a predetermined first hash function. To generate a first hash value.

그리고, 저장부(114)는 암호화키를 생성하기 위한 시드(seed) 값을 생성하고, 데이터베이스(미도시) 상에 상기 제1 해시 값과 함께 상기 제1 해시 값에 대응되도록 상기 랜덤 값 및 상기 시드 값을 저장한다.The storage unit 114 generates a seed value for generating an encryption key, and the random value and the second value correspond to the first hash value together with the first hash value on a database (not shown). Save the seed value.

그러고 나서, 데이터 전송부(115)는 상기 제1 해시 값과 상기 시드 값을 클라이언트 단말(120)로 전송한다.Thereafter, the data transmitter 115 transmits the first hash value and the seed value to the client terminal 120.

이때, 클라이언트 단말(120)은 사용자 간편 인증 장치(110)로부터 상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 선정된 제2 해시 함수에 입력으로 인가하여 제2 해시 값을 생성하고, 전자 서명에 사용하기 위한 개인키에 대해 상기 제2 해시 값으로 암호화를 수행한 후 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장함으로써, 사용자 인증 과정 수행을 위한 사용자 등록 과정을 마무리할 수 있다.In this case, when the first hash value and the seed value are received from the user authentication device 110, the client terminal 120 assigns the personal identification number, the device unique number, and the seed value to the selected second hash function. Generate a second hash value by applying as an input, encrypt the private key for use in the digital signature with the second hash value, and then encrypt the private key together with the first hash value on a private key store. By storing the, the user registration process for performing the user authentication process can be completed.

이때, 본 발명의 일실시예에 따르면, 데이터 전송부(115)는 클라이언트 단말(120)로 상기 제1 해시 값과 상기 시드 값을 전송할 때, 데이터의 노출을 방지하기 위해서, 상기 제1 해시 값과 상기 시드 값을 클라이언트 단말(120)과 미리 공유하고 있는 선정된 세션키로 암호화하여 클라이언트 단말(120)로 전송할 수 있다.At this time, according to an embodiment of the present invention, when the data transmitter 115 transmits the first hash value and the seed value to the client terminal 120, the first hash value in order to prevent exposure of data. And the seed value may be encrypted with a predetermined session key shared with the client terminal 120 in advance and transmitted to the client terminal 120.

관련해서, 클라이언트 단말(120)과 사용자 간편 인증 장치(110)는 미리 동일한 세션키를 생성하기 위한 세션키 생성 알고리즘을 공유하고 있어서, 상기 세션키 생성 알고리즘을 통해 클라이언트 단말(120)과 사용자 간편 인증 장치(110)가 서로 공유할 상기 세션키를 생성할 수 있다.In this regard, the client terminal 120 and the user simple authentication apparatus 110 share a session key generation algorithm for generating the same session key in advance, and thus, the user terminal 120 and the user simple authentication through the session key generation algorithm. The device 110 may generate the session key to share with each other.

이때, 클라이언트 단말(120)은 암호화된 상기 제1 해시 값과 상기 시드 값이 수신되면, 클라이언트 단말(120) 상에 존재하는 상기 세션키를 기초로 상기 제1 해시 값과 상기 시드 값에 대한 복호화를 수행한 후 상기 제2 해시 값을 생성하고, 상기 개인키를 상기 제2 해시 값으로 암호화한 후 상기 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장함으로써, 사용자 인증 과정 수행을 위한 사용자 등록 과정을 마무리할 수 있다.In this case, when the encrypted first hash value and the seed value are received, the client terminal 120 decrypts the first hash value and the seed value based on the session key existing on the client terminal 120. After generating the second hash value, encrypting the private key with the second hash value, and storing the encrypted private key together with the first hash value in the private key store, thereby authenticating the user. This completes the user registration process for performing the process.

이렇게, 클라이언트 단말(120)의 상기 개인키 저장소 상에 상기 개인키가 암호화되어 저장됨으로써, 사용자 등록 과정이 완료된 이후 사용자에 대한 실제 인증 과정을 처리하기 위해, 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치(110)는 인증 정보 요청부(116), 인증 정보 수신부(117), 인증 정보 추출부(118) 및 전자 서명 요청부(119)를 더 포함할 수 있다.As such, the private key is encrypted and stored on the private key storage of the client terminal 120 to process the actual authentication process for the user after the user registration process is completed, according to an embodiment of the present invention. The simple user authentication device 110 supporting the safe storage of the authentication information requesting unit 116, the authentication information receiving unit 117, the authentication information extracting unit 118 and the electronic signature requesting unit 119 may further include. .

인증 정보 요청부(116)는 클라이언트 단말(120)의 상기 개인키 저장소 상에 상기 개인키에 대한 암호화 저장이 완료된 이후, 클라이언트 단말(120)로부터 상기 사용자에 대한 사용자 인증 처리 요청이 수신되면, 클라이언트 단말(120)에 대해 상기 사용자 고유 값과 클라이언트 단말(120)의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값의 전송을 요청한다.When the authentication information request unit 116 receives the user authentication processing request for the user from the client terminal 120 after the encryption storage for the private key is completed on the private key storage of the client terminal 120, the client The terminal 120 requests transmission of the user unique value and the first hash value stored on the private key storage of the client terminal 120.

이때, 본 발명의 일실시예에 따르면, 클라이언트 단말(120)은 사용자 간편 인증 장치(110)로부터 사용자 인증 처리를 위한 상기 사용자 고유 값과 상기 제1 해시 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 클라이언트 단말(120)의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유번호를 선정된 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성할 수 있다.In this case, according to an embodiment of the present invention, when the client terminal 120 receives the request for transmitting the user unique value and the first hash value for the user authentication process from the user simple authentication apparatus 110, Receiving the user's personal identification number, generating a device unique number of the client terminal 120, and then applying the user's personal identification number and the device unique number as input to a hash function for generating a unique value, You can create your own values.

이때, 클라이언트 단말(120)는 상기 기기 고유번호를 생성하기 위해, 앞서 설명한 바와 같이, 클라이언트 단말(120)의 MAC 주소나 클라이언트 단말(120)에 설치되어 있는 운영체제의 시리얼키, 클라이언트 단말(120)에 설치되어 있는 웹 브라우저의 고유 식별 값 등의 고유 정보를 획득한 후 상기 고유 정보를 선정된 고유번호 생성 함수에 입력으로 인가함으로써, 상기 기기 고유번호를 생성할 수 있다.At this time, the client terminal 120 to generate the device unique number, as described above, the MAC address of the client terminal 120 or the serial key of the operating system installed in the client terminal 120, the client terminal 120 The device unique number may be generated by acquiring unique information such as a unique identification value of a web browser installed in the apparatus and then applying the unique information as an input to a selected unique number generation function.

또한, 본 발명의 일실시예에 따르면, 사용자에 대한 인증 과정이 수행될 때, 사용자가 등록된 클라이언트 단말(120)을 이용하는 경우에만 본 발명에 따른 사용자 인증 처리가 수행될 수 있도록 하기 위해서, 클라이언트 단말(120)은 앞서 사용자 등록 과정에서 상기 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장함과 동시에, 소정의 검증 데이터를 생성한 후 사용자 등록 과정에서 생성된 클라이언트 단말(120)의 기기 고유번호에 대한 해시 값을 생성하고, 상기 검증 데이터를 상기 해시 값으로 암호화를 수행한 후 암호화된 검증 데이터와 원본 검증 데이터를 상기 개인키 저장소 상에 추가로 저장해 둘 수 있다. 이때, 클라이언트 단말(120)은 추후 사용자 간편 인증 장치(110)로부터 사용자 인증 처리를 위한 상기 사용자 고유 값과 상기 제1 해시 값의 전송 요청이 수신되면, 상기 사용자 고유 값을 생성하기 전에 클라이언트 단말(120)의 기기 고유번호를 생성하고, 상기 기기 고유번호에 대한 해시 값을 생성한 후 상기 개인키 저장소 상에 암호화되어 저장되어 있는 검증 데이터를 상기 해시 값으로 복호화한 후 복호화된 검증 데이터가 상기 개인키 저장소 상에 저장되어 있는 원본 검증 데이터와 동일한지 확인하여 양 검증 데이터가 서로 동일한 것으로 확인되면, 클라이언트 단말(120)이 앞서 사용자 등록 과정에서 사용자 등록 과정을 처리하기 위해서 사용된 등록된 클라이언트 단말이 맞는 것으로 확인하여 상기 사용자 고유 값의 생성을 처리할 수 있다.In addition, according to an embodiment of the present invention, when the authentication process for the user is performed, in order to perform the user authentication process according to the present invention only when the user uses the registered client terminal 120, the client The terminal 120 stores the encrypted private key together with the first hash value on the private key store in the user registration process, generates predetermined verification data, and then generates a client terminal ( After generating a hash value for the device unique number of 120, encrypting the verification data with the hash value, the encrypted verification data and the original verification data may be further stored on the private key storage. At this time, if the client terminal 120 receives a request for transmission of the user unique value and the first hash value for the user authentication process later from the user simple authentication apparatus 110, the client terminal (120) before generating the user unique value ( Generate a device unique number (120), generate a hash value for the device unique number, decrypt the verification data encrypted and stored on the private key storage into the hash value, and then decrypt the verification data If the verification data is identical to the original verification data stored on the key store, and both verification data are confirmed to be the same, the registered client terminal used by the client terminal 120 to process the user registration process in the user registration process is It can be confirmed that it is correct to process the generation of the user unique value.

이렇게, 상기 사용자 고유 값의 생성이 완료되면, 클라이언트 단말(120)은 클라이언트 단말(120)의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값을 추출하여 상기 사용자 고유 값과 상기 제1 해시 값을 사용자 간편 인증 장치(110)로 전송할 수 있다.As such, when the generation of the user unique value is completed, the client terminal 120 extracts the first hash value stored on the private key storage of the client terminal 120 to generate the user unique value and the first hash. The value may be transmitted to the user simple authentication apparatus 110.

인증 정보 수신부(117)는 클라이언트 단말(120)로부터 상기 사용자의 개인 식별번호와 클라이언트 단말(120)의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값, 및 클라이언트 단말(120)의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값이 전송되면, 상기 사용자 고유 값과 상기 제1 해시 값을 수신한다.Authentication information receiving unit 117 is the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal 120 from the client terminal 120, and the private key storage of the client terminal 120 When the first hash value stored in the image is transmitted, the user unique value and the first hash value are received.

인증 정보 추출부(118)는 클라이언트 단말(120)로부터 상기 사용자 고유 값과 상기 제1 해시 값이 수신되면, 상기 데이터베이스로부터 상기 제1 해시 값에 대응되어 저장되어 있는 상기 랜덤 값과 상기 시드 값을 추출한다.The authentication information extractor 118 receives the random value and the seed value stored in correspondence with the first hash value from the database when the user unique value and the first hash value are received from the client terminal 120. Extract.

그리고, 전자 서명 요청부(119)는 상기 시드 값을 클라이언트 단말(120)로 전송하면서 클라이언트 단말(120)에 대해 사용자 인증을 위한 전자 서명 요청을 전송한다.The electronic signature requesting unit 119 transmits the electronic signature request for user authentication to the client terminal 120 while transmitting the seed value to the client terminal 120.

이때, 본 발명의 일실시예에 따르면, 전자 서명 요청부(119)는 상기 데이터베이스로부터 상기 랜덤 값과 상기 시드 값이 추출되면, 상기 데이터베이스에서 추출된 상기 랜덤 값과 클라이언트 단말(120)로부터 수신된 상기 사용자 고유 값을 상기 선정된 제1 해시 함수에 입력으로 인가하여 검증용 해시 값을 생성한 후 클라이언트 단말(120)로부터 수신된 상기 제1 해시 값이 상기 검증용 해시 값과 일치하는지 여부를 확인할 수 있다.In this case, according to an embodiment of the present invention, when the random value and the seed value are extracted from the database, the electronic signature request unit 119 receives the random value extracted from the database and received from the client terminal 120. Applying the user unique value as an input to the selected first hash function to generate a hash value for verification and then checking whether the first hash value received from the client terminal 120 matches the verification hash value. Can be.

만약, 클라이언트 단말(120)로부터 수신된 상기 제1 해시 값이 상기 검증용 해시 값과 일치하는 것으로 확인되는 경우, 이는 클라이언트 단말(120)로부터 수신된 사용자 고유 값이 앞서 사용자 등록 과정에서 사용된 사용자 고유 값과 동일하다는 의미이며, 결국, 상기 사용자에 의해서 클라이언트 단말(120)에 입력된 사용자의 개인 식별번호가 앞서 사용자 등록 과정에서 상기 사용자에 의해서 입력되었던 개인 식별번호와 동일한 번호를 의미한다는 점에서, 사용자 간편 인증 장치(110)는 클라이언트 단말(120)의 사용자가 진정한 사용자임을 인정하여 상기 데이터베이스로부터 추출된 상기 시드 값을 클라이언트 단말(120)로 전송하면서 클라이언트 단말(120)에 대해 사용자 인증을 위한 전자 서명 요청을 전송할 수 있다.If it is confirmed that the first hash value received from the client terminal 120 matches the verification hash value, this means that the user unique value received from the client terminal 120 is used in the user registration process. In other words, the personal identification number of the user inputted to the client terminal 120 by the user means the same number as the personal identification number previously inputted by the user in the user registration process. The user simple authentication apparatus 110 recognizes that the user of the client terminal 120 is a true user, and transmits the seed value extracted from the database to the client terminal 120, for user authentication with respect to the client terminal 120. An electronic signature request can be sent.

이때, 클라이언트 단말(120)은 사용자 간편 인증 장치(110)로부터 상기 전자 서명 요청과 함께 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 상기 선정된 제2 해시 함수에 입력으로 인가하여 상기 제2 해시 값을 생성하고, 상기 개인키 저장소 상에 암호화되어 저장되어 있는 상기 개인키를 상기 제2 해시 값으로 복호화한 후 복호화된 상기 개인키를 기초로 전자 서명 값을 생성하여 사용자 간편 인증 장치(110)로 전송할 수 있다.In this case, when the seed value is received from the user authentication device 110 together with the electronic signature request, the client terminal 120 selects the personal identification number, the device unique number, and the seed value from the selected second hash function. The second hash value is generated by applying to the input, and the electronic key is decrypted based on the decrypted private key after decrypting the private key encrypted and stored on the private key storage into the second hash value. It may be generated and transmitted to the user simple authentication apparatus 110.

이때, 본 발명의 일실시예에 따르면, 전자 서명 요청부(119)는 클라이언트 단말(120)로 상기 시드 값을 전송할 때, 데이터의 노출을 방지하기 위해서, 상기 시드 값을 클라이언트 단말(120)과 미리 공유하고 있는 상기 선정된 세션키로 암호화하여 클라이언트 단말(120)로 전송하면서 클라이언트 단말(120)에 대해 사용자 인증을 위한 전자 서명 요청을 전송할 수 있다.At this time, according to an embodiment of the present invention, when the electronic signature request unit 119 transmits the seed value to the client terminal 120, in order to prevent exposure of the data, the electronic signature request unit 119 and the client terminal 120 and the seed value; The electronic signature request for user authentication may be transmitted to the client terminal 120 while being encrypted with the selected session key shared in advance and transmitted to the client terminal 120.

이때, 클라이언트 단말(120)은 상기 전자 서명 요청과 함께 암호화된 상기 시드 값이 수신되면, 클라이언트 단말(120) 상에 존재하는 상기 선정된 세션키를 기초로 상기 시드 값에 대한 복호화를 수행한 후 복호화된 상기 시드 값을 기초로 상기 제2 해시 값을 생성하여 상기 개인키 저장소 상에 저장되어 있는 상기 개인키의 복호화를 수행할 수 있다.In this case, when the seed value encrypted with the electronic signature request is received, the client terminal 120 decrypts the seed value based on the selected session key existing on the client terminal 120. The second hash value may be generated based on the decrypted seed value to decrypt the private key stored on the private key storage.

이렇게, 클라이언트 단말(120)에서 상기 개인키가 복호화된 후 복호화된 상기 개인키를 기초로 전자 서명 값이 생성되어 사용자 간편 인증 장치(110)로 전송되면, 사용자 간편 인증 장치(110)는 상기 개인키에 대응하는 공개키로 상기 전자 서명 값에 대한 검증을 수행하고, 상기 전자 서명 값에 대한 검증이 성공인 것으로 확인되면, 클라이언트 단말(120)의 사용자가 진정한 사용자임을 인증하게 된다.In this way, when the electronic signature value is generated based on the decrypted private key in the client terminal 120 and then transmitted to the user simple authentication apparatus 110, the user simple authentication apparatus 110 is the personal When the verification of the digital signature value is performed with the public key corresponding to the key and the verification of the digital signature value is successful, the user of the client terminal 120 authenticates that the user is a true user.

결국, 본 발명에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치(110)는 사용자 간편 인증 장치(110)가 개인키의 암호화를 위한 시드 값을 생성하여 클라이언트 단말(120)에 전송하면, 클라이언트 단말(120)이 상기 시드 값을 기초로 생성된 암호화키로 상기 개인키를 암호화하여 저장해 둔 후 사용자에 대한 인증이 수행될 때, 검증된 사용자일 경우에만 사용자 간편 인증 장치(110)가 상기 시드 값을 클라이언트 단말(120)에 다시 전송해 주어 클라이언트 단말(120)이 상기 시드 값을 기초로 상기 개인키를 복호화할 수 있도록 함으로써, 개인키의 안전한 보관이 가능하도록 지원하고, 개인키의 복호화 과정에서 수행되는 사용자 인증과 관련해서 사용자가 단순히 개인 식별번호만 입력하면 인증 과정이 처리될 수 있도록 구성함으로써, 사용자의 불편을 최소화할 수 있다.As a result, when the user simple authentication device 110 supporting the safe storage of the private key according to the present invention generates a seed value for encryption of the private key and transmits the seed value to the client terminal 120, When the client terminal 120 encrypts and stores the private key with the encryption key generated based on the seed value, and then authenticates the user, the user simple authentication apparatus 110 performs the seed only when the user is a verified user. The value is transmitted back to the client terminal 120 so that the client terminal 120 can decrypt the private key based on the seed value, thereby enabling secure storage of the private key, and decrypting the private key. With regard to user authentication performed at, the user can simply enter a personal identification number so that the authentication process can be processed. Can be minimized.

도 2는 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법을 도시한 순서도이다.2 is a flowchart illustrating a method of operating a simple user authentication device that supports safe storage of a private key according to an embodiment of the present invention.

단계(S210)에서는 클라이언트 단말로부터 사용자 인증을 위한 사용자 등록 요청이 수신되면, 상기 클라이언트 단말에 대해 사용자 인증에 사용하기 위한 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 사용자 고유 값의 전송을 요청한다.In step S210, when a user registration request for user authentication is received from the client terminal, the user uniqueness generated based on the personal identification number of the user for use in user authentication for the client terminal and the device unique number of the client terminal Request the transfer of values.

이때, 본 발명의 일실시예에 따르면, 상기 클라이언트 단말은 상기 사용자 간편 인증 장치로부터 사용자 등록을 위한 상기 사용자 고유 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 상기 클라이언트 단말의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유번호를 선정된 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성하여 상기 사용자 고유 값을 상기 사용자 간편 인증 장치로 전송할 수 있다.In this case, according to an embodiment of the present invention, when the client terminal receives a request for transmitting the user's unique value for user registration from the simple user authentication apparatus, the client terminal receives the user's personal identification number from the user. After generating the device unique number of the client terminal and applying the user identification number and the device unique number of the user as an input to a hash function for generating a predetermined unique value, the user unique value is generated to generate the user unique value to the user Can be sent to a simple authentication device.

단계(S220)에서는 상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값을 수신한다.In step S220, the user terminal receives the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal from the client terminal.

단계(S230)에서는 상기 클라이언트 단말로부터 상기 사용자 고유 값이 수신되면, 랜덤 값을 생성하고, 상기 랜덤 값과 상기 사용자 고유 값을 선정된 제1 해시 함수에 입력으로 인가하여 제1 해시 값을 생성한다.In operation S230, when the user unique value is received from the client terminal, a random value is generated and the first hash value is generated by applying the random value and the user unique value as inputs to the selected first hash function. .

단계(S240)에서는 암호화키를 생성하기 위한 시드 값을 생성하고, 데이터베이스 상에 상기 제1 해시 값과 함께 상기 제1 해시 값에 대응되도록 상기 랜덤 값 및 상기 시드 값을 저장한다.In operation S240, a seed value for generating an encryption key is generated, and the random value and the seed value are stored in a database so as to correspond to the first hash value along with the first hash value.

단계(S250)에서는 상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말로 전송한다.In step S250, the first hash value and the seed value are transmitted to the client terminal.

이때, 상기 클라이언트 단말은 상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 선정된 제2 해시 함수에 입력으로 인가하여 제2 해시 값을 생성하고, 전자 서명에 사용하기 위한 개인키에 대해 상기 제2 해시 값으로 암호화를 수행한 후 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장할 수 있다.In this case, when the first hash value and the seed value are received, the client terminal generates the second hash value by applying the personal identification number, the device unique number, and the seed value as inputs to the selected second hash function. And encrypting the private key for use in the digital signature with the second hash value, and storing the encrypted private key together with the first hash value in a private key store.

이때, 본 발명의 일실시예에 따르면, 단계(S250)에서는 상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말과 미리 공유하고 있는 선정된 세션키로 암호화하여 상기 클라이언트 단말로 전송할 수 있고, 상기 클라이언트 단말은 암호화된 상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 클라이언트 단말 상에 존재하는 상기 선정된 세션키를 기초로 상기 제1 해시 값과 상기 시드 값에 대한 복호화를 수행할 수 있다.At this time, according to an embodiment of the present invention, in step S250, the first hash value and the seed value may be encrypted with a predetermined session key previously shared with the client terminal and transmitted to the client terminal. When the terminal receives the encrypted first hash value and the seed value, the terminal may decrypt the first hash value and the seed value based on the selected session key present on the client terminal.

또한, 본 발명의 일실시예에 따르면, 상기 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법은 상기 클라이언트 단말의 상기 개인키 저장소 상에 상기 개인키에 대한 암호화 저장이 완료된 이후, 상기 클라이언트 단말로부터 상기 사용자에 대한 사용자 인증 처리 요청이 수신되면, 상기 클라이언트 단말에 대해 상기 사용자 고유 값과 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값의 전송을 요청하는 단계, 상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값, 및 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값을 수신하는 단계, 상기 클라이언트 단말로부터 상기 사용자 고유 값과 상기 제1 해시 값이 수신되면, 상기 데이터베이스로부터 상기 제1 해시 값에 대응되어 저장되어 있는 상기 랜덤 값과 상기 시드 값을 추출하는 단계 및 상기 시드 값을 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송하는 단계를 더 포함할 수 있다.In addition, according to an embodiment of the present invention, the method for operating a simple user authentication device that supports the safe storage of the private key after the encrypted storage of the private key on the private key storage of the client terminal is completed, the When a user authentication processing request for the user is received from a client terminal, requesting the client terminal to transmit the user unique value and the first hash value stored on the private key storage of the client terminal; Receiving the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal, and the first hash value stored on the private key storage of the client terminal from the client terminal; Step, the user from the client terminal Receiving a value and the first hash value, extracting the random value and the seed value stored corresponding to the first hash value from the database, and transmitting the seed value to the client terminal The method may further include transmitting an electronic signature request for user authentication.

이때, 상기 클라이언트 단말은 상기 전자 서명 요청과 함께 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 상기 선정된 제2 해시 함수에 입력으로 인가하여 상기 제2 해시 값을 생성하고, 상기 개인키 저장소 상에 암호화되어 저장되어 있는 상기 개인키를 상기 제2 해시 값으로 복호화한 후 복호화된 상기 개인키를 기초로 전자 서명 값을 생성하여 상기 사용자 간편 인증 장치로 전송할 수 있다.In this case, when the seed value is received together with the digital signature request, the client terminal applies the personal identification number, the device unique number, and the seed value as inputs to the selected second hash function, thereby providing the second hash value. Generate a digital signature value based on the decrypted private key after decrypting the private key encrypted and stored on the private key storage into the second hash value, and transmitting the generated electronic signature value to the user simple authentication device. have.

이때, 본 발명의 일실시예에 따르면, 상기 클라이언트 단말은 상기 사용자 간편 인증 장치로부터 사용자 인증 처리를 위한 상기 사용자 고유 값과 상기 제1 해시 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 상기 클라이언트 단말의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유번호를 선정된 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성하며, 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값을 추출하여 상기 사용자 고유 값과 상기 제1 해시 값을 상기 사용자 간편 인증 장치로 전송할 수 있다.At this time, according to an embodiment of the present invention, when the client terminal receives a request for transmission of the user unique value and the first hash value for the user authentication process from the simple user authentication device, the user's personal Receiving the identification number, generating the device unique number of the client terminal, and then applying the user's personal identification number and the device unique number as inputs to the hash function for generating the selected unique value, thereby generating the user unique value. The first hash value stored in the private key storage of the client terminal may be extracted and the user unique value and the first hash value may be transmitted to the simple user authentication device.

또한, 본 발명의 일실시예에 따르면, 상기 전자 서명 요청을 전송하는 단계는 상기 데이터베이스로부터 상기 랜덤 값과 상기 시드 값이 추출되면, 상기 데이터베이스에서 추출된 상기 랜덤 값과 상기 클라이언트 단말로부터 수신된 상기 사용자 고유 값을 상기 선정된 제1 해시 함수에 입력으로 인가하여 검증용 해시 값을 생성한 후 상기 클라이언트 단말로부터 수신된 상기 제1 해시 값이 상기 검증용 해시 값과 일치하는 것으로 확인될 경우에 상기 시드 값을 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송할 수 있다.Further, according to one embodiment of the present invention, the step of transmitting the electronic signature request, when the random value and the seed value is extracted from the database, the random value extracted from the database and the received from the client terminal After generating a verification hash value by applying a user unique value as an input to the selected first hash function, when the first hash value received from the client terminal is confirmed to match the verification hash value, The digital signature request for user authentication may be transmitted to the client terminal while transmitting a seed value to the client terminal.

또한, 본 발명의 일실시예에 따르면, 상기 전자 서명 요청을 전송하는 단계는 상기 시드 값을 상기 클라이언트 단말과 미리 공유하고 있는 선정된 세션키로 암호화하여 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송할 수 있고, 상기 클라이언트 단말은 상기 전자 서명 요청과 함께 암호화된 상기 시드 값이 수신되면, 상기 클라이언트 단말 상에 존재하는 상기 선정된 세션키를 기초로 상기 시드 값에 대한 복호화를 수행할 수 있다.Further, according to an embodiment of the present invention, the step of transmitting the electronic signature request is a user for the client terminal while encrypting the seed value with a predetermined session key which is shared in advance with the client terminal and transmitting it to the client terminal. Send an electronic signature request for authentication, wherein the client terminal receives the encrypted seed value with the electronic signature request, based on the selected session key present on the client terminal. Decryption can be performed.

이상, 도 2를 참조하여 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법에 대해 설명하였다. 여기서, 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법은 도 1을 이용하여 설명한 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치(110)의 동작에 대한 구성과 대응될 수 있으므로, 이에 대한 보다 상세한 설명은 생략하기로 한다.The operation method of the simple user authentication device supporting the safe storage of the private key according to an embodiment of the present invention has been described above with reference to FIG. 2. Here, the operation method of the user simple authentication device for supporting the safe storage of the private key according to an embodiment of the present invention to the operation of the user simple authentication device 110 for supporting the safe storage of the private key described with reference to FIG. Since it may correspond to the configuration for a more detailed description thereof will be omitted.

본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법은 컴퓨터와의 결합을 통해 실행시키기 위한 저장매체에 저장된 컴퓨터 프로그램으로 구현될 수 있다.An operation method of a simple user authentication device supporting safe storage of a private key according to an embodiment of the present invention may be implemented as a computer program stored in a storage medium for execution by combining with a computer.

또한, 본 발명의 일실시예에 따른 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. In addition, the operation method of the simple user authentication device supporting the safe storage of the private key according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. . The computer readable medium may include program instructions, data files, data structures, and the like, alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. As described above, the present invention has been described by specific embodiments such as specific components and the like, but the embodiments and drawings are provided only to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the described embodiments, and all of the equivalents and equivalents of the claims, as well as the appended claims, will belong to the scope of the present invention. .

110: 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치
111: 정보 요청부 112: 사용자 고유 값 수신부
113: 해시 값 생성부 114: 저장부
115: 데이터 전송부 116: 인증 정보 요청부
117: 인증 정보 수신부 118: 인증 정보 추출부
119: 전자 서명 요청부
120: 클라이언트 단말110: user authentication device that supports the safe storage of private keys
111: information requesting unit 112: user unique value receiving unit
113: hash value generation unit 114: storage unit
115: data transmission unit 116: authentication information request unit
117: authentication information receiving unit 118: authentication information extraction unit
119: Electronic signature request unit
120: client terminal

Claims (16)

개인키의 안전 보관을 지원하는 사용자 간편 인증 장치에 있어서,
클라이언트 단말로부터 사용자 인증을 위한 사용자 등록 요청이 수신되면, 상기 클라이언트 단말에 대해 사용자 인증에 사용하기 위한 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 사용자 고유 값의 전송을 요청하는 정보 요청부;
상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값을 수신하는 사용자 고유 값 수신부;
상기 클라이언트 단말로부터 상기 사용자 고유 값이 수신되면, 랜덤 값을 생성하고, 상기 랜덤 값과 상기 사용자 고유 값을 선정된(predetermined) 제1 해시 함수에 입력으로 인가하여 제1 해시 값을 생성하는 해시 값 생성부;
암호화키를 생성하기 위한 시드(seed) 값을 생성하고, 데이터베이스 상에 상기 제1 해시 값과 함께 상기 제1 해시 값에 대응되도록 상기 랜덤 값 및 상기 시드 값을 저장하는 저장부; 및
상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말로 전송하는 데이터 전송부
를 포함하고,
상기 클라이언트 단말은
상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 선정된 제2 해시 함수에 입력으로 인가하여 제2 해시 값을 생성하고, 전자 서명에 사용하기 위한 개인키에 대해 상기 제2 해시 값으로 암호화를 수행한 후 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장하며,
상기 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치는
상기 클라이언트 단말의 상기 개인키 저장소 상에 상기 개인키에 대한 암호화 저장이 완료된 이후, 상기 클라이언트 단말로부터 상기 사용자에 대한 사용자 인증 처리 요청이 수신되면, 상기 클라이언트 단말에 대해 상기 사용자 고유 값과 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값의 전송을 요청하는 인증 정보 요청부;
상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값, 및 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값을 수신하는 인증 정보 수신부;
상기 클라이언트 단말로부터 상기 사용자 고유 값과 상기 제1 해시 값이 수신되면, 상기 데이터베이스로부터 상기 제1 해시 값에 대응되어 저장되어 있는 상기 랜덤 값과 상기 시드 값을 추출하는 인증 정보 추출부; 및
상기 시드 값을 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송하는 전자 서명 요청부
를 더 포함하고,
상기 클라이언트 단말은
상기 전자 서명 요청과 함께 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 상기 선정된 제2 해시 함수에 입력으로 인가하여 상기 제2 해시 값을 생성하고, 상기 개인키 저장소 상에 암호화되어 저장되어 있는 상기 개인키를 상기 제2 해시 값으로 복호화한 후 복호화된 상기 개인키를 기초로 전자 서명 값을 생성하여 상기 사용자 간편 인증 장치로 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치.In the user simple authentication device that supports the safe storage of the private key,
When a user registration request for user authentication is received from the client terminal, requesting the client terminal to transmit a user unique value generated based on a user's personal identification number for use in user authentication and a device unique number of the client terminal. An information request unit;
A user unique value receiving unit which receives the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal from the client terminal;
When the user unique value is received from the client terminal, a random value is generated and a hash value is generated by applying the random value and the user unique value as an input to a predetermined first hash function. Generation unit;
A storage unit generating a seed value for generating an encryption key and storing the random value and the seed value to correspond to the first hash value together with the first hash value in a database; And
Data transmission unit for transmitting the first hash value and the seed value to the client terminal
Including,
The client terminal
When the first hash value and the seed value are received, the personal identification number, the device unique number, and the seed value are input to the selected second hash function to generate a second hash value, and used for digital signature. Encrypting the second hash value with respect to the private key for storing the encrypted private key together with the first hash value in a private key storage;
Simple user authentication device that supports the safe storage of the private key
After the encryption storage for the private key is completed on the private key storage of the client terminal, when a user authentication processing request for the user is received from the client terminal, the user unique value and the client terminal for the client terminal. An authentication information requesting unit requesting transmission of the first hash value stored on the private key storage of the service provider;
Receiving the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal, and the first hash value stored on the private key storage of the client terminal from the client terminal; Authentication information receiving unit;
An authentication information extraction unit configured to extract the random value and the seed value stored corresponding to the first hash value from the database when the user unique value and the first hash value are received from the client terminal; And
An electronic signature request unit for transmitting an electronic signature request for user authentication to the client terminal while transmitting the seed value to the client terminal
More,
The client terminal
When the seed value is received together with the electronic signature request, the personal identification number, the device unique number, and the seed value are input to the selected second hash function to generate the second hash value, and the personal Decrypting the private key encrypted and stored on the key storage to the second hash value, and generates a digital signature value based on the decrypted private key to secure storage of the private key for transmission to the user simple authentication device Supports user simple authentication device. 제1항에 있어서,
상기 클라이언트 단말은
상기 사용자 간편 인증 장치로부터 사용자 등록을 위한 상기 사용자 고유 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 상기 클라이언트 단말의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유번호를 선정된 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성하여 상기 사용자 고유 값을 상기 사용자 간편 인증 장치로 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치.The method of claim 1,
The client terminal
When the request for transmission of the user's unique value for user registration is received from the simple user authentication device, the user's personal identification number is input from the user, the device identification number of the client terminal is generated, and then the user's personal identification. A user supporting secure storage of a private key for generating the user unique value and transmitting the user unique value to the user simple authentication device by applying a number and the device unique number as inputs to a predetermined unique value generation hash function. Easy Authentication Device. 제1항에 있어서,
상기 데이터 전송부는
상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말과 미리 공유하고 있는 선정된 세션키로 암호화하여 상기 클라이언트 단말로 전송하고,
상기 클라이언트 단말은
암호화된 상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 클라이언트 단말 상에 존재하는 상기 선정된 세션키를 기초로 상기 제1 해시 값과 상기 시드 값에 대한 복호화를 수행하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치.The method of claim 1,
The data transmission unit
Encrypting the first hash value and the seed value with a predetermined session key previously shared with the client terminal, and transmitting the encrypted data to the client terminal;
The client terminal
When the encrypted first hash value and the seed value are received, secure storage of a private key for decrypting the first hash value and the seed value based on the selected session key existing on the client terminal. Easy authentication device that supports the user. 삭제delete 제1항에 있어서,
상기 클라이언트 단말은
상기 사용자 간편 인증 장치로부터 사용자 인증 처리를 위한 상기 사용자 고유 값과 상기 제1 해시 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 상기 클라이언트 단말의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유번호를 선정된 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성하며, 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값을 추출하여 상기 사용자 고유 값과 상기 제1 해시 값을 상기 사용자 간편 인증 장치로 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치.The method of claim 1,
The client terminal
When the user simple authentication device receives a request for transmission of the user unique value and the first hash value for the user authentication process, the personal identification number of the user is input from the user and the device unique number of the client terminal is generated. The user's personal identification number and the device's unique number is then input to a hash function for generating a predetermined unique value, thereby generating the user's unique value and being stored on the private key store of the client terminal. A simple user authentication device that supports safe storage of a private key for extracting a first hash value and transmitting the user unique value and the first hash value to the user simple authentication device. 제1항에 있어서,
상기 전자 서명 요청부는
상기 데이터베이스로부터 상기 랜덤 값과 상기 시드 값이 추출되면, 상기 데이터베이스에서 추출된 상기 랜덤 값과 상기 클라이언트 단말로부터 수신된 상기 사용자 고유 값을 상기 선정된 제1 해시 함수에 입력으로 인가하여 검증용 해시 값을 생성한 후 상기 클라이언트 단말로부터 수신된 상기 제1 해시 값이 상기 검증용 해시 값과 일치하는 것으로 확인될 경우에 상기 시드 값을 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치. The method of claim 1,
The electronic signature request unit
When the random value and the seed value are extracted from the database, the random value extracted from the database and the user unique value received from the client terminal are applied as inputs to the selected first hash function to verify the hash value. After generating the first hash value received from the client terminal is confirmed to match the hash value for verification, the digital signature for user authentication for the client terminal while transmitting the seed value to the client terminal A simple user authentication device that supports secure storage of private keys that transmit requests. 제1항에 있어서,
상기 전자 서명 요청부는
상기 시드 값을 상기 클라이언트 단말과 미리 공유하고 있는 선정된 세션키로 암호화하여 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송하고,
상기 클라이언트 단말은
상기 전자 서명 요청과 함께 암호화된 상기 시드 값이 수신되면, 상기 클라이언트 단말 상에 존재하는 상기 선정된 세션키를 기초로 상기 시드 값에 대한 복호화를 수행하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치.The method of claim 1,
The electronic signature request unit
Transmitting an electronic signature request for user authentication to the client terminal while encrypting the seed value with a predetermined session key shared with the client terminal in advance and transmitting the encrypted seed key to the client terminal
The client terminal
When the encrypted seed value is received together with the digital signature request, the user simple authentication supports secure storage of a private key for decrypting the seed value based on the selected session key existing on the client terminal. Device. 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법에 있어서,
클라이언트 단말로부터 사용자 인증을 위한 사용자 등록 요청이 수신되면, 상기 클라이언트 단말에 대해 사용자 인증에 사용하기 위한 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 사용자 고유 값의 전송을 요청하는 단계;
상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값을 수신하는 단계;
상기 클라이언트 단말로부터 상기 사용자 고유 값이 수신되면, 랜덤 값을 생성하고, 상기 랜덤 값과 상기 사용자 고유 값을 선정된(predetermined) 제1 해시 함수에 입력으로 인가하여 제1 해시 값을 생성하는 단계;
암호화키를 생성하기 위한 시드(seed) 값을 생성하고, 데이터베이스 상에 상기 제1 해시 값과 함께 상기 제1 해시 값에 대응되도록 상기 랜덤 값 및 상기 시드 값을 저장하는 단계; 및
상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말로 전송하는 단계
를 포함하고,
상기 클라이언트 단말은
상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 선정된 제2 해시 함수에 입력으로 인가하여 제2 해시 값을 생성하고, 전자 서명에 사용하기 위한 개인키에 대해 상기 제2 해시 값으로 암호화를 수행한 후 개인키 저장소 상에 상기 제1 해시 값과 함께 상기 암호화된 개인키를 저장하며,
상기 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법은
상기 클라이언트 단말의 상기 개인키 저장소 상에 상기 개인키에 대한 암호화 저장이 완료된 이후, 상기 클라이언트 단말로부터 상기 사용자에 대한 사용자 인증 처리 요청이 수신되면, 상기 클라이언트 단말에 대해 상기 사용자 고유 값과 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값의 전송을 요청하는 단계;
상기 클라이언트 단말로부터 상기 사용자의 개인 식별번호와 상기 클라이언트 단말의 기기 고유번호에 기초하여 생성된 상기 사용자 고유 값, 및 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값을 수신하는 단계;
상기 클라이언트 단말로부터 상기 사용자 고유 값과 상기 제1 해시 값이 수신되면, 상기 데이터베이스로부터 상기 제1 해시 값에 대응되어 저장되어 있는 상기 랜덤 값과 상기 시드 값을 추출하는 단계; 및
상기 시드 값을 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송하는 단계
를 더 포함하고,
상기 클라이언트 단말은
상기 전자 서명 요청과 함께 상기 시드 값이 수신되면, 상기 개인 식별번호, 상기 기기 고유번호 및 상기 시드 값을 상기 선정된 제2 해시 함수에 입력으로 인가하여 상기 제2 해시 값을 생성하고, 상기 개인키 저장소 상에 암호화되어 저장되어 있는 상기 개인키를 상기 제2 해시 값으로 복호화한 후 복호화된 상기 개인키를 기초로 전자 서명 값을 생성하여 상기 사용자 간편 인증 장치로 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법.In the method of operation of a simple user authentication device that supports the safe storage of private keys,
When a user registration request for user authentication is received from the client terminal, requesting the client terminal to transmit a user unique value generated based on a user's personal identification number for use in user authentication and a device unique number of the client terminal. Making;
Receiving the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal from the client terminal;
Generating a random value when the user unique value is received from the client terminal, and generating a first hash value by applying the random value and the user unique value as an input to a predetermined first hash function;
Generating a seed value for generating an encryption key, and storing the random value and the seed value in a database to correspond to the first hash value along with the first hash value; And
Transmitting the first hash value and the seed value to the client terminal.
Including,
The client terminal
When the first hash value and the seed value are received, the personal identification number, the device unique number, and the seed value are input to the selected second hash function to generate a second hash value, and used for digital signature. Encrypting the second hash value with respect to the private key for storing the encrypted private key together with the first hash value in a private key storage;
An operation method of a simple user authentication device that supports safe storage of the private key
After the encryption storage for the private key is completed on the private key storage of the client terminal, when a user authentication processing request for the user is received from the client terminal, the user unique value and the client terminal for the client terminal. Requesting transmission of said first hash value stored on said private key store of;
Receiving the user unique value generated based on the personal identification number of the user and the device unique number of the client terminal, and the first hash value stored on the private key storage of the client terminal from the client terminal; step;
If the user unique value and the first hash value are received from the client terminal, extracting the random value and the seed value stored corresponding to the first hash value from the database; And
Transmitting an electronic signature request for user authentication to the client terminal while transmitting the seed value to the client terminal
More,
The client terminal
When the seed value is received together with the electronic signature request, the personal identification number, the device unique number, and the seed value are input to the selected second hash function to generate the second hash value, and the personal Decrypting the private key encrypted and stored on the key storage to the second hash value, and generates a digital signature value based on the decrypted private key to secure storage of the private key for transmission to the user simple authentication device How to operate a user simple authentication device. 제8항에 있어서,
상기 클라이언트 단말은
상기 사용자 간편 인증 장치로부터 사용자 등록을 위한 상기 사용자 고유 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 상기 클라이언트 단말의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유번호를 선정된 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성하여 상기 사용자 고유 값을 상기 사용자 간편 인증 장치로 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법.The method of claim 8,
The client terminal
When the request for transmission of the user's unique value for user registration is received from the simple user authentication device, the user's personal identification number is input from the user, the device identification number of the client terminal is generated, and then the user's personal identification. A user supporting secure storage of a private key for generating the user unique value and transmitting the user unique value to the user simple authentication device by applying a number and the device unique number as inputs to a predetermined unique value generation hash function. How simple authentication devices work. 제8항에 있어서,
상기 클라이언트 단말로 전송하는 단계는
상기 제1 해시 값과 상기 시드 값을 상기 클라이언트 단말과 미리 공유하고 있는 선정된 세션키로 암호화하여 상기 클라이언트 단말로 전송하고,
상기 클라이언트 단말은
암호화된 상기 제1 해시 값과 상기 시드 값이 수신되면, 상기 클라이언트 단말 상에 존재하는 상기 선정된 세션키를 기초로 상기 제1 해시 값과 상기 시드 값에 대한 복호화를 수행하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법.The method of claim 8,
The step of transmitting to the client terminal
Encrypting the first hash value and the seed value with a predetermined session key previously shared with the client terminal, and transmitting the encrypted data to the client terminal;
The client terminal
When the encrypted first hash value and the seed value are received, secure storage of a private key for decrypting the first hash value and the seed value based on the selected session key existing on the client terminal. Operating method of a user authentication device that supports the user. 삭제delete 제8항에 있어서,
상기 클라이언트 단말은
상기 사용자 간편 인증 장치로부터 사용자 인증 처리를 위한 상기 사용자 고유 값과 상기 제1 해시 값의 전송 요청이 수신되면, 상기 사용자로부터 상기 사용자의 개인 식별번호를 입력받고, 상기 클라이언트 단말의 기기 고유번호를 생성한 후 상기 사용자의 개인 식별번호와 상기 기기 고유번호를 선정된 고유 값 생성용 해시 함수에 입력으로 인가함으로써, 상기 사용자 고유 값을 생성하며, 상기 클라이언트 단말의 상기 개인키 저장소 상에 저장되어 있는 상기 제1 해시 값을 추출하여 상기 사용자 고유 값과 상기 제1 해시 값을 상기 사용자 간편 인증 장치로 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법.The method of claim 8,
The client terminal
When the user simple authentication device receives a request for transmission of the user unique value and the first hash value for the user authentication process, the personal identification number of the user is input from the user and the device unique number of the client terminal is generated. The user's personal identification number and the device's unique number is then input to a hash function for generating a predetermined unique value, thereby generating the user's unique value and being stored on the private key store of the client terminal. A method of operating a simple user authentication device which supports safe storage of a private key which extracts a first hash value and transmits the user unique value and the first hash value to the simple user authentication device. 제8항에 있어서,
상기 전자 서명 요청을 전송하는 단계는
상기 데이터베이스로부터 상기 랜덤 값과 상기 시드 값이 추출되면, 상기 데이터베이스에서 추출된 상기 랜덤 값과 상기 클라이언트 단말로부터 수신된 상기 사용자 고유 값을 상기 선정된 제1 해시 함수에 입력으로 인가하여 검증용 해시 값을 생성한 후 상기 클라이언트 단말로부터 수신된 상기 제1 해시 값이 상기 검증용 해시 값과 일치하는 것으로 확인될 경우에 상기 시드 값을 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법.The method of claim 8,
The step of transmitting the electronic signature request
When the random value and the seed value are extracted from the database, the random value extracted from the database and the user unique value received from the client terminal are applied as inputs to the selected first hash function to verify the hash value. After generating the first hash value received from the client terminal is confirmed to match the hash value for verification, the digital signature for user authentication for the client terminal while transmitting the seed value to the client terminal A method of operating a simple user authentication device that supports secure storage of a private key sending a request. 제8항에 있어서,
상기 전자 서명 요청을 전송하는 단계는
상기 시드 값을 상기 클라이언트 단말과 미리 공유하고 있는 선정된 세션키로 암호화하여 상기 클라이언트 단말로 전송하면서 상기 클라이언트 단말에 대해 사용자 인증을 위한 전자 서명 요청을 전송하고,
상기 클라이언트 단말은
상기 전자 서명 요청과 함께 암호화된 상기 시드 값이 수신되면, 상기 클라이언트 단말 상에 존재하는 상기 선정된 세션키를 기초로 상기 시드 값에 대한 복호화를 수행하는 개인키의 안전 보관을 지원하는 사용자 간편 인증 장치의 동작 방법.The method of claim 8,
The step of transmitting the electronic signature request
Transmitting an electronic signature request for user authentication to the client terminal while encrypting the seed value with a predetermined session key shared with the client terminal in advance and transmitting the encrypted seed key to the client terminal
The client terminal
When the encrypted seed value is received together with the digital signature request, the user simple authentication supports secure storage of a private key for decrypting the seed value based on the selected session key existing on the client terminal. How the device works. 제8항, 제9항, 제10항, 제12항, 제13항 또는 제14항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium having recorded thereon a program for performing the method of any one of claims 8, 9, 10, 12, 13, or 14. 제8항, 제9항, 제10항, 제12항, 제13항 또는 제14항 중 어느 한 항의 방법을 컴퓨터와의 결합을 통해 실행시키기 위한 저장매체에 저장된 컴퓨터 프로그램.A computer program stored in a storage medium for executing the method of any one of claims 8, 9, 10, 12, 13 or 14 in combination with a computer.
KR1020180028573A 2018-02-12 2018-03-12 User authentication apparatus supporting secure storage of private key and operating method thereof KR102070248B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20180016886 2018-02-12
KR1020180016886 2018-02-12

Publications (2)

Publication Number Publication Date
KR20190097998A KR20190097998A (en) 2019-08-21
KR102070248B1 true KR102070248B1 (en) 2020-01-28

Family

ID=67808199

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180028573A KR102070248B1 (en) 2018-02-12 2018-03-12 User authentication apparatus supporting secure storage of private key and operating method thereof

Country Status (1)

Country Link
KR (1) KR102070248B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102357698B1 (en) 2020-02-24 2022-02-14 황순영 Private key management method using partial hash value
CN114499888B (en) * 2022-02-17 2024-02-02 上海焜耀网络科技有限公司 Private key protection and analysis method and device for signature service

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101659847B1 (en) * 2015-07-14 2016-09-26 (주)케이스마텍 Method for two channel authentication using smart phone
KR101691412B1 (en) * 2015-08-31 2016-12-30 주식회사 다날 Phone number based 2channel user authentication assistive device and method

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101797571B1 (en) * 2014-09-29 2017-12-12 주식회사 한컴시큐어 Client terminal device for generating digital signature and digital signature generation method of the client terminal device, computer readable recording medium and computer program stored in the storage medium
KR101776635B1 (en) * 2016-01-21 2017-09-11 주식회사 한컴시큐어 Apparatus for performing on behalf an electronic signature for client terminal and operating method thereof
KR101863953B1 (en) * 2016-06-16 2018-06-29 주식회사 티모넷 System and method for providing electronic signature service

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101659847B1 (en) * 2015-07-14 2016-09-26 (주)케이스마텍 Method for two channel authentication using smart phone
KR101691412B1 (en) * 2015-08-31 2016-12-30 주식회사 다날 Phone number based 2channel user authentication assistive device and method

Also Published As

Publication number Publication date
KR20190097998A (en) 2019-08-21

Similar Documents

Publication Publication Date Title
JP7175269B2 (en) Internet-of-Things Device Record Verification Method and Apparatus, and ID Authentication Method and Apparatus
US20210367795A1 (en) Identity-Linked Authentication Through A User Certificate System
WO2017219860A1 (en) Offline payment method and device
US20190173873A1 (en) Identity verification document request handling utilizing a user certificate system and user identity document repository
CN106295393B (en) Electronic prescription operation method, device and system
JP4617763B2 (en) Device authentication system, device authentication server, terminal device, device authentication method, and device authentication program
US8332920B2 (en) Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels
US7409543B1 (en) Method and apparatus for using a third party authentication server
CN106487765B (en) Authorized access method and device using the same
JP2004304751A5 (en)
WO2018103166A1 (en) Method and device for downloading key of pos terminal
KR102137122B1 (en) Security check method, device, terminal and server
US20090199303A1 (en) Ce device management server, method of issuing drm key by using ce device management server, and computer readable recording medium
US11831752B2 (en) Initializing a data storage device with a manager device
KR102070248B1 (en) User authentication apparatus supporting secure storage of private key and operating method thereof
KR101388930B1 (en) Divided signature based user authentication apparatus and method
JP4998314B2 (en) Communication control method and communication control program
KR101388935B1 (en) Two channel based user authentication apparatus and method
KR102032210B1 (en) User authentication processing apparatus capable of simple authentication by inputting personal identification number and operating method thereof
WO2017202136A1 (en) One-time-password authentication method and device
KR102053993B1 (en) Method for Authenticating by using Certificate
KR101708880B1 (en) Integrated lon-in apparatus and integrated log-in method
JP2006129143A (en) Secret information transmission/reception system and method therefor, server apparatus and program, and key information storing apparatus
WO2017107642A1 (en) Text processing method, apparatus and system for secure input method
TWM552152U (en) Transaction authorization system and push server

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant