KR20150034970A - Apparatus and method for user authentication - Google Patents

Apparatus and method for user authentication Download PDF

Info

Publication number
KR20150034970A
KR20150034970A KR20130114985A KR20130114985A KR20150034970A KR 20150034970 A KR20150034970 A KR 20150034970A KR 20130114985 A KR20130114985 A KR 20130114985A KR 20130114985 A KR20130114985 A KR 20130114985A KR 20150034970 A KR20150034970 A KR 20150034970A
Authority
KR
South Korea
Prior art keywords
user terminal
information
authentication
user
identification information
Prior art date
Application number
KR20130114985A
Other languages
Korean (ko)
Inventor
김경진
Original Assignee
김경진
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김경진 filed Critical 김경진
Priority to KR20130114985A priority Critical patent/KR20150034970A/en
Publication of KR20150034970A publication Critical patent/KR20150034970A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The present invention relates to an apparatus and a method for user authentication. The user authentication apparatus which is combined with a service server and authenticates a user comprises: an identification information processing unit for transmitting, to a first user terminal, server identification information and session generation information or transmitting image code information based on the server identification information or the session generation information when the service server receives a service request signal from the first user terminal, wherein the first user terminal displays an image code in a display unit based on the received server identification information and the received session generation information, or the received image code information; and an authentication unit for receiving authentication object information from a second user terminal obtaining the server identification information and the session generation information by scanning the image code displayed in the display unit of the first user terminal, and authenticating a user based on the received authentication object information.

Description

사용자 인증 장치 및 방법{APPARATUS AND METHOD FOR USER AUTHENTICATION}[0001] APPARATUS AND METHOD FOR USER AUTHENTICATION [0002]

본 발명은 사용자 인증 장치 및 방법에 관한 것으로서 보다 상세하게는 보안성을 강화하면서도 편의성을 유지할 수 있는 사용자 인증 장치 및 방법에 관한 것이다.
The present invention relates to a user authentication apparatus and method, and more particularly, to a user authentication apparatus and method capable of enhancing security while maintaining convenience.

최근 인터넷을 통한 해킹 사례가 급격히 증가하고 있다. 특히 스마트폰의 보급과 함께 종래의 컴퓨터를 이용한 해킹 뿐 아니라 스마트폰을 이용한 해킹 사례도 급증하고 있다.Recently, hacking cases over the Internet are increasing rapidly. Especially, with the popularization of smart phones, not only hacking using conventional computers but also hacking cases using smart phones are increasing rapidly.

해킹 방식은 최근 계속 진화하고 있어서 예컨대 파밍 방식 등과 같이 악성 코드를 미리 감염시켜 두고 사용자가 정당한 웹 사이트에 접속하는 경우에도 이를 불법 사이트로 접속하도록 하는 경우도 있다. 또한 대형 포털 사이트 등의 개인정보가 유출됨에 따라 이를 이용하여 ID/비밀 번호를 획득하여 불법 사용자가 해당 사이트에 접속하여 개인 정보를 열람하거나 광고 스팸 게시글을 올리는 사례도 급증하고 있다. The hacking method has been evolving in recent years, so that malicious code such as a pharming method may be infected in advance and a user may access the legitimate website even if the user accesses the illegal site. Also, as personal information such as large portal sites is leaked, there are also cases in which an illegal user accesses the relevant site by browsing personal information or uploading an advertisement spam post by acquiring an ID / password using the information.

이러한 불법 로그인을 차단하기 위한 기술로서는, 예컨대 대한민국 공개특허공보 제10-2012-0037330호(2012.04.19.공개)에 개시된 기술이 알려져 있다.As a technique for blocking such an illegal login, for example, a technique disclosed in Korean Patent Laid-Open Publication No. 10-2012-0037330 (published on April 19, 2012) is known.

이에 의하면, 사용자 식별 정보를 수신하여 제1 이미지 객체를 생성하여 이를 저장하고 한편 제1 이미지 객체를 사용자 단말기로 전송한 후, 모바일 단말기에서 제1 이미지 객체를 촬영한 제2 이미지 객체를 수신하여 이를 제1 이미지 객체와 비교하여 인증을 수행하는 방식이 개시되어 있다.According to this, the first image object is generated by receiving the user identification information, and the first image object is transmitted to the user terminal while receiving the second image object. A method of performing authentication in comparison with a first image object is disclosed.

이러한 방법은 별도의 단말인 모바일 단말을 이용하여 이미지 객체를 촬영하도록 하여 이를 비교하므로 컴퓨터만을 이용한 불법 접속을 차단할 수 있다는 효과는 있으나, 사용자 단말에서 최초에는 로그인 정보를 입력하여야 하며 이미지 코드를 비교하여 인증을 수행해야 한다는 점에서 여전히 한계가 있다.
In this method, an image object is photographed using a mobile terminal, which is a separate terminal, so that it is possible to prevent unauthorized access using only a computer. However, the user must first input login information and compare image codes There is still a limit in that authentication must be performed.

대한민국 공개특허공보 제10-2012-0037330호(2012.04.19.공개)Korean Patent Publication No. 10-2012-0037330 (published on April 19, 2012)

본 발명은 상기한 바와 같은 감안하여 안출된 것으로서, 사용자 단말기에서 별도로 ID나 비밀 번호와 같은 인증 대상 정보를 입력할 필요가 없이 이미지 코드를 촬영하는 것만으로 사용자 인증이 이루어질 수 있도록 함으로써 보안성을 유지하면서도 사용자의 편의성을 증대시킬 수 있는 사용자 인증 장치 및 방법을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION The present invention has been made in view of the above-mentioned circumstances, and it is an object of the present invention to provide an image forming apparatus and a method thereof, in which user authentication can be performed only by photographing an image code without inputting authentication target information such as an ID or a password, And an object of the present invention is to provide a user authentication apparatus and method capable of increasing the convenience of users.

또한, 본 발명은 인증 기관이 서버의 도메인 주소 등과 같은 서버 식별 정보를 포함하여 발급한 공개키 인증서를 기반으로 하여, 서버 식별 정보를 이미지 코드로 사용자 단말기에서 표시하도록 하고 표시된 이미지 코드를 별도의 사용자 단말기에서 촬영하여 서버 식별 정보를 획득하고 획득된 서버 식별 정보를 별도의 사용자 단말기에 저장된 공개키 인증서의 서버 식별 정보와 비교하도록 함으로써 사용자가 접속하는 서버가 정당한 서버인지를 쉽게 판별할 수 있도록 하는 사용자 인증 장치 및 방법을 제공하는 것을 또 다른 목적으로 한다.
In addition, the present invention allows a server to display server identification information in an image code on a user terminal based on a public key certificate issued by a certification authority including server identification information such as a domain address of the server, The terminal identification information of the terminal is photographed by the terminal and the server identification information is compared with the server identification information of the public key certificate stored in a separate user terminal so that the user can easily determine whether the server is a legitimate server It is another object to provide an authentication apparatus and method.

상기한 바와 같은 과제를 해결하기 위하여 본 발명은, 서비스 서버와 결합하여 사용자 인증을 수행하는 사용자 인증 장치에 있어서, 서비스 서버가 제1 사용자 단말기로부터 서비스 요청 신호를 수신한 경우, 제1 사용자 단말기로 서버 식별 정보 및 세션 생성 정보를 전송하거나 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송하는 식별 정보 처리부-여기서, 상기 제1 사용자 단말기는 상기 수신한 서버 식별 정보 및 세션 생성 정보 또는 상기 수신한 이미지 코드 정보에 기초하여 이미지 코드를 디스플레이부에 표시함-; 상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 서버 식별 정보 및 세션 생성 정보를 획득한 제2 사용자 단말기로부터 인증 대상 정보를 수신하고, 상기 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하는 인증 수행부를 포함하는 사용자 인증 장치를 제공한다.According to an aspect of the present invention, there is provided a user authentication apparatus for performing user authentication in combination with a service server, the apparatus comprising: a first user terminal for receiving a service request signal from a first user terminal; An identification information processing unit for transmitting the server identification information and the session creation information or transmitting the image code information based on the server identification information and the session creation information, wherein the first user terminal transmits the received server identification information and the session creation information or the reception Displaying an image code on a display unit based on one image code information; Receiving image authentication information from a second user terminal that has obtained the server identification information and the session creation information by scanning the image code displayed on the display unit of the first user terminal and performs user authentication based on the received authentication subject information And a user authentication unit configured to authenticate the user.

여기에서, 상기 서버 식별 정보는 서비스 서버에 대해 인증 기관으로부터 고유하게 미리 부여된 공개키 인증서에 포함되는 것이 바람직하다.Here, the server identification information is preferably included in a public key certificate previously uniquely assigned to the service server from the certification authority.

또한, 상기 제1 사용자 단말기는 서버 식별 정보 및 세션 생성 정보를 수신한 경우 이들에 기초하여 이미지 코드를 생성하여 디스플레이부에 표시하고, 이미지 코드 정보를 수신한 경우 이에 상응하는 이미지 코드를 디스플레이부에 표시하도록 구성할 수 있다.When the first user terminal receives the server identification information and the session creation information, the first user terminal generates and displays the image code on the display unit based on the server identification information and the session creation information, and when receiving the image code information, Can be configured to be displayed.

또한, 상기 인증 대상 정보는 사용자 식별자 및 비밀 번호 중 적어도 어느 하나 이상을 포함할 수 있다.In addition, the authentication object information may include at least one of a user identifier and a password.

또한, 상기 인증 대상 정보는, 제2 사용자 단말기에 미리 저장되어 있거나 사용자로부터의 입력에 의해 획득될 수 있다,Further, the authentication object information may be stored in advance in the second user terminal or may be acquired by input from the user.

또한, 상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 획득한 서버 식별 정보에 상응하는 공개키 인증서가 제2 사용자 단말기에 저장되어 있지 않은 경우 상기 제2 사용자 단말기가 해당 서버 식별 정보에 상응하는 공개키 인증서를 인증 기관으로부터 획득할 수도 있다.If the public key certificate corresponding to the server identification information obtained by scanning the image code displayed on the display unit of the first user terminal is not stored in the second user terminal, A corresponding public key certificate may be obtained from the certificate authority.

또한, 상기 제2 사용자 단말기는 상기 공개키 인증서로부터 공개키 정보를 획득할 수도 있다.Also, the second user terminal may obtain the public key information from the public key certificate.

또한, 상기 인증 수행부가 수신하는 인증 대상 정보는, 상기 공개키 정보에 기초하여 제2 사용자 단말기로부터 암호화되어 전송될 수 있다.The authentication object information received by the authentication performing unit may be encrypted and transmitted from the second user terminal based on the public key information.

또한, 상기 제2 사용자 단말기는, 상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 획득한 서버 식별 정보와 상기 공개키 인증서에 포함된 서버 식별 정보를 비교하여 해당 서버 식별 정보에 상응하는 서비스 서버가 정당한 서버인지를 인증하도록 구성할 수도 있다.The second user terminal compares the server identification information acquired by scanning the image code displayed on the display unit of the first user terminal with the server identification information included in the public key certificate, It may be configured to authenticate that the service server is a legitimate server.

또한, 상기 인증 수행부는, 사용자 인증 수행 결과 정보를 제1 사용자 단말기 및 제2 사용자 단말기에 함께 전송하도록 할 수도 있다.Also, the authentication performing unit may transmit the user authentication result information together with the first user terminal and the second user terminal.

또한, 상기 인증 수행부는, 사용자 인증 수행 결과 정보를 제2 사용자 단말기로 전송하고 제2 사용자 단말기로부터 승인 신호가 수신된 경우 사용자 인증 완료 상태의 서비스 페이지를 제1 사용자 단말기로 전송하도록 구성할 수 있다.Also, the authentication performing unit may transmit the user authentication result information to the second user terminal, and if the approval signal is received from the second user terminal, the authentication performing unit may transmit the service page of the user authentication completed state to the first user terminal .

본 발명의 다른 측면에 의하면, 서비스 서버와 결합하는 사용자 인증 장치에서 사용자를 인증하는 방법에 있어서, 서비스 서버가 제1 사용자 단말기로부터 서비스 요청 신호를 수신한 경우 제1 사용자 단말기로 서버 식별 정보 및 세션 생성 정보를 전송하거나 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송하는 제1 단계-여기서, 상기 제1 사용자 단말기는 상기 수신한 서버 식별 정보 및 세션 생성 정보 또는 상기 수신한 이미지 코드 정보에 기초하여 이미지 코드를 디스플레이부에 표시함-; 상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 서버 식별 정보 및 세션 생성 정보를 획득한 제2 사용자 단말기로부터 인증 대상 정보를 수신하는 제2 단계; 및 상기 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하는 제3 단계를 포함하는 사용자 인증 방법을 제공한다.According to another aspect of the present invention, there is provided a method of authenticating a user in a user authentication apparatus coupled with a service server, the method comprising: when a service server receives a service request signal from a first user terminal, A first step of transmitting generation information or image code information based on the server identification information and the session generation information, wherein the first user terminal transmits the generated server identification information and session creation information or the received image code information Displaying an image code on a display unit based on the image code; A second step of receiving authentication object information from a second user terminal that has acquired server identification information and session creation information by scanning an image code displayed on a display unit of the first user terminal; And a third step of performing user authentication based on the received authentication object information.

본 발명의 또 다른 측면에 의하면, 서비스 서버와 결합하는 사용자 인증 장치에서 사용자를 인증하는 방법에 있어서, 서비스 서버가 제1 사용자 단말기로부터 서비스 요청 신호를 수신하고 이에 상응하는 서비스 응답 페이지를 제1 사용자 단말기로 제공하는 제1 단계; 제1 사용자 단말기가 암호학적 키교환 프로토콜을 제공하기 위한 키쌍을 생성하고, 공개키가 포함된 이미지 코드를 생성하는 제2 단계;-여기서, 상기 제1 사용자 단말기는 상기 이미지 코드를 디스플레이부에 표시함-; 제2 사용자 단말기가 상기 이미지 코드를 스캔하여 제1 사용자 단말기의 공개키를 획득하고 획득된 공개키에 기초하여 암호화한 인증 대상 정보를 제1 사용자 단말기로 전송하는 제3 단계; 제1 사용자 단말기가 제2 사용자 단말기로부터 수신한 암호화된 인증 대상 정보를 복호화하고 이를 서비스 서버로 전송하는 제4 단계; 및 상기 서비스 서버가 제1 사용자 단말기로부터 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하는 제5 단계를 포함하는 사용자 인증 방법을 제공한다.
According to another aspect of the present invention, there is provided a method for authenticating a user in a user authentication apparatus coupled with a service server, the method comprising: receiving a service request signal from a first user terminal, To a terminal; A second step of the first user terminal generating a key pair for providing a cryptographic key exchange protocol and generating an image code including a public key, wherein the first user terminal displays the image code on a display unit box-; A third step of the second user terminal scanning the image code to obtain the public key of the first user terminal and transmitting the encrypted authentication information based on the obtained public key to the first user terminal; A fourth step of the first user terminal decrypting the encrypted authentication target information received from the second user terminal and transmitting the decrypted encrypted authentication target information to the service server; And a fifth step of performing the user authentication based on the authentication object information received from the first user terminal by the service server.

본 발명에 의하면, 사용자 단말기에서 별도로 ID나 비밀 번호와 같은 인증 대상 정보를 입력할 필요가 없이 이미지 코드를 촬영하는 것만으로 사용자 인증이 이루어질 수 있도록 함으로써 보안성을 유지하면서도 사용자의 편의성을 증대시킬 수 있는 사용자 인증 장치 및 방법을 제공할 수 있다.According to the present invention, user authentication can be performed only by photographing an image code without having to input authentication target information such as an ID and a password separately from the user terminal, thereby enhancing the convenience of the user while maintaining security A user authentication apparatus and method can be provided.

또한, 본 발명은 인증 기관이 서버의 도메인 주소 등과 같은 서버 식별 정보를 포함하여 발급한 공개키 인증서를 기반으로 하여, 서버 식별 정보를 이미지 코드로 사용자 단말기에서 표시하도록 하고 표시된 이미지 코드를 별도의 사용자 단말기에서 촬영하여 서버 식별 정보를 획득하고 획득된 서버 식별 정보를 별도의 사용자 단말기에 저장된 공개키 인증서의 서버 식별 정보와 비교하도록 함으로써 사용자가 접속하는 서버가 정당한 서버인지를 쉽게 판별할 수 있도록 하는 사용자 인증 장치 및 방법을 제공할 수 있다.
In addition, the present invention allows a server to display server identification information in an image code on a user terminal based on a public key certificate issued by a certification authority including server identification information such as a domain address of the server, A user who is able to easily determine whether the server to which the user is connected is a legitimate server by obtaining the server identification information and comparing the obtained server identification information with server identification information of a public key certificate stored in a separate user terminal An authentication apparatus and method can be provided.

도 1은 본 발명에 의한 사용자 인증 장치 및 사용자 인증 장치와 결합하여 서비스를 제공하는 서비스 서버와 사용자 단말기 및 인증 기관의 전체적인 연결 관계를 나타낸 도면이다.
도 2는 본 발명에 의한 사용자 인증 장치(10)의 내부 구성을 나타낸 도면이다.
도 3은 본 발명에 의한 사용자 인증 방법의 일실시예를 나타낸 흐름도이다.
도 4는 본 발명의 다른 실시예에 의한 사용자 인증 방법을 나타낸 흐름도이다.1 is a diagram illustrating a connection relationship between a service server providing a service in combination with a user authentication apparatus and a user authentication apparatus according to the present invention, a user terminal, and a certification authority.
2 is a diagram showing an internal configuration of the user authentication apparatus 10 according to the present invention.
3 is a flowchart illustrating an embodiment of a user authentication method according to the present invention.
4 is a flowchart illustrating a user authentication method according to another embodiment of the present invention.

이하, 첨부 도면을 참조하여 본 발명에 의한 실시예를 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 의한 사용자 인증 장치(10) 및 사용자 인증 장치(10)와 결합하여 서비스를 제공하는 서비스 서버(100)와 사용자 단말기(200,300) 및 인증 기관(400)의 전체적인 연결 관계를 나타낸 도면이다.1 illustrates the overall connection relationship between a service server 100 providing a service in combination with a user authentication apparatus 10 and a user authentication apparatus 10 according to the present invention, user terminals 200 and 300, and a certification authority 400 FIG.

도 1을 참조하면, 본 발명에 의한 사용자 인증 장치(10)는, 서비스 서버(100)에 포함되어 있으며, 서비스 서버(100)는 네트워크를 통해 제1 사용자 단말기(200), 제2 사용자 단말기(300) 및 인증 기관(400)과 연결되어 있다.Referring to FIG. 1, a user authentication apparatus 10 according to the present invention is included in a service server 100, and a service server 100 is connected to a first user terminal 200, a second user terminal 300 and the certification authority 400. [

서비스 서버(100)는 네트워크를 통해 사용자에게 서비스를 제공하기 위한 서버로서 예컨대 네트워크를 통해 사용자 단말기측으로 웹 서비스를 제공하는 종래 알려져 있는 웹 서버일 수 있다. 서비스 서버(100)는 사용자 인증을 수행하지 않고 단순히 서비스를 제공하는 경우도 있으나 사용자로부터 ID 및 비밀 번호와 같은 로그인 정보를 입력받아 사용자 인증을 수행하는 경우가 많은데 본 발명에서의 사용자 인증 장치(10)는 서비스 서버(100)와 결합하여 사용자 인증 과정을 후술하는 바와 같이 수행하는 점을 특징으로 한다. The service server 100 may be a conventional web server providing a web service to a user terminal via a network, for example, as a server for providing a service to a user through a network. In some cases, the service server 100 does not perform user authentication but simply provides a service. However, in many cases, the user authentication is performed by receiving login information such as an ID and a password from a user. Is combined with the service server 100 to perform a user authentication process as described below.

즉, 본 발명에서의 서비스 서버(100)는 인증 기관(400)으로부터 서비스 서버(100)마다 고유하게 부여되는 서버 식별 정보를 포함하는 공개키 인증서를 부여받아 저장해 두고 있으며, 제1 사용자 단말기(200)로부터 서비스 요청 신호가 수신되면 사용자 인증 장치(10)는 제1 사용자 단말기(200)로 서버 식별 정보 및 세션(session) 생성 정보를 전송하거나 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송한다. That is, the service server 100 according to the present invention receives and stores a public key certificate including server identification information uniquely assigned to each service server 100 from the certification authority 400, and the first user terminal 200 The user authentication apparatus 10 transmits server identification information and session generation information to the first user terminal 200 or transmits image identification information based on the server identification information and the session creation information do.

이후 제1 사용자 단말기(200)가 서버 식별 정보 및 세션 생성 정보 또는 이미지 코드 정보에 기초하여 이미지 코드를 디스플레이부에 표시하면 제2 사용자 단말기(300)가 이를 스캔하여 서버 식별 정보 및 세션 생성 정보를 획득한다. 다음으로, 제2 사용자 단말기(300)가 예컨대 ID 및 비밀 번호와 같은 인증 대상 정보를 서비스 서버(100)로 전송하면 사용자 인증 장치(10)는 수신된 인증 대상 정보에 기초하여 사용자 인증을 수행하게 된다. When the first user terminal 200 displays the image code on the display unit based on the server identification information and the session creation information or the image code information, the second user terminal 300 scans the image code and displays the server identification information and the session creation information . Next, when the second user terminal 300 transmits authentication object information such as an ID and a password to the service server 100, the user authentication apparatus 10 performs user authentication based on the received authentication object information do.

도 1에서 제1 사용자 단말기(200)는 서비스 서버(100)에 접속하여 서비스를 제공받고자 하는 단말기로서, 예컨대 컴퓨터, 스마트폰 등과 같은 종래 알려져 있는 일반적인 장치로서 네트워크 접속 수단과 디스플레이부를 포함한다. 제1 사용자 단말기(200)는 서비스 서버(100)에 접속하여 서비스를 요청하는 경우 사용자 인증 장치(10)로부터 서버 식별 정보 및 세션 생성 정보를 수신하거나 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 수신하여 이에 기초한 이미지 코드를 디스플레이부(미도시)에 표시한다. 여기서 이미지 코드라 함은 예컨대 QR 코드와 같은 2차원 바코드인 것이 바람직하다.In FIG. 1, the first user terminal 200 is a terminal that is connected to the service server 100 to receive a service. The first user terminal 200 includes a network connection unit and a display unit as a conventional device known in the art such as a computer, a smart phone, and the like. When the first user terminal 200 accesses the service server 100 and requests a service, the first user terminal 200 receives the server identification information and the session creation information from the user authentication apparatus 10, or receives the server identification information and the image creation information And displays an image code based thereon on a display unit (not shown). Here, the image code is preferably a two-dimensional bar code such as a QR code.

제2 사용자 단말기(200)는 제1 사용자 단말기(200)의 디스플레이부에 표시된 이미지 코드를 스캔하여 서버 식별 정보 및 세션 생성 정보를 획득하고, 사용자의 인증 대상 정보를 암호화하여 서비스 서버(100)와 결합하는 사용자 인증 장치(10)로 전송하는 기능을 수행한다. 이를 위하여 제2 사용자 단말기(200)는 이미지 코드를 스캔할 수 있는 카메라와 같은 촬영 수단(미도시)과 네트워크 접속 수단을 구비한다. The second user terminal 200 scans the image code displayed on the display unit of the first user terminal 200 to obtain the server identification information and the session creation information, encrypts the authentication target information of the user, To the user authentication apparatus 10 to be combined. To this end, the second user terminal 200 comprises photographing means (not shown) such as a camera capable of scanning image codes and network connection means.

본 발명에서 제1 사용자 단말기(200)는 컴퓨터인 것이 바람직하고 제2 사용자 단말기(300)는 카메라를 구비하는 스마트폰과 같은 이동 통신 단말기인 것이 바람직하다. In the present invention, the first user terminal 200 is preferably a computer, and the second user terminal 300 is a mobile communication terminal such as a smart phone having a camera.

사용자 인증 장치(10)는 제2 사용자 단말기(300)로부터 인증 대상 정보를 수신하면 수신된 인증 대상 정보에 기초하여 사용자 인증 과정을 수행하게 된다. 인증이 성공하면 인증이 완료된 상태의 동작을 수행하는데 예컨대 웹 서비스인 경우 인증이 완료된 상태 즉, 로그인이 완료된 상태의 웹 페이지를 제1 사용자 단말기(100)로 전송하고 제1 사용자 단말기(100)로부터의 웹 서비스 요청에 따른 웹 서비스를 제공하게 된다.Upon receiving the authentication object information from the second user terminal 300, the user authentication device 10 performs a user authentication process based on the received authentication object information. When the authentication is successful, the authentication is completed. For example, in the case of the web service, the web page of the state in which the authentication is completed, that is, the login is completed is transmitted to the first user terminal 100, And the web service according to the request of the web service.

한편, 인증 기관(400)은 서버 식별 정보를 포함하는 공개키 인증서를 서비스 서버(100) 각각에 대하여 고유하게 미리 부여하는 기능을 수행하는데 서비스 서버(100)로부터의 요청에 의해 각 서비스 서버(100)마다 고유한 서버 식별 정보를 포함하는 공개키 인증서를 부여하여 서비스 서버(100)로 전송하고 이를 저장해 둔다. 또한 서비스 서버(100) 또한 서버 식별 정보를 포함하는 공개키 인증서를 저장하고 있다. 여기에서 공개키 인증서라 함은, 종래 알려져 있는 바와 같이 특정한 공개키가 특정한 사용자(서비스 서버)와 결합되어 있음을 증명하기 위해 인증 기관(400)이 발행하는 데이터를 의미한다. 공개키 인증서 자체는 본 발명의 직접적인 목적은 아니며 본 발명은 종래 알려져 있는 어떠한 종류의 공개키 인증서라도 모두 사용할 수 있으므로 이에 대한 상세한 설명은 생략한다. 또한 공개키 인증서에는 서비스 서버가 정당한 서버임을 인증하기 위한 기타 필요한 정보를 더 포함할 수 있다. Meanwhile, the certification authority 400 performs a function of uniquely assigning a public key certificate including the server identification information to each of the service servers 100. In response to a request from the service server 100, each of the service servers 100 And transmits the public key certificate to the service server 100 and stores the public key certificate. The service server 100 also stores a public key certificate including server identification information. Here, the public key certificate refers to data issued by the certification authority 400 to certify that a specific public key is associated with a specific user (service server), as is known in the art. The public key certificate itself is not a direct object of the present invention, and the present invention can use any public key certificate of any kind known in the art, so a detailed description thereof will be omitted. The public key certificate may also include other necessary information to authenticate that the service server is a legitimate server.

도 2는 본 발명에 의한 사용자 인증 장치(10)의 내부 구성을 나타낸 도면이다.2 is a diagram showing an internal configuration of the user authentication apparatus 10 according to the present invention.

도 2를 참조하면, 사용자 인증 장치(10)는 식별 정보 처리부(11)와 인증 수행부(12)를 포함한다.Referring to FIG. 2, the user authentication apparatus 10 includes an identification information processing unit 11 and an authentication performing unit 12.

식별 정보 처리부(11)는, 서비스 서버(100)가 제1 사용자 단말기(200)로부터 서비스 요청 신호를 수신한 경우, 제1 사용자 단말기(200)로 서버 식별 정보 및 세션 생성 정보를 전송하거나 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송하는 기능을 수행한다. 전술한 바와 같이, 제1 사용자 단말기(200)는 서버 식별 정보 및 세션 생성 정보 또는 이미지 코드 정보에 기초하여 이미지 코드를 디스플레이부에 표시한다.When the service server 100 receives the service request signal from the first user terminal 200, the identification information processing unit 11 transmits the server identification information and the session creation information to the first user terminal 200, And transmits the image code information based on the information and the session creation information. As described above, the first user terminal 200 displays the image code on the display unit based on the server identification information and the session creation information or the image code information.

여기에서, 서버 식별 정보는 전술한 바와 같이 인증 기관(400)에서 미리 각각의 서비스 서버(100)마다 고유하게 부여되는 공개키 인증서에 포함되는 식별 정보로서 예컨대 도메인 주소인 것이 바람직하다. 세션 생성 정보는 서비스 서버(100)와 제1 사용자 단말기(200) 사이에서의 서비스를 수행하기 위하여 형성되는 세션에 대해 부여되는 식별 정보인 세션 ID와 키교환 프로토콜을 수행하기 위한 부가 정보를 의미하며 이는 종래 기술에 의해 알려져 있는 것이므로 상세 설명은 생략한다. 세션 생성 정보는 후술하는 바와 같이 제2 사용자 단말기(300)가 서비스 서버(100)로 인증 대상 정보를 전송할 때 서비스 서버(100)가 인증 대상 정보가 어떠한 세션에 대한 것인지를 확인할 수 있도록 하는 기능과 키교환 프로토콜을 수행하기 위한 부가적인 정보를 제공하는 기능을 수행한다. As described above, the server identification information is preferably a domain address, for example, as identification information included in a public key certificate uniquely assigned to each service server 100 in the certification authority 400. The session creation information refers to additional information for performing a key exchange protocol and a session ID, which is identification information given to a session formed for performing a service between the service server 100 and the first user terminal 200 Since this is known from the prior art, detailed description is omitted. The session creation information includes a function for allowing the service server 100 to check which session the authentication target information is for when the second user terminal 300 transmits authentication target information to the service server 100, And performs a function of providing additional information for performing the key exchange protocol.

식별 정보 처리부(11)는, 제1 사용자 단말기(200)로 서버 식별 정보 및 세션 생성 정보를 전송할 수 있는데 이러한 경우에는 제1 사용자 단말기(200)가 수신한 서버 식별 정보 및 세션 생성 정보에 기초하여 예컨대 QR 코드와 같은 2차원 바코드의 이미지 코드를 생성하여 디스플레이부에 표시한다.The identification information processing unit 11 can transmit the server identification information and the session creation information to the first user terminal 200. In this case, based on the server identification information and the session creation information received by the first user terminal 200 For example, an image code of a two-dimensional barcode such as a QR code is generated and displayed on the display unit.

한편, 식별 정보 처리부(11)가 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송하는 경우에는 제1 사용자 단말기(200)는 수신된 이미지 코드 정보에 상응하는 이미지 코드를 디스플레이부에 표시하게 된다.On the other hand, when the identification information processing unit 11 transmits the image code information based on the server identification information and the session creation information, the first user terminal 200 displays the image code corresponding to the received image code information on the display unit do.

인증 수행부(12)는, 제1 사용자 단말기(200)의 디스플레이부에 표시된 이미지 코드를 스캔하여 서버 식별 정보 및 세션 생성 정보를 획득한 제2 사용자 단말기(300)로부터 인증 대상 정보를 수신하고, 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하는 기능을 담당한다.The authentication performing unit 12 scans the image code displayed on the display unit of the first user terminal 200 and receives the authentication object information from the second user terminal 300 that has obtained the server identification information and the session creation information, And performs the user authentication based on the received authentication object information.

여기에서, 인증 대상 정보라 함은, 예컨대 서비스 서버(100)에서 인증을 수행할 때 비교 대상이 되는 정보로서 예컨대 사용자 식별자(ID) 및 비밀번호일 수 있다. 물론, 이러한 정보 이외에 기타 사용자를 식별하기 위한 난수 정보 등을 기반으로 암호학적으로 생성된 식별 정보일 수도 있다. Here, the authentication object information may be, for example, a user identifier (ID) and a password as information to be compared at the time of performing authentication in the service server 100, for example. Of course, this information may be cryptographically generated identification information based on random number information for identifying other users.

서비스 서버(100)에서 로그인 서비스를 수행해야 하는 경우 인증 대상 정보는 로그인을 위해 사용자가 입력하는 로그인 정보일 수 있다. 이러한 인증 대상 정보는 각각의 서비스 서버(100)별로 제2 사용자 단말기(300)에 미리 저장되어 있을 수 있다. 미리 저장되어 있지 않은 경우에는 제2 사용자 단말기(300)의 키 패드 등과 같은 입력 수단을 통해 사용자로부터 인증 대상 정보를 입력받도록 할 수도 있다.When the service server 100 is required to perform a login service, the authentication object information may be login information input by the user for login. The authentication object information may be stored in the second user terminal 300 in advance for each service server 100. The user terminal 300 may receive the authentication object information from the user through an input means such as a keypad of the second user terminal 300. [

한편, 제2 사용자 단말기(300)가 제1 사용자 단말기(100)의 디스플레이부에 표시된 이미지 코드를 스캔하여 획득한 서버 식별 정보에 상응하는 공개키 인증서가 제2 사용자 단말기(300)에 저장되어 있지 않은 경우 제2 사용자 단말기(300)는 해당 서버 식별 정보에 상응하는 공개키 인증서를 인증 기관(400)으로부터 획득하도록 할 수도 있다. 이를 위하여 제2 사용자 단말기(300)는 인증 기관(400)에 접속하여 해당 서비스 서버의 식별 정보를 전송하고 그에 상응하는 공개키 인증서를 수신하는 것이 바람직하다. 여기에서의 공개키 인증서 또한 전술한 바와 같이 서버 식별 정보와 함께 공개키 정보 및 기타 서버의 인증을 위해 필요한 정보를 포함한다.On the other hand, if the second user terminal 300 does not store the public key certificate corresponding to the server identification information obtained by scanning the image code displayed on the display unit of the first user terminal 100 in the second user terminal 300 The second user terminal 300 may acquire a public key certificate corresponding to the server identification information from the certification authority 400. [ To this end, the second user terminal 300 may access the certification authority 400 to transmit the identification information of the corresponding service server and receive the corresponding public key certificate. The public key certificate here also includes public key information together with the server identification information and information necessary for authentication of the other server as described above.

한편, 제2 사용자 단말기(300)는 제1 사용자 단말기(200)의 디스플레이부에 표시된 이미지 코드를 스캔하여 획득한 서버 식별 정보와 미리 저장해 둔 공개키 인증서 또는 인증 기관(400)으로부터 획득한 공개키 인증서에 포함된 서버 식별 정보를 비교하여 서비스 서버의 인증을 수행하는 것이 바람직하다. 제2 사용자 단말기(300)는 서비스 서버(100)의 인증 수행 결과를 디스플레이부를 통해 제공하여 사용자가 인식할 수 있도록 하여 예컨대 피싱 등과 같은 방식에 의해 불법 사이트에 접속하는 경우 이를 사용자가 인지할 수 있도록 하는 것이 바람직하다. 예컨대, 비교되는 서버 식별 정보가 상이한 경우 인증이 거부되었음을 제2 사용자 단말기(300)의 디스플레이부를 통해 사용자에게 표시해주고 이후의 과정을 중지한다. 이는 어느 하나의 서버 식별 정보가 정당한 서비스 서버(100)의 서버 식별 정보가 아닌 것을 의미하는데 예컨대 제1 사용자 단말기(200)가 정당한 서비스 서버(100)가 아닌 예컨대 파밍 공격에 의해 위장된 서비스 서버(100)에 접속한 경우에 발생할 수 있다. Meanwhile, the second user terminal 300 transmits the server identification information obtained by scanning the image code displayed on the display unit of the first user terminal 200, the public key certificate stored in advance, or the public key certificate obtained from the certification authority 400 It is preferable that authentication of the service server is performed by comparing the server identification information included in the certificate. The second user terminal 300 may provide the authentication result of the service server 100 through the display unit so that the second user terminal 300 can recognize the user when the user accesses the illegal site by way of, . For example, if the server identification information to be compared is different, the display unit of the second user terminal 300 indicates to the user that the authentication has been denied, and the subsequent process is suspended. This means that any one of the server identification information is not the valid server identification information of the service server 100. For example, if the first user terminal 200 is not a legitimate service server 100 but a service server 100). ≪ / RTI >

한편, 제2 사용자 단말기(300)가 사용자 인증 장치(10)의 인증 수행부(12)로 인증 대상 정보를 전송하는 것은 예컨대 제2 사용자 단말기(300)가 스마트폰과 같은 이동 통신 단말기인 경우 이동 통신망을 통해 전송하도록 할 수도 있다. 또는 제2 사용자 단말기(300)가 제1 사용자 단말기(200)를 통해 인증 대상 정보를 전송하도록 할 수도 있다.The second user terminal 300 transmits authentication target information to the authentication performing unit 12 of the user authentication apparatus 10 when the second user terminal 300 is a mobile communication terminal such as a smart phone, And may be transmitted through a communication network. Alternatively, the second user terminal 300 may transmit the authentication object information through the first user terminal 200.

또한 제2 사용자 단말기(300)가 서비스 서버(100)로 인증 대상 정보를 전송하는 것은 서비스 서버(100)의 정책에 따라 암호화하는 것이 바람직하며, 종래 알려져 있는 키교환 프로토콜이나 사용자 인증 프로토콜을 통해 전송할 수 있다. 이를 위하여 서비스 서버(100)가 서버 식별 정보와 세션 생성 정보와 함께 공개키를 제1 사용자 단말기(200)로 전송하도록 구성할 수도 있을 것이다.Also, it is preferable that the second user terminal 300 transmits the authentication object information to the service server 100 according to the policy of the service server 100, and it may be transmitted through a key exchange protocol or a user authentication protocol . For this purpose, the service server 100 may be configured to transmit the public key to the first user terminal 200 together with the server identification information and the session creation information.

한편, 인증 수행부(12)는 제2 사용자 단말기(300)로부터 인증 대상 정보를 수신할 때 제2 사용자 단말기(300)가 해당 서비스 서버(100)에 대응하여 미리 저장되어 있거나 인증 기관(400)에 요청하여 획득한 공개키 인증서에 저장된 공개키에 의해 인증 대상 정보를 암호화하여 인증 수행부(12)로 전송하도록 할 수도 있다. 암호화된 인증 대상 정보를 수신한 경우 인증 수행부(12)는 해당 정보를 복호화하게 된다. When the second user terminal 300 receives the authentication object information from the second user terminal 300, the authentication performing unit 12 stores the second authentication information in response to the service server 100, And encrypts the authentication subject information with the public key stored in the public key certificate obtained by the authentication. When the encrypted authentication object information is received, the authentication performing unit 12 decrypts the information.

또한, 제2 사용자 단말기(300)와 인증 수행부(12)는 공개키를 기반으로 하는 키 공유 프로토콜에 의해 키를 공유하는 과정을 수행하거나 키를 교환하는 과정을 통해 키를 생성하고 이를 기초로 하여 인증 대상 정보를 암호화하여 암호화된 인증 대상 정보를 송수신할 수 있다. 이러한 과정은 종래 기술에 의해 알려져 있으며 본 발명의 직접적인 목적은 아니므로 이에 대한 상세 설명은 생략한다. Also, the second user terminal 300 and the authentication performing unit 12 generate a key by performing a key sharing process or a key exchanging process by a key sharing protocol based on a public key, So as to encrypt and transmit the encrypted authentication target information. This process is known from the prior art and is not a direct object of the present invention, so a detailed description thereof will be omitted.

한편, 인증 수행부(12)는 제2 사용자 단말기(300)로부터 수신한 인증 대상 정보와 서비스 서버(100)측에 미리 저장되어 있는 사용자의 인증 정보를 비교하여 사용자 인증을 수행한다. 전술한 바와 같이 인증 대상 정보는 예컨대 사용자 식별자(ID) 및 비밀번호일 수 있으며, 이러한 정보 이외에 기타 사용자를 식별하기 위한 난수 정보 등을 기반으로 암호학적으로 생성된 식별 정보일 수도 있다. 인증 수행부(12)는 이러한 인증 대상 정보와 미리 저장해 둔 인증 정보를 비교하여 사용자가 정당한 사용자인지의 여부를 판단하여 사용자 인증을 수행한다. Meanwhile, the authentication performing unit 12 performs user authentication by comparing authentication target information received from the second user terminal 300 with authentication information of a user stored in advance on the service server 100 side. As described above, the authentication object information may be, for example, a user identifier (ID) and a password, and may be cryptographically generated identification information based on random number information for identifying other users in addition to such information. The authentication performing unit 12 compares the authentication object information with previously stored authentication information, determines whether the user is a legitimate user, and performs user authentication.

인증 수행부(12)는 사용자 인증 수행 결과 정보를 제1 사용자 단말기(200) 및 제2 사용자 단말기(300)에 동시에 전송할 수 있다. 이는 제1 사용자 단말기(200)와 제2 사용자 단말기(300) 중 어느 하나를 이용한 부정 사용자의 인증을 방지하여 사용자가 육안으로 동시에 확인할 수 있도록 하기 위함이다.The authentication performing unit 12 may simultaneously transmit the user authentication result information to the first user terminal 200 and the second user terminal 300. [ This is to prevent authentication of a fraudulent user using either the first user terminal 200 or the second user terminal 300 so that the user can visually confirm the same at the same time.

또한, 인증 수행부(12)는, 사용자 인증 수행 결과 정보를 제2 사용자 단말기(300)로 먼저 전송하고 제2 사용자 단말기(300)로부터 해당 결과 정보를 인지하였음을 확인하는 승인 신호가 수신된 경우 인증이 완료된 상태의 서비스 페이지를 제1 사용자 단말기(200)로 전송할 수도 있다. 즉, 제2 사용자 단말기(300)에 인증이 성공하였음을 알리는 정보를 제공하고 이와 함께 사용자가 승인을 선택할 수 있도록 하는 인터페이스를 디스플레이부를 통해 제공하고 사용자가 이를 선택하여 승인을 한 경우 인증 절차를 완료하고 인증이 완료된 상태의 서비스 페이지를 제1 사용자 단말기(200)로 전송할 수도 있다.The authentication performing unit 12 first transmits the user authentication result information to the second user terminal 300 and receives an approval signal from the second user terminal 300 to confirm that the corresponding result information is recognized And may transmit the service page in a state in which the authentication is completed to the first user terminal 200. That is, the second user terminal 300 is provided with an information for notifying that the authentication is successful, and at the same time provides an interface through which the user can select the approval, and if the user selects and approves the authentication, And transmit the service page in a state in which the authentication is completed to the first user terminal 200.

도 3은 도 1 내지 도 2를 참조하여 설명한 구성하에서 이루어지는 본 발명에 의한 사용자 인증 방법의 일실시예를 나타낸 흐름도이다. 도 3에서는 설명의 편의를 위하여 사용자 인증 장치(10)가 서비스 서버(100)에 포함된 경우를 나타내었음을 유의해야 한다.FIG. 3 is a flowchart illustrating an embodiment of a method for authenticating a user according to the present invention with the configuration described with reference to FIGS. 1 and 2. FIG. It should be noted that FIG. 3 shows a case where the user authentication apparatus 10 is included in the service server 100 for convenience of explanation.

도 3을 참조하면, 우선 서비스 서버(100)는 인증 기관(400)으로부터 고유한 서버 식별 정보를 포함하는 공개키 인증서를 획득하고 이를 저장해 둔다(S100).Referring to FIG. 3, the service server 100 obtains a public key certificate including unique server identification information from the certification authority 400 and stores it (S100).

이러한 상태에서 제1 사용자 단말기(200)로부터 예컨대 웹을 통한 접속이 이루어지고 이에 따라 웹 서비스 요청 신호가 수신되면(S110), 사용자 인증 장치(10)는 제1 사용자 단말기(200)로 서버 식별 정보 및 세션 생성 정보를 전송한다(S120). 이러한 서버 식별 정보 및 세션 생성 정보는 서비스 요청 신호에 대응하기 위한 초기 웹 페이지와 함께 전송될 수 있다. In this state, when a connection is made through the Web, for example, from the first user terminal 200 and a web service request signal is thus received (S110), the user authentication apparatus 10 transmits the server identification information And session creation information (S120). Such server identification information and session creation information may be transmitted together with an initial web page to correspond to the service request signal.

제1 사용자 단말기(200)는 서버 식별 정보 및 세션 생성 정보를 수신하고 이에 상응하는 이미지 코드를 생성하고 이를 디스플레이부에 표시한다(S130). 이 때 이미지 코드는 전술한 바와 같이 QR 코드와 같은 2차원 바코드인 것이 바람직하며, 이러한 이미지 코드는 웹 서비스 요청 신호에 대한 초기 웹 페이지에 포함되어 표시되는 것이 바람직하다. The first user terminal 200 receives the server identification information and the session creation information, generates an image code corresponding thereto, and displays the generated image code on the display unit (S130). At this time, it is preferable that the image code is a two-dimensional barcode such as the QR code as described above, and the image code is preferably included in the initial web page for the web service request signal.

이러한 상태에서 사용자는 제2 사용자 단말기(300)를 조작하여 제2 사용자 단말기(300)에 구비된 카메라를 이용하여 제1 사용자 단말기(200)의 디스플레이부에 표시된 이미지 코드를 스캔하고 스캔된 이미지 코드로부터 서버 식별 정보 및 세션 생성 정보를 추출하여 획득한다(S140, S150).In this state, the user operates the second user terminal 300 to scan the image code displayed on the display unit of the first user terminal 200 using the camera provided in the second user terminal 300, The server identification information and the session creation information are extracted and obtained (S140, S150).

다음으로 제2 사용자 단말기(300)는 상기 획득한 서버 식별 정보에 상응하는 공개키 인증서가 저장되어 있는지를 확인하고 저장되어 있지 않은 경우 해당 서버 식별 정보에 상응하는 공개키 인증서를 인증 기관(400)에 요청하여 이를 수신한다(S160).Next, the second user terminal 300 checks whether the public key certificate corresponding to the obtained server identification information is stored. If the public key certificate is not stored, the second user terminal 300 transmits the public key certificate corresponding to the server identification information to the certification authority 400 And receives it (S160).

그리고 제2 사용자 단말기(300)는 상기 스캔된 이미지 코드로부터 추출하여 획득한 서버 식별 정보와 저장되어 있거나 인증 기관(400)으로부터 획득한 공개키 인증서에 포함된 서버 식별 정보를 비교하여 서비스 서버(100)의 인증을 수행한다(S170). 인증이 실패한 경우 인증이 실패하였음을 제2 사용자 단말기(300)의 디스플레이부를 통해 사용자에게 제공하고 추후의 과정을 중지한다. 이 경우, 제2 사용자 단말기(300)는 공개키 인증서의 사용 가능성을 검증하고 공개키 인증서에 저장된 서버 식별 정보에 기초하여 사용자 즉, 제1 사용자 단말기(200)가 접속한 서비스 서버(100)에 대한 정보를 제2 사용자 단말기(300)의 디스플레이부를 통해 제공하여 사용자로 하여금 의도한 서버에 접속했는지에 대한 판단이 가능하도록 하는 것이 바람직하다.The second user terminal 300 compares the server identification information extracted from the scanned image code with the server identification information included in the public key certificate stored or stored in the certification authority 400, (S170). If the authentication fails, it is provided to the user through the display unit of the second user terminal 300 that the authentication has failed and the subsequent process is stopped. In this case, the second user terminal 300 verifies the availability of the public key certificate, and based on the server identification information stored in the public key certificate, the user, that is, the service server 100 connected to the first user terminal 200 It is preferable to provide information on the user through the display unit of the second user terminal 300 so that the user can determine whether or not the user has accessed the intended server.

서비스 서버(100)의 인증이 성공한 경우 제2 사용자 단말기(300)는 해당 서버 식별 정보에 상응하는 서비스 서버(100)에 대응하여 미리 저장되어 있는 인증 대상 정보 예컨대 ID 및 비밀 번호가 존재하는지를 확인하고 저장되어 있지 않은 경우 디스플레이부를 통해 사용자가 ID 및 비밀 번호를 입력하도록 하여 ID 및 비밀 번호와 같은 인증 대상 정보를 획득한다(S180). 인증 대상 정보가 미리 저장되어 있는 경우에는 상기 단계(S180)는 생략할 수 있다.When authentication of the service server 100 is successful, the second user terminal 300 checks whether the authentication object information, for example, the ID and the password stored beforehand corresponding to the service server 100 corresponding to the server identification information exists If it is not stored, the user inputs the ID and the password through the display unit to obtain the authentication object information such as the ID and the password (S180). If the authentication object information is stored in advance, the step S180 may be omitted.

다음으로 제2 사용자 단말기(300)는 추출하여 획득한 서버 식별 정보에 상응하는 서비스 서버(100)의 사용자 인증 장치(10)로 인증 대상 정보를 전송한다(S190). 이 때, 세션 생성 정보도 함께 전송하는 것이 바람직하다.Next, the second user terminal 300 transmits the authentication object information to the user authentication apparatus 10 of the service server 100 corresponding to the extracted server identification information (S190). At this time, it is preferable to also transmit the session creation information.

또한, 인증 대상 정보는 전술한 바와 같이 미리 저장해 두거나 인증 기관(400)으로부터 획득한 공개키 인증서에 포함된 공개키 정보에 기초하여 암호화되어 전송되는 것이 바람직하다. 즉, 공개키에 기초하여 키 공유 프로토콜이나 키 교환 알고리듬에 의해 제2 사용자 단말기(300)와 서비스 서버(100)의 사용자 인증 장치(10) 사이에서 암호화된 인증 대상 정보가 송수신되는 것이 바람직하다.It is preferable that the authentication object information is encrypted and transmitted based on the public key information included in the public key certificate acquired from the certification authority 400 or stored in advance as described above. That is, it is preferable that encrypted authentication object information is transmitted and received between the second user terminal 300 and the user authentication apparatus 10 of the service server 100 by a key sharing protocol or a key exchange algorithm based on the public key.

서비스 서버(100)의 사용자 인증 장치(10)는 제2 사용자 단말기(300)로부터 수신한 인증 대상 정보를 복호화하고 이를 미리 저장되어 있는 인증 정보와 비교하여 해당 세션 생성 정보에 상응하는 사용자 인증을 수행한다(S200).The user authentication apparatus 10 of the service server 100 decrypts authentication target information received from the second user terminal 300 and compares the authentication target information with previously stored authentication information to perform user authentication corresponding to the session creation information (S200).

다음으로, 사용자 인증 장치(10)는 사용자 인증 결과를 제1 및 제2 사용자 단말기로 전송한다(S210). 인증이 성공한 경우 인증이 완료된 상태의 서비스 페이지 예컨대 로그인이 완료된 상태의 웹 페이지를 제1 사용자 단말기(200)로 전송(S220)함으로써 웹 서비스를 계속적으로 수행할 수 있도록 한다. 사용자 인증 결과는 전술한 바와 같이 제1 및 제2 사용자 단말기로 함께 동시에 전송될 수 있다. 또는, 제2 사용자 단말기(300)로 먼저 인증 결과를 전송하고 제2 사용자 단말기(300)에서 승인 신호가 수신된 경우 제1 사용자 단말기(200)로 인증 완료 상태의 페이지를 전송하도록 할 수도 있다.Next, the user authentication apparatus 10 transmits the user authentication result to the first and second user terminals (S210). If the authentication is successful, the service page of the authentication completed state, for example, the web page in which the login is completed, is transmitted to the first user terminal 200 (S220) so that the web service can be continuously performed. The user authentication result may be simultaneously transmitted to the first and second user terminals as described above. Alternatively, the first user terminal 300 may transmit the authentication result to the first user terminal 200 when the authentication result is received from the second user terminal 300.

도 4는 본 발명의 다른 실시예에 의한 사용자 인증 방법을 나타낸 흐름도로서, 도 4의 실시예는 서비스 서버(100)에서 공개키 인증서를 미리 발급받지 않은 경우에 대한 것이다.FIG. 4 is a flowchart illustrating a method of authenticating a user according to another embodiment of the present invention. FIG. 4 illustrates a case where a public key certificate is not issued in the service server 100 in advance.

도 4를 참조하면, 우선 제1 사용자 단말기(200)는 서비스 서버(100)에 접속하여 서비스 요청 신호를 전송하고(S300), 서비스 서버(100)는 이에 응답하여 초기 서비스 응답 페이지를 제1 사용자 단말기(200)로 전송한다(S310).Referring to FIG. 4, the first user terminal 200 accesses the service server 100 and transmits a service request signal (S300). In response, the service server 100 transmits an initial service response page to the first user To the terminal 200 (S310).

제1 사용자 단말기(200)는 암호학적 키교환 프로토콜을 제공하기 위한 키쌍을 생성하고, 공개키가 포함된 이미지 코드를 생성하여 이를 디스플레이부를 통해 표시한다(S320).The first user terminal 200 generates a key pair for providing a cryptographic key exchange protocol, generates an image code including the public key, and displays the generated image code through the display unit at step S320.

제2 사용자 단말기(300)는 제1 사용자 단말기(200)의 디스플레이부에 표시된 이미지 코드를 스캔하여 스캔된 이미지 코드로부터 제1 사용자 단말기(200)의 공개키 정보를 획득한다(S330,S340). The second user terminal 300 scans the image code displayed on the display unit of the first user terminal 200 and acquires the public key information of the first user terminal 200 from the scanned image code at steps S330 and S340.

다음으로, 제2 사용자 단말기(300)는 도 3의 단계(S180)에서 설명한 바와 마찬가지의 방식으로 인증 대상 정보를 획득하고(S350), 상기 단계(S340)에서 획득된 공개키에 기초하여 인증 대상 정보를 암호화하고(S360) 암호화된 인증 대상 정보를 제1 사용자 단말기(200)로 전송한다(S370).Next, the second user terminal 300 acquires the authentication object information in the same manner as described in step S180 of FIG. 3 (S350), and based on the public key obtained in the step S340, (S360), and transmits the encrypted authentication object information to the first user terminal 200 (S370).

제1 사용자 단말기(200)는 제2 사용자 단말기(300)로부터 수신한 암호화된 인증 대상 정보를 복호화하고(S380), 이를 서비스 서버(100)로 전송한다(S390). 그리고, 서비스 서버(100)는 제1 사용자 단말기(100)로부터 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하고 그 결과를 제1 및 제2 사용자 단말기(200,300)로 전송한다(S400,S410,S420). 상기 단계(S400) 내지 단계(S420)은 도 3의 단계(S200) 내지 단계(S220)와 동일하므로 상세 설명은 생략한다. The first user terminal 200 decrypts the encrypted authentication object information received from the second user terminal 300 in step S380 and transmits the decrypted authentication object information to the service server 100 in step S390. The service server 100 performs user authentication based on the authentication object information received from the first user terminal 100 and transmits the result to the first and second user terminals 200 and 300 (S400, S410, S420). The steps (S400) to (S420) are the same as the steps (S200) to (S220) of FIG. 3, and the detailed description will be omitted.

이상에서 본 발명의 바람직한 실시예를 참조하여 본 발명을 설명하였으나 이에 본 발명의 권리범위가 한정되는 것이 아님은 물론이며, 다양한 변형, 수정 실시가 가능함은 물론이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments.

예컨대, 도 3의 단계(S120)에서는 제1 사용자 단말기(200)로 서버 식별 정보 및 세션 생성 정보를 전송하는 것으로 나타내었으나, 전술한 바와 같이 그 대신에 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송하도록 할 수도 있다. 이러한 경우에는 제1 사용자 단말기(200)는 별도로 이미지 코드를 생성하는 과정을 생략하고 수신된 이미지 코드 정보에 상응하는 이미지 코드를 디스플레이부에 표시하게 된다.For example, in the step S120 of FIG. 3, although the server identification information and the session creation information are transmitted to the first user terminal 200, instead of the server identification information and the session creation information, Information may be transmitted. In this case, the first user terminal 200 omits the process of generating the image code separately and displays the image code corresponding to the received image code information on the display unit.

또한, 도 1 내지 도 3에서는 사용자 인증 장치(10)가 서비스 서버(100)에 포함된 것으로 설명하였으나, 사용자 인증 장치(10)를 별도의 서버로 구현할 수도 있음은 물론이다.
1 to 3, the user authentication apparatus 10 is included in the service server 100, but it is needless to say that the user authentication apparatus 10 may be implemented as a separate server.

10...사용자 인증 장치
100...서비스 서버
200...제1 사용자 단말기
300...제2 사용자 단말기
400...인증 기관10 ... User authentication device
100 ... service server
200 ... first user terminal
300 ... second user terminal
400 ... Certification Body

Claims (13)

서비스 서버와 결합하여 사용자 인증을 수행하는 사용자 인증 장치에 있어서,
서비스 서버가 제1 사용자 단말기로부터 서비스 요청 신호를 수신한 경우, 제1 사용자 단말기로 서버 식별 정보 및 세션 생성 정보를 전송하거나 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송하는 식별 정보 처리부-여기서, 상기 제1 사용자 단말기는 상기 수신한 서버 식별 정보 및 세션 생성 정보 또는 상기 수신한 이미지 코드 정보에 기초하여 이미지 코드를 디스플레이부에 표시함-;
상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 서버 식별 정보 및 세션 생성 정보를 획득한 제2 사용자 단말기로부터 인증 대상 정보를 수신하고, 상기 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하는 인증 수행부
를 포함하는 사용자 인증 장치.
A user authentication apparatus for performing user authentication by combining with a service server,
An identification information processor for transmitting the server identification information and the session creation information to the first user terminal or the image code information based on the server identification information and the session creation information when the service server receives the service request signal from the first user terminal, Wherein the first user terminal displays an image code on the display unit based on the received server identification information, the session creation information, or the received image code information;
Receiving image authentication information from a second user terminal that has obtained the server identification information and the session creation information by scanning the image code displayed on the display unit of the first user terminal and performs user authentication based on the received authentication subject information Authentication-
.
제1항에 있어서,
상기 서버 식별 정보는 서비스 서버에 대해 인증 기관으로부터 고유하게 미리 부여된 공개키 인증서에 포함되어 있는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 1,
Wherein the server identification information is contained in a public key certificate uniquely assigned to the service server from an authentication authority in advance.
제1항에 있어서,
상기 제1 사용자 단말기는 서버 식별 정보 및 세션 생성 정보를 수신한 경우 이들에 기초하여 이미지 코드를 생성하여 디스플레이부에 표시하고, 이미지 코드 정보를 수신한 경우 이에 상응하는 이미지 코드를 디스플레이부에 표시하는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 1,
Upon receiving the server identification information and the session creation information, the first user terminal generates an image code based on the server identification information and the session creation information, displays the image code on the display unit, and displays the corresponding image code on the display unit And the user authentication device.
제1항에 있어서,
상기 인증 대상 정보는 사용자 식별자 및 비밀 번호 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 1,
Wherein the authentication object information includes at least one of a user identifier and a password.
제1항에 있어서,
상기 인증 대상 정보는, 제2 사용자 단말기에 미리 저장되어 있거나 사용자로부터의 입력에 의해 획득되는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 1,
Wherein the authentication object information is previously stored in the second user terminal or acquired by input from the user.
제1항에 있어서,
상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 획득한 서버 식별 정보에 상응하는 공개키 인증서가 제2 사용자 단말기에 저장되어 있지 않은 경우 상기 제2 사용자 단말기가 해당 서버 식별 정보에 상응하는 공개키 인증서를 인증 기관으로부터 획득하는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 1,
When the second user terminal does not store the public key certificate corresponding to the server identification information obtained by scanning the image code displayed on the display unit of the first user terminal, And obtains the public key certificate from the certification authority.
제6항에 있어서,
상기 제2 사용자 단말기는 상기 공개키 인증서로부터 공개키 정보를 획득하는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 6,
Wherein the second user terminal obtains public key information from the public key certificate.
제7항에 있어서,
상기 인증 수행부가 수신하는 인증 대상 정보는, 상기 공개키 정보에 기초하여 제2 사용자 단말기로부터 암호화되어 전송되는 것을 특징으로 하는 사용자 인증 장치.
8. The method of claim 7,
Wherein the authentication object information received by the authentication performing unit is encrypted and transmitted from the second user terminal based on the public key information.
제6항에 있어서,
상기 제2 사용자 단말기는, 상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 획득한 서버 식별 정보와 상기 공개키 인증서에 포함된 서버 식별 정보를 비교하여 해당 서버 식별 정보에 상응하는 서비스 서버가 정당한 서버인지를 인증하는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 6,
The second user terminal compares the server identification information acquired by scanning the image code displayed on the display unit of the first user terminal with the server identification information included in the public key certificate, Is authentic. ≪ RTI ID = 0.0 > 31. < / RTI >
제1항에 있어서,
상기 인증 수행부는, 사용자 인증 수행 결과 정보를 제1 사용자 단말기 및 제2 사용자 단말기에 함께 전송하는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 1,
Wherein the authentication performing unit transmits user authentication result information together with the first user terminal and the second user terminal.
제1항에 있어서,
상기 인증 수행부는, 사용자 인증 수행 결과 정보를 제2 사용자 단말기로 전송하고 제2 사용자 단말기로부터 승인 신호가 수신된 경우 사용자 인증 완료 상태의 서비스 페이지를 제1 사용자 단말기로 전송하는 것을 특징으로 하는 사용자 인증 장치.
The method according to claim 1,
Wherein the authentication performing unit transmits the user authentication result information to the second user terminal and transmits the service page in the user authentication completed state to the first user terminal when the approval signal is received from the second user terminal. Device.
서비스 서버와 결합하는 사용자 인증 장치에서 사용자를 인증하는 방법에 있어서,
서비스 서버가 제1 사용자 단말기로부터 서비스 요청 신호를 수신한 경우 제1 사용자 단말기로 서버 식별 정보 및 세션 생성 정보를 전송하거나 서버 식별 정보 및 세션 생성 정보에 기초한 이미지 코드 정보를 전송하는 제1 단계-여기서, 상기 제1 사용자 단말기는 상기 수신한 서버 식별 정보 및 세션 생성 정보 또는 상기 수신한 이미지 코드 정보에 기초하여 이미지 코드를 디스플레이부에 표시함-;
상기 제1 사용자 단말기의 디스플레이부에 표시된 이미지 코드를 스캔하여 서버 식별 정보 및 세션 생성 정보를 획득한 제2 사용자 단말기로부터 인증 대상 정보를 수신하는 제2 단계; 및
상기 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하는 제3 단계
를 포함하는 사용자 인증 방법.
A method for authenticating a user in a user authentication apparatus coupled with a service server,
A first step of transmitting the server identification information and the session creation information to the first user terminal or the image code information based on the server identification information and the session creation information when the service server receives the service request signal from the first user terminal And the first user terminal displays the image code on the display unit based on the received server identification information and the session creation information or the received image code information;
A second step of receiving authentication object information from a second user terminal that has acquired server identification information and session creation information by scanning an image code displayed on a display unit of the first user terminal; And
A third step of performing user authentication based on the received authentication object information
And a user authentication method.
서비스 서버와 결합하는 사용자 인증 장치에서 사용자를 인증하는 방법에 있어서,
서비스 서버가 제1 사용자 단말기로부터 서비스 요청 신호를 수신하고 이에 상응하는 서비스 응답 페이지를 제1 사용자 단말기로 제공하는 제1 단계;
제1 사용자 단말기가 암호학적 키교환 프로토콜을 제공하기 위한 키쌍을 생성하고, 공개키가 포함된 이미지 코드를 생성하는 제2 단계;-여기서, 상기 제1 사용자 단말기는 상기 이미지 코드를 디스플레이부에 표시함-;
제2 사용자 단말기가 상기 이미지 코드를 스캔하여 제1 사용자 단말기의 공개키를 획득하고 획득된 공개키에 기초하여 암호화한 인증 대상 정보를 제1 사용자 단말기로 전송하는 제3 단계;
제1 사용자 단말기가 제2 사용자 단말기로부터 수신한 암호화된 인증 대상 정보를 복호화하고 이를 서비스 서버로 전송하는 제4 단계; 및
상기 서비스 서버가 제1 사용자 단말기로부터 수신한 인증 대상 정보에 기초하여 사용자 인증을 수행하는 제5 단계
를 포함하는 사용자 인증 방법.A method for authenticating a user in a user authentication apparatus coupled with a service server,
A service server receiving a service request signal from a first user terminal and providing a corresponding service response page to a first user terminal;
A second step of the first user terminal generating a key pair for providing a cryptographic key exchange protocol and generating an image code including a public key, wherein the first user terminal displays the image code on a display unit box-;
A third step of the second user terminal scanning the image code to obtain the public key of the first user terminal and transmitting the encrypted authentication information based on the obtained public key to the first user terminal;
A fourth step of the first user terminal decrypting the encrypted authentication target information received from the second user terminal and transmitting the decrypted encrypted authentication target information to the service server; And
A fifth step of performing a user authentication based on the authentication object information received from the first user terminal by the service server
And a user authentication method.
KR20130114985A 2013-09-27 2013-09-27 Apparatus and method for user authentication KR20150034970A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR20130114985A KR20150034970A (en) 2013-09-27 2013-09-27 Apparatus and method for user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130114985A KR20150034970A (en) 2013-09-27 2013-09-27 Apparatus and method for user authentication

Publications (1)

Publication Number Publication Date
KR20150034970A true KR20150034970A (en) 2015-04-06

Family

ID=53030050

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130114985A KR20150034970A (en) 2013-09-27 2013-09-27 Apparatus and method for user authentication

Country Status (1)

Country Link
KR (1) KR20150034970A (en)

Similar Documents

Publication Publication Date Title
KR101666374B1 (en) Method, apparatus and computer program for issuing user certificate and verifying user
KR101214836B1 (en) Authentication method and authentication system
KR101383761B1 (en) User authentication system and method thereof
US20150222435A1 (en) Identity generation mechanism
US20160105290A1 (en) Universal anonymous cross-site authentication
US11245526B2 (en) Full-duplex password-less authentication
US20170085561A1 (en) Key storage device and method for using same
KR101025807B1 (en) Authentication method and authentication server
US9124571B1 (en) Network authentication method for secure user identity verification
JP2006244081A (en) Server with authentication function and method
US20220116385A1 (en) Full-Duplex Password-less Authentication
KR101001400B1 (en) Online mutual authentication method and system thereof
US20170230416A1 (en) System and methods for preventing phishing attack using dynamic identifier
KR102171377B1 (en) Method of login control
KR100858146B1 (en) Method for personal authentication using mobile and subscriber identify module and device thereof
KR101747234B1 (en) Authentication method using two channels and the system for it
CN106714158B (en) WiFi access method and device
KR101799517B1 (en) A authentication server and method thereof
KR102313868B1 (en) Cross authentication method and system using one time password
KR101451638B1 (en) Identification and theft prevention system, and method thereof
JP5037238B2 (en) Mutual authentication system and mutual authentication method
JP7050466B2 (en) Authentication system and authentication method
JP5008989B2 (en) Mutual authentication system and mutual authentication method
KR20100008893A (en) Method for enrollment and authentication using private internet access devices and system
KR20150034970A (en) Apparatus and method for user authentication

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application