KR102542840B1 - 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템 - Google Patents

오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템 Download PDF

Info

Publication number
KR102542840B1
KR102542840B1 KR1020210078517A KR20210078517A KR102542840B1 KR 102542840 B1 KR102542840 B1 KR 102542840B1 KR 1020210078517 A KR1020210078517 A KR 1020210078517A KR 20210078517 A KR20210078517 A KR 20210078517A KR 102542840 B1 KR102542840 B1 KR 102542840B1
Authority
KR
South Korea
Prior art keywords
information
user terminal
authentication
server
storage
Prior art date
Application number
KR1020210078517A
Other languages
English (en)
Other versions
KR20220169021A (ko
Inventor
고재연
김용준
강동진
박태원
박상옥
김재훈
김병국
박현우
김진성
백민우
최하영
김정윤
Original Assignee
사단법인 금융결제원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인 금융결제원 filed Critical 사단법인 금융결제원
Priority to KR1020210078517A priority Critical patent/KR102542840B1/ko
Publication of KR20220169021A publication Critical patent/KR20220169021A/ko
Application granted granted Critical
Publication of KR102542840B1 publication Critical patent/KR102542840B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명의 실시예에 따르면, 저장소 서버가 금융인증 서비스를 제공하기 위한 방법으로서, 사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하는 단계; 상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하는 단계; 상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하는 단계; 및 상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는 단계를 포함하는, 금융인증 서비스 제공 방법이 제공된다.

Description

오픈 API 기반의 금융 인증 서비스 제공 방법 및 시스템{METHOD AND SYSTEM FOR PROVIDING FINANCE AUTHENTICATION SERVICE BASED ON OPEN API}
본 발명은 오픈 API 기반의 금융 인증 서비스 제공 방법 및 시스템에 관한 것으로, 보다 상세하게는, 인증에 필요한 정보를 이원화하여 등록 및 저장함으로써 제3자에 의한 공격에도 안전성이 향상된 인증 서비스 제공 방법 및 시스템에 관한 것이다.
이동통신기술 및 정보통신기술의 발달로, 인터넷을 통한 쇼핑, 금융거래, 비밀 정보의 액세스 등 보안이 필요한 서비스가 대중화됨에 따라 웹사이트에서의 보안은 매우 중요한 이슈가 되고 있다.
기존의 웹사이트에서 보안을 확보하기 위한 방법 중 하나로, 서비스 제공업체 혹은 보안 서비스 제공업체에서 웹사이트 사용자의 모바일 단말로 인증번호가 포함된 문자메시지를 전송하면, 사용자가 서비스 인증을 위한 입력창에 해당 비밀번호를 입력함으로써 정당한 사용자 여부를 확인하는 방법이 있다.
그러나, 이 방법에서는 컴퓨터 바이러스를 사용하여 문자메시지를 다른 장치로 전달하도록 하는 프로그램을 모바일 단말에 불법적으로 심어놓고 인증을 위한 문자메시지를 지정된 단말기로 전달하도록 하면 보안을 깰 수 있다는 문제가 있다. 또한, 모바일 단말기를 분실한 경우에도 보안을 더 이상 유지할 수 없다.
한편, 높은 수준의 인증을 필요로 하는 서비스, 예를 들면, 금융 서비스에 있어서는, 공인 인증 기관에 의해 발급된 공인인증서를 일반적으로 사용하였었다. 구체적으로, 은행과 같은 금융거래를 위한 웹사이트, 국세청, 국민건강관리공단과 같은 관공서에서 제공하는 서비스를 이용하기 위해서, 공인인증서를 이용한 로그인 인증이 필수로 요구되었다. 이를 위해서, 사용자는 사용자가 사용하는 모든 PC, 스마트폰과 같은 모바일 단말 또는 휴대용 저장 매체에 공인인증서를 저장하고 휴대하여야 했다.
또한, PC 또는 모바일 단말이 바이러스에 감염되거나 해킹된 경우, 공인인증서를 이용한 인증 방식도 보안에 취약할 수 있다는 문제가 있었다.
한편, 최근에는 인증 서비스에 대한 규제를 완화하는 개정 전자서명법이 시행됨에 따라 인증서비스의 개선이 가능해졌다.
개정 전자서명법 시행 이후 핀테크 업체들도 인증 시장에 진입하는 환경에서 금융인증 서비스의 안정성과 편리성을 향상시키기 위한 노력들이 행해지고 있는데, 이 또한, 제3자의 공격 또는 해킹에 있어서 완전한 무결성이 보장된다고 보기는 어려웠다.
따라서, 간편 인증 방식에 있어서, 높은 수준의 안전성을 보장하는 기술에 대한 개발이 필요한 상황이다.
본 발명은 전술한 종래기술의 문제점을 해결하기 위한 것이다.
본 발명의 목적은, 고객 정보 확인 후, 자동 연결을 위한 정보를 저장정보와 획득정보로 이원화하여 등록함으로써, 공격자에게 저장정보가 유출되어도 보안성이 유지될 수 있도록 하는 것이다.
본 발명의 다른 목적은, 개인키를 획득정보로 이중 암호화하여 전송함으로써, 보안성이 향상될 수 있도록 하는 것이다.
본 발명의 또 다른 목적은, 자원에 대한 접근권한으로서 기능하는 각 토큰에 고객 식별정보 및 연결기기 식별정보를 포함시킴으로써, 자원 소유권 확인에 대한 효율성이 향상될 수 있도록 하는 것이다. .
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다.
상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 저장소 서버가 금융인증 서비스를 제공하기 위한 방법으로서, 사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하는 단계; 상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하는 단계; 상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하는 단계; 및 상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는 단계를 포함하는, 금융인증 서비스 제공 방법이 제공된다.
상기 금융인증 서비스 제공 방법은, 상기 사용자 단말기로부터 인증서 목록 요청을 수신하고, 이에 대한 응답으로 인증서 목록을 제공하는 단계; 상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 인증서 비밀번호 정보를 수신하는 단계; 및 선택된 인증서에 대한 개인키에 대해 상기 획득정보로 이중암호화를 수행하여, 상기 사용자 단말기에 전송하는 단계를 더 포함할 수 있다.
상기 금융인증 서비스 제공 방법은, 상기 토큰을 포함하는 자원 요청을 상기 사용자 단말기로부터 수신하는 단계; 상기 토큰에 대한 유효성 검증 요청을 상기 인증 서버로 전송하는 단계; 상기 인증 서버로부터 상기 유효성 검증 요청을 수신하고, 상기 토큰에 포함된 고객 식별정보 및 연결기기 식별정보에 기반하여, 상기 자원에 대한 소유권을 확인하는 단계; 및 상기 소유권 확인 후, 요청된 자원을 상기 사용자 단말기에 전송하는 단계를 더 포함할 수 있다.
본 발명의 다른 실시예에 따르면, 사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하고, 상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하며, 상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하고, 상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는, 인증 서비스 가입 지원부를 포함하는, 금융인증 서비스 제공 서버가 제공된다.
본 발명의 또 다른 실시예에 따르면, 사용자 단말기와 결합되어, 자체적으로 획득되거나, 다른 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 저장소 서버로 전송하는 단계; 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 저장소 서버로부터 수신하여 저장하는 단계; 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 인증 서버로 전송하는 단계; 및 상기 인증 서버에 의한 상기 연결 정보의 확인 완료 후, 상기 인증 서버에 의해 발급되는 토큰을 수신하는 단계를 수행하기 위한, 매체에 저장된 애플리케이션이 제공된다.
본 발명의 실시예에 따르면, 고객 정보를 확인 후, 자동 연결을 위한 정보를 저장정보와 획득정보로 이원화하여 등록하기 때문에, 공격자에게 저장정보가 유출되어도 획득정보를 동일하게 유도하기는 어려우므로 서비스의 신뢰성이 강화될 수 있다.
본 발명의 실시예에 따르면, 개인키를 획득정보로 이중 암호화하여 전송함으로써, 보안성이 향상될 수 있다.
본 발명의 실시예에 따르면, 자원에 대한 접근권한으로서 기능하는 각 토큰에 고객 식별정보 및 연결기기 식별정보가 포함되기 때문에, 토큰에 대한 검증을 통해 한번에 자원 소유권을 확인할 수 있게 된다.
도 1은 본 발명의 일 실시예에 따른 오픈 API 기반의 금융 인증 서비스 제공 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 인증 서비스 가입 및 접근권한 발급의 과정을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따라 인증서에 대해 전자서명을 수행하는 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따라 토큰 기반의 자원 요청 과정을 설명하기 위한 도면이다.
도 5는 본 발명의 일 실시예에 따른 저장소 서버 및 인증 서버의 구성을 나타내는 블록도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
본 명세서에서, “저장소”는 서버 내에 자체적으로 장착되는 데이터베이스, 상기 서버에 의해 운영 및 관리되는 클라우드, 상기 서버와 연계하는 별도의 서버에 존재하는 데이터베이스를 모두 포함하는 개념으로 이해되어야 한다.
도 1은 본 발명의 일 실시예에 따른 오픈 API 기반의 금융 인증 서비스 제공 시스템의 개략적인 구성을 나타내는 도면이다.
도 1을 참조하면, 일 실시예에 따른 시스템은, 사용자 단말기(100), 저장소 서버(200) 및 인증 서버(300)를 포함하여 구성될 수 있다.
사용자 단말기(100), 저장소 서버(200), 인증 서버(300)는 통신망, 예를 들면, 이동통신망, 근거리 통신망(LAN: Local Area Network), 도시권 통신망(MAN: Metropolitan Area Network), 광역 통신망(WAN: Wide Area Network), 월드와이드웹(WWW: World Wide Web), 무선통신망(WiFi: Wireless Fidelity)을 통해 상호 통신할 수 있다.
사용자 단말기(100)는 연산 기능을 갖추고 있으며, 외부와 통신할 수 있는 기기라면 어떠한 형태로 구현되어도 무방하다. 사용자 단말기(100)는 예를 들면 스마트폰, 태블릿 PC, 데스크톱, 랩탑 노트북, PDA 등으로 구현될 수 있으나, 이에 제한되는 것은 아니다.
사용자 단말기(100)에는 금융 서비스 이용을 위한 금융 서비스 프로그램 또는 소프트웨어가 설치되어 있을 수 있다. 그러나, 이러한 프로그램 또는 소프트웨어 없이도 웹브라우저에 의해 금융 서비스 이용이 가능해질 수도 있다.
또한, 사용자 단말기(100)에는 금융인증 프로그램이 설치되어 있을 수 있다. 이러한 금융인증 프로그램(110)은 예를 들면, 금융 서비스 프로그램 또는 소프트웨어 내에 포함되는 것일 수 있다.
금융인증 프로그램(110)은 저장소 서버(200) 또는 인증 서버(300)로부터 다운로드되어 설치되는 것일 수 있으나, 이에 제한되지는 않는다.
사용자 단말기(100)는 저장소 서버(200)에 접속하여, 인증 서비스에 대한 가입 및 기기 등록을 요청하고, 금융인증 프로그램(110)에 의해 획득되는 획득정보를 저장소 서버(200)에 전송한다. 또한, 저장소 서버(200)로부터 수신되는 저장정보를 저장할 수 있다. 한편, 인증 서버(300)로부터 자원에 대한 접근권한으로서의 토큰을 발급받을 수 있으며, 추후, 해당 토큰을 저장소 서버(200)에 제출함으로써, 본인 소유의 자원을 수신할 수 있다.
저장소 서버(200)는 사용자 단말기(100)로부터 인증 서비스 가입 및 기기 등록 요청을 수신하고, 인증 절차를 거쳐, 이를 처리한다. 저장소 서버(200)는 사용자 단말기(100)로부터 수신된 획득정보를 저장하고, 저장정보를 사용자 단말기(100)로 전송한다. 또한, 사용자 단말기(100)로부터 인증서에 대한 개인키 요청을 수신한 후, 개인키를 획득정보로 이중암호화하여 전송하는 기능을 수행한다. 한편, 사용자 단말기(100)로부터 토큰 제출과 함께 자원 요청을 수신하면, 해당 토큰에 대한 유효성 검증 절차를 거쳐, 자원을 제공하는 기능을 담당한다.
인증 서버(300)는 사용자 단말기(100)에 토큰을 발급하여 주고, 해당 토큰을 통한 자원 요청이 발생하는 경우, 토큰에 대한 유효성 검증을 수행한다.
저장소 서버(200)와 인증 서버(300)는 하나의 인증 기관에 의해 운영되는 서버일 수 있으며, 양 서버가 하나의 서버로 구현될 수도 있다.
본 명세서에서는 설명의 편의를 위해 저장소 서버(200)와 인증 서버(300)가 별도의 서버로 구현되는 경우를 예로 들어 설명하기로 한다.
도 2는 본 발명의 일 실시예에 따른 인증 서비스 가입 및 접근권한 발급의 과정을 설명하기 위한 흐름도이다.
도 2를 참조하면, 먼저, 사용자 단말기(100)는 획득정보를 획득한다(S201). 획득정보는 사용자 단말기(100)에 설치되어 있는 금융인증 프로그램(110), 예를 들면, SDK(Software Development Kit)에 의해 획득된다.
상기 금융인증 프로그램(110)은 사용자 단말기(100)에서 구동되는 소프트웨어, 예를 들면, 금융 서비스 소프트웨어의 환경에 따라 서로 다른 방식으로 획득정보를 획득할 수 있다.
일례로, 사용자 단말기(100) 내에서 웹브라우저 환경에 기반하여, 금융 서비스가 구동되는 경우에는, 웹브라우저 프로그램과 사용자 단말기(100)의 고유 정보를 이용하여, 금융인증 프로그램(110)이 직접 획득정보의 값을 유도하고, 사용자 단말기(100) 내에서 앱 환경에 기반하여, 금융 서비스가 구동되는 경우에는, 해당 앱(ex. 금융기관 앱)에서 특정 기준 값을 생성하여 이를 획득정보로서 금융인증 프로그램(110)으로 전달한다.
획득정보는 금융인증 프로그램(110)과 저장서 서버(200)가 교환하는 값으로, 사용자 단말기(100)에 설치되어 있는 금융 서비스 프로그램에 포함되는 금융인증 프로그램(110)에 의해서만 획득되는 값이다. 획득정보는 자동연결 과정에서 저장소 서버(200)가 사용자에 대한 인증을 하는 데에 사용된다.
획득정보에 대한 획득이 완료되면, 금융인증 프로그램(110)은 사용자가 입력하는 인증 서비스 가입 정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 저장소 서버(200)에 전송한다(S202).
상기 인증 서비스 가입 정보는, 휴대폰 번호, 이름, 생년월일일 수 있다. 또한, 상기 인증 서비스 가입 및 기기 등록 요청에는, 상기 금융인증 프로그램(110)에 의해 획득된 획득정보가 함께 포함될 수 있다.
상기 요청을 수신한 저장소 서버(200)는 사용자 단말기(100)에 대한 소유 인증(MO 인증)을 진행한다(S203). 일 실시예에 따르면, 상기 인증 방식은, 저장소 서버(200)가 상기 요청에 포함된 휴대폰 번호로 문자 메시지를 전송하고, 상기 휴대폰 번호에 대응되는 사용자 단말기(100)로부터 회신 문자 메시지를 수신한 후, 상기 전송된 메시지와 수신된 메시지를 비교하는 방식으로 이루어질 수 있다. 그러나, 사용자 단말기(100)에 대한 소유 인증 방식은 이 외에 다른 공지의 방식을 사용하더라도 무방하다.
인증이 성공하면, 저장소 서버(200)는 상기 인증 서비스 가입 및 기기 등록 요청에 포함된 고객정보와 획득정보를 저장소에 저장하고(S204), 상기 소유 인증 대상이 된 기기(사용자 단말기(100)) 정보를 저장정보로서 사용자 단말기(100)의 금융인증 프로그램(110)에 전송한다(S205). 이러한 저장정보는 금융인증 프로그램(110)과 저장소 서버(200)가 교환하는 연결유지용 공개키의 해쉬값이다. 이로써, 사용자에 대한 인증 서비스 가입 및 기기 등록이 완료된다.
저장정보를 수신한 금융인증 프로그램(110)은 사용자 단말기(100)의 저장 공간에 저장하고(S206), 기 획득하였던 획득정보와 상기 저장정보를 포함하는 연결정보를 인증 서버(300)로 전송하여 자동연결을 요청한다(S207).
인증 서버(300)는 상기 자동연결 요청에 포함된 연결정보를 저장소 서버(200)로 전송하여 이에 대한 확인 요청을 한다(S208).
저장소 서버(200)는 상기 확인 요청에 대해, 확인 절차를 진행한다(S209).
구체적으로, 상기 연결정보(저장정보, 획득정보)로 등록된 고객이 존재하는지 여부를 확인하고, 존재하는 것으로 확인되면, 해당 고객 식별정보 및 연결기기 식별정보를 상기 확인 요청에 대한 확인 결과로서 인증 서버(300)에 전송한다(S210). 연결기기 식별정보는 상기 등록이 완료된 사용자 단말기(100)의 식별정보일 수 있다.
인증 서버(300)는 고객 식별 정보와 연결기기 식별 정보를 포함하는 토큰을 생성하여 사용자 단말기(100)에 발급한다(S211). 고객 식별 정보는, 고객의 개인정보(전화번호, 생년월일)를 이용해서 생성하는 정보로 고객을 식별하는 유일한 값이며, 연결기기 식별 정보는 사용자 단말기(100)의 식별 정보일 수 있다.
토큰을 발급받은 후, 금융인증 프로그램(110)은 상기 토큰을 저장하고, 금융 서비스 종료 시까지 이를 이용한다(S212).
금융인증 프로그램(110)과 저장소 서버(200)는 고객 정보를 확인한 후, 자동 연결을 위한 정보를 저장정보와 획득정보로 이원화하여 등록하기 때문에, 공격자에게 저장정보가 유출되어도 획득정보를 동일하게 유도하기는 어려우므로 서비스의 신뢰성이 강화될 수 있다.
도 3은 본 발명의 일 실시예에 따라 인증서에 대해 전자서명을 수행하는 과정을 설명하기 위한 도면이다.
기본적으로 저장소에는 사용자별 인증서와 암호화된 개인키가 저장되어 있을 수 있다.
인증서는 발급서버로부터 발급된 후 사용자 인증 및 사용자 기기 인증을 완료하고 저장소에 저장될 수 있으며, 이 과정에서 암호화된 개인키도 함께 저장소에 저장될 수 있다.
개인키를 암호화하는 방법은 인증서 비밀번호(예를 들면, 숫자 6자리) 또는 간편인증 정보(예를 들면, 사용자에 의해 입력되는 터치 패턴, 지문 등을 확인한 후 얻는 값)를 대칭키로 하여 암호화할 수 있다.
도 3을 참조하면, 먼저, 사용자 단말기(100)의 금융인증 프로그램(110)은 저장소 서버(200)로 인증서 목록을 요청하고(S301), 이에 대한 응답으로 저장소 서버(200)는 해당 사용자의 인증서 목록을 제공한다(S302).
사용자는 제공된 목록에서 전자서명을 진행할 인증서를 선택하고, 해당 인증서에 대한 비밀번호(ex. 6자리 비밀번호)를 입력한다. 사용자에 의해 선택된 인증서 정보 및 비밀번호 정보를 포함하는 인증서 개인키 요청은 사용자 단말기(100)로부터 저장소 서버(200)로 전송된다(S303).
저장소 서버(200)는 사용자에 의해 입력된 비밀번호를 검증한 후, 인증 서비스 가입 과정에서 저장소에 저장한 획득정보를 기반으로 해당 사용자가 선택한 인증서의 개인키를 이중 암호화한다(S304). 개인키는 1차 암호화된 상태로 저장소에 저장되는데, 상기 획득정보를 통해 2차 암호화함으로써 이중 암호화가 이루어지게 되는 것이다.
이중 암호화가 완료된 개인키는 저장소 서버(200)로부터 사용자 단말기(100)로 전송된다(S305).
사용자 단말기(100)의 금융인증 프로그램(110)은 사용자가 입력한 인증서 비밀번호와 획득정보로 상기 수신한 개인키를 복호화한 후(S306), 전자서명을 수행하여(S307), 금융 서비스 프로그램에 전달한다.
개인키를 획득정보로 이중 암호화하여 전송함으로써, 보안성이 향상될 수 있다.
예를 들면, 공격자가 사용자 단말기(100)나 네트워크 환경을 공격해 암호화된 개인키를 탈취한 상황에서, 개인키가 6자리 숫자인 인증서 비밀번호로만 암호화되어 있다면 공격자는 무작위 공격으로 쉽게 개인키를 복호화할 수 있다. 실제 종래 공인인증서 사용 환경에서는 개인키를 사용자의 사용 기기에 파일로 저장하였었는데, 해킹 공격 등에 의해 개인키 파일이 유출되는 사고가 많았었고, 개인키 파일이 유출되었을 경우에도 복호화를 어렵게 만들기 위해 인증서 패스워드를 숫자, 영문자, 특수문자를 반드시 포함한 10자리 이상의 값으로 구성하도록 최상위 인증기관이 기술규격으로 강제하였었으나, 이는 공인인증서 이용자들의 대표적인 불편사항이었다. 본 발명의 실시예에 따르면, 상기와 같은 이중암호화 방식을 포함하고 있기 때문에, 6자리 숫자만으로 전자서명을 진행하더라도 안전성이 향상될 수 있다.
도 4는 본 발명의 일 실시예에 따라 토큰 기반의 자원 요청 과정을 설명하기 위한 도면이다.
도 4를 참조하면, 사용자 단말기(100)의 금융인증 프로그램(110)은 단계 S211, S212(도 2 참조)를 통해 발급받고 저장한 토큰을 저장소 서버(200)로 전송하여 고객의 자원을 요청한다(S401).
자원은 고객 관련 자원 및 연결기기 관련 자원을 포함하는 개념일 수 있다. 고객 관련 자원은 고객 정보, 연결기기 정보, 인증서 정보일 수 있으며, 연결기기 관련 자원은 간편 인증(터치 패턴 인증, 생체 인증 등) 정보일 수 있다.
저장소 서버(200)는 수신한 토큰을 인증 서버(300)에 전송하여, 토큰에 대한 유효성 검증을 요청한다(S402).
인증 서버(300)에 의해 해당 토큰이 해당 고객에 대해 기 발급된 토큰인 것으로 검증되면, 저장소 서버(200)는 단계 S401에서 요청된 자원이 상기 토큰에 대응되는 고객 및 연결기기 식별자의 소유인지를 확인한다(S403). 각 토큰에는 고객 식별정보 및 연결기기 식별정보가 포함되어 있기 때문에, 토큰에 대한 검증을 통해 한번에 자원 소유권을 확인할 수 있게 된다. 즉, 토큰은 고객의 자원 요청에 대한 접근 권한으로서 기능한다.
저장소 서버(200)는 각 고객 식별정보 및 연결기기 식별정보를 가지고 있기 때문에, 이러한 확인이 가능하다.
확인 결과 정당한 소유인 것으로 확인되면, 해당 자원을 사용자 단말기(100)에 전송한다(S404).
도 5는 본 발명의 일 실시예에 따른 저장소 서버 및 인증 서버의 구성을 나타내는 블록도이다.
도 5를 참조하면, 저장소 서버(200)는 인증 서비스 가입 지원부(210), 개인키 전송부(220), 자원 제공부(230)를 포함하여 구성될 수 있다.
인증 서비스 가입 지원부(210), 개인키 전송부(220), 자원 제공부(230)는 외부 장치와 통신할 수 있는 프로그램 모듈 또는 하드웨어들일 수 있다. 이러한 프로그램 모듈 또는 하드웨어는 운영 시스템, 응용 프로그램 모듈 및 기타 프로그램 모듈의 형태로 저장소 서버(200) 또는 이와 통신 가능한 다른 장치에 포함될 수 있으며, 물리적으로는 여러 가지 공지의 기억 장치 상에 저장될 수 있다. 한편, 이러한 프로그램 모듈 또는 하드웨어들은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
인증 서비스 가입 지원부(210)는 사용자 단말기(100)로부터 휴대폰 번호, 이름, 생년월일, 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 수신한 후, 휴대폰 번호에 대한 소유 인증 절차를 진행하고, 상기 획득정보를 저장소에 저장한다. 또한, 저장정보를 사용자 단말기(100)에 전송한다.
개인키 전송부(220)는 사용자 단말기(100)로부터 인증서 목록 요청을 수신한 후, 인증서 목록을 제공하고, 해당 인증서에 대한 개인키를 획득정보로 이중암호화하여 사용자 단말기(100)에 전송하는 기능을 수행한다.
자원 제공부(230)는 사용자 단말기(100)로부터 토큰을 포함하는 자원 요청을 수신하고, 해당 토큰에 대한 유효성 검증 요청을 인증 서버(300)에 전송한다. 유효성 검증이 완료되면, 해당 자원에 대한 소유권을 확인한 후에 요청된 자원을 사용자 단말기(100)에 전송하는 기능을 수행한다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 사용자 단말기
200: 저장소 서버
300; 인증 서버
210: 인증 서비스 가입 지원부
220: 개인키 전송부
230: 자원 제공부

Claims (5)

  1. 저장소 서버가 금융인증 서비스를 제공하기 위한 방법으로서,
    사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하는 단계;
    상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하는 단계;
    상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하는 단계; 및
    상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는 단계를 포함하는, 금융인증 서비스 제공 방법.
  2. 제1항에 있어서,
    상기 사용자 단말기로부터 인증서 목록 요청을 수신하고, 이에 대한 응답으로 인증서 목록을 제공하는 단계;
    상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 인증서 비밀번호 정보를 수신하는 단계; 및
    선택된 인증서에 대한 개인키에 대해 상기 획득정보로 이중암호화를 수행하여, 상기 사용자 단말기에 전송하는 단계를 더 포함하는, 금융인증 서비스 제공 방법.
  3. 제1항에 있어서,
    상기 토큰을 포함하는 자원 요청을 상기 사용자 단말기로부터 수신하는 단계;
    상기 토큰에 대한 유효성 검증 요청을 상기 인증 서버로 전송하는 단계;
    상기 인증 서버로부터 상기 유효성 검증 요청을 수신하고, 상기 토큰에 포함된 고객 식별정보 및 연결기기 식별정보에 기반하여, 상기 자원에 대한 소유권을 확인하는 단계; 및
    상기 소유권 확인 후, 요청된 자원을 상기 사용자 단말기에 전송하는 단계를 더 포함하는, 금융인증 서비스 제공 방법.
  4. 사용자 단말기의 금융인증 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 상기 사용자 단말기로부터 수신하고,
    상기 획득정보를 자체 저장소에 저장하고, 등록 완료된 사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 사용자 단말기에 전송하며,
    상기 사용자 단말기로부터 상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 수신한 인증 서버로부터, 상기 연결정보에 대한 확인 요청을 수신하고,
    상기 연결정보에 대한 확인 후, 고객 식별정보 및 상기 사용자 단말기의 연결기기 식별정보를 상기 인증 서버로 전송하여, 상기 고객 식별정보 및 연결기기 식별정보를 포함하는 토큰이 발급되도록 하는,
    인증 서비스 가입 지원부를 포함하는, 금융인증 서비스 제공 서버.
  5. 사용자 단말기와 결합되어,
    자체적으로 획득되거나, 다른 프로그램에 의해 획득되는 획득정보를 포함하는 인증 서비스 가입 및 기기 등록 요청을 저장소 서버로 전송하는 단계;
    사용자 단말기의 기기 정보를 포함하는 저장정보를 상기 저장소 서버로부터 수신하여 저장하는 단계;
    상기 저장정보 및 상기 획득정보를 포함하는 연결정보를 인증 서버로 전송하는 단계; 및
    상기 인증 서버에 의한 상기 연결 정보의 확인 완료 후, 상기 인증 서버에 의해 발급되는 토큰을 수신하는 단계를 수행하기 위한, 매체에 저장된 애플리케이션.
KR1020210078517A 2021-06-17 2021-06-17 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템 KR102542840B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210078517A KR102542840B1 (ko) 2021-06-17 2021-06-17 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210078517A KR102542840B1 (ko) 2021-06-17 2021-06-17 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20220169021A KR20220169021A (ko) 2022-12-27
KR102542840B1 true KR102542840B1 (ko) 2023-06-13

Family

ID=84568154

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210078517A KR102542840B1 (ko) 2021-06-17 2021-06-17 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102542840B1 (ko)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101413117B1 (ko) * 2012-05-29 2014-07-02 주식회사 비즈모델라인 토큰 코드를 이용한 금융거래 처리 시스템
KR101684068B1 (ko) * 2015-02-27 2016-12-07 (주)에이티솔루션즈 엔에프씨보안토큰을 이용한 인터넷 전업금융 인증 방법

Also Published As

Publication number Publication date
KR20220169021A (ko) 2022-12-27

Similar Documents

Publication Publication Date Title
US11870769B2 (en) System and method for identifying a browser instance in a browser session with a server
Anakath et al. Privacy preserving multi factor authentication using trust management
CN112425114B (zh) 受公钥-私钥对保护的密码管理器
KR101718948B1 (ko) 일회용 난수를 이용하여 인증하는 통합 인증 시스템
US20170055146A1 (en) User authentication and/or online payment using near wireless communication with a host computer
CN111431707B (zh) 业务数据信息处理方法、装置、设备以及可读存储介质
JP2016096547A (ja) 否認防止方法、このための決済管理サーバおよび使用者端末
CN114788226A (zh) 用于建立分散式计算机应用的非托管工具
US11546159B2 (en) Long-lasting refresh tokens in self-contained format
KR102012262B1 (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
Guirat et al. Formal verification of the W3C web authentication protocol
KR101659847B1 (ko) 모바일 단말을 이용한 2채널 사용자 인증 방법
KR101570773B1 (ko) 모바일 기기를 사용한 인터넷 서비스의 클라우드 인증 방법
GB2554082A (en) User sign-in and authentication without passwords
KR101498120B1 (ko) 클라우드 공인인증 시스템 및 그 방법
KR102053993B1 (ko) 인증서를 이용한 사용자 인증 방법
WO2019234801A1 (ja) サービス提供システム及びサービス提供方法
KR102542840B1 (ko) 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템
Kim et al. Secure user authentication based on the trusted platform for mobile devices
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
KR101608529B1 (ko) 온라인 거래 보안시스템 및 이를 이용한 보안방법
KR101821645B1 (ko) 자체확장인증을 이용한 키관리 방법
KR101708880B1 (ko) 통합 로그인 장치 및 통합 로그인 방법
KR102498688B1 (ko) 인증 서비스 제공 방법 및 시스템
CN109284615B (zh) 移动设备数字资源安全管理方法

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant