KR20140134663A - 통신단말기의 사용자 id 검증방법 및 관련 시스템 - Google Patents

통신단말기의 사용자 id 검증방법 및 관련 시스템 Download PDF

Info

Publication number
KR20140134663A
KR20140134663A KR1020147024987A KR20147024987A KR20140134663A KR 20140134663 A KR20140134663 A KR 20140134663A KR 1020147024987 A KR1020147024987 A KR 1020147024987A KR 20147024987 A KR20147024987 A KR 20147024987A KR 20140134663 A KR20140134663 A KR 20140134663A
Authority
KR
South Korea
Prior art keywords
terminal
user
server
token
data
Prior art date
Application number
KR1020147024987A
Other languages
English (en)
Inventor
기욤 베르또
브루노 벤테오
Original Assignee
모르포
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 모르포 filed Critical 모르포
Publication of KR20140134663A publication Critical patent/KR20140134663A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • G06F21/35User authentication involving the use of external additional devices, e.g. dongles or smart cards communicating wirelessly
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 사용자의 ID 데이터의 제 1 피스를 적어도 하나의 서버(SER)로 보내고, 사용자의 ID 데이터의 제 2 피스를 적어도 하나의 서버에서 발생하며, 단말기의 보안 메모리에 ID 데이터의 제 2 피스를 저장하는 단계를 포함하고, 상기 데이터의 제 2 피스는 사용자의 도출된 ID를 정의하는 사전 단계; 및 서버에서 단말기로 암호화를 위한 토큰(C)을 전송하고, 적어도 토큰의 암호화를 발생하기 위해 단말기에서 데이터의 제 2 피스를 이용하며, 서버에 의해 암호화된 토큰의 검증이 긍정적일 경우, 서버가 단말기 사용자의 ID 검증을 인가하며, 암호화 토큰(C*)이 서버로 전송되고 서버에 의해 검증되는 ID 검증을 위한 유통 단계를 포함하는 통신 단말기(TER)의 사용자 ID 검증방법에 관한 것이다.

Description

통신단말기의 사용자 ID 검증방법 및 관련 시스템{Method for verifying the identity of a user of a communicating terminal and associated system}
본 발명은 사용자의 통신 단말기(특히 휴대전화 단말기)로부터 사용자의 신원을 검증함으로써 서비스에 액세스 및/또는 가입을 판단하는 것에 관한 것이다.
"ID"이라는 개념은 모바일 환경에서 만연하고 일상적으로 되어가고 있다. 그러나, 디지털 ID는 소유자가 사용할 인체공학성을 유지하면서 모든 형태의 절도를 방지해야 한다.
사용자 속성들의 관리와 관련된 프로세스 또는 (전화번호와 같은) 네트워크 식별자의 로그인/패스워드 타입을 기초로 한 모든 알려진 방안들(OTP(One Time Password), SSO(Single Sign On), SMS(Short Message Service), 오픈ID를 이용한 방안 또는 기타)은 전반적으로 만족스럽지 못하다.
본 발명은 방안을 제안한다. 특히, 본 발명은
사용자의 ID 데이터의 제 1 피스를 적어도 하나의 서버로 보내고, 사용자의 ID 데이터의 제 2 피스를 적어도 하나의 서버에서 발생하며, 및 단말기의 보안 메모리에 ID 데이터의 제 2 피스를 저장하는 것을 포함하고, 상기 데이터의 제 2 피스가 사용자의 도출된 ID를 정의하는 사전 단계; 및
서버에서 단말기로 암호화를 위한 토큰을 전송하고, 적어도 토큰의 암호화를 발생하기 위해 단말기에서 데이터의 제 2 피스를 이용하며, 서버에 의해 암호화된 토큰의 검증이 긍정적일 경우, 서버가 단말기 사용자의 ID 검증을 인가하며, 암호화된 토큰이 서버로 전송되고 서버에 의해 검증되는 ID 검증을 위한 유통 단계를 포함하는 통신 단말기(TER)의 사용자 ID 검증방법을 제안한다.
따라서, 통신단말기(전화, 태블릿, 스마트폰)는, 인증된 ID로부터 발생한 도출된 ID와 관련될 경우, (특히 인증을 저장함으로써) 권한의 검증 및 거래의 로컬 또는 원격 당사자들과 보안 데이터의 공유를 용이하게 하는 연결된 매체가 된다.
실시예에 따르면, 본 발명의 방법은 하기의 특징들 중 하나 이상을 가질 수 있다:
- 암호화는 공개키 기반구조를 이용하고, 도출된 ID 데이터는 적어도 암호화 키를 발생하기 위해 사용된다;
- 도출된 ID 데이터는 단말기에 의해 암호화를 인증하는 디지털 인증서이다;
- 검증이 긍정적일 경우, 암호화된 토큰은 사용자용 디지털 신원 인증서와 관련된다;
- 단말기의 사용자의 생체정보의 검증 후에 사용자의 ID 데이터의 제 1 피스의 상기 통신이 허가된다;
- 유통 단계는 단말기상에 토큰의 암호화를 위한 데이터의 제 2 피스의 사용을 초기화하기 전에 사용자 고유 데이터의 검증을 포함한다;
- 복수의 사전 단계들에는 사용자의 ID 데이터의 제 1 피스의 복수의 통신이 제공되고, 각 서버는 각각의 사용자의 ID 데이터의 제 2 피스를 발생하며, 데이터의 제 2 피스 각각은 사용자의 도출된 ID를 정의하고, 각 도출된 ID는 액세스가 상기 서비스에 전용인 서버에 암호화된 토큰 검증에 의존하는 서비스에 고유하다.
- 단거리 또는 유선통신용 모듈을 포함한 리더기를 통해 ID 데이터의 제 1 피스를 서버로의 통신이 수행되고, 단말기가 단거리 또는 유선 통신용 해당 모듈을 포함함에 따라, 데이터의 제 2 피스는 단거리 또는 유선 통신에 의해 서버로부터 리더기로, 그런 후 상기 리더기에서 단말기로 전송된다.
- 서버와 관련된 서비스에 대한 액세스를 요청한 장치를 통해 서버와 단말기 간에 암호화용 토큰 및/또는 암호화된 토큰의 전송이 수행되고, 서비스에 대한 액세스는 상기 유통 단계에서 사용자 단말기로부터 사용자의 ID의 검증에 의존한다.
- 단거리 또는 유선 통신에 의해 단말기와 장치 간에 암호화용 토큰 및/또는 암호화된 토큰의 전송이 수행되고, 상기 단말기는 단거리 또는 유선 통신용 모듈을 구비하며, 상기 장치는 단거리 또는 유선 통신용 해당 모듈을 구비한다.
- 이동통신망을 이용해 서버로부터 단말기로 암호화용 토큰의 전송이 수행되고, 서버와 관련된 서비스에 대한 액세스를 요청한 장치를 통해 단말기에서 서버로 암호화된 토큰의 전송이 수행되며, 서비스에 대한 액세스는 상기 유통 단계에서 사용자 단말기로부터 사용자의 ID의 검증에 의존한다.
- 서버와 관련된 서비스에 대한 액세스를 요청한 장치를 통해 서버로부터 단말기로 암호화용 토큰의 전송이 수행되고, 이동통신망을 이용해 단말기에서 서버로 암호화된 토큰의 전송이 수행되며, 서비스에 대한 액세스는 상기 유통 단계에서 사용자 단말기로부터 사용자의 ID의 검증에 의존한다.
본 발명은 또한 본 발명에 따른 방법을 실행하기 위해 적어도 하나의 단말기와 서버를 구비하는 사용자 ID 검증 시스템에 관한 것이다.
본 발명의 내용에 포함됨.
본 발명의 다른 특징 및 이점은 몇가지 가능한 예시적인 실시예들을 소개한 하기의 상세한 설명으로부터 및 첨부도면 검토시에 명백해진다:
도 1은 예비 단말기 선언단계 동안 본 발명에 따른 시스템에 의해 실행된 주요 동작들을 도시한 것이다.
도 2는 단말기를 기초로 현재 ID 검증단계 동안 본 발명에 따른 시스템에 의해 실행된 주요 동작들을 도시한 것이다.
도 1을 참고하면, 사용자는, 예를 들어, 리더기(LEC)에 의해 읽어지는 국가 ID카드(CNI), 고객카드, 학생카드, 또는 기타 다른 카드와 같은 물리적 매체를 제시한다. 이 매체(CNI)가 실소유주("MR X")에 의해 제시된 것인지 검증하기 위해, 카드(CNI)에 대해 리더기(LEC)에 연결된 리더기(BIO)에 사용자는 지문과 같은 생체정보를 제시한다. 한가지 가능한 실시예에서, 리더기는 카드(CNI)로부터 (가령, 스캔에 의해) 데이터를 읽고 생체정보를 갖는 상기 데이터를 가령 원격 서버로 보낸다. 이 원격 서버는 카드(CNI)로부터의 데이터 및 생체정보가 일치하는 것을 검증하고(검증 테스트(S13)), 일치한다면, 프로세스가 계속될 수 있다. 또 다른 가능한 실시예에서, 생체정보는 물리적 매체에 전달된 소정의 데이터를 보호하는데 사용될 수 있다; 생체정보는 (가령 매치온카드(Match On Card)를 이용해) 로컬 검증을 수행하고 그런 후 보호된 데이터의 사용을 인가하는 매체에 전달된다.
이 첫 동작 후에, 리더기는 단계(S10)에서 사용자의 ID 데이터의 제 1 피스(Id1)를 원격 서버(SER)로 보낼 수 있다. 이 ID(Id1)는 가령 개인의 정부 ID 또는 (카드(CNI)가 신용카드인 경우) 은행 ID, 또는 몇몇 다른 ID일 수 있다. ID 데이터의 제 1 피스(Id1)는 또한 원격 서버(SER)로 보내진 인증서의 유효성(인증서 체인, 폐지 상태, 만료일자 등)을 검증하는 디지털 인증서일 수 있다.
일실시예에서, 원격 서버(SER)는 ID 데이터(Id1)의 제 1 피스를 기초로 단계(S11)에서 도출된 ID(Id2)를 판단하고, 제시된 예에서 이 도출된 ID(Id2)에 대한 데이터의 제 2 피스를 리더기(LEC)로 보낸다. 일실시예에서, 리더기(LEC)는 단계 (S12)에서 도출된 ID(Id2)에 대한 데이터의 제 2 피스를 사용자가 선택한 통신 단말기(TER)로 전달하기 위해 단거리 통신용 수단(NFC 모듈(근거리 통신), 또는 Wifi이거나 블루투스 또는 (가령 USB 케이블에 의한) 유선에 의한 통신)을 포함할 수 있고, 단말기(TER)에는 물론 또한 단거리 통신용 모듈이 탑재되어 있다. 대안으로, 도출된 ID(Id2)는 모바일 네트워크에 의해 서버(SER)로부터 단말기(TER)까지 직접 전달될 수 있다.
또 다른 실시예에서, 도출된 ID(Id2) 디지털 인증서일 수 있다. 통신 단말기(TER)의 보안소자는 키 쌍(즉, 한 쌍의 공개키-개인키)을 만들며, 개인키는 비밀을 유지하고 단말기의 보안소자로부터 추출될 수 없다. 공개키는 키 쌍의 인증을 위한 요청과 함께 원격 서버(SER)로 보내진다. 원격 서버(SER)는 인증된 ID에 링크된, 즉, 사용자의 ID 데이터의 제 1 피스(Id1)에 링크된 인증서를 발생한다. 이 인증서는 상기 키 쌍과 함께 통신 단말기(TER)로 되돌려 보내진다.
보다 상세하게, 사용자 단말기(TER)는 보안 메모리(가령, SIM(가입자 식별 모듈)카드, 또는 보다 일반적으로 UICC(Universal Integrated Circuit Card), 또는 단말기의 임의의 보안소자) 모듈에 도출된 ID(Id2)를 저장한다. 이를 위해, 가령 OTA(Over The Air)와 같은 방법을 이용해 애플리케이션이 도출된 ID(Id2)를 저장하기 위해 서버로부터 그리고 리더기(LEC)를 통해 단말기, 가령 단말기(TER)에 설치된 "카드렛"으로 전송될 수 있다.
일실시예에 따르면, 단말기(TER)는 도 2를 참조로 후술된 바와 같이 사용자 단말기(TER)로부터 사용자 ID의 검증 동안 대칭 암호화(또는 비대칭형 암호용 비대칭)가 나중에 발생하도록 하며 도출된 ID(Id2)의 데이터로부터 키 또는 키 쌍을 만들 수 있다.
또 다른 실시예에 따르면, 도출된 ID(Id2)가 상술한 바와 같은 디지털 인증서일 경우, 도 2를 참조로 기술된 바와 같이 사용자 단말기(TER)로부터 인증된 ID에 대한 인증서와 관련된 키 쌍이 사용자 ID의 검증 동안 나중에 발생하는 암호화를 위해 사용될 것이다.
도 2에 도시된 예시적인 실시예에서, 컴퓨터 PC, 자동 서비스 단말기, 또는 몇몇 다른 장치와 같은 장치는 인터넷과 같은 네트워크를 통해 서비스 플랫폼과 소통한다. 보안 서비스를 제공하기 전에, 이 서비스와 관련된 서버(SER)는 사용자의 ID를 검증해야 한다. 따라서, 사용자의 단말기(TER)로부터 사용자의 ID를 검증하는 상술한 단계로 사용이 이루어진다. 이를 위해, 도 2를 참조로, 단계(S21)에서, 서버(SER)는 토큰(C)(즉, 가령 문서의 난수 또는 해시에 해당할 수 있는 "챌린지")을 가령 장치(PC)로 보낸다. 근거리통신(NFC)을 이용해, 토큰이 단말기(TER)로 보내지며, 이는 단계(S23)에서 보안 메모리에(가령, SIM 카드에) 저장된 데이터 및 이 토큰을 서명하기 위한 암호화 리소스를 이용한다. 이점적으로, 시스템 절차가 단말기(TER)에 실행될 수 있으며, 이는 단말기에 저장된 암호화 키(들)가 서명을 발생하기 위해 사용될 경우 사용자 고유 데이터를 검증하는 것으로 구성된다. 예컨대, 맨-머신 인터페이스는 사용자가 단계(S22)에서 개인 코드를 입력하도록 또는 기설정된 생체정보(지문, 동공, 또는 기타)를 제공하도록 요청할 수 있다. 이런 식으로, 악의적인 제 3 자가 단말기(TER)를 부정취득한 경우, 단계(S23)에서 서명이 발생되지 않을 수 있고 물론 컴퓨터 PC 또는 서비스 단말기에 어떠한 서비스도 연이어 제공될 수 없다.
서명된 토큰(C*)은 단계(S24)에서 가령 근거리 통신에 의해 컴퓨터(PC)를 통해, 특히 NFC 모듈을 통해 서버(SER)로 되돌려 보내진다. 단계(S25)에서, 서버(SER)는 자신의 키(들)를 이용해 그리고 물론, 초기화된 토큰(C)을 이용해 이 서명을 검증한다. 서명의 검증은 인증서의 유효성(인증서 체인, 폐기 상태, 만료일자 등)의 표준 검증을 포함할 수 있다. 더욱이, 단계(S21)에서 전송된 토큰, 단계(S24)에서 반환된 "응답"(즉, 단말기(TER)의 개인 키에 의해 서명된 토큰), 및 인증서에 있는 공개키를 알면, 검증 서버가 이 서명의 유효성을 검증할 수 있다.
따라서 이 서명은 상기 서비스에 대해 사용자를 식별하는 디지털 인증서에 해당하는 것으로 이해된다.
도 2를 참조로 사용자의 ID를 검증하는 단계는 피서명 토큰(C)이 모바일 네트워크에 의해 서버(SER)로부터 직접적으로 통신단말기(TER)로 전송될 수 있고, 통신 단말기에 의해 서명되며, 그런 후 서명된 토큰(C*)이 장치(컴퓨터 PC 또는 자동화 서비스 단말기)의 NFC 인터페이스를 통해 서버로 반환되는 예를 의미하는 듀얼-채널일 수 있다. 듀얼-채널 통신은 또한 장치(컴퓨터 PC 또는 자동화 서비스 단말기)의 NFC 인터페이스를 통해 서버(SER)로부터 통신 단말기(TER)로 피서명 토큰(C)의 통신, 및 모바일 네트워크를 통해 단말기(TER)로부터 서버(SER)로 서명된 토큰(C*)의 직접 귀환통신을 포함할 수 있는 것으로 이해된다.
특별한 실시예에서, 상기 도출된 ID(Id2)는 가령 카드(CNI)를 판독함으로 인해 발생한 ID 데이터의 제 1 피스(Id1)에 적용된 해시함수로부터 계산된다. 다음, 단말기(TER)의 보안 메모리에 저장된 적어도 하나의 키(또는 한 쌍의 공개키와 개인키)가 이 도출된 ID(Id2)(가령, 비대칭형 암호의 경우 개인키)로부터 계산된다. 더욱이, 사용자 ID가 단말기에 의해 검증된 후에, 보안 서비스를 위해 세션이 확립될 수 있다. 예컨대, 다양한 키가 장치 PC와 서버(SER)에 연결된 서비스 플랫폼 간에 교환을 위해 사용될 수 있다.
물론, 본 발명은 예로써 상술한 실시예에 국한되지 않는다. 다른 변형들로 확장된다.
예컨대, 근거리 통신을 이용함으로써 리더기와의 상호작용을 앞서 설명하였다. 변형으로, 가령, 사전 단말기 선언단계 및 연이은 ID 검증단계 모두에 대해 이동통신망을 통해 단말기(TER)와 서버(SER) 사이에 직접 통신이 확립될 수 있다.
더욱이, 도 2를 참조로 장치(PC)(또는 통신 단말기로서 리더기(LEC)의 사용을 앞서 설명하였다. 간단한 변형으로, 단말기(TER)는 서비스에 액세스하기 위해 (또는 단말기의 초기 등록을 위해) 직접 사용될 수 있고 어떠한 중간 장치 없이 서버와 단말기 간에 직접 통신에 의해 챌린지(또는 등록)를 위한 서명의 검증이 행해진다. 그러나, 통신 장치(리더기 단말기(LEC), 컴퓨터(PC), 태블릿, 또는 텔레비전)의 사용은 이점적으로 사용의 인체공학을 향상시키는 인터페이스를 제공한다.
또한, 애플리케이션 서버(SER)와의 상호작용을 상술하였다. 대안으로, CMS(Card Management System) 또는 TSM(Trusted Service Management)을 기초로 한 장치와의 상호작용이 동일한 방식으로 제공될 수 있다.
따라서, 본 발명은 에볼루션(도난, 분실, 부인 등)이 매체(CNI)의 원래 발행자에 의해 이미 관리될 수 있고 관련된 권한들의 빠르고 쉬우며 보안적이고 익명의 검증을 허용하는 도출된 ID를 심어 넣기 위해 통신 대상에 하나의(또는 하나 이상의) 매립된 보안 구성부품(들)을 이용하는 것을 제안한다.
이를 위해, 계산이 수행된 후, 가령 로컬 교환에 의해, 또는 대안으로 (Wifi 또는 기타 연결에 의한) 인터넷을 통해, 또는 가능하게는 소셜 네트워크(Facebook, LinkedIn, 가능하게는 심지어 iTunes®)의 사용자 인터페이스를 통해, 또는 이동통신망(3G, LTE, 또는 기타) 위로의 통신에 의해, 통신 대상의 인터페이스를 통해 도출된 ID의 전달이 잇따른다. 이는 보안 메모리에만 도출된 ID를 저장할 수 없다. 사전 단말기 선언단계의 실행에서와 동일한 인터페이스를 이용해 전송된 외부 요청의 전송을 다루는 애플리케이션의 통신 대상에 스토리지가 제공될 수 있다. 이점적으로, 모바일 단말기 선언 전에 사용자 데이터의 로컬 인증이 제공될 수 있다. 그런 후, 본 발명은 각 서비스에 고유한 디지털 서명의 발생으로 관련된 요청 또는 온라인 서비스에 따라 암호화 동작의 맞춤화를 가능하게 한다. 본 발명은 또한 서비스 동안 거래에 연루된 당사자들과 중요한 정보를 공유하는 것을 방지한다.
이점적으로, 단말기, 인증된 ID, 사용자의 페어링의 검증은 2 또는 3가지 요인들(내가 가진 인증된 ID의 데이터, 내가 알고 있는 PIN 코드, 나의 생체정보)을 기반으로 할 수 있다. 인증된 전달자(bearer)의 2 또는 3가지 요인들을 이용한 인증 데이터의 검증 후, 정부발행 ID카드(CNI), 고객카드, 학생카드 또는 기타를 이용해 단말기의 초기 등록이 수행될 수 있다. 따라서, 디지털 서명의 발생에 생체정보/암호화의 도입은 선택적이나 바람직한 실시예이다. 그런 다음 본 발명은 ID를 공유하지 않고도 원격 서버에 의한 검증으로 무의미한 데이터를 공유하게 한다. 이는 또한 인증서 및/또는 디지털 서명의 발생 및 통신을 가능하게 하여, 추후 감사를 위한 선택을 제공하고, 특정 환경을 필요로 하지 않고도 서명된 애플리케이션의 발행 후 맞춤화를 가능하게 하는 조건 하에서 마찬가지이다.
따라서, 보안제품(보안 프로세서가 달린 카드 또는 시스템)일 수 있는 초기 매체(CNI)로부터의 정보를 기초로 계산된 데이터와 인증된 전달자 간에 단일 링크의 형성으로 인한 전달자의 초기 신원을 기초로 고도로 민감한 애플리케이션에 대한 맞춤화가 보장된다. 그런 후, 전달자에 의해 발생된(그리고 대상에 이용가능하지 않은) 데이터를 기초로 다양한 알고리즘을 발생하기 위한 조건들의 생성도 또한 이점이다.

Claims (13)

  1. 사용자의 ID 데이터의 제 1 피스(Id1)를 적어도 하나의 서버(SER)로 보내고(S10), 사용자의 ID 데이터의 제 2 피스(Id2)를 적어도 하나의 서버(SER)에서 발생하며(S11), 및 단말기의 보안 메모리(SIM)에 ID 데이터의 제 2 피스(Id2)를 저장하는 것(S12)을 포함하고, 상기 데이터의 제 2 피스가 사용자의 도출된 ID를 정의하는 사전 단계; 및
    서버에서 단말기로 암호화를 위한 토큰(C)을 전송하고(S21), 적어도 토큰의 암호화를 발생하기 위해 단말기에서 데이터의 제 2 피스를 이용하며(S23), 서버에 의해 암호화된 토큰의 검증이 긍정적일 경우, 서버가 단말기 사용자의 ID 검증을 인가하며, 암호화 토큰(C*)이 서버로 전송되고 서버에 의해 검증되는(S25) ID 검증을 위한 유통 단계를 포함하는 통신 단말기(TER)의 사용자 ID 검증방법.
  2. 제 1 항에 있어서,
    암호화는 공개키 기반구조를 이용하고, 도출된 ID 데이터(Id2)는 적어도 암호화 키를 발생하기 위해 사용되는 통신 단말기(TER)의 사용자 ID 검증방법.
  3. 제 1 항에 있어서,
    도출된 ID 데이터(Id2)는 단말기에 의해 암호화를 인증하는 디지털 인증서인 통신 단말기(TER)의 사용자 ID 검증방법.
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    검증이 긍정적일 경우, 암호화된 토큰은 사용자용 디지털 신원 인증서와 관련된 통신 단말기(TER)의 사용자 ID 검증방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    단말기(S13)의 사용자의 생체정보의 검증 후에 사용자의 ID 데이터의 제 1 피스(Id1)의 서버로의 상기 통신이 허가되는 통신 단말기(TER)의 사용자 ID 검증방법.
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    유통 단계는 단말기상에 토큰의 암호화를 위한 데이터의 제 2 피스의 사용을 초기화하기 전에 사용자 고유 데이터의 검증(S22)을 포함하는 통신 단말기(TER)의 사용자 ID 검증방법.
  7. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    복수의 사전 단계들에는 사용자 ID의 제 1 피스를 복수의 서버들로 복수의 통신들이 제공되고, 각 서버는 각각의 사용자 ID의 제 2 피스를 발생하며, 각각의 데이터의 제 2 피스는 사용자의 도출된 ID를 정의하고, 각 도출된 ID는 액세스가 상기 서비스 전용 서버에 암호화 토큰 검증에 따르는 서비스에 고유한 통신 단말기(TER)의 사용자 ID 검증방법.
  8. 제 1 항 내지 제 7 항 중 어느 한 항에 있어서,
    단거리(NFC) 또는 유선통신용 모듈을 포함한 리더기(LEC)를 통해 ID 데이터의 제 1 피스(Id1)를 서버(SER)로의 통신이 수행되고,
    단말기는 단거리 또는 유선 통신용 해당 모듈을 포함하며, 데이터의 제 2 피스(Id2)는 단거리 또는 유선 통신에 의해 서버로부터 리더기로, 그런 후 상기 리더기에서 단말기로 전송되는 통신 단말기(TER)의 사용자 ID 검증방법.
  9. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    서버(SER)와 관련된 서비스에 대한 액세스를 요청한 장치(PC)를 통해 서버와 단말기 간에 암호화용 토큰(C) 및/또는 암호화된 토큰(C*)의 전송이 수행되고, 서비스에 대한 액세스는 상기 유통 단계에서 사용자 단말기로부터 사용자의 ID의 검증에 의존하는 통신 단말기(TER)의 사용자 ID 검증방법.
  10. 제 9 항에 있어서,
    단거리(NFC) 또는 유선 통신에 의해 단말기(TER)와 장치(PC) 간에 암호화용 토큰(C) 및/또는 암호화된 토큰(C*)의 전송이 수행되고,
    상기 단말기(TER)는 단거리(NFC) 또는 유선 통신용 모듈을 구비하며, 상기 장치(PC)는 단거리 또는 유선 통신용 해당 모듈을 구비하는 통신 단말기(TER)의 사용자 ID 검증방법.
  11. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    이동통신망을 이용해 서버(SER)로부터 단말기(TER)로 암호화용 토큰(C)의 전송이 수행되고, 서버(SER)와 관련된 서비스에 대한 액세스를 요청한 장치(PC)를 통해 단말기에서 서버로 암호화된 토큰(C*)의 전송이 수행되며, 서비스에 대한 액세스는 상기 유통 단계에서 사용자 단말기로부터 사용자의 ID의 검증에 의존하는 통신 단말기(TER)의 사용자 ID 검증방법.
  12. 제 1 항 내지 제 8 항 중 어느 한 항에 있어서,
    서버(SER)와 관련된 서비스에 대한 액세스를 요청한 장치(PC)를 통해 서버(SER)로부터 단말기(TER)로 암호화용 토큰(C)의 전송이 수행되고, 이동통신망을 이용해 단말기에서 서버로 암호화된 토큰(C*)의 전송이 수행되며, 서비스에 대한 액세스는 상기 유통 단계에서 사용자 단말기로부터 사용자의 ID의 검증에 의존하는 통신 단말기(TER)의 사용자 ID 검증방법.
  13. 제 1 항 내지 제 12 항 중 어느 한 항에 따른 방법을 구현하기 위해 적어도 하나의 단말기(TER)와 서버(SER)를 구비하는 사용자 ID 검증 시스템.
KR1020147024987A 2012-02-27 2013-01-31 통신단말기의 사용자 id 검증방법 및 관련 시스템 KR20140134663A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
FR1251753A FR2987529B1 (fr) 2012-02-27 2012-02-27 Procede de verification d'identite d'un utilisateur d'un terminal communiquant et systeme associe
FR1251753 2012-02-27
PCT/FR2013/050197 WO2013128091A1 (fr) 2012-02-27 2013-01-31 Procede de verification d'identite d'un utilisateur d'un terminal communiquant et systeme associe

Publications (1)

Publication Number Publication Date
KR20140134663A true KR20140134663A (ko) 2014-11-24

Family

ID=47754791

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147024987A KR20140134663A (ko) 2012-02-27 2013-01-31 통신단말기의 사용자 id 검증방법 및 관련 시스템

Country Status (7)

Country Link
US (1) US10050791B2 (ko)
EP (1) EP2820795B1 (ko)
JP (2) JP2015515168A (ko)
KR (1) KR20140134663A (ko)
ES (1) ES2713390T3 (ko)
FR (1) FR2987529B1 (ko)
WO (1) WO2013128091A1 (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2987199B1 (fr) 2012-02-16 2015-02-20 France Telecom Securisation d'une transmission de donnees.
US10574560B2 (en) * 2013-02-13 2020-02-25 Microsoft Technology Licensing, Llc Specifying link layer information in a URL
US9218468B1 (en) 2013-12-16 2015-12-22 Matthew B. Rappaport Systems and methods for verifying attributes of users of online systems
FR3026524B1 (fr) * 2014-09-25 2016-10-28 Morpho Authentification d'un dispositif electronique securise depuis un dispositif electronique non securise
FR3037754B1 (fr) * 2015-06-22 2017-07-28 Orange Gestion securisee de jetons electroniques dans un telephone mobile
KR101834849B1 (ko) * 2015-08-19 2018-03-06 삼성전자주식회사 전자 장치 및 전자 장치의 사용자 인증 방법
KR101584628B1 (ko) * 2015-08-21 2016-01-12 주식회사 디엔아이 소화기 관리장치 및 소화기
US9699655B1 (en) * 2016-02-23 2017-07-04 T-Mobile Usa, Inc. Cellular device authentication
US10476862B2 (en) 2017-03-31 2019-11-12 Mastercard International Incorporated Systems and methods for providing digital identity records to verify identities of users
WO2019055969A1 (en) * 2017-09-18 2019-03-21 Mastercard International Incorporated SYSTEMS AND METHODS FOR MANAGING DIGITAL IDENTITIES ASSOCIATED WITH MOBILE DEVICES
US11100503B2 (en) 2018-02-07 2021-08-24 Mastercard International Incorporated Systems and methods for use in managing digital identities
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11470084B2 (en) * 2018-09-18 2022-10-11 Cyral Inc. Query analysis using a protective layer at the data source
EP3723017A1 (en) 2019-04-08 2020-10-14 Mastercard International Incorporated Improvements relating to identity authentication and validation
CN111552940A (zh) * 2020-05-14 2020-08-18 华北理工大学 一种基于安全模块的数据传输系统及方法
US11930014B2 (en) 2021-09-29 2024-03-12 Bank Of America Corporation Information security using multi-factor authorization

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3754004B2 (ja) * 2002-05-20 2006-03-08 システムニーズ株式会社 データ更新方法
US20040123113A1 (en) * 2002-12-18 2004-06-24 Svein Mathiassen Portable or embedded access and input devices and methods for giving access to access limited devices, apparatuses, appliances, systems or networks
JP2004199534A (ja) * 2002-12-20 2004-07-15 Hitachi Ltd Icカードを利用した決済システム
JP4109164B2 (ja) * 2003-06-30 2008-07-02 大日本印刷株式会社 暗号鍵の生成システム、暗号鍵の生成方法及び暗号鍵の生成プログラム
US7083089B2 (en) * 2004-01-20 2006-08-01 Hewlett-Packard Development Company, L.P. Off-line PIN verification using identity-based signatures
US7805614B2 (en) * 2004-04-26 2010-09-28 Northrop Grumman Corporation Secure local or remote biometric(s) identity and privilege (BIOTOKEN)
US8678901B1 (en) * 2005-09-07 2014-03-25 Bally Gaming System gaming
US8171531B2 (en) * 2005-11-16 2012-05-01 Broadcom Corporation Universal authentication token
EP1811421A1 (en) * 2005-12-29 2007-07-25 AXSionics AG Security token and method for authentication of a user with the security token
JP4299316B2 (ja) * 2006-05-12 2009-07-22 株式会社日立製作所 情報処理システム
US20100242102A1 (en) * 2006-06-27 2010-09-23 Microsoft Corporation Biometric credential verification framework
US8522019B2 (en) * 2007-02-23 2013-08-27 Qualcomm Incorporated Method and apparatus to create trust domains based on proximity
US20110002461A1 (en) * 2007-05-11 2011-01-06 Validity Sensors, Inc. Method and System for Electronically Securing an Electronic Biometric Device Using Physically Unclonable Functions
US20090076891A1 (en) * 2007-09-13 2009-03-19 Cardone Richard J System for electronic voting using a trusted computing platform
US8037295B2 (en) * 2008-04-15 2011-10-11 Authenex, Inc. Hardware-bonded credential manager method and system
DE102008024798A1 (de) 2008-05-23 2009-12-17 T-Mobile International Ag Verfahren zur Over-The-Air Personalisierung von Chipkarten in der Telekommunikation
US20090307140A1 (en) * 2008-06-06 2009-12-10 Upendra Mardikar Mobile device over-the-air (ota) registration and point-of-sale (pos) payment
FR2936391B1 (fr) * 2008-09-19 2010-12-17 Oberthur Technologies Procede d'echange de donnees, telles que des cles cryptographiques, entre un systeme informatique et une entite electronique, telle qu'une carte a microcircuit
EP2211497A1 (fr) * 2009-01-26 2010-07-28 Gemalto SA Procédé d'établissement de communication sécurisée sans partage d'information préalable
JP5305289B2 (ja) * 2009-01-29 2013-10-02 日本電信電話株式会社 ユーザ認証方法、ユーザ認証システム、ユーザ端末、ユーザ認証装置、ユーザ端末用プログラム及びユーザ認証装置用プログラム
WO2010133998A1 (en) * 2009-05-20 2010-11-25 Koninklijke Philips Electronics N.V. Method and device for enabling portable user reputation
ES2572159T3 (es) * 2009-11-12 2016-05-30 Morpho Cards Gmbh Un método de asignación de un secreto a un testigo de seguridad, un método de operación de un testigo de seguridad, un medio de almacenamiento y un testigo de seguridad
US8667265B1 (en) * 2010-07-28 2014-03-04 Sandia Corporation Hardware device binding and mutual authentication
US8516269B1 (en) * 2010-07-28 2013-08-20 Sandia Corporation Hardware device to physical structure binding and authentication
US8380637B2 (en) * 2011-01-16 2013-02-19 Yerucham Levovitz Variable fractions of multiple biometrics with multi-layer authentication of mobile transactions
US10380570B2 (en) * 2011-05-02 2019-08-13 Ondot System, Inc. System and method for secure communication for cashless transactions
JP2014523192A (ja) * 2011-07-07 2014-09-08 ベラヨ インク デバイス及びサーバの通信におけるファジーな認証情報を用いた暗号化によるセキュリティ
EP2648163B1 (en) * 2012-04-02 2020-02-12 Tata Consultancy Services Limited A personalized biometric identification and non-repudiation system
US20140237256A1 (en) * 2013-02-17 2014-08-21 Mourad Ben Ayed Method for securing data using a disposable private key

Also Published As

Publication number Publication date
JP2015515168A (ja) 2015-05-21
JP2018038068A (ja) 2018-03-08
ES2713390T3 (es) 2019-05-21
FR2987529A1 (fr) 2013-08-30
US10050791B2 (en) 2018-08-14
EP2820795A1 (fr) 2015-01-07
FR2987529B1 (fr) 2014-03-14
EP2820795B1 (fr) 2018-11-28
US20150038118A1 (en) 2015-02-05
JP6586446B2 (ja) 2019-10-02
WO2013128091A1 (fr) 2013-09-06

Similar Documents

Publication Publication Date Title
JP6586446B2 (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
US11258777B2 (en) Method for carrying out a two-factor authentication
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
US10885501B2 (en) Accredited certificate issuance system based on block chain and accredited certificate issuance method based on block chain using same, and accredited certificate authentication system based on block chain and accredited certificate authentication method based on block chain using same
JP5601729B2 (ja) 移動無線機の移動無線網へのログイン方法
US20190173873A1 (en) Identity verification document request handling utilizing a user certificate system and user identity document repository
KR101508360B1 (ko) 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체
US8171531B2 (en) Universal authentication token
US20170171183A1 (en) Authentication of access request of a device and protecting confidential information
CN111275419B (zh) 一种区块链钱包签名确权方法、装置及系统
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
GB2547472A (en) Method and system for authentication
EP3425842A1 (en) Communication system, hardware security module, terminal device, communication method, and program
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
JP2009510644A (ja) 安全な認証のための方法及び構成
US8397281B2 (en) Service assisted secret provisioning
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
KR20110083886A (ko) 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법
KR20180013710A (ko) 공개키 기반의 서비스 인증 방법 및 시스템
US20230133418A1 (en) Personalised, server-specific authentication mechanism
JP2021519966A (ja) リモート生体計測識別
KR20200018546A (ko) 공개키 기반의 서비스 인증 방법 및 시스템
KR101799517B1 (ko) 인증 서버 및 방법
US20240129139A1 (en) User authentication using two independent security elements
KR20180089951A (ko) 전자화폐 거래 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E601 Decision to refuse application