KR102086406B1 - User integrated authentication service system and method thereof - Google Patents

User integrated authentication service system and method thereof Download PDF

Info

Publication number
KR102086406B1
KR102086406B1 KR1020180089834A KR20180089834A KR102086406B1 KR 102086406 B1 KR102086406 B1 KR 102086406B1 KR 1020180089834 A KR1020180089834 A KR 1020180089834A KR 20180089834 A KR20180089834 A KR 20180089834A KR 102086406 B1 KR102086406 B1 KR 102086406B1
Authority
KR
South Korea
Prior art keywords
authentication
user
integrated
server
app
Prior art date
Application number
KR1020180089834A
Other languages
Korean (ko)
Other versions
KR20200014545A (en
Inventor
황재형
정순호
안준철
김성원
Original Assignee
(주)케이스마텍
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)케이스마텍 filed Critical (주)케이스마텍
Priority to KR1020180089834A priority Critical patent/KR102086406B1/en
Publication of KR20200014545A publication Critical patent/KR20200014545A/en
Application granted granted Critical
Publication of KR102086406B1 publication Critical patent/KR102086406B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Abstract

사용자 통합 인증 서비스 시스템 및 그 방법이 개시된다. 일 실시 예에 따른 통합 인증 서버는, 사용자 단말을 통해 접속한 사용자의 회원 등록 및 통합 인증 서비스 가입을 포함한 회원 관리를 수행하는 관리부와, 사용자의 통합 인증 서비스 가입 시 중계 서버를 통해 인증기관으로부터 사용자 본인을 최초 인증하는 제1 인증부와, 최초 인증 시 생성된 인증정보가 저장되는 저장부와, 사용자 단말과 사이트 서버 및 중계 서버와 통신하는 통신부와, 통신부를 통해 사이트 서버로부터 사용자 인증 요청을 수신하면 저장부에 저장된 인증정보를 이용하여 통합 인증 서비스에 가입한 사용자를 인증하는 제2 인증부를 포함한다.A user integrated authentication service system and method are disclosed. The integrated authentication server according to an embodiment includes a management unit that performs member management including member registration of a user accessed through a user terminal and subscription to the integrated authentication service, and a user from a certification authority through a relay server when a user joins the integrated authentication service. A first authentication unit that authenticates the user for the first time, a storage unit that stores authentication information generated during initial authentication, a communication unit that communicates with a user terminal, a site server, and a relay server, and receives a user authentication request from the site server through the communication unit When it includes a second authentication unit for authenticating a user subscribed to the integrated authentication service using the authentication information stored in the storage unit.

Figure R1020180089834
Figure R1020180089834

Description

사용자 통합 인증 서비스 시스템 및 그 방법 {User integrated authentication service system and method thereof}User integrated authentication service system and method thereof

본 발명은 보안 인증 기술에 관한 것이다.The present invention relates to a security authentication technology.

인터넷을 통한 쇼핑, 금융거래, 비밀정보의 액세스 등 보안이 필요한 서비스가 널리 사용되고 있어서, 웹 사이트에서의 보안이 매우 중요한 이슈가 되고 있다. 따라서, 이러한 사이트에 접속하는 사용자를 인증하기 위한 절차가 필수적으로 요구된다.Security services such as shopping through the Internet, financial transactions, and access to confidential information are widely used, and security on web sites has become a very important issue. Therefore, a procedure for authenticating a user accessing such a site is essential.

도 1은 일반적인 사용자 인증 서비스 개념을 설명하기 위한 도면이다.1 is a diagram illustrating a general user authentication service concept.

도 1을 참조하면, 사용자가 각 사이트 별로 사용자 인증 서비스를 위한 인증수단을 선택하게 되어 있다. 이 경우, 사이트는 사용자 선택에 따라 중계 사를 통해 인증기관으로부터 사용자 인증을 수행하게 된다. 인증기관으로는 이동통신사, 카드사, 한국인터넷 진흥원, ARS 제공업체 등이 있다.Referring to FIG. 1, a user selects an authentication means for a user authentication service for each site. In this case, the site performs user authentication from a certification authority through a relay company according to user selection. Certification agencies include mobile operators, card companies, Korea Internet & Security Agency, and ARS providers.

사이트는 사용자가 선택한 방식에 따라 사용자 인증 서비스에 대한 비용을 지불한다. 예를 들어, 사용자가 사이트 A에서 SMS 인증을 선택한 경우 사이트 A는 SMS 서비스를 제공한 이동통신사에 비용을 지불하며, 이동통신사는 지불받은 비용을 중계 서버 A에 분배한다. 따라서, 사용자 인증 시마다 비용이 발생하게 된다. 이때, 인증수단 별로 사용자 인증비용이 상이하며, 사용자 인증 서비스에 대해 지불한 비용이 중계 서버와 분배되어야 하므로 최종적으로 이중 지불이 된다. 또한, 사용자는 사용자 인증을 위해 매번 중계 서버를 거쳐 그와 연결된 인증기관을 통한 인증을 위해 인증수단을 선택해야 하고, 사용자 인증을 위해 많은 시간이 소요된다.The site pays for the user authentication service according to the way the user chooses. For example, if the user selects SMS authentication at site A, site A pays the mobile service provider that provided the SMS service, and the mobile service provider distributes the payment to relay server A. Therefore, a cost is incurred for each user authentication. At this time, the user authentication cost is different for each authentication means, and the cost paid for the user authentication service has to be distributed with the relay server, so that double payment is finally made. In addition, the user must select an authentication method for authentication through a certification authority connected to the user through the relay server every time for user authentication, and it takes a lot of time for user authentication.

대한민국공개특허공보 10-2013-0102899호 (2013년 9월23일)Republic of Korea Patent Publication No. 10-2013-0102899 (September 23, 2013)

일 실시 예에 따라, 사이트의 사용자 인증을 위한 이중 지불을 방지하고 사용자 인증을 위한 소요 시간을 줄여 편의성을 증대할 수 있는 사용자 통합 인증 서비스 시스템 및 그 방법을 제안한다.According to one embodiment, a user integrated authentication service system and a method for preventing double payment for user authentication of a site and reducing convenience time for user authentication to increase convenience are proposed.

일 실시 예에 따른 통합 인증 서버는, 사용자 단말을 통해 접속한 사용자의 회원 등록 및 통합 인증 서비스 가입을 포함한 회원 관리를 수행하는 관리부와, 사용자의 통합 인증 서비스 가입 시 중계 서버를 통해 인증기관으로부터 사용자 본인을 최초 인증하는 제1 인증부와, 최초 인증 시 생성된 인증정보가 저장되는 저장부와, 사용자 단말과 사이트 서버 및 중계 서버와 통신하는 통신부와, 통신부를 통해 사이트 서버로부터 사용자 인증 요청을 수신하면 저장부에 저장된 인증정보를 이용하여 통합 인증 서비스에 가입한 사용자를 인증하는 제2 인증부를 포함한다.The integrated authentication server according to an embodiment includes a management unit that performs member management including member registration of a user accessed through a user terminal and subscription to the integrated authentication service, and a user from a certification authority through a relay server when a user joins the integrated authentication service. A first authentication unit that authenticates the user for the first time, a storage unit that stores authentication information generated during initial authentication, a communication unit that communicates with a user terminal, a site server, and a relay server, and receives a user authentication request from the site server through the communication unit When it includes a second authentication unit for authenticating a user subscribed to the integrated authentication service using the authentication information stored in the storage unit.

제1 인증부는, 사용자의 통합 인증 서비스 가입 시, 통신부를 통해 중계 서버에 사용자 인증을 요청하여 중계 서버로부터 사용자 인증정보를 포함한 인증결과를 수신하고 수신된 사용자 인증결과를 저장부에 저장할 수 있다.When the user joins the integrated authentication service, the first authentication unit may request user authentication from the relay server through the communication unit, receive authentication results including user authentication information from the relay server, and store the received user authentication results in the storage unit.

제1 인증부는, 통신부를 통해 사용자 단말에 2차 인증을 위한 인증 앱 설치를 요청하여 설치된 인증 앱을 통해 2차 인증을 설정하고, 인증 앱의 2차 인증 설정 완료 시에 저장부에 저장된 인증정보를 인증 앱에 제공할 수 있다.The first authentication unit requests the user terminal to install an authentication app for secondary authentication through the communication unit, sets up secondary authentication through the installed authentication app, and stores authentication information when the secondary authentication of the authentication app is completed. Can be provided to the authentication app.

제1 인증부는, 인증 앱을 통한 2차 인증 설정 시에 인증정보 인증 유효기간을 사용자로부터 설정받을 수 있다.When the second authentication is set through the authentication app, the first authentication unit may receive an authentication information authentication validity period from a user.

제2 인증부는, 통신부를 통해 사이트 서버로부터 사용자 인증 요청을 수신하면 해당 사용자의 인증정보 인증 유효기간을 확인하여 만료 여부를 판단하는 판단부와, 인증 유효기간 내인 경우 중계 서버를 통해 사용자를 인증하는 절차를 생략하고, 통신부를 통해 인증 앱에 2차 인증을 요청하고 인증 앱으로부터 2차 인증결과를 수신하여 사용자 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에 전달하는 인증 처리부를 포함할 수 있다.The second authentication unit, upon receiving a user authentication request from the site server through the communication unit, determines a user's authentication information authentication expiration date to determine whether to expire, and if the authentication is within the validity period, authenticates the user through the relay server The procedure may be omitted, and an authentication processing unit that requests a second authentication to the authentication app through the communication unit and receives the second authentication result from the authentication app to finally determine whether the user is authenticated and delivers the final authentication result to the site server. .

인증 처리부는, 판단부의 인증 유효기간 만료 여부 판단에 따라 인증 유효기간이 만료된 경우 통신부를 통해 인증 앱에 인증정보 갱신요청을 전송하여 인증 앱을 통해 사용자 인증을 갱신하며 인증 앱으로부터 인증결과를 수신하여 사용자 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에 전달할 수 있다.The authentication processing unit transmits a request for renewing authentication information to the authentication app through the communication unit when the authentication validity period expires according to the determination whether the authentication validity period has expired, and renews the user authentication through the authentication app and receives the authentication result from the authentication app Therefore, it is possible to finally determine whether the user is authenticated and deliver the final authentication result to the site server.

관리부는, 인증정보의 인증 유효기간 만료 여부를 관리하되, 인증정보의 인증 유효기간 만료 시에 통신부를 통해 인증 앱에 인증정보 갱신을 요청하고 인증 앱으로부터 인증 갱신결과를 수신할 수 있다.The management unit manages whether the authentication validity period of the authentication information has expired, but upon the expiration of the authentication validity period of the authentication information, the authentication unit may request authentication information update through the communication unit and receive an authentication renewal result from the authentication app.

다른 실시 예에 따른 사용자 단말은, 통합 인증 서버가 제공하는 통합 인증 사이트에 접속하여 통합 인증 서비스에 가입 신청하는 서비스 가입부와, 통합 인증 서비스 가입 시 중계 서버의 요청에 따라 1차 인증을 수행하는 1차 인증부와, 통합 인증 서비스 가입 시에 통합 인증 서버의 요청에 따라 인증 앱을 통해 2차 인증을 설정하고 통합 인증 서비스 가입 이후에는 통합 인증 서버의 요청에 따라 2차 인증을 수행하며 사용자의 통합 인증 서비스 가입 시 통합 인증 서버로부터 수신된 인증정보를 검사하는 2차 인증부와, 사용자의 통합 인증 서비스 가입 시 통합 인증 서버로부터 수신된 인증정보와 2차 인증 설정 시 생성된 인증정보가 저장되는 메모리를 포함한다.The user terminal according to another embodiment accesses the integrated authentication site provided by the integrated authentication server and performs a primary authentication according to the request of the relay server when joining the integrated authentication service and the service subscription unit requesting to join the integrated authentication service. When signing up for the integrated authentication service, the primary authentication unit and the integrated authentication service set up secondary authentication through the authentication app, and after signing up for the integrated authentication service, perform secondary authentication at the request of the integrated authentication server, and When signing up for the integrated authentication service, the secondary authentication unit that checks the authentication information received from the integrated authentication server, and when the user joins the integrated authentication service, authentication information received from the integrated authentication server and the authentication information generated when setting up the secondary authentication are stored. Includes memory.

메모리는, 일반영역과 분리된 보안영역에 인증정보를 저장할 수 있다. 메모리는, 일반영역과 보안영역이 물리적으로 분리된 ARM 트러스트 존 기반의 하드웨어 보안환경을 지원하는 TEE(Trusted Execution Environment) 보안기술을 적용하거나, 일반영역의 중요 데이터 정보를 암호화 알고리즘을 통해 분산하고 난독화 함으로서 보안영역을 생성하는 WBC(White Box Cryptography) 보안기술을 적용하여 인증정보를 보안영역에 저장할 수 있다.The memory may store authentication information in a secure area separate from the general area. Memory uses TEE (Trusted Execution Environment) security technology that supports an ARM trust zone based hardware security environment where the general area and the security area are physically separated, or distributes important data information in the general area through an encryption algorithm and is obfuscated. By applying, WBC (White Box Cryptography) security technology that creates a security area can be applied to store authentication information in the security area.

다른 실시 예에 따른 통합 인증 서비스 가입 방법은, 통합 인증 서버가 사용자 단말을 통한 사용자 요청에 따라 사용자를 회원 등록하고 통합 인증 서비스에 가입 처리하는 단계와, 통합 인증 서비스 가입 시, 통합 인증 서버가 중계 서버에 사용자 인증을 요청하고 중계 서버로부터 인증정보를 포함한 인증결과를 전달받아 저장하는 단계와, 통합 인증 서버가 사용자 단말에 인증 앱 설치를 요청하는 단계와, 설치된 인증 앱이 2차 인증을 설정하는 단계와, 인증 앱의 2차 인증 설정이 완료되면 통합 인증 서버가 통합 인증 서비스 가입 시 저장된 인증정보를 인증 앱에 제공하는 단계와, 인증 앱이 인증정보를 저장하는 단계를 포함한다.According to another embodiment, the method for subscribing to the integrated authentication service, the step of registering the user as a member and processing the subscription to the integrated authentication service according to a user request through the user terminal, and when the integrated authentication service is subscribed, the integrated authentication server relays Requesting user authentication to the server and receiving and storing the authentication result including the authentication information from the relay server, step of requesting the integrated authentication server to install the authentication app on the user terminal, and the installed authentication app to establish secondary authentication When the second authentication setting of the authentication app is completed, the integrated authentication server provides authentication information stored when the integrated authentication service is subscribed to the authentication app, and the authentication app stores the authentication information.

2차 인증을 설정하는 단계에서, 인증 앱이 2차 인증 설정 시에 인증정보 인증 유효기간을 사용자로부터 설정받을 수 있다.In the step of setting the secondary authentication, the authentication app may receive the authentication information authentication validity period from the user when setting the secondary authentication.

통합 인증 서비스 가입 방법은, 통합 인증 서버가 사용자의 인증 앱 미설치시에는 미리 설정된 기간 이후 사용자가 중계 서버로부터 인증받은 인증정보를 삭제하는 단계를 더 포함할 수 있다.The integrated authentication service subscription method may further include the step of deleting the authentication information that the user has authenticated from the relay server after a preset period when the integrated authentication server does not install the user's authentication app.

다른 실시 예에 따른 통합 인증 방법은, 사용자가 사용자 인증이 필요한 사이트에 접속 시, 사용자가 사용자 인증수단으로 통합 인증 서버를 선택한 경우, 통합 인증 서버가 해당 사이트를 제공하는 사이트 서버로부터 사용자 인증을 요청받는 단계와, 통합 인증 서버가 저장된 인증정보로부터 사용자의 인증 유효기간을 확인하는 단계와, 인증 유효기간 내인 경우 중계 서버를 거쳐 사용자를 인증하는 절차를 생략하고, 통합 인증 서버가 인증 앱에 2차 인증을 요청하는 단계와, 인증 앱이 2차 인증을 수행하고 인증 앱에 저장된 사용자 인증정보를 검증하는 단계와, 인증 앱을 통한 2차 인증이 완료되면, 통합 인증 서버가 인증 앱으로부터 2차 인증결과를 수신하여 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에 전달하는 단계를 포함한다.According to the integrated authentication method according to another embodiment, when a user accesses a site requiring user authentication, when the user selects the integrated authentication server as the user authentication means, the integrated authentication server requests user authentication from the site server providing the corresponding site. The receiving step, the step of verifying the user's authentication validity period from the authentication information stored by the integrated authentication server, and omitting the procedure of authenticating the user through the relay server when within the authentication validity period, the integrated authentication server is secondary to the authentication app The step of requesting authentication, the step of the authentication app performing the second authentication and verifying the user authentication information stored in the authentication app, and when the second authentication through the authentication app is completed, the integrated authentication server performs the second authentication from the authentication app. And receiving the result, finally determining whether or not authentication is performed, and passing the final authentication result to the site server.

사용자 인증을 요청받는 단계는, 사용자가 사용자 단말을 통해 통합 인증 서버에 접속하면 통합 인증 서버가 통합 인증 서비스를 지원하는 사이트 리스트를 사용자 단말에 제공하여 사용자로부터 소정의 사이트를 선택받는 단계와, 통합 인증 서버가 선택된 사이트에 간접 연결하는 단계와, 연결된 사이트에 대한 사용자 인증이 필요할 때 사용자가 인증수단 선택에서 통합 인증 서버를 선택한 경우 통합 인증 서버가 사이트 서버로부터 사용자 인증을 요청받는 단계를 더 포함할 수 있다.In the step of receiving a user authentication, when the user accesses the integrated authentication server through the user terminal, the integrated authentication server provides a list of sites supporting the integrated authentication service to the user terminal and selects a predetermined site from the user, and integrates The authentication server may further include the step of indirectly connecting to the selected site, and when the user selects the integrated authentication server in the authentication method selection when user authentication for the connected site is required, the integrated authentication server is further requested to authenticate the user from the site server. You can.

다른 실시 예에 따른 통합 인증 방법은, 사용자가 사용자 인증이 필요한 사이트에 접속 시, 사용자가 사용자 인증수단으로 통합 인증 서버를 선택한 경우, 통합 인증 서버가 해당 사이트를 제공하는 사이트 서버로부터 사용자 인증을 요청받는 단계와, 통합 인증 서버가 저장된 인증정보로부터 사용자의 인증 유효기간을 확인하는 단계와, 인증 유효기간이 만료된 경우, 인증 앱에 인증정보 갱신을 요청하는 단계와, 인증 앱이 중계 서버를 통해 사용자 인증을 수행하면, 통합 인증 서버가 인증 앱으로부터 사용자 인증결과를 수신하는 단계와, 통합 인증 서버가 인증 앱으로부터 수신된 인증 내용을 분석하여 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에 전달하는 단계를 포함한다.According to the integrated authentication method according to another embodiment, when a user accesses a site requiring user authentication, when the user selects the integrated authentication server as the user authentication means, the integrated authentication server requests user authentication from the site server providing the corresponding site. The receiving step, the step of checking the user's authentication validity period from the stored authentication information by the integrated authentication server, and when the authentication validity period expires, requesting the authentication app to update the authentication information, and the authentication app through the relay server. When the user authentication is performed, the integrated authentication server receives the user authentication result from the authentication app, and the integrated authentication server analyzes the authentication content received from the authentication app to finally determine whether to authenticate and delivers the final authentication result to the site server It includes the steps.

일 실시 예에 따른 사용자 통합 인증 서비스 시스템 및 그 방법에 따르면 사용자가 인증기관을 통해 1회만 인증을 수행하고 나면 그 이후로는 통합 인증 사이트를 이용하여 사용자 인증이 가능하다. 이에 따라, 사용자 이용 시 인증이 필요한 사이트 입장에서는 인증수단에 지출하는 보안인증 비용을 절감할 수 있다. 즉, 기존에는 사이트가 매번 사용자를 인증하기 위해 중계 사와 인증기관에 이중으로 인증 비용을 지불해야 했으나, 일 실시 예에 따른 통합 인증 서비스에 의하면 최초 1회 때만 인증 비용이 발생하므로 인증 비용을 절감할 수 있다. 이때, 인증 비용은 통합 인증 사이트에서 대신 지불 해주거나 사용자의 통합 인증 서비스 가입비로 충당함으로써 사이트 입장에서는 인증 비용을 현저하게 절감할 수 있다.According to a user integrated authentication service system and method according to an embodiment, after a user performs authentication only once through a certification authority, user authentication is possible using an integrated authentication site thereafter. Accordingly, it is possible to reduce the security authentication cost that is spent on the authentication means from the viewpoint of a site that requires authentication when using a user. That is, in the past, the site had to pay a double authentication fee to a relay company and a certification authority to authenticate a user each time, but according to an integrated authentication service according to an embodiment, the authentication cost is generated only once for the first time, thereby reducing the authentication cost. You can. At this time, the authentication cost can be paid by the integrated authentication site instead or paid for by the user's integrated authentication service subscription, thereby significantly reducing the authentication cost from the site perspective.

사용자 입장에서는 1번 인증하고 나면, 매번 인증 때마다 각기 다른 인증기관(예를 들어, 이동통신사, 카드사, 한국인터넷진흥원, ARS 제공업체)을 일일이 선택하여 그에 맞는 사용자 인증을 할 필요가 없으므로 사용자 인증을 위한 시간이 감소하여 효율적이고 번거로움이 없어져 편의성이 증대된다.From the user's point of view, after authenticating once, user authentication is not required by selecting different authentication agencies (for example, mobile carriers, card companies, Korea Internet Security Agency, and ARS providers) for each authentication. The time for is reduced, which is efficient and hassle-free, increasing convenience.

도 1은 일반적인 사용자 인증 서비스 개념을 설명하기 위한 도면,
도 2는 본 발명의 일 실시 예에 따른 사용자 통합 인증 서비스의 개념을 설명하기 위한 도면,
도 3은 본 발명의 일 실시 예에 따른 사용자 통합 인증 서비스 시스템의 구성을 도시한 도면,
도 4는 본 발명의 일 실시 예에 따른 도 3의 통합 인증 서버의 세부 구성을 도시한 도면,
도 5는 본 발명의 일 실시 예에 따른 도 3의 사용자 단말의 세부 구성을 도시한 도면,
도 6은 본 발명의 제1 실시 예에 따라 TEE를 지원하며 일반영역과 보안영역으로 운영되는 사용자 단말을 사용할 경우에 인증정보가 저장되는 보안영역에 관한 구성을 설명하기 위한 도면,
도 7은 본 발명의 제2 실시 예에 따라 WBC를 지원하며 일반영역과 보안영역으로 운영되는 사용자 단말을 사용할 경우에 인증정보가 저장되는 보안영역에 관한 구성을 보여주는 도면,
도 8은 도 7에 도시된 구성을 개략적으로 설명하기 위한 도면,
도 9는 본 발명의 제1 실시 예 및 제2 실시 예에 따라 이 기종 사용자 단말기에 적용되는 보안기술을 비교설명하기 위한 도면,
도 10은 본 발명의 일 실시 예에 따른 통합 인증 서비스 가입 절차를 도시한 도면,
도 11은 본 발명의 일 실시 예에 따른 서비스 가입 이후 사용자 인증 절차를 도시한 도면,
도 12는 본 발명의 일 실시 예에 따른 사용자의 통합 인증 서비스 가입 프로세스를 도시한 도면,
도 13은 본 발명의 일 실시 예에 따른 통합 인증 서비스에 가입한 사용자가 사용자 인증이 필요한 사이트에 직접 접속 시에 사용자를 인증하는 방법을 도시한 도면,
도 14는 본 발명의 일 실시 예에 따른 통합 인증 서비스에 가입한 사용자가 사용자 인증이 필요한 사이트에 간접 접속 시에 사용자를 인증하는 방법을 도시한 도면,
도 15는 본 발명의 일 실시 예에 따른 인증정보의 인증 유효기간 만료 시 사용자 인증 프로세스를 도시한 도면,
도 16은 본 발명의 일 실시 예에 따른 사용자 인증 기간 만료 시 프로세스를 도시한 도면이다.1 is a diagram for explaining a general user authentication service concept,
2 is a view for explaining the concept of a user integrated authentication service according to an embodiment of the present invention;
3 is a view showing the configuration of a user integrated authentication service system according to an embodiment of the present invention;
4 is a diagram showing a detailed configuration of the integrated authentication server of FIG. 3 according to an embodiment of the present invention;
5 is a view showing a detailed configuration of the user terminal of FIG. 3 according to an embodiment of the present invention;
FIG. 6 is a view for explaining the configuration of a security area in which authentication information is stored when a user terminal operating as a general area and a security area is used in support of TEE according to the first embodiment of the present invention;
FIG. 7 is a view showing the configuration of a security area in which authentication information is stored when a user terminal operating in a general area and a security area is used in accordance with a second embodiment of the present invention.
8 is a view for schematically explaining the configuration shown in FIG. 7;
9 is a view for comparatively explaining the security technology applied to this type of user terminal according to the first and second embodiments of the present invention;
10 is a diagram illustrating an integrated authentication service subscription procedure according to an embodiment of the present invention;
11 is a diagram showing a user authentication procedure after a service subscription according to an embodiment of the present invention;
12 is a diagram illustrating a user's integrated authentication service subscription process according to an embodiment of the present invention;
13 is a diagram illustrating a method of authenticating a user when a user who subscribes to the integrated authentication service according to an embodiment of the present invention directly accesses a site requiring user authentication;
14 is a diagram illustrating a method of authenticating a user when an indirect access to a site requiring user authentication is performed by a user who subscribes to the integrated authentication service according to an embodiment of the present invention;
15 is a diagram illustrating a user authentication process when an authentication validity period of authentication information according to an embodiment of the present invention expires;
16 is a diagram illustrating a process when a user authentication period expires according to an embodiment of the present invention.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention, and methods for achieving them will be clarified with reference to embodiments described below in detail together with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but may be implemented in various different forms, and only the embodiments allow the disclosure of the present invention to be complete, and common knowledge in the technical field to which the present invention pertains. It is provided to fully inform the holder of the scope of the invention, and the invention is only defined by the scope of the claims. The same reference numerals refer to the same components throughout the specification.

본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이며, 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the description of the embodiments of the present invention, when it is determined that a detailed description of known functions or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted, and terms to be described later in the embodiments of the present invention These terms are defined in consideration of the functions of the user, and may vary depending on the user's or operator's intention or customs. Therefore, the definition should be made based on the contents throughout this specification.

첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.Combinations of each block in the accompanying block diagrams and steps of the flow charts may be performed by computer program instructions (execution engines), these computer program instructions being incorporated into a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment. Since it can be mounted, the instructions executed through a processor of a computer or other programmable data processing equipment create a means to perform the functions described in each block of the block diagram or in each step of the flowchart.

이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.These computer program instructions can also be stored in computer readable or computer readable memory that can be oriented to a computer or other programmable data processing equipment to implement functionality in a particular way, so that computer readable or computer readable memory The instructions stored in it are also possible to produce an article of manufacture containing instructions means for performing the functions described in each block of the block diagram or in each step of the flowchart.

그리고 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.And since computer program instructions may be mounted on a computer or other programmable data processing equipment, a series of operational steps are performed on the computer or other programmable data processing equipment to create a process that is executed by the computer to generate a computer or other programmable It is also possible for instructions to perform data processing equipment to provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.

또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.In addition, each block or each step can represent a module, segment, or portion of code that includes one or more executable instructions for executing specified logical functions, and in some alternative embodiments referred to in blocks or steps It should be noted that it is possible for functions to occur out of sequence. For example, two blocks or steps shown in succession may in fact be performed substantially simultaneously, and it is also possible that the blocks or steps are performed in the reverse order of the corresponding function as necessary.

이하, 첨부 도면을 참조하여 본 발명의 실시 예를 상세하게 설명한다. 그러나 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시 예에 한정되는 것은 아니다. 본 발명의 실시 예는 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공된다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the embodiments of the present invention exemplified below may be modified in various other forms, and the scope of the present invention is not limited to the embodiments described below. Embodiments of the present invention are provided to more fully describe the present invention to those of ordinary skill in the art.

도 2는 본 발명의 일 실시 예에 따른 사용자 통합 인증 서비스의 개념을 설명하기 위한 도면이다.2 is a view for explaining the concept of a user integrated authentication service according to an embodiment of the present invention.

도 2를 참조하면, 일 실시 예에 따른 사용자 통합 인증 서비스의 적용 주체는 사용자, 각종 사이트(사이트 A, 사이트 B, … , 사이트 Z), 통합 인증 사이트, 다수의 중계 사(중계 사 A, 중계 사 B, …) 및 인증기관(이동통신사, 카드사, 한국인터넷 진흥원, ARS 제공업체 등)으로 구성된다.Referring to FIG. 2, the subject of application of the integrated user authentication service according to an embodiment is a user, various sites (site A, site B,…, site Z), integrated authentication site, multiple relay companies (relay company A, relay Company B,…) and certification agencies (mobile operators, card companies, Korea Internet Security Agency, ARS providers, etc.).

일 실시 예에 따른 사용자 통합 인증 서비스를 이용하면 사용자 인증 서비스가 간편화되고, 사이트가 사용자 인증 시 중계 사와 인증기관에 이중 지불하는 문제를 해결할 수 있다. 예를 들어, 사용자는 사이트 별로 사용자 인증 서비스를 수행하기 이전에, 사용자 인증 사이트에 접속하여 가입 및 서비스 신청을 한다. 이때 최초 1회의 인증 방식을 수행하며, 이후부터는 통합 인증 서비스를 위해 사용자가 설정한 인증 유효기간 동안은 중계 사와 인증기관을 이용한 인증 절차 없이 통합 인증 사이트만 가지고도 사용자 인증을 수행할 수 있다. 필요 시 사용자는 인증 유효기간 내 간편 인증(PIN, 지문, 홍채 등)을 설정 및 수행 가능하다. 통합 인증 사이트는 인증기관과의 직접 계약 진행시 중계 사와 인증기관을 이용한 인증 절차가 생략되어 통합된 인증수단 제공이 가능하게 된다.Using the integrated user authentication service according to an embodiment, the user authentication service is simplified, and a problem in which the site double pays to a broker and a certification authority when authenticating a user can be solved. For example, before performing the user authentication service for each site, the user accesses the user authentication site and signs up for subscription and service. At this time, the first one authentication method is performed, and from then on, the user authentication can be performed only with the integrated authentication site without an authentication procedure using a relay company and a certification authority during the authentication validity period set by the user for the integrated authentication service. If necessary, the user can set and perform simple authentication (PIN, fingerprint, iris, etc.) within the validity period. In the case of an integrated authentication site, the authentication process using a broker and a certification authority is omitted when a direct contract with a certification authority is performed, so that an integrated authentication means can be provided.

전술한 특징에 의해 인증기관으로부터 1회만 인증을 수행하고 나면 그 이후유효기간에는 통합 인증 사이트를 이용하여 사용자 인증이 가능하다. 이에 따라, 사용자 이용 시 인증이 필요한 사이트 입장에서는 인증수단에 지출하는 보안인증 비용을 절감할 수 있다. 즉, 기존에는 사이트가 매번 사용자를 인증하기 위해 중계 사와 인증기관에 이중으로 인증 비용을 지불해야 했으나, 일 실시 예에 따른 통합 인증 서비스에 의하면 최초 1회 때만 인증 비용이 발생하므로 인증 비용을 절감할 수 있다. 이때, 인증 비용은 통합 인증 사이트에서 대신 지불 해주거나 사용자의 통합 인증 서비스 가입비로 충당함으로써 사이트 입장에서는 인증 비용을 현저하게 절감할 수 있다. 또한, 사용자 입장에서는 매번 인증 때마다 각기 다른 인증기관(예를 들어, 이동통신사, 카드사, 한국인터넷진흥원, ARS 제공업체)을 선택하여 그에 맞는 사용자 인증을 할 필요가 없으므로 사용자 인증을 위한 시간이 감소하여 효율적이고 번거로움이 없어져 편의성이 증대된다.Due to the above-mentioned characteristics, after performing authentication only once from the certification authority, user authentication is possible using an integrated authentication site in the effective period thereafter. Accordingly, it is possible to reduce the security authentication cost that is spent on the authentication means from the viewpoint of a site that requires authentication when using a user. That is, in the past, the site had to pay a double authentication fee to a relay company and a certification authority to authenticate a user each time, but according to an integrated authentication service according to an embodiment, the authentication cost is generated only once for the first time, thereby reducing the authentication cost. You can. At this time, the authentication cost can be paid by the integrated authentication site instead or paid for by the user's integrated authentication service subscription, thereby significantly reducing the authentication cost from the site perspective. In addition, since the user does not need to select different authentication agencies (for example, mobile carriers, card companies, Korea Internet Security Agency, and ARS providers) for each authentication, the time for user authentication is reduced. As it is efficient and hassle-free, convenience is increased.

도 3은 본 발명의 일 실시 예에 따른 사용자 통합 인증 서비스 시스템의 구성을 도시한 도면이다.3 is a view showing the configuration of a user integrated authentication service system according to an embodiment of the present invention.

도 3을 참조하면, 사용자 통합 인증 서비스 시스템(1)은 사용자 단말(10), 통합 인증 서버(20), 사이트 서버(30), 중계 서버(40), 인증 서버(50) 및 네트워크(60)를 포함한다. 사용자 단말(10), 통합 인증 서버(20), 사이트 서버(30), 중계 서버(40) 및 인증 서버(50)는 네트워크(60)를 통해 서로 연결 가능하다.Referring to FIG. 3, the user integrated authentication service system 1 includes a user terminal 10, an integrated authentication server 20, a site server 30, a relay server 40, an authentication server 50, and a network 60. It includes. The user terminal 10, the integrated authentication server 20, the site server 30, the relay server 40 and the authentication server 50 can be connected to each other through the network 60.

사이트 서버(30)는 사용자 인증이 필요한 웹 사이트를 사용자에 제공한다. 예를 들어, 사이트 서버(30)는 포털 서비스를 제공하는 포털 서버, 금융 웹 사이트를 제공하는 금융 서버 등이 될 수 있다. 금융 서버의 예로는 인터넷 뱅킹 서비스를 제공하는 은행 서버 등이 있다. 사용자는 사용자 단말(10)의 웹 브라우저를 이용하여 사이트 서버(30)에서 제공하는 웹 사이트를 이용할 때에 필요 시 사용자 본인을 인증하게 된다.The site server 30 provides a user with a website that requires user authentication. For example, the site server 30 may be a portal server that provides portal services, a financial server that provides financial websites, and the like. An example of a financial server is a bank server that provides Internet banking services. When the user uses the web site provided by the site server 30 using the web browser of the user terminal 10, the user is authenticated when necessary.

사용자 단말(10)은 사이트 서버(30)가 제공하는 웹 사이트를 이용하고 이용 시 사용자 인증을 하기 위해 사용자가 소지하는 전자장치이다. 예를 들어, 사용자 단말(10)은 PC, 스마트폰, 태블릿 PC 등이다. 특히, 사용자 단말(10)은 휴대 가능한 모바일 단말일 수 있는데, 이 경우, 사용자 단말(10)에 설치된 인증 앱(14)을 사용자 인증을 위해 사용할 수 있다. 사용자 단말(10)은 사이트 서버(30)가 제공하는 웹 사이트와 통합 인증 서버(20)가 제공하는 통합 인증 사이트에 접속하기 위해 웹 브라우저(12)를 지원한다. 그리고 사용자 인증을 위해 인증 앱(14)을 설치 및 실행하여 사용자 본인을 인증할 수 있다. 인증 앱(14)은 지문, 홍채, 안면 인식, PIN 번호 등을 이용하여 사용자를 간편 인증하기 위해 사용될 수 있다.The user terminal 10 is an electronic device possessed by a user in order to authenticate a user when using a website provided by the site server 30 and using the website. For example, the user terminal 10 is a PC, a smartphone, a tablet PC, and the like. In particular, the user terminal 10 may be a portable mobile terminal. In this case, the authentication app 14 installed in the user terminal 10 may be used for user authentication. The user terminal 10 supports the web browser 12 to access the website provided by the site server 30 and the integrated authentication site provided by the integrated authentication server 20. In addition, the user can be authenticated by installing and running the authentication app 14 for user authentication. The authentication app 14 may be used to easily authenticate a user using a fingerprint, iris, facial recognition, PIN number, or the like.

일 실시 예에 따른 사용자 단말(10)은 다수 개일 수 있다. 이 경우, 웹 브라우저(12)와 인증 앱(14)은 동일한 사용자 단말에 구비될 수 있고 서로 다른 사용자 단말에 구비될 수도 있다. 예를 들어, 사용자는 웹 브라우저(12)가 설치된 제1 사용자 단말을 이용하여 웹 사이트 또는 통합 인증 사이트에 접속하고, 필요 시 인증 앱(14)이 설치된 제2 사용자 단말을 이용하여 2차 인증을 수행할 수 있다. 제1 사용자 단말은 PC, 모바일 단말 등이 될 수 있고, 제2 사용자 단말은 모바일 단말이 될 수 있다.A plurality of user terminals 10 according to an embodiment may be provided. In this case, the web browser 12 and the authentication app 14 may be provided in the same user terminal or may be provided in different user terminals. For example, the user accesses the website or the integrated authentication site using the first user terminal on which the web browser 12 is installed, and, if necessary, performs secondary authentication using the second user terminal on which the authentication app 14 is installed. Can be done. The first user terminal may be a PC or a mobile terminal, and the second user terminal may be a mobile terminal.

일 실시 예에 따른 사용자 단말(10)은 일반 영역과 분리된 보안 영역에 인증정보가 저장된다. 보안 영역을 이용한 인증 정보 저장의 실시 예는 도 6 내지 도 9를 참조로 하여 상세히 후술한다.In the user terminal 10 according to an embodiment, authentication information is stored in a security area separate from the general area. An embodiment of storing authentication information using a secure area will be described later in detail with reference to FIGS. 6 to 9.

통합 인증 서버(20)는 사용자 인증을 위한 통합 인증 사이트를 사용자에게 제공하여 사용자 통합 인증을 지원한다. 통합 인증 서버(20)는 사용자 인증을 위해 사이트 서버(30)와 중계 서버(40)와 통신할 수 있다. 통합 인증 서버(20)의 세부 구성은 도 3을 참조로 하여 후술한다.The integrated authentication server 20 supports integrated user authentication by providing an integrated authentication site for user authentication to the user. The integrated authentication server 20 may communicate with the site server 30 and the relay server 40 for user authentication. The detailed configuration of the integrated authentication server 20 will be described later with reference to FIG. 3.

중계 서버(40)는 사용자의 최초 인증 시 인증 서버(50)를 통한 인증을 위해 사이트 서버(30)와 인증 서버(50)를 중계한다. 최초 1회 사용자 인증을 위해 통합 인증 서버(20)가 중계 서버(40)와 연결하여 사용자를 인증하고, 그 이후부터는 중계 서버(40)를 거치지 않고 통합 인증 서버(20)를 통해서 사용자 인증이 이루어진다.The relay server 40 relays the site server 30 and the authentication server 50 for authentication through the authentication server 50 when the user first authenticates. For the first time user authentication, the integrated authentication server 20 connects with the relay server 40 to authenticate the user, and thereafter, user authentication is performed through the integrated authentication server 20 without going through the relay server 40 .

도 4는 본 발명의 일 실시 예에 따른 도 3의 통합 인증 서버의 세부 구성을 도시한 도면이다.4 is a diagram showing a detailed configuration of the integrated authentication server of FIG. 3 according to an embodiment of the present invention.

도 3 및 도 4를 참조하면, 통합 인증 서버(20)는 입출력부(200), 통신부(210), 제어부(220) 및 저장부(230)를 포함한다.3 and 4, the integrated authentication server 20 includes an input / output unit 200, a communication unit 210, a control unit 220, and a storage unit 230.

입출력부(200)는 통합 인증 서버(20)의 관리자로부터 각종 명령을 입력받고, 제어부(220)를 통해 처리된 정보를 출력한다. 통신부(210)는 사용자 단말(10)과 사이트 서버(30) 및 중계 서버(40)와 통신한다. 저장부(230)에는 각종 정보가 저장되는데, 예를 들어, 사용자의 최초 인증 시 생성된 인증정보가 저장된다.The input / output unit 200 receives various commands from the administrator of the integrated authentication server 20 and outputs the processed information through the control unit 220. The communication unit 210 communicates with the user terminal 10, the site server 30, and the relay server 40. Various information is stored in the storage unit 230, for example, authentication information generated when the user first authenticates is stored.

제어부(220)는 통합 인증 서버(20)의 각 구성요소를 총괄 제어한다. 일 실시 예에 따른 제어부(220)는 관리부(222), 제1 인증부(224) 및 제2 인증부(226)를 포함한다.The control unit 220 collectively controls each component of the integrated authentication server 20. The control unit 220 according to an embodiment includes a management unit 222, a first authentication unit 224, and a second authentication unit 226.

관리부(222)는 사용자 단말(10)을 통해 접속한 사용자의 회원 등록 및 통합 인증 서비스 가입을 포함한 회원 관리를 수행한다. 일 실시 예에 따른 관리부(222)는 인증정보의 인증 유효기간 만료 여부를 관리한다. 이때, 인증정보의 인증 유효기간 만료 시에 통신부(210)를 통해 인증 앱(14)에 인증정보 갱신을 요청하고 인증 앱(14)으로부터 인증 갱신결과를 수신함에 따라 인증정보를 관리한다.The management unit 222 performs member management, including member registration of the user accessed through the user terminal 10 and subscription to the integrated authentication service. The management unit 222 according to an embodiment manages whether the authentication validity period of the authentication information has expired. At this time, when the authentication validity period of the authentication information expires, authentication information is requested from the authentication app 14 through the communication unit 210 and the authentication information is managed by receiving the authentication update result from the authentication app 14.

제1 인증부(224)는 사용자의 통합 인증 서비스 가입 시 중계 서버(40)를 통해 인증 서버(50)로부터 사용자 본인을 최초 인증한다. 제2 인증부(226)는 통신부(210)를 통해 사이트 서버(30)로부터 사용자 인증 요청을 수신하면 저장부(230)에 저장된 인증정보를 이용하여 통합 인증 서비스에 가입한 사용자를 인증한다.The first authentication unit 224 initially authenticates the user himself from the authentication server 50 through the relay server 40 when the user joins the integrated authentication service. When the second authentication unit 226 receives a user authentication request from the site server 30 through the communication unit 210, the second authentication unit 226 authenticates the user who subscribes to the integrated authentication service using the authentication information stored in the storage unit 230.

일 실시 예에 따른 제1 인증부(224)는 사용자의 통합 인증 서비스 가입 시, 통신부(210)를 통해 중계 서버(40)에 사용자 인증을 요청한다. 그리고 중계 서버(40)로부터 사용자 인증정보를 포함한 인증결과를 수신하며, 수신된 사용자 인증결과를 저장부(230)에 저장한다.The first authentication unit 224 according to an embodiment requests user authentication to the relay server 40 through the communication unit 210 when the user joins the integrated authentication service. Then, the authentication result including the user authentication information is received from the relay server 40 and the received user authentication result is stored in the storage unit 230.

일 실시 예에 따른 제1 인증부(224)는 통신부(210)를 통해 사용자 단말(10)에 2차 인증을 위한 인증 앱(14) 설치를 요청하여 인증 앱(14)을 통한 2차 인증 설정한다. 그리고 인증 앱(14)의 2차 인증 설정 완료 시에 저장부(230)에 저장된 인증정보를 인증 앱(14)에 제공한다. 전달된 인증정보는 인증 앱(14)에 저장된다. 제1 인증부(224)는 인증 앱(14)을 통한 2차 인증 설정 시에 인증정보 인증 유효기간을 사용자로부터 설정받을 수 있다.The first authentication unit 224 according to an embodiment requests the user terminal 10 to install an authentication app 14 for secondary authentication through the communication unit 210 to establish secondary authentication through the authentication app 14 do. Then, upon completion of the secondary authentication setting of the authentication app 14, authentication information stored in the storage 230 is provided to the authentication app 14. The transmitted authentication information is stored in the authentication app 14. The first authentication unit 224 may receive the authentication information authentication validity period from the user when setting the second authentication through the authentication app 14.

일 실시 예에 따른 제2 인증부(226)는 판단부(227)와 인증 처리부(228)를 포함한다. 판단부(227)는 통신부(210)를 통해 사이트 서버(30)로부터 사용자 인증 요청을 수신하면, 해당 사용자의 인증정보 인증 유효기간을 확인하여 만료 여부를 판단한다. 인증 처리부(228)는 인증 유효기간 내인 경우 중계 서버(40)를 통해 사용자를 인증하는 절차를 생략하고, 통신부(210)를 통해 인증 앱(14)에 2차 인증을 요청한다. 그리고 인증 앱(14)으로부터 2차 인증결과를 수신하여 사용자 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버(30)에 전달한다.The second authentication unit 226 according to an embodiment includes a determination unit 227 and an authentication processing unit 228. When the user authentication request is received from the site server 30 through the communication unit 210, the determination unit 227 determines whether the user has expired by checking the authentication information authentication validity period. The authentication processing unit 228 omits the procedure of authenticating the user through the relay server 40 when the authentication is within the validity period, and requests the second authentication to the authentication app 14 through the communication unit 210. Then, the second authentication result is received from the authentication app 14 to finally determine whether the user is authenticated, and the final authentication result is transmitted to the site server 30.

이에 비해, 판단부(227)의 인증 유효기간 만료 여부 판단에 따라 인증 유효기간이 만료된 경우, 인증 처리부(228)는 통신부(210)를 통해 인증 앱에 인증정보 갱신요청을 전송하여 인증 앱(14)을 통해 사용자 인증을 갱신한다. 그리고 인증 앱(14)으로부터 인증결과를 수신하여 사용자 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버(30)에 전달한다.On the other hand, if the authentication validity period has expired according to the determination whether the authentication validity period of the determination unit 227 has expired, the authentication processing unit 228 transmits an authentication information update request to the authentication app through the communication unit 210 to authenticate the authentication application ( 14) to renew the user authentication. Then, the authentication result is received from the authentication app 14 to determine whether the user is authenticated, and the final authentication result is transmitted to the site server 30.

도 5는 본 발명의 일 실시 예에 따른 도 3의 사용자 단말의 세부 구성을 도시한 도면이다.5 is a diagram illustrating a detailed configuration of the user terminal of FIG. 3 according to an embodiment of the present invention.

도 3 및 도 5를 참조하면, 사용자 단말(10)은 입력부(100), 출력부(110), 프로세서(120), 메모리(130) 및 단말 통신부(140)를 포함한다.3 and 5, the user terminal 10 includes an input unit 100, an output unit 110, a processor 120, a memory 130, and a terminal communication unit 140.

입력부(100)는 사용자로부터 각종 명령을 입력받고, 출력부(110)는 프로세서(120)에 의한 처리결과를 화면에 출력한다. 단말 통신부(140)는 네트워크를 통해 외부와 통신한다. 프로세서(120)는 각 구성요소를 제어하는데, 일 실시 예에 따른 프로세서(120)는 서비스 가입부(122), 1차 인증부(124) 및 2차 인증부(126)를 포함한다.The input unit 100 receives various commands from a user, and the output unit 110 outputs the processing result by the processor 120 to the screen. The terminal communication unit 140 communicates with the outside through a network. The processor 120 controls each component, and the processor 120 according to an embodiment includes a service subscription unit 122, a primary authentication unit 124, and a secondary authentication unit 126.

서비스 가입부(122)는 통합 인증 서버(20)가 제공하는 통합 인증 사이트에 접속하여 통합 인증 서비스에 가입 신청한다. 1차 인증부(124)는 통합 인증 서비스 가입 시 중계 서버(40)의 요청에 따라 1차 인증을 수행한다. 2차 인증부(126)는 통합 인증 서비스 가입 시에 통합 인증 서버(20)의 요청에 따라 인증 앱(14)을 통해 2차 인증을 설정한다. 통합 인증 서비스 가입 이후에는 통합 인증 서버(20)의 요청에 따라 2차 인증을 수행하며 사용자의 통합 인증 서비스 가입 시 통합 인증 서버(20)로부터 수신된 인증정보를 검사한다.The service subscription unit 122 connects to the integrated authentication site provided by the integrated authentication server 20 and applies for subscription to the integrated authentication service. The primary authentication unit 124 performs primary authentication at the request of the relay server 40 when joining the integrated authentication service. The secondary authentication unit 126 sets the secondary authentication through the authentication app 14 at the request of the integrated authentication server 20 when joining the integrated authentication service. After joining the integrated authentication service, secondary authentication is performed at the request of the integrated authentication server 20, and when the user joins the integrated authentication service, the authentication information received from the integrated authentication server 20 is checked.

메모리(130)에는 장치 동작을 위해 필요한 각종 정보가 저장된다. 예를 들어, 메모리(130)에는 사용자의 통합 인증 서비스 가입 시 통합 인증 서버(20)로부터 수신된 인증정보와 2차 인증 설정 시 생성된 인증정보가 저장된다. 이때, 메모리(130)는 일반영역과 분리된 보안영역에 인증정보를 저장할 수 있다.In the memory 130, various information necessary for device operation is stored. For example, the memory 130 stores authentication information received from the integrated authentication server 20 when a user subscribes to the integrated authentication service and authentication information generated when setting the secondary authentication. At this time, the memory 130 may store authentication information in a secure area separate from the general area.

일 실시 예에 따른 메모리(130)는 일반영역과 보안영역이 물리적으로 분리된 ARM 트러스트 존 기반의 하드웨어 보안환경을 지원하는 TEE(Trusted Execution Environment) 보안기술 및 일반영역의 중요 데이터 정보를 암호화 알고리즘을 통해 분산하고 난독화 함으로서 보안영역을 생성하는 WBC(White Box Cryptography) 보안기술 중 하나 이상의 보안기술이 적용하여 인증정보를 메모리(130)의 보안영역에 저장할 수 있다. 이하, 도 6 내지 도 9를 참조하여 TEE 기반의 사용자 단말과 WBC 기반의 사용자 단말에서 인증정보가 저장되는 보안영역에 관해 설명하기로 한다.Memory 130 according to an embodiment of the present invention is a TEE (Trusted Execution Environment) security technology that supports an ARM trust zone based hardware security environment in which the general area and the security area are physically separated, and an encryption algorithm for encrypting important data information in the general area. Through the distribution and obfuscation, one or more security technologies of the WBC (White Box Cryptography) security technology that creates a security area may be applied to store authentication information in the security area of the memory 130. Hereinafter, a security area in which authentication information is stored in a TEE-based user terminal and a WBC-based user terminal will be described with reference to FIGS. 6 to 9.

도 6은 본 발명의 제1 실시 예에 따라 TEE를 지원하며 일반영역과 보안영역으로 운영되는 사용자 단말을 사용할 경우에 인증정보가 저장되는 보안영역에 관한 구성을 설명하기 위한 도면이다.FIG. 6 is a view for explaining the configuration of a security area in which authentication information is stored when a user terminal operating in a general area and a security area is used in support of TEE according to the first embodiment of the present invention.

본 명세서의 제1 실시 예에 적용된 사용자 단말은, 하드웨어 보안환경을 제공하는 스마트폰, 태블릿 PC 등의 모바일 단말을 가리키는 것으로서, 안드로이드(구글의 스마트폰용 운영체제)를 지원하는 일반운영체제 및 일반운영체제와는 독립적으로 동작하는 보안운영체제가 메모리(130)에 탑재된다. 이하에서는 일반운영체제가 동작하는 영역을 일반영역(Normal World)(510)이라 하고, 보안운영체제가 동작하는 영역을 보안영역(Secure World)(520)이라고 한다.The user terminal applied to the first embodiment of the present specification refers to a mobile terminal such as a smartphone or tablet PC that provides a hardware security environment, and is different from a general operating system and a general operating system supporting Android (Google's operating system for smartphones). The security operating system that operates independently is mounted in the memory 130. Hereinafter, an area in which the general operating system operates is referred to as a normal world 510, and an area in which a secure operating system operates is referred to as a secure world 520.

인증(결제), 금융정보 관리, 개인정보 관리, 기기관리, 보안 서비스 등의 모바일 보안 강화 서비스를 제공하기 위하여 사용자 단말에 설치되는 애플리케이션을 보안 적용 애플리케이션(512)이라 하며, 본 발명의 실시 예에서는 인증 앱을 가리킨다.In order to provide a mobile security enhancement service such as authentication (payment), financial information management, personal information management, device management, and security service, an application installed in a user terminal is called a security application application 512, and in an embodiment of the present invention, Points to the authentication app.

이러한 보안 적용 애플리케이션(512)은 보안이 필요한 서비스를 제공할 때에는 TEE(Trusted Execution Environment) 에이전트(513)를 통하여 보안영역(520)에 위치하는 보안정보를 액세스하게 된다. TEE 에이전트(513)는 일반영역(510)에서 TEE(Trusted Execution Environment)와의 통신 및 보안 적용 애플리케이션(512)들 간의 게이트웨이 역할을 한다. TEE 에이전트(513)는 API(Application Programming Interface) 형태로 보안 적용 애플리케이션(512)에 탑재되거나 단독 애플리케이션의 형태로 백그라운드에서 동작할 수 있다.When the security application application 512 provides a service that requires security, the security information located in the security area 520 is accessed through the Trusted Execution Environment (TEE) agent 513. The TEE agent 513 serves as a gateway between communication and security application applications 512 with a Trusted Execution Environment (TEE) in the general area 510. The TEE agent 513 may be mounted in the security application application 512 in the form of an application programming interface (API) or operate in the background in the form of a single application.

TEE 에이전트(513)는 보안영역(520)에 있는 REE(Rich Execution Environment) 에이전트(523)와 통신한다. REE 에이전트(523)는 보안영역(520)에서 TEE 에이전트(513)와의 통신 및 보안 애플리케이션(Trusted Application)(522)(이하, TA라 함)과의 게이트웨이 역할을 한다. REE 에이전트(523)는 인증된 TEE 에이전트(513)의 접속만을 수용하며, 즉, TAM(Trusted Application Manager)으로 보안영역에 대한 접근권한을 제공하는 보안영역 관리 에이전트일 수 있다.The TEE agent 513 communicates with the Rich Execution Environment (REE) agent 523 in the secure area 520. The REE agent 523 serves as a gateway for communication with the TEE agent 513 in the secure area 520 and a trusted application 522 (hereinafter referred to as TA). The REE agent 523 accepts only the connection of the authenticated TEE agent 513, that is, it may be a secure area management agent that provides access to a secure area with a Trusted Application Manager (TAM).

TA(522)는 카메라, 마이크, 화면 터치, 지문스캐너 등의 I/O 장치를 통한 보안이 강화된 사용자 인터페이스 제공(보안강화 I/O TA), 암호화된 인증정보 값의 복호화(복호화 TA), 암호화된 인증정보의 DB(521) 저장, 인증정보와 OTP를 이용한 QR코드 생성 등 보안영역(520)에 저장되는 보안이 필요한 주요 데이터를 관리하고 제어하는 동작을 수행한다. TA(522)는 일반영역(510)에서 직접적으로 액세스할 수 없으며, 반드시 REE 에이전트(523)를 거쳐서만 액세스 가능하다.The TA 522 provides a user interface with enhanced security through an I / O device such as a camera, microphone, screen touch, fingerprint scanner (security enhanced I / O TA), decryption of encrypted authentication information values (decryption TA), It manages and controls the main data that needs to be stored in the security area 520, such as storing the encrypted authentication information DB 521 and generating QR codes using authentication information and OTP. The TA 522 is not directly accessible in the general area 510, but is only accessible through the REE agent 523.

또한, 사용자 개인정보, 인증정보의 복호화, OTP 및 QR 코드 생성, 인증정보 확인 등 TA(522)의 동작에 필요한 특징값, 공인인증서, 아이디 및 패스워드 등의 주요 개인정보도 보안영역(520)에 저장된다. 개인정보 DB(521)는 일반운영체제가 동작하는 일반영역과는 물리적으로 분리된 보안영역에 두도록 구성할 수 있다. 예를 들면 ARM 트러스트 존(Trust zone) 기반의 TEE가 사용될 수 있다.In addition, key personal information such as feature values, public certificates, IDs and passwords required for the operation of the TA 522, such as decryption of user personal information, authentication information, generation of OTP and QR codes, and verification of authentication information, are also provided to the security area 520. Is saved. The personal information DB 521 may be configured to be placed in a security area physically separated from the general area where the general operating system operates. For example, an ARM trust zone based TEE can be used.

도 7은 본 발명의 제2 실시 예에 따라 WBC를 지원하며 일반영역과 보안영역으로 운영되는 사용자 단말을 사용할 경우에 인증정보가 저장되는 보안영역에 관한 구성을 보여주는 도면이고, 도 8은 도 7에 도시된 구성을 개략적으로 설명하기 위한 도면이다.FIG. 7 is a diagram showing the configuration of a security area in which authentication information is stored when a user terminal operating in a general area and a security area is used in accordance with a second embodiment of the present invention. It is a diagram for schematically explaining the configuration shown in.

제2 실시 예에 적용된 사용자 단말은, 소프트웨어 보안환경을 제공하는 스마트폰, 태블릿 PC 등의 모바일 단말을 가리키는 것으로서, 앞서 하드웨어 보안환경을 지원하는 안드로이드(구글의 스마트폰용 운영체제)와 iOS(애플사의 아이폰용 운영체제)에 모두 적용될 수 있다.The user terminal applied to the second embodiment refers to a mobile terminal such as a smartphone or tablet PC that provides a software security environment, and supports Android (Google's smartphone operating system) and iOS (Apple's iPhone) that support the hardware security environment. Operating system).

도 7에 도시된 바와 같이, 제2 실시 예에 따르면, 안드로이드 및 IOS와 같은 일반운영체제 내에 인증(결제), 금융정보 관리, 개인정보 관리, 기기관리, 보안 서비스 등의 모바일 보안 강화 서비스를 제공하기 위하여 설치되는 애플리케이션을 보안 적용 애플리케이션(512)이라 하며, 본 발명의 실시 예에서는 인증 앱을 가리킨다.As shown in FIG. 7, according to the second embodiment, providing a mobile security enhancement service such as authentication (payment), financial information management, personal information management, device management, security service, etc. in a general operating system such as Android and IOS The application installed in order is referred to as a security application 512, and in the embodiment of the present invention refers to an authentication app.

즉, 제2 실시 예에서는, 일반영역의 중요 데이터 정보를 암호화 알고리즘을 통해 분산하고 난독화 함으로서 보안영역(520)을 생성하는 WBC(White Box Cryptography) 보안기술을 사용하고 있으며, 보안 적용 애플리케이션 내에 중요 데이터가 난독화 되는 것을 가리킬 수 있다.That is, in the second embodiment, WBC (White Box Cryptography) security technology is used to generate the security area 520 by dispersing and obfuscating important data information in the general area through an encryption algorithm, and is important in security application. It can indicate that the data is obfuscated.

예를 들어, 보안 적용 애플리케이션(512) 내부에 보안영역(520)을 생성하여 인증정보와 같은 중요 데이터를 보안영역(520)에 포함시키기 위하여 내부에서 특정 알고리즘 등을 사용하여 분산함으로써 외부 공격으로부터 인증정보와 같은 중요 데이터를 빼내지 못하도록 하는 기술이다. 이때, 보안영역(520)은 인증정보, 중요데이터, 중요모듈을 포함한 주요 정보가 난독화 형태로 암호화하여 보안 적용 애플리케이션(512)에 저장됨으로써 형성될 수 있다.For example, by generating a security area 520 inside the security application application 512 to distribute important data such as authentication information into the security area 520, authentication is performed from an external attack by using a specific algorithm or the like to be distributed therein. It is a technology that prevents the extraction of important data such as information. At this time, the security area 520 may be formed by encrypting key information including authentication information, important data, and important modules in an obfuscated form and stored in the security application 512.

일 실시 예에 따르면, 보안영역(520)에 인증정보를 암호화하여 저장하기 위해 인증정보를 난독화하여 암호화하는 에이전트(523)를 추가로 구비할 수 있다. WBC를 지원하는 단말기에서는 API 형태로 형성되며, 결과적으로 제1 실시 예에서 보안영역에 대한 접근권한을 제공하는 보안영역 관리 에이전트(523) 역할에 대응될 수 있다.According to an embodiment of the present disclosure, an agent 523 for obfuscating and encrypting the authentication information may be further provided to encrypt and store the authentication information in the secure area 520. In the terminal supporting WBC, it is formed in the form of an API, and as a result, in the first embodiment, it can correspond to the role of the security area management agent 523 that provides access to the security area.

도 9는 본 발명의 제1 실시 예 및 제2 실시 예에 따라 이 기종 사용자 단말기에 적용되는 보안기술을 비교설명하기 위한 도면이다.9 is a view for comparatively explaining the security technology applied to this type of user terminal according to the first and second embodiments of the present invention.

도 9에 도시된 바와 같이, 안드로이드 운영체제의 단말기의 경우에는 제1 실시 예에 따른 하드웨어 보안환경의 TEE 보안기술과 제2 실시 예에 따른 소프트웨어 보안환경을 지원하는 WBC 보안기술을 모두 적용할 수 있다. 또한, IOS 운영체제의 단말기 경우에는 제2 실시 예에 따른 소프트웨어 보안환경을 지원하는 WBC 보안기술을 적용할 수 있다. 따라서, 앞서 상술한 바와 같이, 본 발명에 따른 통합 인증 시스템은 이기종의 단말기에 모두 보안기술 구현이 가능하여 하드웨어 기반의 TEE 보안기술과 소프트웨어 기반의 WBC 보안기술을 포함하는 하이브리드 보안환경 기반의 보안 서비스를 제공할 수 있다.As shown in FIG. 9, in the case of the terminal of the Android operating system, both the TEE security technology of the hardware security environment according to the first embodiment and the WBC security technology supporting the software security environment according to the second embodiment may be applied. . In addition, in the case of a terminal of the IOS operating system, WBC security technology supporting a software security environment according to the second embodiment may be applied. Therefore, as described above, the integrated authentication system according to the present invention is capable of implementing security technologies on heterogeneous terminals, thereby providing a hybrid security environment-based security service including hardware-based TEE security technology and software-based WBC security technology. Can provide.

도 10은 본 발명의 일 실시 예에 따른 통합 인증 서비스 가입 절차를 도시한 도면이다.10 is a diagram illustrating an integrated authentication service subscription procedure according to an embodiment of the present invention.

도 10을 참조하면, 사용자는 사용자 단말(10)을 통해 통합 인증 서버(20)에 회원 가입하고 서비스를 신청한다(①). 통합 인증 서버(20)는 사용자의 서비스 가입 시 중계 서버(40)를 이용하여 사용자에 대한 1차 인증을 수행한다. 예를 들어, 중계 서버(40)에 사용자 인증을 요청(②)하고 중계 서버(40)로부터 사용자 인증결과를 수신한다(③). 서비스 가입 후, 통합 인증 서버(20)는 추가적으로 사용자 단말(10)에 인증 앱(14)의 설치를 요청하고, 사용자가 사용자 단말(10)에 설치된 인증 앱(14)을 통해 사용자에 대한 2차 인증을 수행하여 회원 및 서비스 가입을 완료한다(④).Referring to FIG. 10, the user joins the integrated authentication server 20 through the user terminal 10 and applies for service (①). The integrated authentication server 20 performs primary authentication for the user using the relay server 40 when the user subscribes to the service. For example, the relay server 40 requests user authentication (②) and receives the user authentication result from the relay server 40 (③). After signing up for the service, the integrated authentication server 20 additionally requests installation of the authentication app 14 to the user terminal 10, and the user secondary to the user through the authentication app 14 installed in the user terminal 10 Complete the membership and service subscription by performing authentication (④).

도 11은 본 발명의 일 실시 예에 따른 서비스 가입 이후 사용자 인증 절차를 도시한 도면이다.11 is a diagram illustrating a user authentication procedure after a service subscription according to an embodiment of the present invention.

도 11을 참조하면, 사용자는 사용자 단말(10)을 통해 사이트 서버(30)가 제공하는 사이트에 접속하고 서비스 이용 중에 사용자 인증을 시도하고 사용자 통합 인증 서비스를 선택한다(①). 사이트 서버(30)는 통합 인증 서버(20)에 사용자 인증을 요청(②)하고, 통합 인증 서버(20)는 사용자 단말(10)에 설치된 인증 앱(14)에 2차 인증을 요청한다(③). 인증 앱(14)은 2차 인증을 수행(④)하고, 2차 인증결과를 통합 인증 서버(20)에 전달한다(⑤).Referring to FIG. 11, a user accesses a site provided by the site server 30 through the user terminal 10, attempts user authentication while using the service, and selects a user integrated authentication service (①). The site server 30 requests user authentication from the integrated authentication server 20 (②), and the integrated authentication server 20 requests secondary authentication to the authentication app 14 installed in the user terminal 10 (③) ). The authentication app 14 performs secondary authentication (④) and transmits the secondary authentication result to the integrated authentication server 20 (⑤).

도 12는 본 발명의 일 실시 예에 따른 사용자의 통합 인증 서비스 가입 프로세스를 도시한 도면이다.12 is a diagram illustrating a user's integrated authentication service subscription process according to an embodiment of the present invention.

도 12를 참조하면, 사용자는 사용자 단말(10)을 통해 통합 인증 서버(20)가 제공하는 통합 인증 사이트에 접속하여 회원 가입하고 통합 인증 서비스 가입을 요청한다(1200). 이때, 사용자 단말(10)은 PC, 모바일 단말 등이 될 수 있고, 사용자 단말(10)의 웹 브라우저를 통해 통합 인증 서버(20)에 접속할 수 있다.Referring to FIG. 12, the user accesses the integrated authentication site provided by the integrated authentication server 20 through the user terminal 10 to join a member and requests to join the integrated authentication service (1200). At this time, the user terminal 10 may be a PC, a mobile terminal, or the like, and may access the integrated authentication server 20 through a web browser of the user terminal 10.

통합 인증 서비스 가입(1200) 시, 통합 인증 서버(20)는 중계 서버(40)에 사용자에 대한 사용자 인증을 요청한다(1202). 그러면, 중계 서버(40)는 사용자 단말(10)에 사용자 인증을 요청(1204)하고, 사용자가 사용자 단말(10)을 통해 사용자 인증을 수행(1206)하면, 통합 인증 서버(20)는 중계 서버(40)로부터 사용자 인증정보를 포함한 인증결과를 전달받는다(1208). 이때, 사용자 인증방법으로는 SMS, iPIN, 카드, 공인인증서 등을 이용할 수 있다. 중계 서버(40)를 통한 사용자 인증 요청은 최초 서비스 가입 시 1번만 이루어진다.When signing up for the integrated authentication service 1200, the integrated authentication server 20 requests the user authentication for the user from the relay server 40 (1202). Then, the relay server 40 requests user authentication from the user terminal 10 (1204), and when the user performs user authentication through the user terminal 10 (1206), the integrated authentication server 20 is the relay server From 40, an authentication result including user authentication information is received (1208). At this time, as a user authentication method, an SMS, iPIN, card, or public certificate can be used. The user authentication request through the relay server 40 is made only once when the first service is subscribed.

통합 인증 서버(20)는 사용자 인증결과를 저장한다(1210). 이때, 소정의 기간, 예를 들어 30일간 사용자 인증결과를 저장한다. 이때, 소정 기간은 사용자가 직접 설정할 수 있다. 또한, 미리 설정된 기간 내에서 사용자가 기간을 설정할 수 있도록 할 수도 있다.The integrated authentication server 20 stores the user authentication result (1210). At this time, the user authentication result is stored for a predetermined period, for example, 30 days. At this time, the predetermined period can be set by the user. Also, it is possible to allow the user to set a period within a preset period.

추가로 통합 인증 서버(20)는 사용자의 인증 앱(14)을 통해 2차 인증을 수행할 수 있다. 2차 인증은 간편 인증일 수 있다. 인증 앱(14)은 사용자 단말 중 하나인 모바일 단말에 설치된 앱을 의미한다. 우선, 통합 인증 서버(20)는 사용자 단말(10)에 인증 앱(14)이 설치되었는지 확인하고 미설치 시에 설치를 요청한다(1212). 그러면, 사용자는 사용자 단말(10)에 인증 앱(14)을 설치하고 설치된 인증 앱(14)을 통해 통합 인증 서버(20)에 로그인하여, 2차 인증을 설정한다(1214). 2차 인증 설정 예로는, 홍채, 지문, 안면인식 등을 통한 인증이 있다. 2차 인증 설정 시에, 사용자 인증을 유지할 수 있는 기간, 즉 인증 유효기간을 사용자가 설정할 수 있다. 인증 유효기간의 예로는 30일, 60일, 90일 등이 될 수 있다.Additionally, the integrated authentication server 20 may perform secondary authentication through the user's authentication app 14. Secondary authentication may be simple authentication. The authentication app 14 means an app installed in a mobile terminal, which is one of the user terminals. First, the integrated authentication server 20 checks whether the authentication app 14 is installed in the user terminal 10 and requests installation when it is not installed (1212). Then, the user installs the authentication app 14 on the user terminal 10 and logs in to the integrated authentication server 20 through the installed authentication app 14 to set secondary authentication (1214). Examples of secondary authentication settings include iris, fingerprint, and facial recognition. When setting the secondary authentication, the user can set a period during which user authentication can be maintained, that is, an authentication validity period. Examples of the validity period of authentication may be 30 days, 60 days, 90 days, and the like.

2차 인증이 설정되면, 인증 앱(14)은 2차 인증 설정 완료 메시지를 통합 인증 서버(20)에 전송한다(1216). 2차 인증 설정 완료를 확인한 통합 인증 서버(20)는 사용자의 통합 인증 서비스 가입 시 저장된 인증정보를 인증 앱(14)에 전달(1218)하고, 인증 앱(14)은 전달받은 인증정보를 저장한다(1220). 이때, 인증 앱(14)은 일반영역과 분리된 보안영역에 인증정보를 저장할 수 있다. 보안영역은 스마트폰의 TEE 또는 WBC가 될 수 있다. 사용자가 인증 앱(14)을 미설치시에는 미리 설정된 기간, 예를 들어 3일 이후 사용자가 중계 서버로부터 인증받은 인증정보를 삭제할 수 있다. 이어서, 인증 앱(14)은 회원 등록 및 서비스 가입 완료 메시지를 통합 인증 서버(20)에 전송(1222)하고, 통합 인증 서버(20)는 이를 사용자 단말(10)에 전달한다(1224).When the secondary authentication is set, the authentication app 14 transmits a secondary authentication setting completion message to the integrated authentication server 20 (1216). The integrated authentication server 20 that confirms the completion of the secondary authentication setting passes 1218 stored authentication information to the authentication app 14 when the user joins the integrated authentication service, and the authentication app 14 stores the received authentication information. (1220). At this time, the authentication app 14 may store authentication information in a secure area separate from the general area. The security area may be TEE or WBC of the smartphone. When the user does not install the authentication app 14, the user may delete the authentication information authenticated by the relay server after a preset period, for example, 3 days. Subsequently, the authentication app 14 transmits the member registration and service subscription completion message to the integrated authentication server 20 (1222), and the integrated authentication server 20 delivers it to the user terminal 10 (1224).

도 13은 본 발명의 일 실시 예에 따른 통합 인증 서비스에 가입한 사용자가 사용자 인증이 필요한 사이트에 직접 접속 시에 사용자를 인증하는 방법을 도시한 도면이다.13 is a diagram illustrating a method of authenticating a user when a user who subscribes to the integrated authentication service according to an embodiment of the present invention directly accesses a site requiring user authentication.

보다 세부적으로, 도 13은 사용자가 사이트 서버(30)가 제공하는 사이트에 직접 접속하고, 사이트에서 통합 인증 서비스에 가입한 사용자에 대한 인증이 필요할 때 인증수단 선택에서 통합 인증 서버(20)를 선택했을 경우의 사용자 인증 프로세스를 도시한 도면이다.In more detail, FIG. 13 selects the integrated authentication server 20 from the authentication means selection when a user directly accesses a site provided by the site server 30 and requires authentication for a user who subscribes to the integrated authentication service at the site. This is a diagram showing the user authentication process in the case of the user.

도 13을 참조하면, 통합 인증 서비스에 가입된 사용자가 사용자 단말(10)을 통해 사이트 서버(30)가 제공하는 사이트에 직접 접속한다(1300). 사용자가 사이트 서버(30)가 제공하는 서비스를 이용하는 도중에 사용자 인증이 필요한 경우, 사용자는 사용자 단말(10)을 통해 사용자 인증수단으로 통합 인증 서버(20)를 선택한다(1302).Referring to FIG. 13, a user subscribed to the integrated authentication service directly accesses a site provided by the site server 30 through the user terminal 10 (1300). When the user requires user authentication while using the service provided by the site server 30, the user selects the integrated authentication server 20 as the user authentication means through the user terminal 10 (1302).

그러면, 사이트 서버(30)는 통합 인증 서버(20)에 사용자 인증을 요청한다(1304). 통합 인증 서버(20)는 사용자의 인증 유효기간을 확인(1306)하여, 인증 유효기간 내인 경우 또다시 중계 서버(40)를 거쳐 인증기관을 통해 사용자를 인증하는 절차를 생략하고, 인증 앱(14)에 바로 2차 인증을 요청한다(1308). 2차 인증 요청 방법으로는 푸시 메시지 발송 등이 있다. 이때, 사용자가 인증 앱 가입자인지 확인 후 가입자이면 설치된 인증 앱(14)에 2차 인증을 요청할 수 있다. 미가입자일 경우 서비스 가입 및 인증 앱 설치를 안내할 수 있다.Then, the site server 30 requests user authentication from the integrated authentication server 20 (1304). The integrated authentication server 20 checks the user's authentication validity period (1306), and if it is within the authentication validity period, skips the procedure of authenticating the user through the authentication authority again through the relay server 40, and the authentication app (14 ), The second authentication is requested (1308). The second authentication request method includes sending a push message. At this time, after confirming whether the user is an authenticated app subscriber, a second authentication may be requested to the installed authentication app 14 if the user is a subscriber. If you are not registered, you can be guided to sign up for the service and install the authentication app.

인증 앱(14)은 설치 시 설정한 2차 인증을 수행한다(1310). 2차 인증방법은 지문, 홍채, 안면 인식, PIN 번호 등을 이용한 인증 등이 있다. 2차 인증이 수행되면, 인증 앱(14)은 저장된 사용자 인증정보를 검증한다(1312). 이때, 인증정보는 인증 유효기간을 포함할 수 있고, 인증 앱(14) 내 보안영역(TEE or WBC)에 저장되어 있을 수 있다. 2차 인증이 완료되면, 인증 앱(14)은 2차 인증결과를 통합 인증 서버(20)에 전송한다(1314). 이어서, 통합 인증 서버(20)는 인증 앱(14)에서 수신한 2차 인증결과를 수신하여 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버(30)에 전달한다(1316). 사이트 서버(30)는 사용자 단말(10)에 최종 인증결과를 전달함에 따라 사용자 인증이 완료된다(1318).The authentication app 14 performs secondary authentication set during installation (1310). Secondary authentication methods include fingerprint, iris, facial recognition, and authentication using PIN numbers. When the second authentication is performed, the authentication app 14 verifies the stored user authentication information (1312). At this time, the authentication information may include an authentication validity period, and may be stored in a secure area (TEE or WBC) in the authentication app 14. When the second authentication is completed, the authentication app 14 transmits the second authentication result to the integrated authentication server 20 (1314). Subsequently, the integrated authentication server 20 receives the secondary authentication result received from the authentication app 14 to finally determine whether to authenticate, and delivers the final authentication result to the site server 30 (1316). The site server 30 completes the user authentication as the final authentication result is transmitted to the user terminal 10 (1318).

도 14는 본 발명의 일 실시 예에 따른 통합 인증 서비스에 가입한 사용자가 사용자 인증이 필요한 사이트에 간접 접속 시에 사용자를 인증하는 방법을 도시한 도면이다.14 is a diagram illustrating a method of authenticating a user when an indirect access to a site requiring user authentication is performed by a user who subscribes to the integrated authentication service according to an embodiment of the present invention.

보다 세부적으로, 도 14는 통합 인증 서버(20)에 접속하여 사이트 서버(30)가 제공하는 사이트에 간접 연결하고, 사이트에서 통합 인증 서비스에 가입한 사용자에 대한 인증이 필요할 때 인증수단 선택에서 통합 인증 서버(20)를 선택했을 경우의 사용자 인증 프로세스를 도시한 도면이다. 서비스 사이트 중에는 통합 인증 서버(20)와 사전에 계약이 되어 있지 않아 통합 인증 서비스가 지원되는 않는 경우가 있다. 따라서, 통합 인증 서버(20)가 통합 인증 서비스가 지원되는 사이트에 간접 접속하도록 하는 경우이다.In more detail, FIG. 14 connects to the integrated authentication server 20 and indirectly connects to a site provided by the site server 30, and integrates in selecting an authentication method when authentication is required for a user who subscribes to the integrated authentication service at the site. A diagram showing a user authentication process when the authentication server 20 is selected. Among the service sites, there is a case where the integrated authentication service is not supported because there is no contract in advance with the integrated authentication server 20. Therefore, it is a case in which the integrated authentication server 20 indirectly connects to a site where the integrated authentication service is supported.

도 14를 참조하면, 사용자는 사용자 단말(10)을 통해 통합 인증 서버(20)에 접속한다(1400). 통합 인증 서버(20)는 통합 인증 서비스를 지원하는 서비스 사이트를 선택한다(1402). 예를 들어, 통합 인증 서버(20)는 통합 인증 서비스를 지원하는 서비스 사이트 리스트를 사용자 단말(10)에 제공하고, 사용자는 사용자 단말(10)을 통해 서비스 사이트 리스트를 확인하고 그 중 연결하기 원하는 서비스 사이트를 선택한다.Referring to FIG. 14, a user accesses the integrated authentication server 20 through the user terminal 10 (1400). The integrated authentication server 20 selects a service site supporting the integrated authentication service (1402). For example, the integrated authentication server 20 provides a list of service sites that support the integrated authentication service to the user terminal 10, and the user wants to check the service site list through the user terminal 10 and connect among them Select a service site.

이어서, 통합 인증 서버(20)는 선택된 서비스 사이트에 연결한다(1404). 이에 따라 사용자가 사이트 서버(30)가 제공하는 서비스를 이용하는 도중 사용자 인증이 필요한 경우, 사용자 단말(10)은 사용자 인증수단으로 통합 인증 서버(20)를 선택한다(1406).Subsequently, the integrated authentication server 20 connects to the selected service site (1404). Accordingly, when the user needs user authentication while using the service provided by the site server 30, the user terminal 10 selects the integrated authentication server 20 as the user authentication means (1406).

그러면, 사이트 서버(30)는 통합 인증 서버(20)에 사용자 인증을 요청한다(1408). 통합 인증 서버(20)는 사용자의 인증 유효기간을 확인(1410)하여, 인증 유효기간 내인 경우 또다시 중계 서버(40)를 거쳐 인증기관을 통해 사용자를 인증하는 절차를 생략하고, 인증 앱(14)에 바로 2차 인증을 요청한다(1412). 2차 인증 요청 방법으로는 푸시 메시지 발송 등이 있다. 이때, 사용자가 인증 앱 가입자인지 확인 후 가입자이면 설치된 인증 앱(14)에 2차 인증을 요청할 수 있다. 미가입자일 경우 서비스 가입 및 인증 앱 설치를 안내할 수 있다.Then, the site server 30 requests user authentication from the integrated authentication server 20 (1408). The integrated authentication server 20 checks the user's authentication validity period (1410), and if it is within the authentication validity period, skips the procedure of authenticating the user through the authentication authority again through the relay server (40), and the authentication app (14 ), The second authentication is requested (1412). The second authentication request method includes sending a push message. At this time, after confirming whether the user is an authenticated app subscriber, a second authentication may be requested to the installed authentication app 14 if the user is a subscriber. If you are not registered, you can be guided to sign up for the service and install the authentication app.

인증 앱(14)은 설치 시 설정한 2차 인증을 수행한다(1414). 2차 인증방법은 지문, 홍채, 안면 인식, PIN 번호 등을 이용한 인증 등이 있다. 2차 인증이 수행되면, 인증 앱(14)은 저장된 사용자 인증정보를 검증한다(1416). 이때, 인증정보는 인증 유효기간을 포함할 수 있고, 인증 앱(14) 내 보안영역(TEE or WBC)에 저장되어 있을 수 있다. 2차 인증이 완료되면, 인증 앱(14)은 2차 인증결과를 통합 인증 서버(20)에 전송한다(1418). 이어서, 통합 인증 서버(20)는 인증 앱(14)에서 수신한 2차 인증결과를 수신하여 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버(30)에 전달한다(1420). 사이트 서버(30)는 사용자 단말(10)에 최종 인증결과를 전달함에 따라 사용자 인증이 완료된다(1422).The authentication app 14 performs secondary authentication set during installation (1414). Secondary authentication methods include fingerprint, iris, facial recognition, and authentication using PIN numbers. When the second authentication is performed, the authentication app 14 verifies the stored user authentication information (1416). At this time, the authentication information may include an authentication validity period, and may be stored in a secure area (TEE or WBC) in the authentication app 14. When the second authentication is completed, the authentication app 14 transmits the second authentication result to the integrated authentication server 20 (1418). Subsequently, the integrated authentication server 20 receives the secondary authentication result received from the authentication app 14 to finally determine whether to authenticate and transmits the final authentication result to the site server 30 (1420). The site server 30 completes the user authentication as the final authentication result is transmitted to the user terminal 10 (1422).

도 15는 본 발명의 일 실시 예에 따른 인증정보의 인증 유효기간 만료 시 사용자 인증 프로세스를 도시한 도면이다.15 is a diagram illustrating a user authentication process when an authentication validity period of authentication information according to an embodiment of the present invention expires.

도 15를 참조하면, 사용자가 통합 인증 서버(20)에 저장된 인증정보의 인증 유효기간 만료 후 갱신하지 않고 통합 인증 서버(20)를 통해 사용자 인증 수행 시에, 인증 앱(14)에서 중계 서버(40)에 연결하여 사용자 인증을 수행하고, 그 결과를 사이트 서버(30)에 전달한다.Referring to FIG. 15, when a user performs user authentication through the integrated authentication server 20 without renewing after the authentication validity period of the authentication information stored in the integrated authentication server 20 expires, the relay server in the authentication app 14 ( 40) to perform user authentication, and deliver the result to the site server 30.

보다 구체적으로, 사용자는 사용자 단말(10)을 통해 사이트 서버(30)가 제공하는 사이트에 접속하여 서비스를 이용한다(1500). 사용자가 서비스 이용 도중에 사이트가 사용자 인증이 필요한 경우, 사용자는 사용자 인증수단으로 보안인증 통합서버를 선택한다(1502). 그러면, 사이트 서버(30)는 통합 인증 서버(20)에 사용자 인증을 요청(1504)하고, 통합 인증 서버(20)는 사용자의 인증정보 유효기간을 확인하여 유효기간이 만료되었는지 여부를 확인한다(1506). 만료된 경우, 인증정보 갱신요청을 인증 앱(14)에 전송한다(1508).More specifically, the user accesses a site provided by the site server 30 through the user terminal 10 to use the service (1500). When the user needs user authentication while the user is using the service, the user selects a security authentication integrated server as the user authentication means (1502). Then, the site server 30 requests the user authentication to the integrated authentication server 20 (1504), and the integrated authentication server 20 checks the validity period of the user's authentication information to determine whether the validity period has expired ( 1506). If it has expired, the authentication information renewal request is transmitted to the authentication app 14 (1508).

인증 앱(14)은 중계 서버(40)를 통해 사용자 인증을 수행한다(1510). 사용자 인증 수행 방법으로는 SMS, iPIN, 카드인증, 공인인증서 등이 있다. 중계 서버(40)는 사용자를 인증(1512)하고 사용자 인증결과를 인증 앱(14)에 전달한다(1514). 인증 앱(14)은 기 저장된 인증정보를 갱신 및 저장한다(1516). 이때, 인증정보는 인증 앱(14)의 보안영역(TEE or WBC) 내에 저장되어 있을 수 있다.The authentication app 14 performs user authentication through the relay server 40 (1510). User authentication methods include SMS, iPIN, card authentication, and public authentication. The relay server 40 authenticates the user 1512 and transmits the user authentication result to the authentication app 14 (1514). The authentication app 14 updates and stores previously stored authentication information (1516). At this time, the authentication information may be stored in the secure area (TEE or WBC) of the authentication app 14.

이어서, 인증 앱(14)은 사용자 인증결과를 통합 인증 서버(20)에 전달한다(1518). 통합 인증 서버(20)는 인증 앱(14)으로부터 수신된 인증 내용을 분석하여 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버(30)에 전달한다(1520). 사이트 서버(30)는 사용자 단말(10)에 최종 인증결과를 전달함에 따라 사용자 인증이 완료된다(1522).Subsequently, the authentication app 14 transmits the user authentication result to the integrated authentication server 20 (1518). The integrated authentication server 20 analyzes the authentication content received from the authentication app 14 to determine whether authentication is final, and delivers the final authentication result to the site server 30 (1520). The site server 30 completes the user authentication as the final authentication result is transmitted to the user terminal 10 (1522).

도 16은 본 발명의 일 실시 예에 따른 사용자 인증 기간 만료 시 프로세스를 도시한 도면이다.16 is a diagram illustrating a process when a user authentication period expires according to an embodiment of the present invention.

도 16을 참조하면, 인증기간이 만료되었거나 임박하였을 경우, 갱신 의사 확인 및 갱신 시 사용자 인증을 수행한다.Referring to FIG. 16, when the authentication period has expired or is imminent, user authentication is performed upon confirmation of renewal and renewal.

보다 구체적으로, 통합 인증 서버(20)는 인증 앱(14)에 인증정보 유효기간 만료를 알리는 알림 메시지를 전송한다(1600). 전송 방법의 예로는 푸시(PUSH) 메시지 전송이 있으나, 이에 한정되는 것은 아니다. 인증 앱(14)은 사용자로부터 갱신의사를 확인(1602)받고, 갱신 의사 확인 시에 중계 서버(40)에 사용자 인증을 요청한다(1604). 인증 앱(14)은 중계 서버(40)를 통해 사용자 인증을 수행한다(1606). 중계 서버(40)를 통한 사용자 인증 방법의 예로는 SMS, iPIN, 카드인증, 공인인증서 등이 있으나, 이에 한정되는 것은 아니다. 이어서, 인증 앱(14)은 보안영역 내의 인증정보를 갱신 및 저장한다(1608). 그리고 인증 앱(14)은 통합 인증 서버(20)에 사용자 인증결과를 전달하고 갱신 완료를 알린다(1610).More specifically, the integrated authentication server 20 transmits a notification message notifying the expiration of the validity period of the authentication information to the authentication app 14 (1600). An example of a transmission method is PUSH message transmission, but is not limited thereto. The authentication app 14 confirms a renewal intention from the user (1602) and requests the user authentication to the relay server 40 when confirming the intention to renew (1604). The authentication app 14 performs user authentication through the relay server 40 (1606). Examples of the user authentication method through the relay server 40 include SMS, iPIN, card authentication, and public certificate, but are not limited thereto. Subsequently, the authentication app 14 updates and stores authentication information in the secure area (1608). And the authentication app 14 delivers the user authentication result to the integrated authentication server 20 and notifies the completion of the update (1610).

이제까지 본 발명에 대하여 그 실시 예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far, the present invention has been focused on the embodiments. Those skilled in the art to which the present invention pertains will understand that the present invention can be implemented in a modified form without departing from the essential characteristics of the present invention. Therefore, the disclosed embodiments should be considered in terms of explanation, not limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the equivalent range should be interpreted as being included in the present invention.

10 : 사용자단말
12 : 웹브라우저
14 : 인증앱
20 : 통합 인증 서버
30 : 사이트 서버
40 : 중계 서버
50 : 인증 서버
100 : 입력부
110 : 출력부
120 : 프로세서
122 : 서비스 가입부
124 : 1차 인증부
126 : 2차 인증부
130 : 메모리
140 : 단말 통신부
200 : 입출력부
210 : 통신부
220 : 제어부
222 : 관리부
224 ; 제1 인증부
226 : 제2인증부
227 : 판단부
228 : 관리부
230 : 저장부10: User terminal
12: Web browser
14: authentication app
20: integrated authentication server
30: site server
40: relay server
50: authentication server
100: input unit
110: output unit
120: processor
122: service subscription
124: 1st authentication department
126: 2nd authentication department
130: memory
140: terminal communication unit
200: input and output unit
210: communication unit
220: control unit
222: management department
224; 1st Certification Department
226: 2nd authentication department
227: judgment unit
228: management
230: storage unit

Claims (16)

사용자 단말을 통해 접속한 사용자의 회원 등록 및 통합 인증 서비스 가입을 포함한 회원 관리를 수행하는 관리부;
사용자의 통합 인증 서비스 가입 시, 중계 서버를 통해 인증기관으로부터 사용자 본인을 최초 인증하고, 사용자 단말에 설치된 2차 인증을 위한 인증 앱을 통해 2차 인증을 설정하는 제1 인증부;
최초 인증 시 생성된 인증정보가 저장되며, 상기 인증정보는 인증 유효기간을 포함하는 저장부;
사용자 단말과 사이트 서버 및 중계 서버와 통신하는 통신부; 및
통합 인증 서비스 가입 후, 통신부를 통해 사이트 서버로부터 사용자 인증 요청을 수신하면 저장부에 저장된 인증정보를 이용하여 통합 인증 서비스에 가입한 사용자를 인증하는 제2 인증부;
를 포함하고,
상기 제1 인증부는
사용자의 통합 인증 서비스 가입 시, 인증 앱의 2차 인증 설정이 완료되면 저장부에 저장된 인증정보를 인증 앱에 제공하고,
상기 제2 인증부는
사용자의 통합 인증 서비스 가입 후, 통합 인증 서비스에 가입된 사용자가 사용자 단말을 통해 사이트 서버에 접속하여 사용자 인증수단으로서 통합 인증 서버를 선택하면, 통신부를 통해 사이트 서버로부터 사용자 인증 요청을 수신하고, 수신된 사용자 인증 요청에 따라 해당 사용자의 인증정보 인증 유효기간을 확인하여 만료 여부를 판단하는 판단부; 및
인증 유효기간 내인 경우 중계 서버를 통해 사용자를 인증하는 1차 인증 절차를 생략하고, 통신부를 통해 인증 앱에 2차 인증을 요청하고 인증 앱으로부터 2차 인증결과를 수신하여 사용자 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에게 전달하는 인증 처리부;를 포함하며,
상기 중계 서버는 SMS, iPIN, 카드인증 및 공인인증서 중 하나를 이용하여 사용자 인증을 수행하고, 상기 인증기관은 이동통신사, 카드사, 한국인터넷 진흥원, ARS 제공업체 중 하나인 것을 특징으로 하는 통합 인증 서버.A management unit that performs member management including member registration and integrated authentication service subscription of users accessed through a user terminal;
When the user joins the integrated authentication service, the first authentication unit for first authenticating the user from the authentication authority through a relay server, and setting the second authentication through an authentication app for secondary authentication installed on the user terminal;
Authentication information generated at the time of initial authentication is stored, and the authentication information includes a storage unit including an authentication validity period;
A communication unit communicating with the user terminal, the site server, and the relay server; And
A second authentication unit that authenticates a user who subscribes to the integrated authentication service by using authentication information stored in the storage unit when a user authentication request is received from the site server through the communication unit after joining the integrated authentication service;
Including,
The first authentication unit
When the user joins the integrated authentication service, when the secondary authentication of the authentication app is completed, the authentication information stored in the storage is provided to the authentication app,
The second authentication unit
After the user joins the integrated authentication service, when a user subscribed to the integrated authentication service accesses the site server through the user terminal and selects the integrated authentication server as a user authentication means, receives and receives a user authentication request from the site server through the communication unit. A determining unit determining whether to expire by checking the validity period of authentication information of the corresponding user according to the requested user authentication request; And
If it is within the validity period of authentication, the first authentication procedure for authenticating the user through the relay server is omitted, and the second authentication is requested to the authentication app through the communication unit and the second authentication result is received from the authentication app to finally determine whether the user is authenticated. Includes; an authentication processing unit that delivers the final authentication result to the site server,
The relay server performs user authentication using one of SMS, iPIN, card authentication, and a public certificate, and the authentication authority is an integrated authentication server, characterized in that it is one of a mobile carrier, a card company, Korea Internet & Security Agency, and ARS provider. . 제 1 항에 있어서, 상기 제1 인증부는
사용자의 통합 인증 서비스 가입 시, 통신부를 통해 중계 서버에 사용자 인증을 요청하여 중계 서버로부터 사용자 인증정보를 포함한 인증결과를 수신하고 수신된 사용자 인증결과를 저장부에 저장하는 것을 특징으로 하는 통합 인증 서버.The method of claim 1, wherein the first authentication unit
When a user joins the integrated authentication service, the integrated authentication server is characterized by requesting user authentication to the relay server through the communication unit, receiving authentication results including user authentication information from the relay server, and storing the received user authentication results in a storage unit. . 삭제delete 제 1 항에 있어서, 제1 인증부는
인증 앱을 통한 2차 인증 설정 시에 인증정보 인증 유효기간을 사용자로부터 설정받는 것을 특징으로 하는 통합 인증 서버.The method of claim 1, wherein the first authentication unit
Integrated authentication server characterized in that when the second authentication is set through the authentication app, the authentication information authentication validity period is set by the user. 삭제delete 제 1 항에 있어서, 상기 인증 처리부는
판단부의 인증 유효기간 만료 여부 판단에 따라 인증 유효기간이 만료된 경우 통신부를 통해 인증 앱에 인증정보 갱신요청을 전송하여 인증 앱을 통해 사용자 인증을 갱신하며 인증 앱으로부터 인증결과를 수신하여 사용자 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에 전달하는 것을 특징으로 하는 통합 인증 서버.The method of claim 1, wherein the authentication processing unit
Whether the authentication validity period has expired according to the judgment, if the authentication validity period has expired, the user authentication is renewed through the authentication app by sending a request to renew the authentication information to the authentication app through the communication unit. Integrated authentication server, characterized in that the final judgment and passing the final authentication result to the site server. 제 1 항에 있어서, 상기 관리부는
인증정보의 인증 유효기간 만료 여부를 관리하되, 인증정보의 인증 유효기간 만료 시에 통신부를 통해 인증 앱에 인증정보 갱신을 요청하고 인증 앱으로부터 인증 갱신결과를 수신하는 것을 특징으로 하는 통합 인증 서버.The method of claim 1, wherein the management unit
Integrated authentication server characterized in that it manages whether the authentication validity period of the authentication information has expired, requests authentication information update to the authentication app through the communication unit when the authentication validity period of the authentication information expires, and receives the authentication renewal result from the authentication app. 통합 인증 서버가 제공하는 통합 인증 사이트에 접속하여 통합 인증 서비스에 가입 신청하는 서비스 가입부;
통합 인증 서비스 가입 시, 중계 서버의 요청에 따라 1차 인증을 수행하는 1차 인증부;
통합 인증 서비스 가입 시, 통합 인증 서버의 요청에 따라 인증 앱을 통해 2차 인증을 설정하고, 통합 인증 서비스 가입 이후, 통합 인증 서버의 요청에 따라 2차 인증을 수행하며 사용자의 통합 인증 서비스 가입 시 통합 인증 서버로부터 수신된 인증정보를 검사하는 2차 인증부; 및
사용자의 통합 인증 서비스 가입 시 통합 인증 서버로부터 수신된 인증정보와 2차 인증 설정 시 생성된 인증정보가 저장되는 메모리;
를 포함하고,
상기 통합 인증 서버는,
통합 인증 서비스 가입 이후, 통합 인증 서비스에 가입된 사용자가 사용자 단말을 통해 사이트 서버에 접속하여 사용자 인증수단으로서 통합 인증 서버를 선택하면, 사이트 서버로부터 사용자 인증 요청을 수신하고, 수신된 사용자 인증 요청에 따라 해당 사용자의 인증정보 인증 유효기간을 확인하여 만료 여부를 판단하고, 판단 결과 인증 유효기간 내인 경우, 중계 서버를 통해 사용자를 인증하는 1차 인증 절차를 생략하고, 사용자 단말의 인증 앱에 2차 인증을 요청하고 인증 앱으로부터 2차 인증결과를 수신하여 사용자 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에게 전달하며,
상기 중계 서버는 SMS, iPIN, 카드인증 및 공인인증서 중 하나를 이용하여 사용자 인증을 수행하고, 인증기관은 이동통신사, 카드사, 한국인터넷 진흥원, ARS 제공업체 중 하나인 것을 특징으로 하는 사용자 단말.A service subscription unit accessing the integrated authentication site provided by the integrated authentication server and applying for subscription to the integrated authentication service;
A primary authentication unit that performs primary authentication upon request of a relay server when joining the integrated authentication service;
When signing up for the integrated authentication service, set up secondary authentication through the authentication app at the request of the integrated authentication server, and after signing up for the integrated authentication service, perform secondary authentication at the request of the integrated authentication server, and when the user joins the integrated authentication service A secondary authentication unit that checks authentication information received from the integrated authentication server; And
A memory for storing authentication information received from the integrated authentication server when the user joins the integrated authentication service and authentication information generated when setting the secondary authentication;
Including,
The integrated authentication server,
After joining the integrated authentication service, when a user subscribed to the integrated authentication service accesses the site server through the user terminal and selects the integrated authentication server as the user authentication means, a user authentication request is received from the site server, and the received user authentication request Accordingly, the user's authentication information is checked for the validity period of the authentication information to determine whether to expire, and if the result of the determination is within the validity period of authentication, the first authentication procedure for authenticating the user through the relay server is omitted, and the second authentication is performed on the authentication app of the user terminal. Request authentication and receive the second authentication result from the authentication app to finally determine whether the user is authenticated and deliver the final authentication result to the site server.
The relay server performs user authentication by using one of SMS, iPIN, card authentication, and accredited certificates, and the authentication authority is a user terminal characterized by being one of a mobile communication company, a card company, Korea Internet & Security Agency, and ARS provider. 제 8 항에 있어서, 상기 메모리는
일반영역과 분리된 보안영역에 인증정보를 저장하는 것을 특징으로 하는 사용자 단말.The method of claim 8, wherein the memory
A user terminal characterized in that the authentication information is stored in a security area separate from the general area. 제 8 항에 있어서, 상기 메모리는
일반영역과 보안영역이 물리적으로 분리된 ARM 트러스트 존 기반의 하드웨어 보안환경을 지원하는 TEE(Trusted Execution Environment) 보안기술을 적용하거나, 일반영역의 중요 데이터 정보를 암호화 알고리즘을 통해 분산하고 난독화 함으로서 보안영역을 생성하는 WBC(White Box Cryptography) 보안기술을 적용하여 인증정보를 보안영역에 저장하는 것을 특징으로 하는 사용자 단말.The method of claim 8, wherein the memory
Security by applying TEE (Trusted Execution Environment) security technology that supports hardware security environment based on ARM trust zone where physical area and security area are physically separated, or by dispersing and obfuscating important data information of general area through encryption algorithm A user terminal characterized by storing authentication information in a secure area by applying a WBC (White Box Cryptography) security technology that creates an area. 삭제delete 삭제delete 삭제delete 통합 인증 서버가 사용자 단말을 통한 사용자 요청에 따라 사용자를 회원 등록하고 통합 인증 서비스에 가입 처리하는 단계;
통합 인증 서비스 가입 시, 통합 인증 서버가 중계 서버에 사용자 인증을 요청하고 중계 서버로부터 인증정보를 포함한 인증결과를 전달받아 저장하는 단계;
통합 인증 서버가 사용자 단말에 인증 앱 설치를 요청하는 단계;
사용자 단말에 설치된 인증 앱이 2차 인증을 설정하는 단계;
인증 앱의 2차 인증 설정이 완료되면, 통합 인증 서버가 통합 인증 서비스 가입 시 저장된 인증정보를 인증 앱에 제공하는 단계;
사용자 단말에 설치된 인증 앱이 수신된 인증정보를 저장하여 통합 인증 서비스에 가입 완료하는 단계;
통합 인증 서비스 가입 후, 사용자가 사용자 단말을 통해 사용자 인증이 필요한 사이트에 접속하여 사용자 인증수단으로 통합 인증 서버를 선택하면, 통합 인증 서버가 해당 사이트를 제공하는 사이트 서버로부터 사용자 인증을 요청받는 단계;
통합 인증 서버가 저장된 인증정보로부터 사용자의 인증 유효기간을 확인하는 단계;
인증 유효기간 내인 것으로 확인되면, 통합 인증 서버가, 중계 서버를 거쳐 사용자를 인증하는 절차를 생략하고, 사용자 단말의 인증 앱에 2차 인증을 요청하는 단계;
사용자 단말의 인증 앱이 통합 인증 서버의 요청에 따라 2차 인증을 수행하고 인증 앱에 저장된 사용자 인증정보를 검증하는 단계; 및
인증 앱을 통한 2차 인증이 완료되면, 통합 인증 서버가 인증 앱으로부터 2차 인증결과를 수신하여 인증 여부를 최종 판단하고 최종 인증결과를 사이트 서버에 전달하는 단계;를 포함하며,
2차 인증을 설정하는 단계는, 인증 앱이 2차 인증 설정 시에 인증정보 인증 유효기간을 사용자로부터 설정받고,
상기 중계 서버는 SMS, iPIN, 카드인증 및 공인인증서 중 하나를 이용하여 사용자 인증을 수행하고, 인증기관은 이동통신사, 카드사, 한국인터넷 진흥원, ARS 제공업체 중 하나인 것을 특징으로 하는 통합 인증 방법.A step for the integrated authentication server to register the user as a member and process the subscription to the integrated authentication service according to a user request through the user terminal;
When signing up for an integrated authentication service, the integrated authentication server requests user authentication from the relay server and receives and stores authentication results including authentication information from the relay server;
An integrated authentication server requesting the user terminal to install an authentication app;
Setting a secondary authentication by the authentication app installed on the user terminal;
When the secondary authentication setting of the authentication app is completed, the integrated authentication server provides authentication information stored when the integrated authentication service is subscribed to the authentication app;
Step of completing the subscription to the integrated authentication service by storing the authentication information received by the authentication app installed on the user terminal;
After joining the integrated authentication service, when a user accesses a site requiring user authentication through a user terminal and selects an integrated authentication server as a user authentication means, the integrated authentication server receives a request for user authentication from a site server providing the corresponding site;
Confirming the user's authentication validity period from the stored authentication information by the integrated authentication server;
If it is confirmed that the authentication is within the validity period, the integrated authentication server, omitting the procedure of authenticating the user through the relay server, requesting a second authentication to the authentication app of the user terminal;
The user terminal's authentication app performs secondary authentication at the request of the integrated authentication server and verifies user authentication information stored in the authentication app; And
When the second authentication through the authentication app is completed, the integrated authentication server receives the second authentication result from the authentication app to finally determine whether or not authentication and delivers the final authentication result to the site server.
In the step of setting the second authentication, the authentication app receives the validity period of authentication information authentication from the user when setting the second authentication,
The relay server performs user authentication using one of SMS, iPIN, card authentication, and a public certificate, and the authentication authority is an integrated authentication method, characterized in that it is one of a mobile carrier, a card company, Korea Internet & Security Agency, and ARS provider. 제 14 항에 있어서, 사용자 인증을 요청받는 단계는
사용자가 사용자 단말을 통해 통합 인증 서버에 접속하면 통합 인증 서버가 통합 인증 서비스를 지원하는 사이트 리스트를 사용자 단말에 제공하여 사용자로부터 소정의 사이트를 선택받는 단계;
통합 인증 서버가 선택된 사이트에 간접 연결하는 단계; 및
연결된 사이트에 대한 사용자 인증이 필요할 때 사용자가 인증수단 선택에서 통합 인증 서버를 선택한 경우 통합 인증 서버가 사이트 서버로부터 사용자 인증을 요청받는 단계;
를 더 포함하는 것을 특징으로 하는 통합 인증 방법.The method of claim 14, wherein the step of receiving the user authentication is
When the user accesses the integrated authentication server through the user terminal, the integrated authentication server provides a list of sites supporting the integrated authentication service to the user terminal to select a predetermined site from the user;
The integrated authentication server indirectly connecting to the selected site; And
A step of receiving an authentication request from the site server by the integrated authentication server when the user selects the integrated authentication server in the authentication means selection when user authentication for the connected site is required;
Integrated authentication method characterized in that it further comprises. 삭제delete
KR1020180089834A 2018-08-01 2018-08-01 User integrated authentication service system and method thereof KR102086406B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180089834A KR102086406B1 (en) 2018-08-01 2018-08-01 User integrated authentication service system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180089834A KR102086406B1 (en) 2018-08-01 2018-08-01 User integrated authentication service system and method thereof

Publications (2)

Publication Number Publication Date
KR20200014545A KR20200014545A (en) 2020-02-11
KR102086406B1 true KR102086406B1 (en) 2020-04-23

Family

ID=69569000

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180089834A KR102086406B1 (en) 2018-08-01 2018-08-01 User integrated authentication service system and method thereof

Country Status (1)

Country Link
KR (1) KR102086406B1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101342407B1 (en) * 2013-07-08 2013-12-17 주식회사 기가코리아 Method for providing intergrated authentication service based on single sign on

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130102899A (en) 2012-03-08 2013-09-23 서울신용평가정보 주식회사 Method for providing authentication and payment services using user identification code
KR101823471B1 (en) * 2016-05-11 2018-01-30 (주)케이스마텍 User simple authentication method and system using user terminal in trusted execution environment
KR20170109504A (en) * 2017-08-24 2017-09-29 나이스평가정보 주식회사 Method for ipin-easy-certification based on application and method for providing supplementary service using ipin-easy-certification

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101342407B1 (en) * 2013-07-08 2013-12-17 주식회사 기가코리아 Method for providing intergrated authentication service based on single sign on

Also Published As

Publication number Publication date
KR20200014545A (en) 2020-02-11

Similar Documents

Publication Publication Date Title
US10904234B2 (en) Systems and methods of device based customer authentication and authorization
US10348715B2 (en) Computer-implemented systems and methods of device based, internet-centric, authentication
US9231925B1 (en) Network authentication method for secure electronic transactions
US20170244676A1 (en) Method and system for authentication
JP6117317B2 (en) Non-repudiation method, settlement management server for this, and user terminal
EP2842258B1 (en) Multi-factor certificate authority
CN111353903B (en) Network identity protection method and device, electronic equipment and storage medium
KR101210260B1 (en) OTP certification device
CN110278180B (en) Financial information interaction method, device, equipment and storage medium
CN110535807B (en) Service authentication method, device and medium
CN106845986A (en) The signature method and system of a kind of digital certificate
CN104702580A (en) Multi-communication-channel authentication authorization platform system and method
CN101277192A (en) Method and system for checking client terminal
CN107819766B (en) Security authentication method, system and computer readable storage medium
KR101659847B1 (en) Method for two channel authentication using smart phone
JP2020120173A (en) Electronic signature system, certificate issuing system, certificate issuing method, and program
KR102012262B1 (en) Key management method and fido authenticator software authenticator
KR20150003297A (en) Method and system using a cyber id to provide secure transactions
KR102053993B1 (en) Method for Authenticating by using Certificate
KR102086406B1 (en) User integrated authentication service system and method thereof
US11595215B1 (en) Transparently using macaroons with caveats to delegate authorization for access
US11595389B1 (en) Secure deployment confirmation of IOT devices via bearer tokens with caveats
KR102199486B1 (en) Authorized authentication agency for content providers
KR102130321B1 (en) Method and apparatus for authentication without installation
JP2017152877A (en) Electronic key re-registration system, electronic key re-registration method, and program

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant