KR20160084787A - Method for authentication using user apparatus, digital system, and authentication system thereof - Google Patents
Method for authentication using user apparatus, digital system, and authentication system thereof Download PDFInfo
- Publication number
- KR20160084787A KR20160084787A KR1020150036026A KR20150036026A KR20160084787A KR 20160084787 A KR20160084787 A KR 20160084787A KR 1020150036026 A KR1020150036026 A KR 1020150036026A KR 20150036026 A KR20150036026 A KR 20150036026A KR 20160084787 A KR20160084787 A KR 20160084787A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- information
- digital system
- user
- user device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
Abstract
Description
본 발명은 사용자 장치를 이용한 본인인증방법, 이를 위한 디지털 시스템 및 인증 시스템에 관한 것으로, 보다 상세하게는 다양한 서비스(예컨대, 로그인, 결제나 이체 등의 금융거래, 증명서 발급 등)를 이용하고자 하는 사용자가 본인인증을 수행하여야 할 경우, 사용자 장치와 디지털 시스템(예컨대, 모바일 단말기)을 이용해 간편하면서도 매우 뛰어난 보안성을 갖는 본인인증 방법 및 그 시스템에 관한 것이다.The present invention relates to a user authentication method using a user device, a digital system and an authentication system therefor, and more particularly to a digital authentication system and a user authentication method using a user who wants to use various services (for example, financial transactions such as login, Authentication method and system using the user device and the digital system (e.g., mobile terminal) when the user authentication is to be performed.
특히 인증 시스템이 서버 생성키를 생성하고, 생성된 서버 생성키가 디지털 시스템으로 전송되어, 전송된 서버 생성키를 이용하여 사용자 장치 또는 디지털 시스템이 인증정보를 생성하고 생성한 인증정보를 다시 인증 시스템으로 전송함으로써 안전하고 간편하면서도 보안성이 높은 인증 방법 및 그 시스템에 관한 것이다.
In particular, the authentication system generates the server creation key, the generated server creation key is transmitted to the digital system, the user apparatus or the digital system generates the authentication information using the transmitted server creation key, To a secure and simple yet highly secure authentication method and system thereof.
본인인증과 관련한 종래의 기술은 전통적으로 아이디와 패스워드를 이용한 본인인증이 있었다. 하지만, 이러한 전통적인 인증방식은 아이디와 패스워드가 유출될 경우 정상적인 인증기능을 수행하기 어렵다는 문제점이 있었다. 이를 보완하기 위해 다양한 본인인증방식이 등장하였다. Conventional technology related to identity authentication has traditionally used identity and password authentication. However, such a conventional authentication method has a problem that it is difficult to perform a normal authentication function when an ID and a password are leaked. To complement this, various authentication schemes have appeared.
예컨대, 휴대폰 본인인증, 공인인증서를 통한 본인인증, OTP를 이용한 본인인증, i-PIN(Internet Personal Identification Number) 인증, 또는 신용카드를 이용한 본인인증 등이 있다.For example, there are authentication of the mobile phone itself, authentication by a user using an authorized certificate, authentication using an OTP, authentication of an i-PIN (Internet Personal Identification Number), or authentication using a credit card.
공인인증서 인증은 비교적 보안등급이 높은 인증 프로토콜이지만, 공인인증서를 안정적으로 휴대하기가 쉽지 않다는 점과 인증과정이 복잡하다는 단점 등이 있다. 또한, 공인인증서 역시 최근에는 대량으로 유출되는 사고도 발생하여 안전성에 문제가 제기되고 있는 실정이다.Authorized certificate authentication is an authentication protocol with a relatively high security level, but it is not easy to carry the authorized certificate stably and there are disadvantages such as complicated authentication process. In addition, the public certificate has also recently been leaked in large quantities, thus posing a problem of safety.
i-PIN은 인터넷상에 이용되는 가상의 식별번호를 이용하여 본인인증을 수행하는 방식으로 새로운 식별번호를 사용자가 미리 알고 있어야 하고 아이디 패스워드 방식과 같이 한 번 노출이 되면 정상적인 인증기능을 수행하기 어렵다는 제약점이 있다. The i-PIN is a method of authenticating the user by using a virtual identification number used on the Internet. The user must know a new identification number in advance, and it is difficult to perform a normal authentication function once an exposure is performed as in an ID password method There are constraints.
또한, 휴대폰 본인인증은 인증번호를 이용해 휴대폰의 점유를 인증하는 방식으로 스미싱 등에 취약하다는 문제점이 있다.In addition, the authentication of the mobile phone itself is problematic in that it is susceptible to smsing and the like by a method of authenticating occupation of the mobile phone by using the authentication number.
또한 이들 종래의 기술들은 모두 비밀번호(인증서 비밀번호, I-PIN 비밀번호) 또는 인증번호를 입력하는 방식이므로, 비밀번호 또는 인증번호가 타인에게 노출되면 본인인증이 무력화될 수밖에 없고, 키 로깅 등 키 입력방식의 해킹에 노출될 위험이 높다. Also, since all of these conventional technologies are a method of inputting a password (certificate password, I-PIN password) or an authentication number, if a password or an authentication number is exposed to another person, the authentication of the user is inevitable. There is a high risk of exposure to hacking.
또한, OTP를 이용한 본인인증의 경우에는 사용자가 OTP 클라이언트(OTP 토큰)를 소지하고 있어야만 본인인증이 수행될 수 있으며, OTP 클라이언트를 통한 OTP의 생성, 생성된 OTP를 사용자가 입력하여야 하는 등의 불편함이 존재한다.In addition, in the case of authentication using the OTP, the user can authenticate only when the user has the OTP client (OTP token). Also, the user is required to generate the OTP through the OTP client, There is a presence.
따라서 종래의 본인인증 기술들에 비해서 편의성을 유지하면서도 보안성이 높은 본인인증 프로토콜을 제공할 수 있는 기술적 사상이 결제 프로토콜과 함께 요구된다.Accordingly, a technical idea that can provide a highly secure personal authentication protocol while maintaining convenience compared with conventional authentication technologies is required along with a payment protocol.
또한, 온라인 금융거래가 활성화되면서 온라인 범죄가 더욱 지능화되고 빈번하게 발생함에 따라 2채널 인증의 필요성이 증가하고 있는데, 2채널 인증이 가능하면서도 사용자가 간편하게 인증을 수행할 수 있는 기술적 사상이 요구된다. In addition, online crime becomes more intelligent and frequent as online financial transactions become more active, so the need for 2-channel authentication is increasing. Technological thinking is required to enable users to easily perform authentication while enabling 2-channel authentication.
또한, 사용자가 타인에게 소정의 서비스를 허용해줄 경우가 있는데, 이때에도 인증요청과 상기 인증요청이 인증되기 위해 정당한 사용자가 수행하여야 할 인증행위가 분리될 수 있어서 간편하게 타인에게 인증에 필요한 정보를 노출시키지 않고도 서비스의 사용을 허락할 수 있는 기술적 사상이 요구된다. In this case, the authentication request and the authentication action to be performed by a legitimate user can be separated so that the authentication request and the authentication request are authenticated, so that the information necessary for authentication can be easily exposed to the other person. A technical idea that allows the use of the service without requiring the service is required.
또한, 종래의 일회성 정보(예컨대, OTP 등)를 이용하기 위해서는, 클라이언트(예컨대, OTP 토큰 등)와 인증 측(예컨대, OTP 인증 서버 등)이 각각 동일한 OTP 생성 키(또는 시드(seed), 예컨대, 시간정보)를 생성(또는 확인)할 수 있어야 했다. 특히 최근에 많이 사용되는 시간 동기화 방식을 통해 일회성 정보를 생성하기 위해서는 클라이언트와 인증 측간의 시간 동기화가 매우 중요한데, 이러한 시간 동기화를 위해서는 클라이언트 측이 시간을 확인할 수 있어야 한다. 하지만 본 발명의 기술적 사상에 의하면 상기 사용자 장치(예컨대, 스마트 카드 등)는 타이머가 구비되지 않을 수도 있다. 또한 사용자 장치 또는 디지털 시스템에 타이머가 구비된다고 하더라도, 실질적으로 사용자 장치의 타이머와 인증 측(예컨대, 인증 시스템)과 시간을 동기화하는 것은 어려운 일일 수 있다.
In order to use conventional one-time information (e.g., OTP), a client (e.g., OTP token) and an authentication side (e.g., OTP authentication server) , And time information). Especially, in order to generate one-time information through the time synchronization method which is widely used recently, time synchronization between the client and the authentication side is very important. In order to synchronize the time, the client side must be able to confirm the time. However, according to the technical idea of the present invention, the user device (e.g., a smart card or the like) may not have a timer. Even if a timer is provided in a user device or a digital system, it may be difficult to substantially synchronize the time with the timer of the user device and the authentication side (e.g., authentication system).
본 발명이 이루고자 하는 기술적인 과제는 사용자가 휴대하고 다닐 확률이 높은 디지털 시스템 및 사용자 장치 두 개의 독립적인 물건을 이용하여 간편하게 본인인증을 수행할 수 있는 기술적 사상을 제공하는 것이다. 또한, 2채널 본인인증, 원거리에서의 본인인증 또는 제3자에게 정당한 사용자가 서비스를 허용하기 위한 본인인증을 용이하게 수행할 수 있도록 하는 기술적 사상을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide a digital system and a user device which are highly likely to be carried by a user. In addition, the present invention provides a two-channel personal authentication, a long-term personal authentication, or a technical idea enabling a third party to easily perform a personal authentication for allowing a legitimate user to provide a service.
또한, 일회성 정보(예컨대, OTP 등)를 이용하여 본인인증을 수행할 수 있으므로 보안성이 높으면서도 사용자가 일회성 정보를 생성하기 위한 별도의 일회성 정보 생성장치(예컨대, OTP 클라이언트)를 소지할 필요가 없는 간편하면서도 안전한 본인인증을 수행할 수 있는 기술적 사상을 제공하는 것이다.In addition, since authentication can be performed using one-time information (e.g., OTP), it is necessary to have a separate one-time information generating device (e.g., OTP client) for generating one-time information It is to provide a technical idea that can carry out the simple and secure self-certification without.
또한, 일회성 정보의 생성을 사용자가 휴대하고 다니는 디지털 시스템 또는 사용자 장치(예컨대, 스마트카드 등)를 통해 수행할 수 있어서, 디지털 시스템 또는 상기 사용자 장치의 불법복제로 인한 인증이 수행될 수 있는 위험을 현저히 낮출 수 있는 기술적 사상을 제공하는 것이다.In addition, the generation of the one-time information can be performed through a digital system or a user device (e.g., a smart card or the like) carried by the user, so that the risk that authentication due to illegal copying of the digital system or the user device can be performed And to provide technological ideas that can be significantly lowered.
또한, 상기 디지털 시스템이 상기 사용자 장치와 통신을 수행하여야만 상기 일회성 정보를 포함하는 확인신호를 전송하도록 구현함으로써 보다 높은 보안성을 제공할 수 있는 기술적 사상을 제공하는 것이다.In addition, the digital system transmits an acknowledgment signal including the one-time information only when the digital system communicates with the user equipment, thereby providing a higher level of security.
또한, 일회성 정보를 이용하면서 이를 사용자에게 제공하고 사용자가 이를 입력하도록 하는 과정을 요구하지 않도록 하여, 사용자에게 결제시의 편의성뿐만 아니라 키 로깅 등을 통한 공격에 강인할 수 있는 본인인증의 기술적 사상을 제공하는 것이다. In addition, it does not require a process of providing the user with the one-time information while inputting the one-time information, thereby providing the user with the technical idea of authentication of the user, which is robust against attacks through key logging .
또한, 인증 측(예컨대, 인증 시스템)에서 생성된 서버 생성키(예컨대, 난수 값, 시간 값, 또는 OTP 등)를 이용하여 디지털 시스템 또는 사용자 장치가 일회성 정보를 포함하는 인증정보를 생성하여 보안성이 높은 인증 방식을 제공하는 것이다. 특히 인증 측과 직접 통신을 수행할 수 없는 사용자 장치에 의해 일회성 정보가 생성될 때에도 상기 서버 생성키를 이용할 수 있는 기술적 사상을 제공하는 것이다.Further, the digital system or the user apparatus generates authentication information including one-time information using a server generation key (e.g., a random number value, a time value, or OTP) generated in the authentication side This is to provide a high authentication method. The present invention provides a technical idea that can use the server generation key even when one-time information is generated by a user apparatus that can not directly communicate with the authentication side.
특히 인증 시스템은 디지털 시스템 또는 사용자 장치를 인증하기 위해 단말 식별정보 또는 장치 식별정보 자체를 저장할 수도 있지만, 단말 식별정보 또는 장치 식별정보 자체를 저장하지 않고 단말 식별정보 또는 장치 식별정보에 기초하여 결정될 수 있는 소정의 매체고유정보(예컨대, 단말 식별정보 및 장치 식별정보를 이용한 해시 값 등)를 저장함으로써 디지털 시스템 및 사용자 장치를 인증할 수 있으면서도, 인증 시스템이 공격당하더라도 사용자의 단말 식별정보 및/또는 장치 식별정보가 노출되지 않을 수 있는 인증 방식을 제공하는 것이다.In particular, the authentication system may store the terminal identification information or the device identification information itself to authenticate the digital system or the user device, but may be determined based on the terminal identification information or the device identification information without storing the terminal identification information or the device identification information itself It is possible to authenticate the digital system and the user device by storing the predetermined medium specific information (e.g., the terminal identification information and the hash value using the device identification information), and even if the authentication system is attacked, To provide an authentication scheme in which device identification information may not be exposed.
또한, 디지털 시스템이 인증을 위한 인증정보에 단순히 서버 생성키와 적어도 단말 식별정보 및/또는 장치 식별정보를 포함시킬 수도 있지만, 단말 식별정보 및 장치 식별정보에 기초하여 매체고유 정보(예컨대, 해시 값)를 생성하고, 생성된 매체고유 정보(예컨대, 단말 식별정보와 장치 식별정보의 해시 값)와 상기 서버 생성키에 기초하여 인증정보(예컨대, 매체고유 정보와 서버 생성키의 해시 값)를 생성하는 경우에는, 네트워크의 공격에 의해 인증정보가 유출되는 경우라도 서버 생성키, 장치 식별정보, 및/또는 단말 식별정보가 노출되지 않을 수 있는 인증 방식을 제공하는 것이다. 또한 인증 시스템도 인증확인절차를 위해 상기 인증정보로부터 서버 생성키, 장치 식별정보, 단말 식별정보를 복원하거나 추출하지 않고, 자신이 전송한 서버 생성키와 자신이 저장하고 있는 매체고유정보를 이용하여 확인용 인증정보를 생성하여 단순히 디지털 시스템으로부터 수신한 인증정보와 비교만 하면 인증확인절차를 수행할 수 있으므로 간단한 인증절차가 수행될 수 있는 인증방식을 제공하는 것이다.In addition, although the digital system may simply include the server generation key and at least the terminal identification information and / or the device identification information in the authentication information for authentication, the media identification information (e.g., the hash value ), And generates authentication information (e.g., medium specific information and a hash value of the server generation key) based on the generated medium specific information (e.g., the terminal identification information and the hash value of the apparatus identification information) , The server generation key, the device identification information, and / or the terminal identification information may not be exposed even when the authentication information is leaked due to an attack of the network. Also, the authentication system may use the server generated key transmitted by itself and the medium unique information stored therein, without restoring or extracting the server generated key, device identification information, and terminal identification information from the authentication information for the authentication check procedure The authentication verification information can be generated by simply comparing the authentication information received from the digital system with the authentication information received from the digital system, thereby providing an authentication method in which a simple authentication procedure can be performed.
또한, 인증행위에 이용될 디지털 시스템 및/또는 사용자 장치를 미리 결정해두고, 상기 디지털 시스템 및/또는 상기 사용자 장치를 통해서만 본인인증을 수행할 수 있도록 하는 기술적 사상을 제공하는 것이다.The present invention also provides a technical idea that allows a digital system and / or a user device to be used for an authentication operation to be predetermined and perform authentication of the user only through the digital system and / or the user device.
또한, 인증행위에 이용될 디지털 시스템 및 상기 디지털 시스템과 짝(페어)을 이루는 사용자 장치를 미리 설정해두고, 상기 페어를 이루는 장치 간에 통신(예컨대, 접촉식 또는 비접촉식)이 수행되어야만 본인인증이 성공될 수 있도록 함으로써, 현저한 보안성의 상승효과를 제공할 수 있는 기술적 사상을 제공하는 것이다.In addition, a digital system to be used for the authentication operation and a user apparatus that is paired with the digital system are set in advance, and authentication is successful only when communication (for example, contact or non-contact type) So as to provide a technical idea capable of providing a synergistic effect of remarkable security.
또한, 소정의 데이터 처리장치 또는 디지털 시스템을 이용하여 금융거래를 수행하는 경우 소정의 수신계좌의 계좌 식별정보를 본인인증을 수행하는 정보에 포함함으로써, 인증단계와 금융결제 단계(예컨대, 이체 단계 등)가 괴리됨으로써 발생할 수 있는 스미싱, 메모리 해킹 등을 근본적으로 제어할 수 있는 기술적 사상을 제공하는 것이다.In addition, in the case of conducting a financial transaction using a predetermined data processing apparatus or a digital system, account identification information of a predetermined receiving account is included in information for performing authentication of the principal, so that an authentication step and a financial settlement step ), It is possible to provide a technical idea that can fundamentally control the smoothing and the memory hacking that may occur due to the distinction between them.
또한, 클라이언트 측(예컨대, 디지털 시스템 또는 사용자 장치)이 사용자 장치 또는 디지털 시스템의 타이머(시간정보)를 이용하여 인증정보를 생성하는 경우에 발생할 수 있는 인증 측(예컨대, 인증시스템)과의 시간 동기화의 문제점, 디지털 시스템의 타이머(시간정보)의 악용이나 임의변경에 의한 문제점 등을 해결할 수 있는 기술적 사상을 제공하는 것이다.
It is also possible to synchronize the time with an authentication side (e.g., an authentication system) that may occur when the client side (e.g., digital system or user device) generates authentication information using a timer of the user device or digital system (Time information) of a digital system, or a problem caused by arbitrary change.
상기 기술적 과제를 달성하기 위한 본 발명의 실시 예에 따른 본인인증방법은 디지털 시스템이 인증 시스템으로부터 서버 생성키를 수신하는 단계, 상기 디지털 시스템이 사용자 장치와 통신을 통해 상기 서버 생성키를 상기 사용자 장치로 전송하고 전송된 상기 서버 생성키에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나, 상기 통신이 수행되면 상기 디지털 시스템이 상기 서버 생성키에 기초하여 인증정보를 생성하는 단계를 포함하고, 상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함한다.According to another aspect of the present invention, there is provided a method for authenticating a user, comprising: receiving a server generation key from an authentication system of a digital system; And receiving the authentication information generated by the user device based on the transmitted server generated key, or when the communication is performed, the digital system generates authentication information based on the server generated key , And the server creation key includes time information of the authentication system.
상기 사용자 장치를 이용한 본인인증방법은 상기 디지털 시스템이, 상기 인증정보를 상기 디지털 시스템에서 디스플레이하지 않고, 상기 인증정보를 포함하는 확인신호를 상기 인증 시스템으로 전송하는 단계를 더 포함할 수 있다.The method for authenticating a user using the user device may further include transmitting the confirmation signal including the authentication information to the authentication system without displaying the authentication information in the digital system.
상기 사용자 장치를 이용한 본인인증방법은 상기 디지털 시스템이 상기 서버 생성키와 상기 디지털 시스템의 시간정보를 비교하는 시간 정당성 확인절차를 수행하는 단계를 더 포함하며, 상기 시간 정당성 확인절차의 수행결과 시간 정당성이 확인되어야 상기 디지털 시스템이 상기 서버 생성키를 상기 사용자 장치로 전송하거나, 상기 서버 생성키를 이용해 인증정보를 생성하거나, 상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보를 정당한 인증정보로 처리할 수 있다.The method of authenticating a user using the user device further includes performing a time validity checking procedure in which the digital system compares the server generated key with time information of the digital system, The digital system transmits the server creation key to the user device, generates authentication information using the server creation key, or transmits the authentication information generated by the user device or the digital system to valid authentication information Can be processed.
상기 서버 생성키는 상기 디지털 시스템에서는 상기 사용자 장치에 대응되도록 보호처리된 정보인 것을 특징으로 할 수 있다.And the server creation key is information protected in the digital system so as to correspond to the user apparatus.
상기 사용자 장치를 이용한 본인인증방법은 상기 디지털 시스템이 상기 사용자 장치가 상기 디지털 시스템에 대응되도록 미리 설정된 페어인지를 판단하는 단계를 더 포함하며, 판단결과 상기 사용자 장치가 미리 설정된 페어여야 상기 인증정보를 포함하는 확인신호를 상기 인증 시스템으로 전송하는 것을 특징으로 할 수 있다.The authentication method using the user device further comprises a step of determining whether the digital system is a preset pair so that the user equipment corresponds to the digital system, And transmits an authentication signal including the authentication signal to the authentication system.
상기 기술적 과제를 해결하기 위한 인증방법은 디지털 시스템이 인증 시스템으로부터 서버 생성키를 수신하는 단계, 상기 디지털 시스템이 수신된 상기 서버 생성키를 이용하여 일회성 정보의 생성에 기초정보로 이용될 시간정보-상기 시간정보는 상기 디지털 시스템의 제1시간정보 또는 상기 디지털 시스템과 통신을 수행하는 사용자 장치의 제2시간정보-의 정당성을 확인하는 단계, 상기 디지털 시스템이, 사용자 장치와 통신을 통해 정당성이 확인된 상기 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나, 정당성이 확인된 상기 제1시간정보에 기초하여 인증정보를 생성하거나, 또는 정당성이 확인된 상기 제1시간정보를 상기 사용자 장치로 전송하여 인증정보가 생성되도록 하는 단계를 포함하고, 상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함한다.According to another aspect of the present invention, there is provided an authentication method including: receiving a server generation key from an authentication system of a digital system; generating time information to be used as information based on generation of one- Wherein the time information is validating the first time information of the digital system or the second time information of the user apparatus communicating with the digital system, The authentication information generated by the user apparatus based on the second time information that has been verified, or the authentication information based on the first time information whose validity is confirmed, To the user device to generate authentication information, wherein the server creation key And time information of the authentication system.
상기 기술적 과제를 해결하기 위한 인증방법은 인증 시스템이 사용자의 디지털 시스템으로 서버 생성키-상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함함-를 전송하는 단계, 상기 인증 시스템이 상기 디지털 시스템으로부터 또는 상기 사용자의 데이터 처리장치로부터 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 상기 서버 생성키에 기초하여 생성되는 정보임-를 수신하는 단계, 상기 인증 시스템이 수신된 상기 인증정보를 인증하는 인증확인절차를 수행하는 단계, 및 상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 단계를 포함할 수 있다.According to another aspect of the present invention, there is provided an authentication method including the steps of transmitting an authentication system to a digital system of a user with a server creation key, the server creation key including time information of the authentication system, Or authentication information from the user's data processing device, the authentication information being generated by the user device or generated by the digital system when the digital system communicates with a predetermined user device, Wherein the authentication system is operable to perform an authentication procedure to authenticate the received authentication information, and wherein the authentication process is successful from the data processing apparatus or the digital system to the authentication system Or a service time associated with the authentication system It may comprise the step of processing the successful authentication request outputted to the system.
상기 인증정보는 상기 디지털 시스템에 의해 시간 정당성이 확인되어야, 상기 서버 생성키가 상기 사용자 장치로 전송되어 상기 사용자 장치에 의해 생성되거나, 상기 디지털 시스템에 의해 생성되거나, 상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보가 상기 디지털 시스템에 의해 정당한 인증정보로 처리되는 것을 특징으로 할 수 있다.Wherein the authentication information is to be verified by the digital system for time validity, the server generation key is transmitted to the user device to be generated by the user device, generated by the digital system, And the authentication information generated by the digital system is processed as valid authentication information by the digital system.
상기 사용자 장치를 이용한 본인인증방법은 상기 인증 시스템이 상기 사용자 장치에 대응되도록 상기 서버 생성키를 보호처리하는 단계를 더 포함하며, 보호처리된 상기 서버 생성키를 상기 디지털 시스템으로 전송하는 것을 특징으로 할 수 있다.Wherein the authentication method using the user device further comprises a step of protecting the server generation key so that the authentication system corresponds to the user device and the protected server generation key is transmitted to the digital system can do.
상기 사용자 장치를 이용한 본인인증방법은 상기 인증 시스템이 상기 사용자 장치 및 상기 디지털 시스템이 서로 대응되도록 미리 설정된 페어인지를 판단하는 단계를 더 포함하며, 판단결과 미리 설정된 페어여야 상기 인증확인절차가 성공한 것으로 판단하는 것을 특징으로 할 수 있다.Wherein the authentication method using the user device further includes a step of determining whether the authentication system is a preset pair so that the user device and the digital system correspond to each other, It is possible to make a judgment.
상기 기술적 과제를 해결하기 위한 인증방법은 인증 시스템이 사용자의 디지털 시스템으로 서버 생성키-상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함함-를 전송하는 단계, 상기 인증 시스템이 상기 디지털 시스템으로부터 또는 상기 사용자의 데이터 처리장치로부터 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 정당성이 확인된 시간정보에 기초하여 생성되는 정보임-를 수신하는 단계, 상기 인증 시스템이 수신된 상기 인증정보를 인증하는 인증확인절차를 수행하는 단계, 및 상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 단계를 포함하며, 상기 인증정보는 상기 서버 생성키를 이용하여 정당성이 확인된 상기 디지털 시스템의 제1시간정보에 기초하여 상기 디지털 시스템 또는 상기 사용자 장치에 의해 생성되거나, 정당성이 확인된 상기 사용자 장치의 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 정보인 것을 특징으로 한다.According to another aspect of the present invention, there is provided an authentication method including the steps of transmitting an authentication system to a digital system of a user with a server creation key, the server creation key including time information of the authentication system, Or authentication information from the data processing device of the user when the digital system communicates with a predetermined user device, the authentication information being generated by the user device or generated by the digital system, The method comprising the steps of: performing an authentication procedure to authenticate the authentication information received by the authentication system; and transmitting, from the data processing apparatus or the digital system, The authentication system or the authentication system And the authentication information is transmitted to the digital system or the user device based on first time information of the digital system whose legitimacy has been verified using the server generation key, Or information generated by the user apparatus based on second time information of the user apparatus that has been confirmed as being legitimate.
상기의 방법은 데이터 처리장치에 설치된 컴퓨터 프로그램에 의해 구현될 수 있다.The above method can be implemented by a computer program installed in the data processing apparatus.
상기 기술적 과제를 해결하기 위한 디지털 시스템은 소정의 사용자 장치와 통신을 수행하는 사용자 장치 통신모듈, 인증 시스템으로부터 서버 생성키를 수신하기 위한 통신모듈, 및 상기 사용자 장치 통신모듈을 통해 상기 서버 생성키를 상기 사용자 장치로 전송하고 전송된 상기 서버 생성키에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나, 상기 통신이 수행되면 상기 서버 생성키에 기초하여 인증정보를 생성하기 위한 제어모듈을 포함하며, 상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함한다.According to an aspect of the present invention, there is provided a digital system comprising a user device communication module for performing communication with a predetermined user device, a communication module for receiving a server generation key from the authentication system, A control module for receiving authentication information generated by the user device based on the server generated key transmitted to and transmitted from the user device or generating authentication information based on the server generated key when the communication is performed And the server creation key includes time information of the authentication system.
상기 제어모듈은 수신하거나 생성한 상기 인증정보를 상기 디지털 시스템에서 디스플레이하지 않고, 상기 인증정보를 포함하는 확인신호를 상기 인증 시스템으로 전송하는 것을 특징으로 할 수 있다.The control module transmits an authentication signal including the authentication information to the authentication system without displaying the authentication information received or generated in the digital system.
상기 제어모듈은 상기 서버 생성키와 상기 디지털 시스템의 시간정보를 비교하는 시간 정당성 확인절차를 수행하고 수행결과 시간 정당성이 확인되어야, 상기 서버 생성키를 상기 사용자 장치로 전송하거나, 상기 서버 생성키를 이용해 인증정보를 생성하거나, 상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보를 정당한 인증정보로 처리할 수 있다.The control module performs a time validity check procedure for comparing the server generated key with the time information of the digital system and transmits the server generated key to the user device when the time validity is confirmed as a result of the execution, Or the authentication information generated by the user apparatus or the digital system may be treated as legitimate authentication information.
상기 기술적 과제를 해결하기 위한 디지털 시스템은 소정의 사용자 장치와 통신을 수행하는 사용자 장치 통신모듈, 인증 시스템으로부터 상기 인증 시스템의 시간정보를 포함하는 서버 생성키를 수신하기 위한 통신모듈, 및 수신된 상기 서버 생성키를 이용하여 일회성 정보의 생성에 기초정보로 이용될 시간정보-상기 시간정보는 상기 디지털 시스템의 제1시간정보 또는 상기 디지털 시스템과 통신을 수행하는 사용자 장치의 제2시간정보-의 정당성을 확인하고, 상기 사용자 장치와 통신을 통해 정당성이 확인된 상기 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나, 상기 사용자 장치와 통신을 통해 정당성이 확인된 상기 제1시간정보를 전송하고 상기 제1시간정보에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나, 정당성이 확인된 상기 제1시간정보에 기초하여 인증정보를 생성하는 제어모듈을 포함한다.According to an aspect of the present invention, there is provided a digital system including a user equipment communication module for performing communication with a predetermined user device, a communication module for receiving a server generation key including time information of the authentication system from the authentication system, Time information to be used as basic information for generation of one-time information using a server creation key, the time information being information about a first time information of the digital system or a second time information of a user apparatus performing communication with the digital system Wherein the authentication information generated by the user device is received based on the second time information whose validity has been verified through communication with the user device, Time information, and based on the first time information, To receive, or on the basis of the first time information, the validity is confirmed that a control module for generating the authentication information.
상기 기술적 과제를 해결하기 위한 인증 시스템은 사용자의 디지털 시스템으로 전송할 서버 생성키-상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함함-를 생성하고, 상기 디지털 시스템 또는 상기 사용자의 데이터 처리장치로부터 수신되는 확인신호에 포함된 인증정보를 인증하는 인증확인절차를 수행하는 인증부, 상기 서버 생성키를 상기 디지털 시스템으로 전송하고, 상기 디지털 시스템으로부터 상기 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 상기 서버 생성키에 기초하여 생성되는 정보임-를 수신하는 통신부, 및 상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 제어부를 포함한다.According to another aspect of the present invention, there is provided an authentication system for generating a server generation key to be transmitted to a digital system of a user, the server generation key including time information of the authentication system, An authenticating unit for authenticating the authentication information included in the received confirmation signal; an authentication unit for transmitting the server generation key to the digital system; and the authentication information from the digital system, The information being generated by the user device or generated by the digital system and being generated based on the server creation key when the communication device is communicating with the user device of the communication device, From the processing device or the digital system And a control unit for successively processing the authentication request output to the system or the service system connected to the authentication system.
상기 인증정보는 상기 디지털 시스템에 의해 시간 정당성이 확인되어야 상기 서버 생성키가 상기 사용자 장치로 전송되어 상기 사용자 장치에 의해 생성되거나, 상기 디지털 시스템에 의해 생성되거나, 상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보가 상기 디지털 시스템에 의해 정당한 인증정보로 처리되는 것을 특징으로 한다.Wherein the authentication information is transmitted to the user device and generated by the user device or generated by the digital system so that the time validity is verified by the digital system, And the generated authentication information is processed as valid authentication information by the digital system.
상기 인증부는 상기 사용자 장치에 대응되도록 상기 서버 생성키를 보호처리하는 단계를 더 포함하며, 상기 통신부는 보호처리된 상기 서버 생성키를 상기 디지털 시스템으로 전송하는 것을 특징으로 한다.The authentication unit may further include a step of protecting the server generation key so as to correspond to the user apparatus, and the communication unit transmits the server generation key, which is protected, to the digital system.
상기 인증부는 상기 사용자 장치 및 상기 디지털 시스템이 서로 대응되도록 미리 설정된 페어인지를 판단하고, 판단결과 미리 설정된 페어여야 상기 인증확인절차가 성공한 것으로 판단한다.The authentication unit determines whether the user apparatus and the digital system are a preset pair so that they correspond to each other, and determines that the authentication check procedure is successful if the pair is a predetermined pair.
상기 기술적 과제를 해결하기 위한 인증 시스템은 사용자의 디지털 시스템으로 전송할 서버 생성키-상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함함-를 생성하고, 상기 디지털 시스템 또는 상기 사용자의 데이터 처리장치로부터 수신되는 확인신호에 포함된 인증정보를 인증하는 인증확인절차를 수행하는 인증부, 상기 서버 생성키를 상기 디지털 시스템으로 전송하고, 상기 디지털 시스템으로부터 상기 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 정당성이 확인된 시간정보에 기초하여 생성되는 정보임-를 수신하는 통신부, 및 상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 제어부를 포함하며, 상기 인증정보는 상기 서버 생성키를 이용하여 정당성이 확인된 상기 디지털 시스템의 제1시간정보에 기초하여 상기 디지털 시스템 또는 상기 사용자 장치에 의해 생성되거나, 정당성이 확인된 상기 사용자 장치의 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 정보인 것을 특징으로 한다.
According to another aspect of the present invention, there is provided an authentication system for generating a server generation key to be transmitted to a digital system of a user, the server generation key including time information of the authentication system, An authenticating unit for authenticating the authentication information included in the received confirmation signal; an authentication unit for transmitting the server generation key to the digital system; and the authentication information from the digital system, The information being generated by the user device or generated based on the time information generated by the digital system and the validity of which is confirmed, From the data processing apparatus or the digital system And a control unit for successively processing an authentication request output to the authentication system or the service system connected to the authentication system, wherein the authentication information is based on first time information of the digital system whose validity is confirmed using the server generation key And information generated by the digital system or the user device based on second time information of the user device generated or validated by the user device.
본 발명의 기술적 사상에 의하면, 사용자가 휴대하고 다닐 확률이 높고 익숙한 디지털 시스템 및 사용자 장치 2개의 독립적인 물건을 함께 이용하여 본인인증을 수행함으로써 높은 보안성과 함께 간편성을 제공하는 효과가 있다.According to the technical idea of the present invention, there is an effect of providing high security and simplicity by performing self-authentication by using two independent objects of a digital system and a user device, both of which are highly likely to be carried by a user and are familiar.
또한, 인증요청과 인증행위를 분리하여 진행할 수 있으므로, 즉 인증요청은 상기 디지털 시스템과는 별개의 데이터 처리장치에 의해 수행되고, 인증행위는 상기 디지털 시스템을 통해서 하거나, 인증요청이 수행된 곳과 다른 곳에서 수행되거나 또는 인증 요청자와는 다른 타인이 수행할 수 있어서 보안성이 높으면서도 간편하게 2채널 인증, 원격지 인증, 또는 제3자의 인증을 정당한 사용자가 수행할 수 있는 효과가 있다.In other words, the authentication request is performed by a data processing apparatus that is separate from the digital system, and the authentication operation is performed through the digital system, It is possible to perform a two-channel authentication, a remote authentication, or a third party authentication by a legitimate user with high security because it can be carried out elsewhere or by another person different from the authentication requestor.
또한, 별도의 일회성 정보(예컨대, OTP 등)를 위한 장치를 사용자가 소지할 필요가 없고, 사용자가 주로 소지하고 다니는 사용자 장치(예컨대, IC카드, 교통카드, 전자신분증 등)와 디지털 시스템이 통신이 수행되어야만 본인인증이 성공할 수 있도록 함으로써, 보안성 및 사용자의 편의성을 모두 증가시킬 수 있는 효과가 있다. In addition, there is no need for a user to have a device for separate one-time information (e.g., OTP, etc.), and a user device (e.g., IC card, traffic card, electronic ID card, etc.) It is possible to increase both the security and the convenience of the user.
또한, 인증 측(예컨대, 인증 시스템)에서 생성된 서버 생성키(예컨대, 난수 값, 서버의 시간 값 등)를 이용하여 보안성이 높은 인증 방식을 제공하는 것이다. 특히 이러한 서버 생성키를 이용하는 방식의 경우에는 인증 측과 클라이언트 측이 통신이 가능하여야 하는데, 본 발명의 기술적 사상에 의하면 인증 측과 통신을 수행할 수 있는 디지털 시스템을 매개로 하여 인증 측과 통신을 수행할 수 없는 사용자 장치에 의해서도 인증을 수행할 수 있는 효과가 있다. 즉, 사용자가 일반적으로 소지하고 다니는 디지털 시스템 및 사용자 장치 두 개의 인증도구를 소지하여야 인증이 성공할 수 있도록 하면서도, 상기 인증도구 중 적어도 하나(예컨대, IC카드 등)가 시간 동기화 방식을 적용하기 힘든 경우에도 일회성 정보를 이용한 인증을 수행할 수 있는 효과가 있다. 또한 인증도구 중 사용자 장치가 인증 측과 통신을 수행할 수 없는 경우라도, 나머지 인증도구인 디지털 시스템을 통해 통신을 수행함으로써 인증을 수행할 수 있는 효과가 있다.The present invention also provides a highly secure authentication method using a server creation key (for example, a random number value, a server time value, etc.) generated by an authentication side (e.g., an authentication system). In particular, in the case of using the server generation key, the authentication side and the client side must be able to communicate with each other. According to the technical idea of the present invention, communication with the authentication side is performed via the digital system capable of performing communication with the authentication side. There is an effect that authentication can be performed also by a user apparatus that can not be performed. That is, it is necessary to carry two authentication tools of digital system and user device that the user generally possesses, so that authentication can be successful, but at least one of the authentication tools (for example, IC card or the like) It is possible to perform authentication using one-time information. Also, even when the user device can not communicate with the authentication side among the authentication tools, authentication can be performed by performing communication through the digital system as the remaining authentication tool.
또한, 클라이언트 측(예컨대, 디지털 시스템 또는 사용자 장치)이 사용자 장치 또는 디지털 시스템이 타이머(시간정보)를 이용하여 인증정보를 생성하는 경우에 디지털 시스템의 시간정보를 이용하는 것이 아니라 서버 측에서 전송된 서버 생성키(시간 정보)를 이용하도록 하거나 또는 디지털 시스템의 시간정보가 서버 측에서 전송된 서버 생성키의 시간정보와 일치하는 경우에만 이용되게 함으로써, 클라이언트 측과 인증 측(예컨대, 인증시스템)과의 시간 동기화의 문제점, 디지털 시스템의 타이머(시간정보)의 악용이나 임의변경에 의한 문제점 등을 해결할 수 있는 기술적 사상을 제공하는 것이다.Further, when the client side (e.g., a digital system or a user apparatus) generates authentication information using a timer (time information) by a user apparatus or a digital system, the time information of the digital system is not used, (Time information) is used, or only when the time information of the digital system matches the time information of the server generation key transmitted from the server side, the client side and the authentication side (e.g., the authentication system) A problem of time synchronization, a problem caused by abuse or arbitrary change of a timer (time information) of a digital system, and the like.
또한, 일회성 정보를 이용하면서도 사용자가 이를 입력하도록 하는 과정을 요구하지 않도록 하여, 사용자에게 본인인증시의 편의성뿐만 아니라 키 로깅 등 키 입력 방식의 해킹에 노출되지 않을 수 있는 효과가 있다.In addition, it does not require the user to input the information while using the one-time information, so that the user is not exposed to the hacking of the key input method such as the key logging as well as the convenience of the user authentication.
또한, 본인인증에 이용될 디지털 시스템을 미리 설정하여 특정할 수 있으므로 스미싱(smishing) 또는 맨인미들어택(man in middle attack) 등의 공격에 강인한 특성을 가질 수 있는 효과가 있으며 타 디지털 시스템을 통한 온라인 범죄를 적극적으로 차단할 수 있는 효과가 있다.In addition, since the digital system to be used for authentication of the user can be preset and specified, it has the effect of having a strong characteristic against attack such as smishing or man in the middle attack. Online crime can be actively blocked.
특히 인증 시스템은 디지털 시스템 또는 사용자 장치를 인증하기 위해 단말 식별정보 또는 장치 식별정보 자체를 저장할 수도 있지만, 단말 식별정보 또는 장치 식별정보 자체를 하지 않고 단말 식별정보 또는 장치 식별정보에 기초하여 결정될 수 있는 소정의 매체고유정보(예컨대, 단말 식별정보 및 장치 식별정보를 이용한 해시 값 등)를 저장할 수 있고, 이러한 경우에는 인증 시스템이 공격당하더라도 사용자의 단말 식별정보 및/또는 장치 식별정보가 노출되지 않는 안전한 효과가 있다.In particular, the authentication system may store the terminal identification information or the device identification information itself to authenticate the digital system or the user device, but may be determined based on the terminal identification information or the device identification information without the terminal identification information or the device identification information itself (E.g., hash value using device identification information and device identification information). In this case, even if the authentication system attacks, the terminal identification information and / or the device identification information of the user are not exposed There is a safe effect.
또한, 디지털 시스템이 인증을 위한 인증정보에 단순히 서버 생성키와 적어도 장치 식별정보(상기 장치 식별정보 이외에도 인증 받을 대상에 대한 정보가 인증정보에 포함될 수 있다. 예컨대, 단말 식별정보는 선택적으로 포함될 수 있으며, 이외에도 인증 받을 서비스 종류(예컨대, 계좌이체 등)에 따라 추가로 인증 받을 대상에 대한 정보(예컨대, 송금할 계좌정보)가 포함될 수 있음)를 포함시킬 수도 있지만, 인증할 대상인 디지털 시스템 및 사용자 장치 각각에 대한 정보들(예컨대, 단말 식별정보 및 장치 식별정보)에 기초하여 매체고유 정보(예컨대, 해시 값)를 생성하고, 생성된 매체고유 정보(예컨대, 단말 식별정보와 장치 식별정보의 해시 값)와 상기 서버 생성키에 기초하여 인증정보(예컨대, 매체고유 정보와 서버 생성키의 해시 값)를 생성하는 경우에는, 네트워크의 공격에 의해 인증정보가 유출되는 경우라도 서버 생성키, 장치 식별정보, 및/또는 단말 식별정보가 노출되지 않을 수 있는 효과가 있다. 또한 인증 시스템도 인증확인절차를 위해 상기 인증정보로부터 서버 생성키, 장치 식별정보, 단말 식별정보를 복원하거나 추출하지 않고, 자신이 전송한 서버 생성키와 자신이 저장하고 있는 매체고유정보를 이용하여 확인용 인증정보를 생성하여 단순히 디지털 시스템으로부터 수신한 인증정보와 비교만 하면 인증확인절차를 수행할 수 있으므로 간단한 인증절차가 수행될 수 있는 효과가 있다.Also, in the authentication information for authentication, the digital system may simply include a server creation key and at least device identification information (in addition to the device identification information, information about an object to be authenticated may be included in the authentication information. (For example, account information to be remitted) may be included according to the kind of service (for example, account transfer) to be authenticated. However, the digital system and the user (E.g., a hash value) based on information about each device (e.g., terminal identification information and device identification information), and generates medium specific information (e.g., hash of terminal identification information and device identification information (For example, medium specific information and a hash value of a server generated key) based on the server generated key There is an effect that the server creation key, the device identification information, and / or the terminal identification information may not be exposed even when the authentication information is leaked by an attack of the network. Also, the authentication system may use the server generated key transmitted by itself and the medium unique information stored therein, without restoring or extracting the server generated key, device identification information, and terminal identification information from the authentication information for the authentication check procedure The authentication verification information can be generated and compared with the authentication information simply received from the digital system, the authentication verification procedure can be performed, so that a simple authentication procedure can be performed.
또한, 상기 디지털 시스템과 짝(페어)을 이루는 사용자 장치를 미리 설정해둘 수 있으므로, 상기 페어를 이루는 장치를 모두 소지하지 않는 이상(즉, 등록된 디지털 시스템 및 사용자 장치를 가지고 있더라도 두 장치가 페어로 설정된 장치이지 않으면) 본인인증을 정상적으로 할 수 없도록 함으로써 현저한 보안성의 상승을 가져올 수 있는 효과가 있다.In addition, since a user apparatus constituting a pair (pair) with the digital system can be set in advance, it is possible to set up a pair of apparatuses without having all the apparatuses constituting the pair (that is, The apparatus can not be normally authenticated), thereby remarkably improving the security.
또한, 소정의 데이터 처리장치 또는 디지털 시스템을 이용하여 금융거래를 수행하는 경우 소정의 수신계좌의 계좌 식별정보를 본인인증을 수행하는 정보에 포함함으로써, 정당한 계좌 외로 이체되는 것을 근본적으로 차단할 수 있어 메모리 해킹을 근본적으로 차단할 수 있는 효과가 있다.In addition, when the financial transaction is performed using a predetermined data processing apparatus or a digital system, the account identification information of a predetermined receiving account is included in the information for performing authentication of the principal, so that it is possible to fundamentally block the transfer of the account outside the legitimate account, Hacking can be fundamentally blocked.
또한, 소정의 데이터 처리장치 또는 디지털 시스템을 이용하여 금융거래를 수행하는 경우 소정의 수신계좌의 계좌 식별정보를 본인인증을 수행하는 정보에 포함함으로써, 인증단계와 금융결제 단계(예컨대, 이체 단계 등)가 괴리됨으로써 발생할 수 있는 스미싱을 차단할 수 있는 효과가 있다. 또한, 고객이 스미싱을 당해 인증행위를 수행할 때 이체 계좌가 표시됨으로 인해 고객의 경계감을 높일 수 있는 부수적인 효과도 있다.
In addition, in the case of conducting a financial transaction using a predetermined data processing apparatus or a digital system, account identification information of a predetermined receiving account is included in information for performing authentication of the principal, so that an authentication step and a financial settlement step ) Can be prevented by preventing the smashing that may occur. In addition, there is a side effect that the transference account is displayed when the customer conducts the smsing and performs the authentication, thereby enhancing the customer's vigilance.
본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도1은 본 발명의 실시 예에 따른 사용자 장치를 이용한 본인인증을 구현하기 위한 개략적인 시스템들을 나타낸다.
도2는 본 발명의 일실시 예에 따른 디지털 시스템의 개략적인 구성을 나타낸다.
도3은 본 발명의 일실시 예에 따른 인증 시스템의 개략적인 구성을 나타낸다.
도4는 본 발명의 일실시 예에 따른 사용자 장치를 이용한 본인인증의 개략적인 데이터 플로우를 나타낸다.
도5는 본 발명의 다른 일실시 예에 따른 사용자 장치를 이용한 본인인증의 개략적인 데이터 플로우를 나타낸다.
도6은 본 발명의 또 다른 일실시 예에 따른 사용자 장치를 이용한 본인인증의 개략적인 데이터 플로우를 나타낸다.
도7은 본 발명의 일실시 예에 따라 인증 시스템이 인증확인절차를 수행하는 과정을 설명하기 위한 도면이다.
도8은 본 발명의 일실시 예에 따라 디지털 시스템이 확인신호를 전송하는 과정을 설명하기 위한 도면이다.
도9는 본 발명의 또 다른 일실시 예에 따른 사용자 장치를 이용한 본인인증의 개략적인 데이터 플로우를 나타낸다.
도10은 본 발명의 일실시 예에 따른 본인인증방법이 계좌이체(송금)에 적용되는 일예를 설명하기 위한 도면이다.
도11은 본 발명의 기술적 사상을 구현하기 위해 인증 시스템에 저장될 수 있는 매체확인 정보의 일예를 나타낸다.BRIEF DESCRIPTION OF THE DRAWINGS A brief description of each drawing is provided to more fully understand the drawings recited in the description of the invention.
Figure 1 shows schematic systems for implementing identity authentication using a user device in accordance with an embodiment of the present invention.
2 shows a schematic configuration of a digital system according to an embodiment of the present invention.
3 shows a schematic configuration of an authentication system according to an embodiment of the present invention.
4 shows a schematic data flow of authentication of a user using a user device according to an embodiment of the present invention.
FIG. 5 shows a schematic data flow of authentication of a user using a user apparatus according to another embodiment of the present invention.
6 shows a schematic data flow of authentication of a user using a user apparatus according to another embodiment of the present invention.
7 is a diagram for explaining a process of an authentication system performing an authentication procedure according to an embodiment of the present invention.
8 is a diagram for explaining a process in which a digital system transmits an acknowledgment signal according to an embodiment of the present invention.
FIG. 9 shows a schematic data flow of authentication of a user using a user apparatus according to another embodiment of the present invention.
10 is a diagram for explaining an example in which the authentication method according to the embodiment of the present invention is applied to account transfer (remittance).
11 shows an example of medium identification information that can be stored in an authentication system to implement the technical idea of the present invention.
본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시 예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.In order to fully understand the present invention, operational advantages of the present invention, and objects achieved by the practice of the present invention, reference should be made to the accompanying drawings and the accompanying drawings which illustrate preferred embodiments of the present invention.
또한, 본 명세서에 있어서는 어느 하나의 구성요소가 다른 구성요소로 데이터를 '전송'하는 경우에는 상기 구성요소는 상기 다른 구성요소로 직접 상기 데이터를 전송할 수도 있고, 적어도 하나의 또 다른 구성요소를 통하여 상기 데이터를 상기 다른 구성요소로 전송할 수도 있는 것을 의미한다. 반대로 어느 하나의 구성요소가 다른 구성요소로 데이터를 '직접 전송'하는 경우에는 상기 구성요소에서 다른 구성요소를 통하지 않고 상기 다른 구성요소로 상기 데이터가 전송되는 것을 의미한다.Also, in this specification, when any one element 'transmits' data to another element, the element may transmit the data directly to the other element, or may be transmitted through at least one other element And may transmit the data to the other component. Conversely, when one element 'directly transmits' data to another element, it means that the data is transmitted to the other element without passing through another element in the element.
이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시 예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.BEST MODE FOR CARRYING OUT THE INVENTION Hereinafter, the present invention will be described in detail with reference to the preferred embodiments of the present invention with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements.
도1은 본 발명의 실시 예에 따른 사용자 장치를 이용한 본인인증을 구현하기 위한 개략적인 시스템들을 나타낸다.Figure 1 shows schematic systems for implementing identity authentication using a user device in accordance with an embodiment of the present invention.
도1을 참조하면, 본 발명의 실시 예에 따른 사용자 장치를 이용한 본인인증방법을 구현하기 위해서는 디지털 시스템(100), 인증 시스템(200), 및 사용자 장치(300)가 구비될 수 있다. 구현 예에 따라서는 소정의 데이터 처리장치(400)가 더 구비될 수 있다. 또한 상기 인증 시스템(200)과 연결되어 상기 디지털 시스템(100) 및/또는 상기 데이터 처리장치(400)로 소정의 서비스를 제공할 수 있는 서비스 시스템(500)이 더 구비될 수 있다.Referring to FIG. 1, a
상기 디지털 시스템(100)은 상기 인증 시스템(200)과 유무선 네트워크를 통해 필요한 정보를 송수신하면서 본 발명의 기술적 사상을 구현할 수 있다. 또한, 상기 디지털 시스템(100)은 상기 사용자 장치(300)와 통신을 수행함으로써 상기 사용자 장치(300)로부터 본 발명의 기술적 사상에 필요한 정보(예컨대, 장치 식별정보 또는 상기 사용자 장치(300)에 의해 생성되는 인증정보 등)를 획득할 수 있다. 또한, 실시 예에 따라서는 상기 디지털 시스템(100)은 상기 사용자 장치(300)와 통신을 수행함으로써 상기 사용자 장치(300)로 본 발명의 기술적 사상에 필요한 정보(예컨대, 인증 시스템(200)에 의해 생성된 서버 생성키 등)를 전송할 수도 있다.The
상기 디지털 시스템(100)은 상기 사용자 장치(300)와 접촉식 또는 비접촉식 통신을 수행할 수 있다. 일예에 의하면, 상기 사용자 장치(300)는 상기 디지털 시스템(100)과 접촉식 또는 비접촉식 통신을 수행할 수 있는 스마트카드 또는 IC카드, 교통카드 등 통신 가능한 다양한 카드로 구현될 수 있다. 특히 상기 사용자 장치(300)는 결제용 IC카드(예컨대, 신용카드, 체크카드 등)일 수 있다. 상기 사용자 장치(300)는 상기 디지털 시스템(100)(예컨대, 모바일 폰)에 장착될 수 있는 USIM 카드일 수도 있다. The
다른 실시 예에 의하면, 상기 사용자 장치(300)는 상기 사용자가 소유주인 장치로써 자신의 식별정보를 가지고 있으며, 상기 디지털 시스템(100)과 통신을 수행할 수 있는 어떠한 형태의 장치도 가능할 수 있다. 예컨대, 신분을 증명할 수 있는 장치(예컨대, 전자신분증), 통신 가능한 OTP 장치 또는 상기 디지털 시스템(100)과는 별개의 사용자의 모바일 폰, 웨어러블 기기 등의 다양한 형태의 디지털 디바이스가 상기 사용자 장치(300)일 수도 있다.According to another embodiment, the
다른 실시 예에 의하면, 상기 사용자 장치(300)는 사용자의 생체정보(지문, 홍체 등)를 저장하고 있는 장치일 수도 있으며, 이러한 경우에 상기 사용자 장치(300)의 식별정보 즉, 장치 식별정보는 상기 사용자 장치(300) 자체의 식별정보 뿐만 아니라 상기 생체정보가 소정의 방식으로 디지털화된 디지털 정보일 수도 있다. According to another embodiment, the
따라서 본 발명에서 사용자 장치(300)의 식별정보는 상기 사용자 장치(300)를 식별할 수 있는 정보이기만 하면, 상기 사용자 장치(300)의 하드웨어의 식별정보뿐만 아니라 상기 사용자 장치(300)에 저장되어 있는 유니크한 식별정보를 의미할 수도 있다.Therefore, in the present invention, if the identification information of the
이하 본 명세서에서는 설명의 편의를 위해 상기 사용자 장치(300)는 결제용 IC카드인 경우를 위주로 설명하기로 하지만 본 발명의 권리범위가 이에 한정되지는 않는다. 또한, 상기 디지털 시스템(100)과 상기 사용자 장치(300)는 근거리 무선통신(예컨대, NFC 통신, 블루투스 등)을 수행하는 경우를 위주로 설명하지만 본 발명의 권리범위가 이에 한정되지는 않는다. Hereinafter, for convenience of description, the
상기 디지털 시스템(100)은 상기 사용자 장치(300)와 근거리 무선통신을 수행할 수 있다. 이를 위해 사용자는 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 태깅할 수 있다. The
본 명세서에서 태깅(tagging)이라 함은 RFID 통신, NFC 통신과 같이 비접촉식으로 통신을 수행하기 위해 상기 디지털 시스템(100) 및 상기 사용자 장치(300)가 일정 거리 이하(예컨대, NFC 통신인 경우, 10cm 등)로 근접시키는 동작을 의미할 수 있다. 사용자는 상기 디지털 시스템(100) 또는 상기 사용자 장치(300)를 상기 사용자 장치(300) 또는 상기 디지털 시스템(100)으로 일정 거리 내로 근접시킴으로써 태깅을 수행할 수 있다. In this specification, tagging refers to the case where the
상기 사용자 장치(300)가 결제용 카드일 경우, 상기 사용자 장치(300)는 금융거래 수단일 수 있다. 상기 사용자 장치(300)는 상기 디지털 시스템(100)과 태깅을 통한 통신을 수행하기 위해, 소정의 통신장치(예컨대, RF 안테나, RF 태그 등)를 포함할 수 있다. 또한, 상기 사용자 장치(300)는 본 발명의 기술적 사상을 구현하기 위해 필요한 정보가 저장될 수 있는 저장장치를 더 구비할 수 있다. 예컨대, 상기 사용자 장치(300)는 IC칩이 내장된 IC카드 또는 다양한 형태의 스마트카드로 구현될 수 있다. 물론, 상기 사용자 장치(300)는 독립적으로 금융거래를 수행할 수 없는 장치일 수도 있음은 전술한 바와 같다. 그리고 상기 사용자 장치(300)가 금융거래 수단이 아닌 경우라도, 본 발명의 기술적 사상에 의하면 사용자가 소지하고 다니는 사용자 장치(300)(예컨대, 신분증, 상기 디지털 시스템(100)과는 별개의 모바일 폰 등)를 이용하여 간편하게 본인인증을 수행할 수 있다. 예컨대, 사용자는 디지털 시스템(100)과 상기 사용자 장치(300)를 태깅하는 행위 즉, 인증행위만으로 간편하게 본인인증을 수행할 수 있으므로, 아이디/패스워드의 입력, 공인인증서의 선택 및 인증서비밀번호의 입력 등과 같이 종래의 복잡한 인증과정을 수행하는 것에 비해 훨씬 간편하면서도 보안성이 높은 본인인증이 수행될 수 있는 효과가 있다. If the
물론, 보다 높은 보안성을 위해 본 발명의 기술적 사상에 따른 본인인증이 수행되기 전 또는 후에 종래의 다른 본인인증방식(예컨대, 공인인증서를 이용한 본인인증 등)이 추가적으로 수행될 수도 있다. 이러한 이중의 보안인증이 수행되는 경우에는 더욱 높은 보안성이 제공될 수 있음은 물론이다. Of course, another conventional authentication method (for example, authentication using an authorized certificate, etc.) may be performed before or after the authentication of the user according to the technical idea of the present invention is performed for higher security. It goes without saying that higher security can be provided when such dual security authentication is performed.
일실시 예에 의하면, 상기 사용자 장치(300)는 소정의 일회성 정보-상기 사용자 장치(300)에 의해 생성된 일회성 정보를 '장치 일회성 정보'로 정의하기로 함-를 생성할 수 있다. 또한, 디지털 시스템(100)에 의해 생성되는 일회성 정보는 단말 일회성 정보로 정의하기로 한다. 본 발명의 기술적 사상을 구현하기 위해 사용되는 일회성 정보는 장치 일회성 정보일 수도 있고, 단말 일회성 정보일 수도 있다. 장치 일회성 정보와 단말 일회성 정보는 일회성 정보를 생성하는 주체의 차이만 있을 뿐 생성하는 방식은 동일 또는 유사할 수 있다.According to one embodiment, the
예컨대, 상기 사용자 장치(300)가 결제용 카드인 경우, 상기 카드는 상기 디지털 시스템(100)과 태깅이 되면, 전자기 유도를 통해 전원을 공급받고 이를 통해 상기 카드에 구비된 IC칩에 의해 상기 장치 일회성 정보가 생성될 수 있다. 상기 IC칩에 구비된 프로세서는 상기 디지털 시스템(100)과 통신을 통해 전원이 공급되면 상기 장치 일회성 정보를 생성하고, 생성된 장치 일회성 정보를 상기 디지털 시스템(100)이 독출할 수 있도록 할 수 있다. 물론, 이때에는 상기 디지털 시스템(100)은 상기 장치 일회성 정보를 독출할 수 있는 인증된 시스템일 것이 요구될 수도 있다. 이를 위해 상기 장치 일회성 정보를 읽을 수 있는 인증된 소프트웨어가 상기 디지털 시스템(100)에 설치될 수 있음은 물론이다.For example, when the
한편, 상기 장치 일회성 정보는 인증 시스템(200)에 의해 생성된 서버 생성키를 일회성 정보를 생성할 수 있는 소정의 알고리즘의 입력 값으로 하여 생성되는 정보일 수 있다. 상기 서버 생성키는 상기 인증 시스템(200)으로부터 상기 디지털 시스템(100)으로 통해 상기 사용자 장치(300)로 전달될 수 있다. 예컨대, 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 통신을 하는 인증행위를 하면, 상기 디지털 시스템(100)은 상기 인증 시스템(200)으로부터 수신된 서버 생성키를 상기 사용자 장치(300)로 전달할 수 있다. 그러면, 상기 사용자 장치(300)는 수신된 서버 생성키를 입력 값(키 또는 시드)로 하여 일회성 정보를 생성할 수 있다. Meanwhile, the device one-time information may be information generated by using a server generation key generated by the
상기 서버 생성키는 상기 인증 시스템(200)에 의해 생성되는 난수 값 또는 OTP 등일 수 있다. 상기 서버 생성키는 상기 인증 시스템(200)의 시간정보를 포함할 수 있다. 이러한 경우, 상기 사용자 장치(300)는 상기 난수 값 등을 이용하여 일회성 정보를 생성할 수 있다. The server creation key may be a random number value generated by the
상기 사용자 장치(300)가 서버 생성키를 이용하여 일회성 정보를 생성하는 방식은 상기 사용자 장치(300)에 시간 동기화 방식을 이용하기 위한 타이머가 구비되어 있지 않는 경우에도 일회성 정보를 생성하고 서버가 일회성 정보의 진위 여부를 쉽게 판단할 수 있는 효과가 있다. 또한, 타이머가 구비된 사용자 장치(300)를 이용하는 경우라도 사용자별로 사용자 장치(300)와 인증 시스템(200)의 시간을 동기화하는 것은 매우 어려울 수 있는데 이를 개선시키는 효과가 있을 수 있다. 또한 상기 디지털 시스템(100)의 타이머 조작 등 상기 디지털 시스템(100)을 통한 다양한 형태의 공격에도 대응할 수 있는 효과가 있다. 또한 일회성 정보의 생성을 위해 특별히 제작된 OTP 클라이언트가 아닌 사용자가 소지하고 다니던 사용자 장치(예컨대, IC카드 등, 300)를 이용해도 용이하게 일회성 정보를 생성할 수 있는 효과가 있을 수 있다. The method of generating the one-time information by the
본 발명의 기술적 사상에 의하면 상기 사용자 장치(300)(또는 상기 디지털 시스템(100))와 상기 인증 시스템(200)과의 시간 동기화의 문제점, 디지털 시스템의 타이머(시간정보)의 악용, 임의변경 등에 의한 문제점 등을 쉽게 해결할 수 있다.According to the technical idea of the present invention, problems of time synchronization between the user device 300 (or the digital system 100) and the
예컨대, 상기 디지털 시스템(100) 또는 상기 사용자 장치(300)가 일회성 정보를 생성할 경우에는, 상기 인증 시스템(200)에 의해 전송되는 서버 생성키(예컨대, 시간정보)가 이용될 수 있다. 즉, 상기 디지털 시스템(100) 및/또는 상기 사용자 장치(300)는 상기 디지털 시스템(100)의 시간정보 및/또는 상기 사용자 장치(300)의 시간정보에 기초하여 일회성 정보를 생성하는 것이 아니라 상기 서버 생성키에 기초하여 일회성 정보를 생성하거나 또는 상기 디지털 시스템(100) 및/또는 상기 사용자 장치(300)의 시간정보가 인증 시스템(200)의 서버 생성키의 시간정보와 서로 상응하는 경우에만 이용되게 할 수 있다. For example, when the
상기 디지털 시스템(100) 및/또는 상기 사용자 장치(300)의 시간정보가 인증 시스템(200)의 서버 생성키의 시간정보와 서로 상응하는지 여부를 판단하기 위해서는 상기 디지털 시스템(100) 및/또는 상기 사용자 장치(300)의 시간정보와 인증 시스템(200)의 서버 생성키의 시간정보가 비교되어야 한다. 이러한 프로세스를 본 명세서에서는 시간 정당성 확인절차라고 정의할 수 있다.In order to determine whether the time information of the
상기 디지털 시스템(100)은 자신의 시간정보(또는 타이머가 구비된 사용자 장치(300)로부터 수신한 사용자 장치(300)의 시간 정보; 상기 디지털 시스템(100)이 상기 사용자 장치(300)의 시간정보를 수신하는 방법이 다양할 수 있음은 물론이다. 이하에서는 상기 디지털 시스템(100)의 시간정보를 통해 시간 정당성 확인절차를 설명하지만 사용자 장치(300)의 시간정보에도 쉽게 적용될 수 있음은 본 발명이 속하는 기술분야의 평균적 전문가들은 쉽게 이해할 수 있을 것이다.)와 상기 서버 생성키가 서로 상응하는지(즉, 동일하거나 일정한 오차 범위내인지)를 확인할 수 있다. 만약, 서로 상응하지 않는 경우라면 즉, 시간 정당성이 없는 경우라면, 상기 디지털 시스템(100)은 상기 사용자 장치(300) 또는 자신이 일회성 정보를 생성하지 못하도록 할 수 있다. 또는 일회성 정보가 생성되더라도 상기 일회성 정보를 정당한 정보로 취급하지 않을 수 있다. The
예컨대, 사용자 장치(300)가 일회성 정보를 생성할 경우, 상기 디지털 시스템(100)은 자신의 시간정보(이하, '제1시간정보')의 (시간) 정당성이 없는 경우에는 상기 서버 생성키 및/또는 제1시간정보를 상기 사용자 장치(300)로 전송하지 않을 수 있다. 또는 서버 생성키 및/또는 제1시간정보를 전송하고 이에 응답하여 사용자 장치(300)로부터 일회성 정보를 수신하더라도 오류 메시지를 출력하거나 인증 시스템(200)으로 상기 일회성 정보를 전송하지 않는 등 상기 일회성 정보를 정당한 인증정보로 처리하지 않을 수 있다. For example, when the
예컨대, 사용자 장치(300)가 일회성 정보를 생성하고 사용자 장치(300)가 타이머가 존재하여 상기 사용자 장치(300)의 시간정보(이하, '제2시간정보')가 상기 일회성 정보의 기초정보가 될 경우, 상기 디지털 시스템(100)은 상기 사용자 장치(300)와 통신을 통해 제2시간정보를 수신하여 시간정당성을 확인할 수 있다. 또는 상기 디지털 시스템(100)은 상기 서버 생성키를 사용자 장치(300)로 전송하여 사용자 장치(300)가 제2시간정보의 정당성을 확인하도록 할 수도 있다. 디지털 시스템(100)이 시간 정당성을 확인한 경우에는 상기 서버 생성키를 상기 사용자 장치(300)로 전송하거나, 정당성이 확인된 제2시간정보를 다시 전송하거나, 또는 정당성이 확인되었음을 나타내는 신호를 상기 사용자 장치(300)로 전송할 수 있다. 그러면 상기 사용자 장치(300)는 상기 서버 생성키, 상기 정당성이 확인된 제2시간정보, 또는 상기 사용자 장치(300)의 타이머로부터 재확인되는 시간정보에 기초하여 일회성 정보를 생성할 수 있다. 바람직하게는 서버 생성키에 기초하여 일회성 정보를 생성하는 것이 인증 시스템(200)과의 시간 동기화에 효율적이지만 시간 정당성이 확인되었으므로 상기 사용자 장치(300)는 자신의 타이머로부터 확인되는 제2시간정보 또는 디지털 시스템(100)으로부터 수신되는 제1시간정보에 기초하여 일회성 정보를 생성할 수도 있을 것이다. 사용자 장치(300)가 시간정당성을 확인할 경우에는, 수신된 서버 생성키 또는 자신의 시간정보에 기초하여 일회성 정보를 생성할 수 있다.For example, when the
예컨대, 사용자 장치(300)가 일회성 정보를 생성하고 사용자 장치(300)가 타이머가 존재하지 않는 경우에는 상기 사용자 장치(300)는 상기 디지털 시스템(100)을 통해 수신한 상기 서버 생성키(상기 디지털 시스템에 의해 시간 정당성이 확인된 시간정보가 포함될 수도 있음), 또는 시간 정당성이 확인된 상기 디지털 시스템(100)의 제1시간정보에 기초하여 일회성 정보를 생성할 수도 있다.For example, when the
디지털 시스템(100)이 일회성 정보를 생성할 경우, 상기 디지털 시스템(100)은 자신의 시간정보(이하, '제1시간정보')의 (시간) 정당성이 없는 경우에는 상기 일회성 정보를 생성하지 않을 수 있다. 또는 서버 생성키 및/또는 제1시간정보에 기초하여 일회성 정보를 생성하더라도 오류 메시지를 출력하거나 인증 시스템(200)으로 상기 일회성 정보를 전송하지 않는 등 상기 일회성 정보를 정당한 인증정보로 처리하지 않을 수 있다. 정당성이 있는 경우에는 바람직하게는 서버 생성키에 기초하여 일회성 정보를 생성하는 것이 인증 시스템(200)과의 시간 동기화에 효율적이지만 시간 정당성이 확인되었으므로 상기 디지털 시스템(100)은 자신의 제1시간정보에 기초하여 일회성 정보를 생성할 수도 있을 것이다. When the
본 발명의 다른 실시 예에 의하면, 상기 인증 시스템(200)은 상기 서버 생성키를 상기 사용자 장치(300)에 대응되도록 보호처리할 수 있다. 사용자 장치(300)에 대응되도록 보호처리한다고 함은, 상기 사용자 장치(300)만이 상기 서버 생성키를 복원하거나 상기 서버 생성키에 기초하여 시간정보를 확인할 수 있도록 소정의 방식으로 데이터가 보호되는 것을 의미할 수 있다. According to another embodiment of the present invention, the
예컨대, 상기 서버 생성키는 상기 사용자 장치(300)에 의해서 복호화되도록 암호화될 수 있다. 이를 위해 상기 인증 시스템(200)과 상기 사용자 장치(300)는 대칭키 또는 비대칭키 프로토콜을 이용하여 암호화/복호화를 수행할 수 있다. 상기 대칭키 또는 비대칭키는 상기 사용자 장치(300)의 식별정보 또는 상기 사용자 장치(300)의 식별정보에 기초하여 정의됨으로써 상기 서버 생성키는 상기 사용자 장치(300)에 대응되도록 보호처리될 수 있다.For example, the server creation key may be encrypted to be decrypted by the
구현 예에 따라서는 상기 서버 생성키는 메시지 인증 코드(Message Authentication Code)를 이용해 상기 사용자 장치(300)로 전달될 수 있다. 상기 인증 시스템(200)은 서버 생성키에 메시지 인증 코드를 삽입하고, 사용자 장치(300)에 대응되도록 암호화된 메시지 인증 코드를 상기 서버 생성키와 같이 전송함으로써 상기 사용자 장치(300)가 상기 서버 생성키의 무결성을 확인하도록 할 수 있다. 그러면 상기 사용자 장치(300)는 무결성이 확인되어야 일회성 정보를 생성하도록 구현될 수 있다. 이를 위해 상기 사용자 장치(300)에 본 발명의 기술적 사상을 구현하기 위한 소정의 소프트웨어(예컨대, 애플릿)가 설치될 수 있음은 물론이다. 이외에도 상기 서버 생성키를 메시지로 하여 상기 사용자 장치(300)가 상기 메시지의 무결성을 확인할 수 있도록 하는 다양한 방식이 적용될 수 있다. According to an embodiment, the server creation key may be transmitted to the
이처럼 본 발명의 기술적 사상에 의하면, 비교적 공격에 취약한 상기 디지털 시스템(100)(예컨대, 모바일 폰)에 의해 상기 인증 시스템(200)에서 전송되는 상기 서버 생성키가 변경되는 경우를 방지함으로써, 전술한 바와 같이 일회성 정보(OTP)를 이용한 사용자 인증의 보안 취약성을 강화할 수 있는 효과가 있다.As described above, according to the technical idea of the present invention, by preventing the case where the server generation key transmitted from the
결국, 본 발명의 서버 생성키를 이용하는 방식은 종래의 챌린지 리스펀스 방식과 대비될 수 있는데, 종래의 챌린지 리스펀스 방식은 클라이언트가 인증 시스템(200)과 통신을 수행할 수 있어야 한다. 하지만, 본 발명의 기술적 사상에 의하면 인증 시스템(200)과 직접 통신을 수행할 수 없는 사용자 장치(300)를 이용하여서도 챌린지 리스펀스 방식과 유사한 방식으로 상기 장치 일회성 정보를 생성할 수 있게 된다. 이는 본 발명의 기술적 사상을 통한 인증을 위해 사용자는 디지털 시스템(100)과 사용자 장치(300) 즉, 두 개의 인증도구를 통신시키는 인증행위를 수행하여야 하며, 상기 디지털 시스템(100)이 상기 인증 시스템(200)과 통신을 수행할 수 있기 때문이다.As a result, the method using the server generation key of the present invention can be compared with the conventional challenge response method, and the conventional challenge response method requires the client to be able to communicate with the
본 발명의 기술적 사상에 의하면 사용자 장치(300)가 디지털 시스템(100)과 통신을 수행할 수 있고, 상기 디지털 시스템(100)은 인증 시스템(200)과 통신을 수행할 수 있으므로, 사용자 장치(300)는 인증 시스템(200)으로부터 서버 생성키를 획득하고 이를 이용하여 장치 일회성 정보를 생성할 수 있다. 물론, 상기 서버 생성키 이외에도 상기 사용자 장치(300)의 식별정보가 장치 일회성 정보를 생성하기 위한 입력 값(키 또는 시드)으로 더 이용될 수 있음은 물론이다. 소정의 입력 값 즉, 상기 서버 생성키(예컨대, 난수 값) 및/또는 장치(또는 사용자)의 식별정보 등과 같은 고정된 값을 입력 값으로 하여 일회성 정보를 생성하는 다양한 일회성 정보 생성 알고리즘이 널리 알려져 있으므로 이에 대해서는 상세한 설명은 생략하도록 한다. The
그러면, 상기 인증 시스템(200)은 상기 서버 생성키를 이용하여 서버 일회성 정보를 생성하고, 생성된 서버 일회성 정보가 확인신호에 포함된 장치 일회성 정보와 상응하는지를 판단함으로써 상기 사용자 장치(300)를 인증할 수 있다. Then, the
또 다른 실시 예에 의하면, 일회성 정보는 단순히 상기 서버 생성키와 인증할 대상에 대한 정보를 포함할 수도 있다. 인증할 대상은 실시 예에 따라 사용자 장치(300)일 수도 있고, 디지털 시스템(100)일 수도 있다. 또한, 인증의 목적이 되는 서비스의 종류에 따라 서비스를 위해 필요한 추가적인 서비스 인증대상(예컨대, 송금할 계좌 등)에 대한 정보(예컨대, 송금할 계좌의 식별정보 등)가 더 포함될 수도 있다. 따라서 인증할 대상이 사용자 장치(300)인 경우에는 상기 일회성 정보에는 단순히 사용자 장치(300)의 식별정보 즉, 장치 식별정보가 포함될 수도 있다. 인증할 대상이 사용자 장치(300) 및 디지털 시스템(100)인 경우에는 장치 식별정보 및 단말 식별정보가 상기 서버 생성키와 함께 상기 인증정보에 포함될 수 있다. 구현 예에 따라서는 추가적인 서비스 인증대상에 대한 정보(예컨대, 송금할 계좌의 식별정보 등)가 상기 서버 생성키에 포함될 수도 있다. According to another embodiment, the one-time information may simply include the server creation key and information about an object to be authenticated. The subject to be authenticated may be
특히, 인증의 목적인 계좌이체 서비스를 위해 본원발명의 기술적 사상에 따른 본인인증방법이 적용될 경우, 상기 인증정보에는 송금할 계좌의 식별정보가 서비스 인증대상에 대한 정보로써 포함될 수 있는데, 계좌이체 서비스 시에는 송금할 계좌를 인증하는 것이 중요하기 때문에 상기 서비스 인증대상이 될 수 있다. 따라서 종래의 메모리 해킹 등과 같이 사용자가 이체를 원하는 송금계좌를 입력한 뒤 인증을 수행하고 나서 인증이 성공되면 송금계좌를 공격자가 원하는 계좌로 교체하는 방식 등의 불의의 공격을 방지할 수 있고, 인증대상인 송금할 계좌에만 송금이 되도록 할 수 있다. 인증정보에 포함될 수 있는 서비스 인증대상의 종류는 서비스에 따라 다양할 수 있음은 물론이다. 이러한 일예는 도10에서 후술하도록 한다. In particular, when the authentication method according to the technical idea of the present invention is applied to the account transfer service, which is an object of authentication, identification information of an account to be remitted may be included in the authentication information as information on a service authentication object. It is important to authenticate the account to be remitted, so that the service authentication object can be the service authentication object. Therefore, unauthorized attacks such as a method of replacing the remittance account with an account desired by the attacker can be prevented when the user successfully authenticates after inputting the remittance account for the transfer, such as the conventional memory hacking, You can send money only to the account you want to transfer. It goes without saying that the type of service authentication object that can be included in the authentication information may vary according to the service. Such an example will be described later in Fig.
결국, 상기 일회성 정보는 서버 생성키와 인증대상에 대한 정보(예컨대, 장치 식별정보, 단말 식별정보, 및/또는 서비스를 위해 필요한 추가적인 서비스 인증대상에 대한 정보)가 단순히 포함될 수도 있다.As a result, the one-time information may simply include the server creation key and information about the authentication object (e.g., device identification information, terminal identification information, and / or additional service authentication objects necessary for the service).
예컨대, 상기 일회성 정보는 단순히 서버 생성키와 상기 사용자 장치(300)의 식별정보인 장치 식별정보 또는 단말 식별정보 중 어느 하나가 포함된 정보일 수도 있다. 또는 상기 서버 생성키와 상기 장치 식별정보 및 상기 디지털 시스템(100)의 식별정보인 단말 식별정보가 포함된 정보일 수도 있다. 또는 상기 서버 생성키와 상기 장치 식별정보 및/또는 상기 단말 식별정보와 더불어 서비스 인증대상에 대한 정보가 포함된 정보일 수도 있다. 물론, 이러한 일회성 정보는 암호화될 수도 있다. 일회성 정보에 서버 생성키와 장치 식별정보만 포함된 경우에는, 인증 시스템(200)은 디지털 시스템(100)과 통신을 통하여 별도로 단말 식별정보를 획득하고 이를 미리 저장된 매체확인정보에 기초하여 인증할 수도 있다.For example, the one-time information may be information including any one of a server generation key and device identification information or terminal identification information, which is identification information of the
이러한 경우에는 상기 장치 일회성 정보가 상기 디지털 시스템(100)을 통해 인증 시스템(200)으로 전송되고, 인증 시스템(200)은 장치 일회성 정보에 포함된 서버 생성키가 자신이 디지털 시스템(100)으로 전송한 서버 생성키와 상응하는지를 판단하고, 인증 시스템(200)에 미리 등륵되어 있는 장치 식별정보 및/또는 단말 식별정보와 상기 장치 일회성 정보에 포함된 장치 식별정보 및/또는 단말 식별정보가 서로 상응하는지를 판단함으로써 인증을 수행할 수도 있다. 물론, 서비스 인증대상이 인증정보에 더 포함된 경우에는 인증 시스템(200)에 미리 저장된 서비스 인증대상에 대한 정보와 상기 인증정보에 포함된 서비스 인증대상에 대한 정보가 상응하는지 여부가 더 판단될 수도 있다.In this case, the device one-time information is transmitted to the
구현 예에 따라서는, 상기 장치 일회성 정보에 인증대상에 대한 정보(예컨대, 서버 생성키, 장치 식별정보, 및/또는 단말 식별정보) 자체가 포함되는 것이 아니라, 상기 인증대상에 대한 정보에 기초하여 소정의 방식으로 상기 일회성 정보가 생성될 수도 있다. According to the embodiment, the information about the authentication object (for example, the server generation key, the device identification information, and / or the terminal identification information) itself is not included in the device one-time information but the information The one-time information may be generated in a predetermined manner.
결국, 상기 장치 일회성 정보는 소정의 인증대상에 대한 정보를 기초정보로 하여, 상기 기초정보에 기초하여 생성될 수 있다. As a result, the device one-time information can be generated based on the basic information, with the information on a predetermined authentication object as basic information.
일회성 정보가 소정의 기초정보에 의해 생성된다고 함은, 단순히 기초정보가 그 자체로 포함되거나, 소정의 방식에 의해 결합(또는 혼합)되어 포함되는 경우를 포함한다. 구현 예에 따라서는, 복수의 기초정보들 각각이 소정의 방식으로 보호 프로세싱(예컨대, 인코딩, 암호화, 및/또는 해싱)된 정보가 상기 일회성 정보에 포함되거나, 복수의 기초정보들 중 일부가 소정의 방식으로 결합(또는 혼합)되어 보호 프로세싱된 정보가 포함되거나, 복수의 기초정보들 전체가 소정의 방식으로 겹합(또는 혼합)되어 보호 프로세싱된 정보가 포함될 수도 있다. The fact that the one-time information is generated by the predetermined basic information includes a case where the basic information is included in itself or included (or mixed) in a predetermined manner. According to an embodiment, information in which each of the plurality of pieces of basic information is protected (e.g., encoded, encrypted, and / or hashed) in a predetermined manner is included in the one-time information, (Or mixed) in the manner of the protection processing information, or all of the plurality of basic information may be overlapped (or mixed) in a predetermined manner to include the protection processed information.
어떠한 방식으로든 인증 측(즉, 인증 시스템(200))은 일회성 정보가 생성되는데 기초가 된 기초정보들 각각과 대응되는 정보를 알고 있고, 일회성 정보가 생성된 방식과 대응되는 방식으로 상기 일회성 정보를 인증할 수 있는 서버 일회성 정보를 특정할 수 있다. In any manner, the authentication side (i.e., the authentication system 200) knows the information corresponding to each of the basic information on which the one-time information is generated and generates the one-time information in a manner corresponding to the manner in which the one- One-time server information that can be authenticated can be specified.
예컨대, 상기 장치 식별정보 및/또는 단말 식별정보는 상기 인증 시스템(200)에 미리 등록되어 있을 수 있다. 또한, 서버 생성키는 상기 인증 시스템(200)이 생성하는 정보이므로 당연히 상기 인증 시스템(200)에 저장되어 있을 수 있다. For example, the device identification information and / or the terminal identification information may be registered in the
결국, 상기 일회성 정보는 서버 생성키, 상기 디지털 시스템(100)의 식별정보인 단말 식별정보, 또는 상기 사용자 장치(300)의 식별정보 중 적어도 하나를 기초정보로 하여 생성되는 정보일 수 있다.As a result, the one-time information may be information generated based on at least one of a server generation key, terminal identification information that is identification information of the
또한, 상기 인증 시스템(200)에는 본 발명의 기술적 사상을 구현할 수 있는 단말 식별정보 및 장치 식별정보가 미리 대응되어 저장될 수 있다. 즉, 본 발명의 기술적 사상을 구현할 수 있는 디지털 시스템(100)과 사용자 장치(300)가 미리 페어(pair)를 이루도록 설정되어 있을 수 있다. 상기 인증 시스템(200)에는 단말 식별정보 및 장치 식별정보가 대응되도록 저장되어 있을 수도 있다. 다른 실시 예에 의하면, 서로 페어인 단말 식별정보 및 장치 식별정보에 기초하여 결정되는 결정 값 즉, 매체고유정보가 저장되어 있을 수 있다. In the
본 명세서에서 매체고유정보는 사용자의 인증행위(즉, 디지털 시스템(100)과 사용자 장치(300)의 통신)에 참여한 매체들에 의해 기초하여 결정되는 고유한 정보일 수 있다. 일예에 의하면, 상기 매체고유정보는 단말 식별정보 및 장치 식별정보를 입력 값으로 하여 소정의 해시(hash) 알고리즘을 통해 생성되는 해시 값일 수 있다. 해시 값을 이용하는 경우에는, 비교되는 해시 값들이 동일한지 아닌지 여부에 따라 입력 값이 동일한지 여부(즉, 인증행위에 참여한 두 매체가 미리 정해진 두 매체인지 여부)를 알 수는 있지만, 해시 값을 이용해 입력 값(즉, 단말 식별정보 및 장치 식별정보)을 복원할 수는 없게 되므로 공격에 안전할 수 있는 효과가 있다. 본 명세서에서는 상기 매체고유정보가 입력 값(즉, 장치 식별정보 및 단말 식별정보)을 해싱을 통해 생성하는 경우를 일예로 설명하지만, 하나 또는 복수의 입력 정보를 이용해 새로운 고유한 하나의 값을 생성할 수 있는 어떠한 알고리즘이 사용되어도 무방하다. 즉, 입력되는 정보가 동일한 경우에는 출력되는 값이 동일하고, 그렇지 않은 경우에는 출력되는 값이 서로 다른 어떠한 알고리즘도 상기 매체고유정보를 생성하기 위해 사용될 수 있다.The media specific information herein may be unique information that is determined based on the media participating in the user's authentication behavior (i.e., communication between the
즉, 상기 인증 시스템(200)에는 단말 식별정보 및/또는 장치 식별정보 그 자체가 저장되는 것이 아니라, 매체고유정보가 저장되어 있을 수 있다. 전자의 경우에는 상기 인증 시스템(200)은 인증확인절차를 위해 저장된 단말 식별정보 및/또는 장치 식별정보에 기초하여 매체고유정보를 생성한 후, 생성한 매체고유정보와 서버 생성키에 기초하여 서버 일회성 정보를 생성할 수 있다. 후자의 경우에는 미리 저장되어 있는 매체고유정보와 서버 생성키에 기초하여 서버 일회성 정보를 생성할 수 있다. That is, the
인증 시스템(200)에 단말 식별정보 또는 장치 식별정보가 그 자체로 저장되는 것이 아니라 매체고유정보가 저장되어 있는 경우에는, 인증 시스템(200)이 공격을 받더라도 단말 식별정보 또는 장치 식별정보를 알 수 없어서 보안성이 높아지는 효과가 있다. 이하에서는 인증 시스템(200)에 저장되며 사용자의 인증행위에 참여하는 매체와 관련된 정보를 매체확인 정보로 정의하기로 한다. 따라서 상기 매체확인 정보는 단말 식별정보 및/또는 장치 식별정보 그 자체가 (미리 대응되도록) 저장되어 있는 정보이거나, 단말 식별정보 및 장치 식별정보에 기초하여 결정되는 고유한 정보 즉, 매체고유정보일 수 있다.When the authentication information is not stored in the
상기 장치 일회성 정보가 서버 생성키를 입력 값으로 하여 생성되는 일회성 정보이든, 단순히 상기 서버 생성키를 소정의 암호화 키로 암호화한 정보이든, 또는 장치 식별정보 및/또는 단말 식별정보와 상기 서버 생성키를 단순히 포함하는 정보이든, 상기 서버 생성키는 전술한 바와 같이 상기 인증 시스템(200)에 의해 생성되는 난수 값일 수도 있지만 반드시 이에 국한되는 것은 아니다. 즉, 상기 서버 생성키는 임의의 시점에서 상기 인증 시스템(200)에 의해 확인될 수 있는 정보(예컨대, 시간정보 등)이기만 하면 족하다. 또한, 상기 서버 생성키는 재사용을 방지하기 위해 일회성으로 생성되는 정보일 수 있다. 또는 상기 서버 생성키 자체가 소정의 방식으로 생성되는 OTP일 수도 있다.Whether the device one-time information is one-time information generated by using a server generation key as an input value, information obtained by simply encrypting the server generation key with a predetermined encryption key, or device identification information and / Whether simply including the information, the server generation key may be a random number value generated by the
또한, 일회성 정보는 상기 디지털 시스템(100)에 의해 생성될 수도 있다. 상기 단말 일회성 정보 역시 상기 장치 일회성 정보와 마찬가지로, 인증 시스템(200)으로부터 수신한 서버 생성키를 입력 값으로 하여 생성되는 일회성 정보일 수도 있고, 서버 생성키를 암호화 한 정보일 수도 있고, 단순히 단말 식별정보 및/또는 장치 식별정보와 상기 서버 생성키를 포함하는 정보일 수도 있다. 또는 전술한 바와 같이 매체고유정보 및 서버 생성키를 포함하는 정보일 수도 있고, 상기 매체고유정보 및 서버 생성키에 기초하여 생성되는 정보일 수도 있다.In addition, one-time information may be generated by the
상기 장치 일회성 정보는 상기 인증 시스템(200)에 의해 인증될 수 있는 정보일 수 있다. 이를 위해 상기 인증 시스템(200)에는 상기 장치 일회성 정보를 인증하기 위한 인증부가 구비될 수 있다. 상기 인증부는 후술할 바와 같이 상기 장치 일회성 정보를 인증하기 위해 스스로 일회성 정보를 생성할 수 있다. 물론, 이때에는 상기 인증부는 상기 디지털 시스템(100)을 통해 상기 사용자 장치(300)로 전달한 서버 생성키를 이용하여 상기 일회성 정보를 생성할 수 있다. 즉, 상기 사용자 장치(300)는 예컨대, OTP 클라이언트로 동작할 수 있고, 상기 인증부는 OTP 서버로 동작할 수 있다. 이하에서는 설명의 편의를 위해 상기 인증 시스템(200)에 의해 생성되는 일회성 정보를 '서버 일회성 정보'로 정의하기로 한다.The device one-time information may be information that can be authenticated by the
이처럼 본 발명의 기술적 사상에 의하면, 상기 사용자 장치(300)가 장치 일회성 정보를 생성하고, 생성된 상기 장치 일회성 정보는 상기 인증 시스템(200)에 의해 인증이 될 수 있다. 따라서 상기 사용자 장치(300)로부터 획득할 수 있는 상기 카드(300)의 UID(Unique Identification Number) 등과 같은 고정된 장치 식별정보를 이용하여 상기 사용자 장치(300)를 인증하는 경우에 발생할 수 있는 상기 장치 식별정보의 위변조의 위험이 현저히 낮아질 수 있는 효과가 있다. As described above, according to the technical idea of the present invention, the
또한 일실시 예에 의하면, 상기 사용자 장치(300)는 결제용 카드일 수 있다. 그러면 상기 사용자 장치(300)가 생성하는 상기 장치 일회성 정보는 상기 서버 생성키를 입력 값으로 하면서, 결제용 카드의 결제금융정보 즉, 결제를 위해 필요한 금융정보로써 상기 카드의 IC칩에 저장된 정보(예컨대, 카드번호, 유효기간, CVC 코드 등)와는 무관한 정보(예컨대, UID, 시간정보 또는 임의의 값 등)에 더 기초하여 생성될 수 있다. 이러한 경우에는 상기 결제금융정보가 상기 디지털 시스템(100) 또는 상기 인증 시스템(200)으로 유통되지 않을 수 있으므로 보안성이 높아질 수 있는 효과가 있다. 이러한 경우 상기 장치 일회성 정보 및 장치 일회성 정보 생성 알고리즘이 유출된다 하더라도 리버스 엔지니어링 등을 통해 상기 결제금융정보가 유출될 위험은 존재하지 않을 수 있다.Also, according to one embodiment, the
상기 디지털 시스템(100)은 도1에서는 모바일 폰으로 도시하였지만, 상기 인증 시스템(200)과 유무선 네트워크를 통해 통신가능하고, 상기 사용자 장치(300)와 소정의 통신(예컨대, 근거리 무선통신 등)을 통해 통신가능한 모든 형태의 데이터프로세싱 장치를 포함하는 의미로 정의될 수 있다. 예컨대, 상기 디지털 시스템(100)은 태블릿(tablet), 뮤직 플레이어 등과 같이 사용자가 휴대하고 다니기 용이한 데이터 프로세싱 장치일 수 있다. 물론, 상기 디지털 시스템(100)은 상기 인증 시스템(200) 및/또는 상기 데이터 처리장치(400)와 네트워크를 통해 통신을 수행할 수 있는 것이 바람직하다.1, the
또한, 상기 디지털 시스템(100)은 본 발명의 기술적 사상을 구현하기 위해, 소정의 일회성 정보를 생성할 수 있도록 구현될 수 있다. 상기 디지털 시스템(100)이 생성하는 일회성 정보를 본 명세서에서는 '단말 일회성 정보'로 정의하기로 한다. 상기 디지털 시스템(100)이 상기 단말 일회성 정보를 생성하는 기능은 상기 디지털 시스템(100)에 본 발명의 기술적 사상을 구현하기 위한 소정의 소프트웨어가 설치됨으로써 구현될 수 있다. In addition, the
또한, 상기 단말 일회성 정보 역시 상기 인증 시스템(200)에 의해 생성된 서버 생성키를 입력 값으로 하여 생성될 수 있다. 물론, 구현 예에 따라서 상기 디지털 시스템(100)은 타이머를 구비할 수 있고, 사용자 장치(300)에 비해 상대적으로 인증 시스템(200)과 시간 동기화를 수행하기 용이할 수 있다. 하지만, 이때에도 전술한 바와 같이 상기 디지털 시스템(100)은 자신의 시간정보를 이용하여 일회성 정보를 생성하는 것이 아니라 상기 서버 생성키를 이용하여 일회성 정보를 생성하거나 서버 생성키의 시간정보와 자신의 시간정보가 상응해야 자신의 시간정보를 이용하여 일회성 정보를 생성할 수도 있다.Also, the terminal one-time information may be generated by using the server generation key generated by the
어떠한 경우든, 상기 단말 일회성 정보 역시 상기 인증 시스템(200)에 구비된 인증부에 의해 인증될 수 있다. 상기 인증부는 상기 단말 일회성 정보를 인증하기 위해 대응되는 서버 일회성 정보를 생성할 수 있다. In any case, the terminal one-time information may also be authenticated by the authentication unit included in the
결국, 본 발명의 기술적 사상에 의하면, 상기 디지털 시스템(100)은 상기 사용자 장치(300)에 의해 생성된 장치 일회성 정보를 확인신호에 포함시켜 인증 시스템(200)으로 전송할 수도 있고, 상기 단말 일회성 정보를 상기 확인신호에 포함시켜 인증 시스템(200)으로 전송할 수도 있다. 물론, 구현 예에 따라서는 상기 장치 일회성 정보 및 상기 단말 일회성 정보를 모두 상기 확인신호에 포함시켜 상기 인증 시스템(200)으로 전송할 수도 있다. 어떠한 경우든 인증을 위해 상기 확인신호에 포함되는 정보를 본 명세서에서는 인증정보라고 하기로 한다. 즉, 인증정보는 상술한 일회성 정보 즉, 장치 일회성 정보 및/또는 단말 일회성 정보일 수 있다. 그러면, 상기 인증 시스템(200)의 인증부는 인증정보의 실시 예에 따라 다양한 방식으로 상기 인증정보를 인증할 수 있다. As a result, according to the technical idea of the present invention, the
예컨대, 상기 장치 일회성 정보에 대응되는 서버 일회성 정보 및/또는 상기 단말 일회성 정보에 대응되는 서버 일회성 정보를 생성할 수 있으며, 상기 장치 일회성 정보 및/또는 상기 단말 일회성 정보가 인증이 되면 인증확인절차가 성공했다고 판단할 수 있다. 물론, 후술하는 바와 같은 장치 식별정보에 의한 사용자 장치(300)의 인증, 단말기 식별정보에 의한 디지털 시스템(100)의 인증, 및/또는 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 페어인지 여부를 인증하는 페어인증이 더 수행될 수 있으며, 이러한 인증들이 더 수행되어야 인증확인절차가 성공했다고 판단될 수도 있다. For example, it is possible to generate server one-time information corresponding to the device one-time information and / or server one-time information corresponding to the terminal one-time information, and if the device one-time information and / It can be judged to have succeeded. Of course, the authentication of the
상기 확인신호는 상기 인증 시스템(200)에 의해 수행되는 인증확인절차에 필요한 정보를 포함하는 일련의 정보 또는 신호를 포함하는 것으로 정의될 수 있다. 상기 확인신호는 반드시 하나의 데이터 세트(또는 연속된 패킷 데이터들)를 의미하는 것은 아니며, 시간적으로 또는 물리적으로 분리된 정보 또는 신호일 수도 있다. 즉, 상기 디지털 시스템(100)은 복수 회에 걸쳐 상기 확인신호를 상기 인증 시스템(200)으로 출력할 수도 있다.The confirmation signal may be defined as including a series of information or signals including information necessary for the authentication procedure performed by the
물론, 인증정보가 장치 일회성 정보 및 단말 일회성 정보를 모두 포함하고, 모두 상기 인증 시스템(200)에 의해 인증되는 경우에는, 장치 식별정보 또는 단말기 식별정보를 이용한 인증은 선택적으로 생략될 수도 있다. Of course, when the authentication information includes both the device one-time information and the terminal one-time information, and both are authenticated by the
어떠한 경우든 본 발명의 기술적 사상에 의하면, 상기 디지털 시스템(100)은 인증정보를 확인신호에 포함시켜 인증 시스템(200)으로 전송할 수 있고, 상기 확인신호에 포함된 인증정보는 상기 인증 시스템(200)에 의해 인증이 될 수 있다. In any case, according to the technical idea of the present invention, the
한편, 상기 디지털 시스템(100)은 상기 사용자 장치(300)와 통신을 수행하여야만 상기 단말 일회성 정보를 생성할 수 있다. 구현 예에 따라서는, 상기 디지털 시스템(100)이 인증행위 요청정보의 수신에 응답하여 자동으로 또는 사용자의 소정의 요청에 의해 미리 상기 단말 일회성 정보를 생성하고, 상기 통신이 수행되면 상기 단말 일회성 정보를 확인신호에 포함시켜 상기 결제측 시스템(200)으로 전송할 수도 있다. 어떠한 경우든 상기 디지털 시스템(100)은 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 통신이 되어야만 상기 확인신호를 상기 인증 시스템(200)으로 전송할 수 있다. 따라서 본 발명의 기술적 사상에 따른 본인인증방법이 디지털 시스템과 사용자 장치가 통신을 수행하는 단계 및 상기 사용자 장치가 단말 일회성 정보를 생성하는 단계를 포함한다고 기재가 되어있더라도, 반드시 통신 후에 단말 일회성 정보를 생성하여야 하도록 순서를 특정하는 기재로 해석되어서는 아니 되며, 단말 일회성 정보의 생성 후에 상기 통신이 수행되는 경우를 포함하는 것으로 해석될 수 있다.Meanwhile, the
결국, 상기 디지털 시스템(100)이 해킹 등의 공격을 당하더라도, 상기 사용자 장치(300)를 사용자가 소지하고 있지 않은 이상 상기 단말 일회성 정보는 생성되지 않을 수 있다. 또는 상기 단말 일회성 정보가 생성된다고 하더라도 상기 확인신호가 전송되지 않을 수 있으며, 이에 따라 본인인증은 성공되지 않게 된다.As a result, even if the
상기 단말 일회성 정보가 서버 생성키에 기초하여 생성되는 경우, 구현 예에 따라 상기 단말 일회성 정보는 상기 인증 시스템(200)으로부터 수신된 서버 생성키뿐만 아니라, 상기 사용자 장치(300)의 식별정보 중 적어도 일부를 더 입력 값{키 또는 시드(seed)}로 하여 생성되는 정보일 수 있다. 이때 상기 사용자 장치(300)의 식별정보(이하, '장치 식별정보'라 함)는 상기 사용자 장치(300)의 고정적인 식별정보(예컨대, UID 등)일 수도 있다. 물론, 이러한 경우에는 상기 인증 시스템(200)에도 상기 키가 등록되어 있을 수도 있다. 따라서 상기 사용자 장치(300)와 통신이 수행되지 않는 이상, 상기 단말 일회성 정보는 생성되지 않을 수도 있을 뿐만 아니라, 상기 단말 일회성 정보가 포함된 상기 확인신호가 상기 인증 시스템(200)으로 전송된다고 하더라도 상기 인증 시스템(200)에 의해 인증되지 않을 수도 있다. When the terminal's one-time information is generated based on the server generation key, the terminal's one-time information may include at least one of the server generation key received from the
또한, 상기 디지털 시스템(100)이 생성하는 단말 일회성 정보는 결제금융정보와는 무관한 정보(예컨대, 단말 식별정보, 시간정보 또는 임의의 값 등)에 기초하여 생성될 수 있다. 즉, 상기 장치 일회성 정보에서 설명한 바와 같이 상기 단말 일회성 정보 역시 상기 결제금융정보와 무관한 정보이거나 무관한 정보로부터 생성되는 정보일 수 있다. 따라서 상기 단말 일회성 정보 및 단말 일회성 정보 생성 알고리즘의 유출이 생기더라도 상기 결제금융정보가 유출될 위험은 없다. In addition, the terminal one-time information generated by the
또한, 이와는 별도로 상기 디지털 시스템(100)에 의해 상기 인증 시스템(200)으로 전송되는 확인신호에도 상기 결제금융정보와는 무관한 정보(예컨대, 장치 식별정보, 단말기 식별정보 등)만 포함될 수 있으므로 본 발명의 기술적 사상에 따른 본인인증방식의 보안성이 높아질 수 있다. In addition, since the confirmation signal transmitted to the
상기 사용자 장치(300)에 의해 생성되는 장치 일회성 정보 역시 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 통신이 수행되어야만 상기 사용자 장치(300)에 의해 생성되도록 구현될 수 있다. 예컨대, 상기 사용자 장치(300)가 결제용 카드 또는 전자신분증 등과 같은 스마트카드일 경우, 상기 스마트카드는 독립적으로 전원이 구비되지 않으므로 디지털 시스템(100)과 통신이 수행되어야만 상기 장치 일회성 정보를 생성할 수 있음은 물론이다. 또한 상기 사용자 장치(300)가 전원을 구비하고 스스로 장치 일회성 정보를 생성할 수 있는 경우에도, 상기 사용자 장치(300)는 상기 디지털 시스템(100)과 통신을 수행하여야만 상기 장치 일회성 정보를 생성하도록 구현될 수 있다. 그리고 상기 통신을 통해 인증 시스템(200)에 의해 생성된 서버 생성키가 상기 사용자 장치(300)로 전송될 수 있다. 물론, 이러한 경우에는 본 발명의 기술적 사상을 구현하기 위한 소프트웨어 또는 애플릿(applet)이 상기 사용자 장치(300)에도 설치될 수 있음은 물론이다. The device one-time information generated by the
또한, 상기 사용자 장치(300)는 미리 페어로 설정된 디지털 시스템(100)과 통신이 수행되어야만 상기 장치 일회성 정보를 생성할 수도 있다. 이를 위해서는 상기 사용자 장치(300)에 상기 사용자 장치(300)와 페어를 이루는 상기 디지털 시스템(100)에 대한 정보가 미리 등록되어 있을 수도 있음은 물론이다. In addition, the
어떠한 경우든, 상기 디지털 시스템(100)이 상기 인증 시스템(200)으로 전송하는 확인신호에는 상기 장치 일회성 정보 및/또는 상기 단말 일회성 정보를 포함하는 인증정보가 포함될 수 있고, 상기 확인신호는 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 통신이 수행되어야만 상기 디지털 시스템(100)으로부터 상기 인증 시스템(200)으로 출력될 수 있는 것이 바람직하다. 따라서 상기 장치 일회성 정보 또는 상기 단말 일회성 정보 어느 하나만 상기 인증정보에 포함된 경우라도, 다른 장치{즉, 디지털 시스템(100) 또는 사용자 장치(300)}를 사용자가 소지하고 있음이 인증되는 효과가 있다.In any case, the confirmation signal transmitted by the
상기 사용자 장치(300)에 의해 생성되는 장치 일회성 정보 또는 상기 디지털 시스템(100)에 의해 생성되는 단말 일회성 정보는 상기 디지털 시스템(100)에 의해 디스플레이될 수도 있다. 그러면 사용자는 디스플레이된 일회성 정보를 상기 디지털 시스템(100)에 입력하거나, 상기 사용자가 이용하는 소정의 데이터 처리장치(400)에 입력할 수 있다. 하지만, 이러한 경우에는 키로깅에 취약한 문제점이 있을 수 있다. 따라서 본 발명의 기술적 사상에 의하면 상기 장치 일회성 정보 또는 상기 단말 일회성 정보는 상기 디지털 시스템(100)에서 디스플레이되지 않고, 바로 상기 인증 시스템(200)으로 전송될 수도 있다. The device one-time information generated by the
상기 인증 시스템(200)은 상기 확인신호에 포함된 인증정보를 인증하는 인증확인절차를 수행할 수 있다. The
상기 인증확인절차는 상기 디지털 시스템(100)에 의해 생성된 단말 일회성 정보 및/또는 상기 사용자 장치(300)에 의해 생성된 장치 일회성 정보를 인증하는 일회성 정보 인증절차를 포함한다. 이에 의해 상기 디지털 시스템(100) 및/또는 상기 사용자 장치(300)의 정당성이 인증될 수 있다. 한편, 일회성 정보 인증절차는 보다 엄밀히 말하면 상기 디지털 시스템(100)에 설치된 소프트웨어(즉, 상기 단말 일회성 정보를 생성하는 소프트웨어) 및/또는 상기 사용자 장치(300)에 구비된 일회성 정보를 생성하는 장치(예컨대, 스마트카드의 IC칩 등) 또는 소프트웨어(예컨대, 별도의 모바일 폰인 상기 사용자 장치(300)에 설치되며 장치 일회성 정보를 생성하는 소프트웨어, 스마트카드에 설치되는 애플릿 등)에 대한 인증절차일 수 있다. The authentication procedure includes a one-time information authentication procedure for authenticating terminal one-time information generated by the
상기 디지털 시스템(100) 또는 상기 사용자 장치(300)에 설치되는 소프트웨어는 정당한 사용자의 장치로 인증된 상기 디지털 시스템(100) 또는 상기 사용자 장치(300)에만 설치될 수도 있다. 이러한 경우에는 상기 소프트웨어의 정당성이 인증되면 상기 디지털 시스템(100)도 자동으로 정당성이 인증되는 효과가 있다. Software installed in the
하지만, 상기 소프트웨어가 유출되거나, 공격에 의해 상기 소프트웨어가 위변조될 수도 있으므로, 본 발명의 기술적 사상에 따른 상기 인증절차는 상기 디지털 시스템(100) 및/또는 상기 사용자 장치(300)의 하드웨어를 인증하는 절차를 더 포함할 수도 있다. 이러한 상기 디지털 시스템(100) 및/또는 상기 사용자 장치(300)의 하드웨어의 인증절차는 상기 인증 시스템(200)이 상기 디지털 시스템(100)의 단말기 식별정보 및/또는 상기 사용자 장치(300)의 장치 식별정보를 확인하고, 상기 단말기 식별정보 및/또는 상기 장치 식별정보가 상기 인증 시스템(200)에 미리 등록된 정보와 상응하는지 여부에 의해 성공여부가 판단되는 절차일 수 있다. However, since the software may be leaked or the software may be forged or falsified by attack, the authentication procedure according to the technical idea of the present invention may be performed by authenticating the hardware of the
결국, 이러한 하드웨어의 인증절차가 추가적으로 수행되는 경우에는 본 발명의 기술적 사상에 따른 본인인증방식의 보안성은 보다 높아질 수 있는 효과가 있다. 또한 상기 디지털 시스템(100)을 소지하고 있는 사용자라도 미리 상기 인증 시스템(200)에 등록된 사용자 장치(300)를 소지하고 있지 않은 경우 또는 상기 사용자 장치(300)를 소지하고 있는 경우라도 상기 인증 시스템(200)에 미리 등록된 디지털 시스템(100)을 소지하고 있지 않은 경우에는 본인인증이 성공되지 못하도록 하는 효과가 있다.As a result, when the hardware authentication procedure is additionally performed, the security of the authentication method according to the technical idea of the present invention can be further enhanced. Even if the user possessing the
실시 예에 따라 상기 장치 식별정보를 인증하는 절차는 상기 디지털 시스템(100)에 의해 수행될 수도 있다. 또는 상기 단말기 식별정보를 인증하는 절차는 상기 사용자 장치(300)에 의해 수행될 수도 있다. 즉, 상기 디지털 시스템(100)에 미리 인증행위에 이용될 수 있는 사용자 장치(300)의 식별정보가 저장되어 있거나, 상기 사용자 장치(300)에 미리 상기 인증행위에 이용될 수 있는 디지털 시스템(100)의 식별정보가 저장되어 있을 수 있으며, 상기 디지털 시스템(100) 또는 상기 사용자 장치(300)는 자신과 통신을 수행한 장치가 미리 등록된 장치인지를 판단함으로써 인증 시스템(200)에 의해 상기 장치 식별정보 및/또는 상기 단말기 식별정보가 인증되는 것과 유사한 효과가 있다. 다만, 인증 시스템(200)에 비해 디지털 시스템(100) 및/또는 사용자 장치(300)가 위변조될 위험이 더 클 수 있으므로, 보안성을 위해서는 상기 인증 시스템(200)에 의해 상기 장치 식별정보 및/또는 상기 단말기 식별정보가 인증되는 것이 바람직할 수도 있다.The procedure for authenticating the device identification information according to an embodiment may be performed by the
한편, 상기 인증 시스템(200)에 의해 수행되는 인증확인절차는 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 페어인지 여부를 인증하는 페어 인증절차를 더 포함할 수도 있다. 즉, 상기 디지털 시스템(100)과 상기 사용자 장치(300)는 미리 짝(페어)을 이루고 있을 수 있으며, 페어를 이루고 있는 두 장치가 상기 통신을 수행하여야만 상기 인증 시스템(200)에 의해 인증이 성공될 수 있다. 이처럼 사용자에 의해 인증요청을 확인하는 인증행위(즉, 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시키는 행위)에 이용된 두 장치가 페어여야 인증확인절차가 성공될 수 있다. 이러한 경우에는, 각각의 디지털 시스템(100) 및 사용자 장치(300)가 모두 상기 인증 시스템(200)에 의해 등록된 장치라 하더라도 서로 페어가 아닌 경우에 인증확인절차가 성공처리되지 않을 수 있어서 현저한 보안성의 상승효과를 가질 수 있다. 인증행위에 이용되는 두 장치{디지털 시스템(100) 및 사용자 장치(300)}가 페어인지 여부는 상기 인증 시스템(200)에 의해 인증될 수도 있지만, 상기 디지털 시스템(100)에 의해 인증될 수도 있다. 즉, 상기 디지털 시스템(100)이 상기 디지털 시스템(100)과 미리 자신과 페어를 이루도록 설정된 상기 사용자 장치(300)와 통신을 수행하여야만 상기 확인신호를 전송할 수 있다. 이를 위해 상기 디지털 시스템(100)에는 상기 디지털 시스템(100)과 페어를 이루는 사용자 장치(300)에 대한 정보(예컨대, 장치 식별정보 등)가 미리 저장되어 있을 수 있다. The authentication procedure performed by the
한편, 인증요청은 상기 확인신호가 상기 인증 시스템(200)으로 전송되기 전에 미리 상기 인증 시스템(200)으로 전송되어 있을 수 있다. 예컨대, 상기 인증요청은 소정의 데이터 처리장치(400)로부터 상기 인증 시스템(200)으로 전송된 인증요청일 수 있다. 상기 데이터 처리장치(400)는 상기 디지털 시스템(100)의 사용자가 이용하는, 상기 디지털 시스템(100)과는 별개의 장치이며 상기 인증 시스템(200)에 접속하여 인증을 요청하는 PC, 노트북, 태블릿, 모바일 단말기, 셋탑박스, IPTV 등일 수 있다. 예컨대 사용자는 상기 데이터 처리장치(400)를 통해 자신의 디지털 시스템(100)의 식별정보(예컨대, 전화번호)를 입력하여 인증요청을 수행할 수도 있다.Meanwhile, the authentication request may be transmitted to the
또한 상기 데이터 처리장치(400)는 본 발명의 기술적 사상에 따른 인증이 성공한 후 제공되는 서비스의 종류에 따라 다양한 구현 예가 가능할 수 있다. 예컨대, 상기 서비스가 결제 서비스인 경우, 상기 데이터 처리장치(400)는 결제를 위해 결제를 요청하는 가맹점 단말기일 수도 있다. 상기 서비스가 출입문을 여는 서비스인 경우, 상기 데이터 처리장치(400)는 출입문에 설치된 장치일 수도 있다. 서비스의 종류에 따라 상기 데이터 처리장치(400)의 다양한 실시 예가 가능할 수 있다.Further, the
구현 예에 따라 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)은 소정의 서비스 시스템(500)으로 인증요청을 할 수도 있다. 상기 서비스 시스템(500)은 본 발명의 기술적 사상에 따른 본인인증이 성공하면, 인증요청을 한 장치{예컨대, 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)}로 소정의 서비스(예컨대, 로그인, 금융거래, 특정 정보의 확인, 증명서 발급, 상품 또는 서비스의 구매, 결제, 출입문의 개폐 등)를 제공하는 시스템일 수 있다. 사용자는 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)을 통해 상기 서비스 시스템(500)에 접속할 수도 있고, 상기 서비스 시스템(500)이 제공하는 서비스를 수행하기 위해 상기 서비스 시스템(500)은 사용자에 대한 인증을 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)에 요구할 수 있다. 이러한 경우 상기 서비스 시스템(500)은 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)이 상기 인증 시스템(200)에 접속하도록 하고{예컨대, 인증 시스템(200)이 제공하는 웹 페이지 또는 UI를 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)에 로딩함}, 이를 통해 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)이 상기 인증 시스템(200)으로부터 본인인증을 받도록 제어할 수도 있다. 이러한 경우 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)은 상기 인증요청에 필요한 정보(예컨대, 상기 디지털 시스템(100)의 식별정보 등)를 입력함으로써 상기 인증요청을 상기 인증 시스템(200)으로 출력할 수 있다. According to an embodiment, the
물론, 구현 예에 따라서는 상기 서비스 시스템(500)이 인증요청을 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)으로부터 수신하고, 수신된 인증요청을 상기 인증 시스템(200)으로 전송할 수도 있다. 즉, 상기 서비스 시스템(500)은 본 발명의 기술적 사상에 따른 본인인증절차를 중개하는 역할을 수행할 수도 있다. 따라서, 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)이 상기 인증 시스템(200)으로 소정의 정보 또는 신호를 전송한다고 함은 상기 서비스 시스템(500)을 통해 상기 인증 시스템(200)으로 전송되는 경우를 포함하는 것으로 해석될 수 있다. 물론, 상기 인증 시스템(200)이 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)으로 소정의 정보 또는 신호를 전송하는 경우에도, 상기 서비스 시스템(500)을 통해 전송되는 경우를 포함하는 의미로 해석될 수 있다.Of course, in some implementations, the
또한, 도1에서는 상기 인증 시스템(200)과 상기 서비스 시스템(500)이 서로 별개의 물리적 장치로 구현되는 경우를 일예로 도시하고 있지만, 상기 인증 시스템(200)이 상기 서비스 시스템(500)에 포함되어 설치될 수도 있다. 즉, 상기 인증 시스템(200)의 기능을 구현하는 소정의 소프트웨어가 상기 서비스 시스템(500)에 설치됨으로써 본 발명의 기술적 사상에 따른 본인인증이 수행될 수도 있다. Although the
일실시 예에 의하면, 본 발명의 기술적 사상에 따른 본인인증은 결제를 위해 수행될 수도 있다. 이러한 경우, 상기 데이터 처리장치(400)는 소정의 가맹점 단말기(매장에 설치된 POS 장치, 또는 이동 가맹점 단말기 등)일 수도 있다. 이러한 경우 사용자 또는 가맹점 측은 사용자의 디지털 시스템(100)의 식별정보(예컨대, 전화번호)를 가맹점 단말기에 입력함으로써 인증요청을 상기 인증 시스템(200)으로 전송할 수 있다. 경우에 따라서는 사용자는 원격지에서 결제를 수행할 가맹점 측에 자신의 디지털 시스템(100)의 식별정보를 통지할 수도 있다. 그러면 가맹점 측은 상기 데이터 처리장치(400) 즉, 가맹점에서 이용하는 컴퓨터 또는 가맹점 단말기 등을 이용해 상기 식별정보를 입력함으로써 인증 시스템(200)으로 인증요청을 전송할 수도 있다. 그러면 상기 인증 시스템(200)에 의해 본인인증이 성공되면, 상기 데이터 처리장치(400)가 요청한 결제가 최종적으로 승인될 수 있다. 이때에는 상기 서비스 시스템(500)은 소정의 카드사 시스템(또는 카드결제를 수행하는 금융기관 시스템일 수 있음은 물론이다). 또한, 인증요청과 결제요청은 반드시 분리하여 수행될 필요는 없다. 즉, 본 발명의 실시 예에 따른 인증요청은 소정의 서비스 요청(예컨대, 결제 등)과 동시에 수행될 수도 있으며, 이러한 경우에는 상기 서비스 요청에 상기 인증요청을 위한 디지털 시스템(100)의 식별정보가 포함될 수 있음은 물론이다. 이러한 일예는 도4 및 도5에서 상세히 후술하도록 한다.According to one embodiment, the authentication of the user according to the technical idea of the present invention may be performed for settlement. In this case, the
다른 실시 예에 의하면, 상기 인증요청은 상기 확인신호와 함께 또는 상기 확인신호와는 별개로 상기 디지털 시스템(100)에 의해 출력되어 상기 인증 시스템(200)으로 전송될 수도 있다. 이러한 일예는 도6을 참조하여 설명하도록 한다.According to another embodiment, the authentication request may be output by the
상기 인증 시스템(200)은 인증요청이 수신되고, 상기 디지털 시스템(100)으로부터 확인신호가 수신되면, 수신된 확인신호에 기초하여 전술한 바와 같이 인증확인절차를 수행하고, 인증이 성공하면 인증요청을 한 데이터 처리장치(400) 또는 디지털 시스템(100)에 대한 본인인증을 성공처리할 수 있다. 즉, 수신된 인증요청을 성공처리할 수 있다. 그러면 상기 서비스 시스템(500)에 의해 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)에 의해 요청되는 소정의 서비스가 제공될 수 있다. 물론, 본 발명의 기술적 사상에 따른 본인인증이 성공된 후에 다른 본인인증(예컨대, 공인인증서를 이용한 본인인증 등)이 더 요구될 수도 있음은 물론이다.When the authentication request is received and an acknowledgment signal is received from the
또한, 상기 인증확인절차는 사용자 장치(300)의 사용자 인증정보(예컨대, PIN)를 인증하는 행위를 더 포함할 수 있다. 예컨대, 상기 사용자 장치(300)가 결제용 IC카드인 경우, 상기 사용자 장치(300)에는 사용자가 설정한 비밀번호(즉, PIN번호)가 미리 설정되어 있을 수 있다. 이러한 사용자 장치(300)의 사용자 인증정보 역시 상기 인증 시스템(200)에 미리 등록되어 있을 수 있다. 그러면 상기 인증 시스템(200)은 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(400)로부터 상기 사용자 인증정보를 수신하고, 수신된 사용자 인증정보가 미리 등록된 정보와 상응하여야만 최종적으로 인증확인절차가 성공되도록 함으로써 달성될 수도 있다. 물론, 상기 사용자 인증정보의 인증은 상기 사용자 장치(300)와 통신을 수행하는 디지털 시스템(100)에 의해 수행될 수도 있다. 이러한 경우에는 상기 디지털 시스템(100)에 상기 사용자 장치(300)의 사용자 인증정보가 미리 등록되어 있을 수도 있다.In addition, the authentication procedure may further include authenticating user authentication information (e.g., PIN) of the
사용자에 의해 인증행위가 수행되면, 상기 디지털 시스템(100)은 확인신호를 인증 시스템(200)으로 출력할 수 있으며, 상기 확인신호에는 상기 장치 일회성 정보 및/또는 상기 단말 일회성 정보뿐만 아니라, 상기 사용자 장치(300)의 장치 식별정보 및/또는 상기 디지털 시스템(100)의 단말기 식별정보가 더 포함될 수 있으며 이를 통해 전술한 바와 같은 상기 사용자 장치(300) 및/또는 상기 디지털 시스템(100)의 하드웨어의 인증이 수행될 수 있음은 전술한 바와 같다. When the authentication operation is performed by the user, the
상기 단말기 식별정보는 상기 디지털 시스템(100)의 하드웨어{상기 디지털 시스템(100)에 포함된 하드웨어(예컨대, USIM, 네트워크 장치 등)}의 식별정보(예컨대, USIM의 식별정보, IMSI, IMEI, MAC 어드레스 등)일 수 있다. 상기 단말기 식별정보가 포함되는 경우, 상기 인증 시스템(200)은 상기 단말기 식별정보가 미리 등록되어 있는 경우에만 인증확인절차가 성공되었다고 판단할 수 있다. 따라서 미리 등록된 단말기인 상기 디지털 시스템(100)을 통해서 확인신호가 수신되지 않으면 소정의 장치에 의해 상기 확인신호가 상기 인증 시스템(200)으로 전송되더라도 최종적으로 인증확인절차가 성공되지 않을 수 있으며, 따라서 소정의 서비스가 사용자에게 제공되지 않을 수 있는 효과가 있다. 즉, 디지털 시스템을 지정할 수 있어 타 단말기를 통한 부정한 서비스 요청을 차단할 수 있는 효과가 있다. 또한, 지정된 상기 디지털 시스템을 통해서만 인증행위(결제인증 행위)가 수행될 수 있으므로, 스미싱 또는 맨인미들어택을 방지할 수 있는 효과도 있다.The terminal identification information may include identification information (e.g., identification information of a USIM, IMSI, IMEI, MAC) of the digital system 100 (hardware included in the
한편, 상기 디지털 시스템(100)에 의해 생성된 단말 일회성 정보 또는 상기 사용자 장치(300)에 의해 생성되는 장치 일회성 정보는 상기 디지털 시스템(100)에 의해 디스플레이되고, 사용자가 상기 단말 일회성 정보를 입력하도록 함으로써, 입력된 상기 단말 일회성 정보가 상기 확인신호에 포함될 수도 있다. Meanwhile, the terminal one-time information generated by the
하지만, 본 발명의 실시 예에 따르면 이러한 단말 일회성 정보 또는 장치 일회성 정보의 디스플레이 및 사용자에 의한 입력 과정이 없이 자동으로 상기 확인신호에 포함되도록 함으로써 사용자에 의한 인증행위의 편의성을 제공할 수도 있다. 또한, 사용자에 의한 단말 일회성 정보 또는 장치 일회성 정보의 입력과정이 없으므로 키 로깅 등을 통한 정보의 유출에 대한 위험이 오히려 낮아질 수 있다. 물론, 이러한 경우에 부인방지는 사용자로 하여금 상기 사용자 장치(300)의 사용자 인증정보(예컨대, PIN)를 입력하도록 하고 상기 사용자 인증정보를 통해 사용자가 인증이 되어야만, 상기 인증 시스템(200)에 의해 최종적으로 인증확인절차가 성공되도록 함으로써 달성될 수도 있다.However, according to the embodiment of the present invention, the terminal may be automatically included in the confirmation signal without displaying the one-time information or device one-time information and inputting by the user, thereby providing convenience of the authentication operation by the user. In addition, since there is no process of inputting terminal one-time information or device one-time information by the user, the risk of leakage of information through key logging or the like may be lowered. Of course, in such a case, the non-repudiation of the user may cause the user to input the user authentication information (e.g., PIN) of the
상기 인증 시스템(200)은 인증요청을 수신하거나, 상기 디지털 시스템(100) 및/또는 상기 데이터 처리장치(400)와 통신을 수행하거나, 인증요청의 승인여부를 결정하는데 참여하는 모든 시스템을 포함하는 의미로 정의될 수 있다. 당연히 상기 인증 시스템(200)은 어느 하나의 물리적 장치만을 의미하는 것이 아니라, 복수의 장치 또는 시스템에 유기적으로 결합되어 본 발명의 기술적 사상을 구현하는 시스템일 수도 있다. 예컨대, 상기 인증 시스템(200)은 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(400)로부터 직접 인증요청을 수신하거나, 상술한 바와 같이 상기 서비스 시스템(500)을 통해 상기 인증요청을 수신할 수도 있다. The
예컨대, 결제 서비스의 경우, 상기 인증 시스템(200)은 상기 데이터 처리장치(400) 예컨대, 사용자의 컴퓨터, 가맹점 단말기(예컨대, POS, 이동 결제 단말기) 등으로부터 직접 결제요청(상기 결제요청은 인증요청으로서도 기능함)을 수신하거나, 상기 서비스 시스템(예컨대, 온라인 마켓을 제공하는 웹 서버 등, 500)을 통해 결제요청(인증요청)을 수신할 수도 있다. 이러한 경우, 상기 인증 시스템(200)은 상기 결제요청(인증요청)을 미리 등록된 결제금융정보를 이용하여 결제처리할 수 있는 카드사 시스템(본 발명에서의 카드사 시스템은 독립적인 카드회사의 시스템뿐만 아니라 카드결제를 수행하는 모든 금융기관 시스템(미도시)을 포함하는 것을 의미한다)에 포함될 수도 있다. 또한, 구현 예에 따라서는 상기 카드사 시스템과 네트워크를 통해 연결되어 결제 프로세스를 중개하는 VAN 시스템 또는 PG 등이 상기 인증 시스템(200)에 더 포함될 수도 있다. For example, in the case of a payment service, the
이하에서는 본 발명의 기술적 사상에 따라 본인인증이 수행되는 과정을 보다 구체적으로 살펴보기로 한다. 이하에서는 설명의 편의를 위해 상기 디지털 시스템(100)은 모바일 폰으로 구현되는 경우이고, 상기 디지털 시스템(100)의 식별정보는 상기 모바일 폰의 모바일 전화번호인 경우를 일예로 설명하지만, 본 발명의 권리범위가 이에 한정되지는 않는다.Hereinafter, the process of authenticating the user according to the technical idea of the present invention will be described in more detail. Hereinafter, for convenience of explanation, the
도2는 본 발명의 일실시 예에 따른 디지털 시스템의 개략적인 구성을 나타낸다.2 shows a schematic configuration of a digital system according to an embodiment of the present invention.
도2를 참조하면, 상기 디지털 시스템(100)은 제어모듈(110), 사용자 장치 통신모듈(120), 및 통신모듈(140)을 포함한다. 상기 디지털 시스템(100)이 단말 일회성 정보를 생성하도록 구현되는 경우에는, 상기 디지털 시스템(100)은 단말 일회성 정보 생성모듈(130)을 더 포함할 수 있다.Referring to FIG. 2, the
본 명세서에서 모듈이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 각각의 구성들은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류나 특정 개수의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다. 따라서, 상기 각각의 구성들은 본 명세서에서 정의되는 기능을 수행하는 하드웨어 및 소프트웨어의 결합을 의미하며 특정 물리적 구성을 의미하는 것은 아니다. Herein, a module may mean a functional and structural combination of hardware for carrying out the technical idea of the present invention and software for driving the hardware. For example, each of the above configurations may refer to a logical unit of a predetermined code and a hardware resource for executing the predetermined code, and may be a code physically connected to one another or a specific type of hardware May be easily deduced to the average expert in the field of the present invention. Thus, each of the above configurations refers to a combination of hardware and software that performs the functions defined herein, and does not mean a specific physical configuration.
상기 제어모듈(110)은 상기 디지털 시스템(100)에 포함되는 다른 구성(예컨대, 상기 사용자 장치 통신모듈(120), 단말 일회성 정보 생성모듈(130), 및/또는 통신모듈(140) 등)의 기능 및/또는 리소스(resource)를 제어할 수 있다. The
상기 사용자 장치 통신모듈(120)은 상기 사용자 장치(300)와 통신을 수행할 수 있다. 상기 통신은 전술한 바와 같이 접촉식 또는 비접촉식 통신일 수 있다. 일예에 의하면, 상기 통신은 비접촉식 근거리 무선통신(예컨대, NFC 통신)일 수 있다. 상기 통신이 상기 NFC 통신인 경우, 사용자는 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 태깅하기만 하면 인증이 승인되도록 할 수 있으므로 사용자의 편의성은 높아질 수 있다. 또한 사용자 장치(300)가 지갑이나 주머니에 있는 경우에도 상기 사용자 장치(300)를 꺼내지 않아도 NFC 통신을 수행할 수 있으므로, 인증의 편의성은 높아질 수 있다. 상기 사용자 장치 통신모듈(120)은 예컨대, 상기 디지털 시스템(100)에 구비된 NFC 칩 또는 모듈에 의해 구현될 수 있다. 이외에도 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 수행하는 통신의 실시 예에 따라 상기 사용자 장치 통신모듈(120)의 실시 예가 다양해질 수 있음은 물론이다.The user
상기 제어모듈(110)은 본 발명의 기술적 사상에 따른 확인신호를 생성하거나 전송할 수 있다.The
상기 통신모듈(140)은 상기 인증 시스템(200)과 통신을 수행할 수 있다. 구현 예에 따라서는 상기 데이터 처리장치(400)와 통신을 수행할 수도 있다.The
상기 제어모듈(110)은 상기 사용자 장치 통신모듈(120)을 통해 상기 사용자 장치(300)와 통신을 수행할 수 있다. 또한, 구현 예에 따라 상기 사용자 장치(300)로부터 장치 일회성 정보 및/또는 장치 식별정보를 수신할 수도 있다. 또한, 상기 사용자 장치 통신모듈(120)을 통해 인증 시스템(200)으로부터 수신한 서버 생성키를 상기 사용자 장치(300)로 전송할 수도 있다. 상기 서버 생성키의 전송은 사용자가 수행하는 인증행위 즉, 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시키는 행위가 수행될 때 수행될 수 있다. 물론, 구현 예에 따라서는, 상기 인증행위와는 별개로 상기 서버 생성키가 상기 사용자 장치(300)로 전송될 수도 있다. 예컨대, NFC 통신의 경우, 사용자는 복수의 태깅을 수행하여야 할 수 있다. 그리고 복수의 태깅 중 어느 하나의 태깅을 통해 상기 서버 생성키가 상기 사용자 장치(300)로 전송되고, 또 다른 태깅이 수행되면 사용자가 상기 인증행위를 한 것으로 취급될 수도 있다.The
또한, 상기 제어모듈(110)은 전술한 바와 같이 시간 정당성 확인절차를 수행할 수 있다. 그리고 시간 정당성이 확인되어야 서버 생성키(예컨대, 인증 시스템(200)의 시간정보) 또는 디지털 시스템(100)의 제1시간정보를 상기 사용자 장치(300)로 전송할 수 있다. 사용자 장치(300)는 상기 서버 생성키 또는 제1시간정보에 기초하여 장치 일회성 정보를 생성할 수 있다. 또는 상기 단말 일회성 정보 생성모듈(130)을 제어하여 서버 생성키 또는 제1시간정보에 기초하여 단말 일회성 정보를 생성하도록 제어할 수 있다. 또는 장치 일회성 정보 또는 단말 일회성 정보를 정당한 인증정보로 취급(즉, 상기 디지털 시스템(100)에 디스플레이하거나, 상기 인증 시스템(200)으로 전송)할 수 있다. Also, the
또한, 전술한 바와 같이 사용자 장치(300)가 타이머가 구비된 장치이고 사용자 장치(300)가 일회성 정보를 생성할 경우, 상기 제어모듈은(110)은 상기 사용자 장치(300)의 제2시간정보를 수신하여 상기 제2시간정보의 정당성을 상기 서버 생성키에 기초하여 확인할 수도 있다. 제2시간정보의 정당성이 확인되면 상기 서버 생성키를 전송하거나, 정당성이 확인된 제2시간정보를 다시 사용자 장치(300)로 전송하거나, 또는 단순히 정당성이 확인되었음은 나타내는 신호를 사용자 장치(300)로 전송할 수 있다. 그러면 사용자 장치(300)는 서버 생성키 또는 제2시간정보에 기초하여 장치 일회성 정보를 생성할 수 있다. When the
또는 상기 제어모듈(110)은 상기 사용자 장치(300)로 서버 생성키를 전송하여 상기 사용자 장치(300)가 시간 정당성을 확인하도록 하고, 시간 정당성이 확인되면 서버 생성키 또는 제2시간정보에 기초하여 장치 일회성 정보를 생성하도록 할 수도 있다. Alternatively, the
상기 단말 일회성 정보 생성모듈(130)은 단말 일회성 정보를 생성할 수 있다. 상기 단말 일회성 정보 생성모듈(130)은 전술한 바와 같이 인증 시스템(200)으로부터 수신된 서버 생성키에 기초하여 상기 단말 일회성 정보를 생성할 수 있다. 또한, 상기 사용자 장치(300)의 장치 식별정보 또는 상기 단말 식별정보에 더 기초하여 상기 단말 일회성 정보를 생성할 수도 있다.The terminal one-time
그러면 상기 제어모듈(110)은 상기 사용자 장치(300)로부터 수신한 장치 일회성 정보 및/또는 단말 일회성 정보를 포함하는 인증정보를 포함하는 확인신호를 생성하고, 생성된 확인신호를 상기 통신모듈(140)을 제어하여 상기 인증 시스템(200)으로 전송할 수 있다. Then, the
상기 제어모듈(110)은 구현 예에 따라 상기 사용자 장치 통신모듈(120)을 통해 획득된 상기 사용자 장치(300)의 장치 식별정보를 더 포함시킬 수도 있다. 또한, 상기 제어모듈(110)은 상기 디지털 시스템(100)의 단말기 식별정보를 더 포함시킬 수도 있다. 또는 상기 확인신호에 인증요청을 포함시킬 수도 있다. 또는 상기 확인신호에 사용자 인증정보를 이용한 인증결과를 나타내는 인증신호를 포함시킬 수도 있다. 상기 확인신호는 하나의 정보 또는 연속적으로 전송되는 신호를 의미하는 것은 아니며, 실시 예에 따라 상기 확인신호는 복수 회에 걸쳐 비연속적으로 상기 인증 시스템(200)으로 전송될 수도 있음은 물론이다.The
그러면 상기 인증 시스템(200)은 상기 인증정보를 포함하는 확인신호에 기초하여 인증확인절차를 수행할 수 있다. 그리고 상기 인증확인절차가 성공되면, 상기 인증 시스템(200)은 인증요청을 출력한 장치(예컨대, 디지털 시스템(100) 또는 데이터 처리장치(400))에 대해 본인인증이 성공된 것으로 처리할 수 있다. 즉, 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(400)가 출력한 인증요청을 성공처리할 수 있다. 예컨대, 상기 인증확인절차가 성공되면 상기 인증 시스템(200)은 상기 데이터 처리장치(400), 상기 디지털 시스템(100), 및/또는 상기 서비스 시스템(500)으로 본인인증이 성공되었음을 나타내는 인증결과를 전송할 수 있다. The
상기 확인신호에 상기 장치 식별정보가 더 포함된 경우에는 상기 인증 시스템(200)은 상기 장치 식별정보에 기초하여 상기 사용자 장치(300)를 인증할 수 있다. 또한, 상기 확인신호에 상기 단말기 식별정보가 더 포함된 경우에는, 상기 인증 시스템(200)은 상기 단말기 식별정보에 기초하여 상기 디지털 시스템(100)이 미리 등록된 단말기인지를 판단할 수 있다.If the confirmation signal further includes the device identification information, the
한편, 상기 통신모듈(140)은 상기 인증 시스템(200)으로부터 또는 상기 데이터 처리장치(400)로부터 소정의 인증행위 요청정보를 수신할 수 있다. 상기 인증행위 요청정보는 사용자에게 인증행위 즉, 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시키라고 요청하는 정보를 포함할 수 있다. 또한, 상기 인증행위 요청정보와 함께 상기 인증 시스템(200)에 의해 생성된 서버 생성키가 수신될 수도 있다. 또한, 상기 통신모듈(140)은 상기 인증 시스템(200)으로부터 서버 생성키를 수신할 수도 있다. Meanwhile, the
상기 서버 생성키는 상기 인증행위 요청정보와 함께 수신될 수도 있고, 상기 인증행위 요청정보가 상기 디지털 시스템(100)으로 수신되기 전 또는 후에 별개로 수신될 수도 있음은 물론이다. 예컨대 상기 디지털 시스템(100)에는 본 발명의 기술적 사상을 구현하기 위한 소정의 소프트웨어가 설치될 수 있고, 상기 소프트웨어가 실행이 되어야 본 발명의 기술적 사상이 구현될 수 있다. 이러한 경우, 상기 소프트웨어가 실행되면 자동으로 상기 디지털 시스템(100)은 미리 결정된 인증 시스템(200)과 통신을 수행할 수도 있다. 그리고 이를 통해 미리 서버 생성키를 수신할 수도 있다. 어떠한 경우든 상기 디지털 시스템(100)은 사용자가 인증행위를 수행하기 전에 상기 서버 생성키를 상기 인증 시스템(200)으로부터 수신할 수 있다.The server creation key may be received together with the authentication action request information and may be received separately before or after the authentication action request information is received by the
물론, 단순히 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)으로 인증요청이 수행되었다는 신호만이 상기 인증행위 요청정보에 포함될 수도 있다. Of course, only the signal indicating that the authentication request has been performed in the
상기 인증행위 요청정보는 상기 디지털 시스템(100)에 구비된 디스플레이 장치(미도시)에 디스플레이될 수 있다. 사용자는 상기 인증행위 요청정보를 확인하고 확인 후 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 태깅함으로써 요청된 인증행위를 할 수 있다. The authentication action request information may be displayed on a display device (not shown) included in the
상기 통신모듈(140)은 상기 인증 시스템(200)으로부터 상기 인증행위 요청정보를 수신할 수도 있고, 상기 데이터 처리장치(400)로부터 인증행위 요청정보를 수신할 수도 있다. 이러한 일예는 도4 내지 도6을 참조하여 후술하도록 한다.The
한편, 상기 제어모듈(110)은 상기 사용자 장치(300)가 상기 디지털 시스템(100)과 페어를 형성하는 장치인지를 판단할 수도 있다. 그리고 상기 사용자 장치(300)가 상기 디지털 시스템(100)과 페어를 형성하는 장치인 경우에만 상기 확인신호를 상기 인증 시스템(200)으로 전송할 수도 있다. 물론, 이러한 페어여부를 인증하는 절차는 상기 인증 시스템(200)에 의해 수행될 수도 있음은 전술한 바와 같다. Meanwhile, the
또한, 상기 제어모듈(110)은 상기 사용자 장치(300)와 통신을 수행하기 전 또는 후에 소정의 사용자 인증정보(예컨대, PIN)를 요청하고, 사용자 인증정보가 상기 사용자 장치(300)(예컨대, 결제용 IC카드)의 인증정보(예컨대, PIN 정보)에 상응하는 경우에만 상기 단말 일회성 정보를 생성하거나, 사용자 장치(300)로부터 획득한 장치 일회성 정보를 포함하는 상기 확인신호를 전송할 수도 있다. 이러한 사용자 인증정보를 통해 사용자가 상기 장치 일회성 정보 또는 상기 단말 일회성 정보를 확인하고 직접 상기 디지털 시스템(100)에 입력하는 과정을 수행하지 않아도 부인방지가 되는 효과가 있을 수 있다.Also, the
상기 사용자 인증정보를 이용한 사용자 인증이 수행되지 않으면, 상기 디지털 시스템은 상기 확인신호를 상기 인증 시스템(200)으로 전송하지 않을 수도 있다. 예컨대, 상기 디지털 시스템(100)은 상기 사용자 장치(300)와 통신을 하기 전에 미리 상기 사용자 인증정보를 수신할 수도 있다. 또는 상기 통신이 수행된 후 사용자로부터 상기 사용자 인증정보를 수신할 수도 있다. 그리고 사용자 인증정보가 미리 사용자 장치(300)에 설정된 정보에 상응하지 않으면 상기 확인신호를 전송하지 않을 수 있다. 구현 예에 따라서는 상기 확인신호가 전송된 후에도 상기 디지털 시스템(100)에 의해 상기 사용자 인증정보를 이용한 사용자 인증이 수행될 수도 있다. 이러한 경우에는 상기 디지털 시스템(100)은 확인신호를 전송한 후, 별도로 사용자 인증정보를 이용한 사용자 인증결과를 나타내는 소정의 인증신호를 상기 인증 시스템(200)으로 더 전송할 수도 있다. 그러면 상기 인증신호를 수신한 상기 인증 시스템(200)이 최종적으로 인증확인절차의 성공여부를 결정할 수도 있다. If the user authentication using the user authentication information is not performed, the digital system may not transmit the confirmation signal to the
또는 상기 디지털 시스템(100)이 사용자로부터 수신한 사용자 인증정보를 상기 인증 시스템(200)으로 전송하고, 상기 인증 시스템(200)에 의해 사용자 인증정보가 상기 사용자 장치(300)에 상응하는지 여부가 판단될 수도 있다.Or the
도3은 본 발명의 일실시 예에 따른 인증 시스템의 개략적인 구성을 나타낸다. 3 shows a schematic configuration of an authentication system according to an embodiment of the present invention.
도3을 참조하면, 본 발명의 일실시 예에 따른 인증 시스템(200)은 제어부(210), 통신부(220), 및 인증부(230)를 포함한다. 상기 인증 시스템(200)은 DB(240)를 더 포함할 수 있다.3, an
상기 인증 시스템(200)에 포함되는 제어부(210), 통신부(220), 인증부(230), 및 DB(240) 등의 구성은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다. 예컨대, 상기 각각의 구성들은 소정의 코드와 상기 소정의 코드가 수행되기 위한 하드웨어 리소스(resource)의 논리적인 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 코드를 의미하거나, 한 종류나 특정 개수의 하드웨어를 의미하는 것은 아님은 본 발명의 기술분야의 평균적 전문가에게는 용이하게 추론될 수 있다. 따라서, 상기 각각의 구성들은 본 명세서에서 정의되는 기능을 수행하는 하드웨어 및 소프트웨어의 결합을 의미하며 특정 물리적 구성을 의미하는 것은 아니다. The configuration of the
또한 상기 인증 시스템(200)은 어느 하나의 물리적 장치를 의미하는 것은 아니다. 즉, 서로 다른 물리적 장치가 네트워크를 통해 유기적으로 결합됨으로써 상기 인증 시스템(200)을 구현할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다. Also, the
상기 인증 시스템(200)은 상기 서비스 시스템(500)에 포함되어 설치될 수도 있고, 상기 서비스 시스템(500)과는 별개의 시스템으로 구현될 수도 있다. 또한 상기 인증 시스템(200) 및 상기 서비스 시스템(500)의 운영주체는 동일할 수도 있고 서로 다를 수도 있다.The
상기 제어부(331)는 상기 인증 시스템(200)에 포함된 다른 구성들(예컨대, 통신부(220), 인증부(230), 및 DB(240) 등)의 기능 및/또는 리소스를 제어할 수 있다. The control unit 331 can control functions and / or resources of other components included in the authentication system 200 (e.g., the
상기 통신부(220)는 상기 디지털 시스템(100)과 통신을 수행할 수 있다. 특히, 상기 통신부(220)는 상기 디지털 시스템(100)으로부터 확인신호를 수신할 수 있다. 또한, 상기 통신부(220)는 상기 디지털 시스템(100)으로 서버 생성키를 전송할 수 있다. The
상기 인증부(230)는 전술한 바와 같은 서버 생성키를 생성할 수 있다. 또한, 상기 서버 생성키에 기초하여 생성된 일회성 정보가 포함된 인증정보를 포함하는 상기 확인신호에 기초하여 인증확인절차를 수행할 수 있다. 상기 인증정보는 일회성 정보를 포함하고, 상기 일회성 정보는 장치 일회성 정보 및/또는 단말 일회성 정보를 포함할 수 있다. 이를 위해 상기 인증부(230)는 상기 디지털 시스템(100)으로 전송한 서버 생성키를 이용하여 서버 일회성 정보를 생성할 수 있다. 물론, 상기 서버 생성키 이외에도 상기 디지털 시스템(100) 또는 상기 사용자 장치(300)와 미리 약속된 정보들을 입력 값으로 하여 상기 서버 일회성 정보를 생성할 수 있음을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다. The
또한, 상기 인증부(230)는 상기 사용자 장치(300)에 대응되도록 상기 서버 생성키를 보호처리하여 상기 디지털 시스템(100)으로 전송할 수도 있다. 물론, 이러한 경우에는 상기 사용자 장치(300)가 장치 일회성 정보를 생성하는 경우일 수 있다. 만약, 상기 디지털 시스템(100)이 단말 일회성 정보를 생성하는 경우에는, 상기 인증부(230)는 상기 서버 생성키를 상기 디지털 시스템(100)에 대응되도록 보호처리하여 전송할 수 있음은 물론이다.Also, the
또한, 구현 예에 따라서는, 전술한 바와 같이 상기 인증부(230)는 단순히 장치 일회성 정보 및/또는 단말 일회성 정보를 복호화하고, 복호화된 결과가 상기 서버 생성키에 상응하는지를 판단함으로써 상기 인증확인절차를 수행할 수도 있다.Also, according to an embodiment, as described above, the
또한, 전술한 바와 같이 상기 인증정보는 매체고유정보(또는 단말 식별정보 및/또는 장치 식별정보) 및 서버 생성키를 단순히 포함하는 정보이거나, 매체고유정보 및 서버 생성키에 기초하여 생성되는 정보일 수 있다. 이러한 경우 상기 인증부(230)는 인증 시스템(200)에 미리 저장된 매체확인 정보에 기초하여 상기 인증정보에 포함된 상기 매체고유정보(또는 단말 식별정보 및/또는 장치 식별정보)를 인증하고, 디지털 시스템(100)으로 전송한 서버 생성키에 기초하여 상기 인증정보에 포함된 서버 생성키를 인증할 수 있다. 또는 상기 인증부(230)가 상기 매체확인정보(예컨대, 매체고유정보) 및 자신이 전송한 서버 생성키에 기초하여, 디지털 시스템(100) 또는 사용자 장치(300)가 상기 인증정보를 생성한 알고리즘(예컨대, 해싱 알고리즘)과 동일한 알고리즘을 이용하여, 확인용 인증정보를 생성할 수 있다. 그리고 생성한 확인용 인증정보와 상기 디지털 시스템(100)으로부터 수신한 인증정보가 상응하는지를 판단함으로써 인증확인절차를 수행할 수도 있다.Also, as described above, the authentication information may be information that simply includes the medium specific information (or terminal identification information and / or device identification information) and the server generation key, or information that is generated based on the medium unique information and the server generation key . In this case, the
상기 인증확인절차는 상기 인증정보에 포함된 일회성 정보를 인증하는 인증절차를 포함하며, 상기 장치 식별정보를 이용한 인증, 상기 단말기 식별정보를 이용한 인증, 사용자가 인증행위에 이용한 두 장치 즉, 상기 디지털 시스템(100)과 상기 사용자 장치(300)의 페어여부의 인증, 및/또는 상기 사용자 장치(300)에 설정된 사용자 인증정보의 인증 중 적어도 하나가 선택적으로 더 포함할 수 있음은 전술한 바와 같다.Wherein the authentication procedure includes an authentication procedure for authenticating one-time information included in the authentication information, the authentication using the device identification information, the authentication using the terminal identification information, As described above, at least one of authentication of whether the
상기 일회성 정보에 장치 일회성 정보가 포함된 경우에는 상기 인증확인절차에는 상기 장치 식별정보를 이용한 인증은 선택적으로 포함되지 않을 수도 있고, 상기 일회성 정보에 단말 일회성 정보가 포함된 경우에는 상기 단말기 식별정보를 이용한 인증은 선택적으로 상기 인증확인절차에 포함되지 않을 수도 있다. 물론, 상기 일회성 정보에 장치 일회성 정보가 포함된 경우 또는 상기 일회성 정보에 단말 일회성 정보가 포함된 경우에도 상기 장치 식별정보를 이용한 인증 및/또는 단말기 식별정보를 이용한 인증이 상기 인증부(230)에 의해 수행될 수도 있으며, 이러한 경우에도 일회성 정보는 일회성 정보를 생성하는 특정 장치 또는 소프트웨어를 인증하는 것임에 비해 장치 식별정보 및/또는 단말기 식별정보를 이용한 인증은 이와는 다른 하드웨어를 인증하는 것일 수 있다. 따라서 장치 일회성 정보가 상기 인증부(230)에 의해 인증되더라도 이와는 별개로 장치 식별정보를 이용한 인증이 수행되는 경우에도 실익은 존재할 수 있다. 마찬가지로 단말 일회성 정보가 상기 인증부(230)에 의해 인증되더라도 이와는 별개로 단말기 식별정보를 이용한 인증이 수행되는 경우에도 실익은 존재할 수 있다. When the one-time information includes the device one-time information, authentication using the device identification information may not be selectively included in the authentication confirmation procedure. If the one-time information includes terminal one-time information, The used authentication may optionally not be included in the authentication procedure. Of course, even if the one-time information includes the device one-time information or the one-time information includes terminal one-time information, the authentication using the device identification information and / or the authentication using the terminal identification information may be performed by the
상기 인증부(230)에 의해 인증확인절차가 성공되면, 상기 제어부(210)는 이미 수신되어 있는 인증요청 또는 상기 확인신호에 포함된 인증요청을 성공처리할 수 있다. 성공처리를 위해 상기 제어부(210)는 상기 서비스 시스템(500)으로 인증결과를 나타내는 신호를 전송할 수도 있음은 물론이다.If the
상기 DB(240)에는 전술한 바와 같이 본 발명의 기술적 사상에 따른 매체확인 정보(예컨대, 단말 식별정보, 장치 식별정보, 또는 매체고유정보 등) 등이 미리 저장되어 있을 수 있다. 또한 상기 인증부(230)에 의해 생성된 서버 생성키가 임시로 저장될 수도 있다. 또한 디지털 시스템(100) 및 사용자 장치(300)의 페어 형성에 대한 정보 즉, 어떠한 디지털 시스템(100)과 어떠한 사용자 장치(300)가 페어로 형성되어 있는지에 대한 정보 즉 페어설정 정보가 미리 저장되어 있을 수 있다. The
상기 통신부(220)는 상기 데이터 처리장치(400) 또는 상기 디지털 시스템(100)으로부터 인증요청을 수신할 수 있다. 상기 인증요청에는 상기 디지털 시스템(100)의 식별정보(예컨대, 전화번호)가 포함될 수 있음은 물론이다. 상기 디지털 시스템(100)의 식별정보는 상기 단말 식별정보 즉, 디지털 시스템(100)의 하드웨어의 고유한 식별정보일 수도 있고, 상기 단말 식별정보와는 별개의 정보일 수도 있으며 상기 디지털 시스템(100)의 구현 예에 따라 다양할 수 있다. 그러면, 상기 제어부(210)는 상기 통신부(220)를 통해 상기 디지털 시스템(100) 또는 상기 데이터 처리장치(400)로 인증행위 요청정보를 전송할 수 있다. 사용자는 상기 인증행위 요청정보를 확인하고, 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시킬 수 있다. 그러면 상기 디지털 시스템(100)으로부터 출력된 확인신호를 상기 통신부(220)가 수신할 수 있다. The
그러면, 상기 인증부(230)는 상기 인증확인절차를 수행할 수 있다.Then, the
이를 위해 상기 인증부(230)는 상기 디지털 시스템(100) 또는 상기 사용자 장치(300)에 상응하는 서버 일회성 정보를 생성할 수 있다. 물론, 상기 디지털 시스템(100)에 상응하는 서버 일회성 정보 및 상기 사용자 장치(300)에 상응하는 서버 일회성 정보를 각각 생성할 수도 있다. 이를 위해 상기 인증부(230)는 각각의 디지털 시스템(100)별로 및/또는 각각의 사용자 장치(300)별로 일회성 정보를 생성하기 위한 적어도 하나의 입력 값{키 또는 시드(seed)}를 각각의 디지털 시스템(100) 및/또는 각각의 사용자 장치(300)와 공유하거나, 상기 적어도 하나의 키를 획득하는 방식(또는 알고리즘)을 공유할 수 있다. 물론, 상기 적어도 하나의 입력 값에는 상기 서버 생성키가 포함될 수 있다. 물론, 상기 서버 일회성 정보를 생성하는 함수 또는 알고리즘 역시 상기 디지털 시스템(100) 또는 상기 사용자 장치(300)가 상기 단말 일회성 정보 또는 상기 사용자 장치(300)가 장치 일회성 정보를 생성하는 함수 또는 알고리즘과 동일할 수 있다.For this, the
이처럼 상기 인증부(230)가 서버 일회성 정보를 생성하면, 생성된 서버 일회성 정보가 상기 확인신호에 포함된 일회성 정보와 상응하는지를 판단함으로써 상기 인증부(230)는 상기 디지털 시스템(100)을 인증하는 인증절차를 수행할 수 있다. 상기 디지털 시스템(100), 상기 사용자 장치(300), 및 상기 인증부(230)가 각각 일회성 정보를 생성하기 위한 적어도 하나의 입력 값 및 일회성 정보 생성 알고리즘은 다양한 실시 예가 존재함을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.When the
한편, 상기 인증부(230)는 상기 확인신호에 상기 단말 식별정보가 포함된 경우에는, 상기 단말 식별정보가 상기 DB(240)에 미리 등록된 정보와 상응하는지를 판단하고, 판단결과 상응하여야 인증확인절차가 성공했다고 판단할 수 있다.Meanwhile, when the terminal identification information is included in the confirmation signal, the
또한, 상기 인증부(230)는 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 서로 페어를 형성하는 장치인지를 상기 DB(240)에 미리 등록된 정보에 기초하여 판단하고, 판단결과 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 페어를 형성하여야 인증확인절차가 성공했다고 판단할 수 있다.The
또한, 상기 인증부(230)는 상기 디지털 시스템(100)으로부터 상기 사용자 장치(300)의 사용자 인증정보(예컨대, 결제용 카드의 PIN 정보 등)가 수신된 경우, 상기 사용자 인증정보가 상기 DB(240)에 저장된 정보와 상응하여야 인증확인절차가 성공했다고 판단할 수도 있다. 또는 상기 디지털 시스템(100)으로부터 수신된 인증신호에 기초하여 상기 인증절차의 성공여부를 판단할 수도 있다.When the user authentication information (for example, the PIN information of the payment card, etc.) of the
도4는 본 발명의 일실시 예에 따른 사용자 장치를 이용한 본인인증방법의 개략적인 데이터 플로우를 나타낸다.FIG. 4 shows a schematic data flow of a user authentication method using a user apparatus according to an embodiment of the present invention.
도4는 인증요청이 상기 디지털 시스템(100)을 통해 수행되는 경우의 일예를 나타내는데, 도4를 참조하면, 디지털 시스템(100)은 인증 시스템(200)으로 소정의 인증요청을 전송할 수 있다(S100). 상기 인증요청은 사용자가 자신을 인증하기 위한 OTP의 생성요청을 위한 서버 생성키의 전송 요청을 의미할 수도 있다. 그러면 상기 인증 시스템(200)의 통신부(220)를 통해 상기 인증요청이 수신되고, 상기 제어부(210)는 인증행위 요청정보를 상기 디지털 시스템(100)의 통신모듈(140)로 전송할 수 있다(S110). 상기 인증행위 요청정보에는 상기 인증 시스템(200)에 의해 생성된 서버 생성키가 포함될 수 있다. 상기 서버 생성키는 상기 사용자 장치(300) 또는 상기 디지털 시스템(100)에 대응되도록 보호처리된 정보일 수 있다. 물론, 상기 서버 생성키는 상기 디지털 시스템(100)에 의해 디스플레이되지 않을 수 있다. 또한, 상기 인증행위 요청정보와 별개로 상기 서버 생성키가 상기 디지털 시스템(100)으로 전송될 수도 있음은 물론이다.4 illustrates an example in which an authentication request is made via the
사용자는 상기 인증행위 요청정보를 확인한 후, 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시킬 수 있다(S120). 상기 통신을 통해 상기 서버 생성키가 상기 사용자 장치(300)로 전송될 수 있다. 그러면 상기 사용자 장치(300)는 상기 서버 생성키에 기초하여 장치 일회성 정보를 생성할 수 있다(S130). 이러한 경우 상기 디지털 시스템(100)은 상기 장치 일회성 정보를 획득할 수 있음은 물론이며, 구현 예에 따라 상기 사용자 장치(300)의 식별정보를 더 획득할 수도 있다(S140). 상기 디지털 시스템(100)은 획득한 장치 일회성 정보를 상기 디지털 시스템(100)에 디스플레이할 수도 있다. 그러면 사용자는 상기 디지털 시스템(100)에 디스플레이되는 일회성 정보(예컨대, OTP)를 상기 디지털 시스템(100)에 입력하거나 데이터 처리장치(400)에 입력할 수 있다. 입력된 일회성 정보를 포함하는 확인신호는 상기 인증 시스템(200)으로 전송되고, 상기 인증 시스템(200)에 의해 인증확인절차가 수행될 수 있다. 또는 상기 장치 일회성 정보를 포함하는 확인신호가 자동으로 상기 인증 시스템(200)으로 전송될 수도 있다. After confirming the authentication action request information, the user can communicate with the
물론, 상기 디지털 시스템(100)은 단말 일회성 정보를 생성할 수도 있다(S130-1). 상기 단말 일회성 정보 역시 상기 서버 생성키에 기초하여 생성될 수도 있다. 상기 디지털 시스템(100)의 제어모듈(110)은 상기 통신이 수행되어야만 상기 단말 일회성 정보를 생성하도록 제어할 수도 있다. 경우에 따라서는 상기 통신이 수행되기 전에 상기 단말 일회성 정보를 생성할 수도 있다(S130-1). Of course, the
그러면 상기 디지털 시스템(100)은 상기 단말 일회성 정보 또는 상기 장치 일회성 정보 중 적어도 하나를 상기 확인신호에 포함시켜서, 상기 인증 시스템(200)으로 전송할 수 있다(S150). 물론, 상기 장치 식별정보 또는 상기 디지털 시스템(100)의 단말기 식별정보가 상기 확인신호에 더 포함될 수도 있다. Then, the
그러면 상기 인증 시스템(200)은 상기 확인신호에 기초하여 인증확인절차를 수행할 수 있다(S160). 인증확인절차가 성공되면, 상기 인증 시스템(200)은 인증결과 즉, 본인인증이 성공되었음을 상기 디지털 시스템(100)으로 전송할 수 있다(S170). 물론, 상기 디지털 시스템(100)이 소정의 서비스 시스템(500)에 접속한 후, 상기 인증요청을 상기 인증 시스템(200)으로 전송한 경우에는 상기 인증 시스템(200)은 인증결과를 상기 서비스 시스템(500)으로 전송할 수도 있다. Then, the
상기 인증 시스템(200)은 전술한 바와 같이 상기 장치 식별정보가 미리 등록된 정보에 상응하는지 여부, 상기 단말기 식별정보가 미리 등록된 정보에 상응하는지 여부, 및/또는 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 페어를 형성하는지 여부에 더 기초하여 상기 인증확인절차의 성공여부를 결정할 수 있음은 물론이다. As described above, the
도5는 본 발명의 다른 일실시 예에 따른 사용자 장치를 이용한 본인인증방법의 개략적인 데이터 플로우를 나타낸다.FIG. 5 shows a schematic data flow of an authentication method using a user apparatus according to another embodiment of the present invention.
도5는 소정의 데이터 처리장치(400)에 의해 결제요청이 수행되는 일예를 나타내는데, 도5를 참조하면 상기 데이터 처리장치(400)는 상기 디지털 시스템(100)의 식별정보를 입력함으로써 인증요청을 상기 인증 시스템(200)으로 전송할 수 있다(S200). 5, the
상기 데이터 처리장치(400)는 상기 디지털 시스템(100)의 사용자가 이용하는 컴퓨터 등의 장치일 수도 있다. 예컨대, 사용자는 컴퓨터 등을 통해 온라인상에서 인증요청을 할 수 있고(S200), 이에 응답하여 상기 인증 시스템(200)은 상기 컴퓨터로 인증행위 요청정보를 전송할 수 있다(S210-1). 사용자는 상기 컴퓨터에 디스플레이되는 인증행위 요청정보를 확인하고 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시키는 인증행위를 수행할 수 있다(S220). 구현 예에 따라서는 상기 인증 시스템(200)은 상기 디지털 시스템(100)으로 인증행위 요청정보를 전송할 수도 있다(S210). 상기 디지털 시스템(100)으로 상기 인증행위 요청정보가 전송될 경우에는 상기 인증행위 요청정보에 상기 인증 시스템(200)에 의해 생성된 서버 생성키가 포함되어 전송되거나 상기 인증행위 요청정보와 별개로 상기 서버 생성키가 상기 디지털 시스템(100)으로 전송될 수 있음은 전술한 바와 같다. 구현 예에 따라서는, 상기 인증 시스템(200)에 의해 상기 데이터 처리장치(400)로 상기 인증행위 요청정보가 전송되고, 상기 서버 생성키는 상기 디지털 시스템(100)으로 전송될 수도 있다. The
그러면 사용자는 이에 응답하여 상기 인증행위를 수행할 수 있다(S220). Then, the user can perform the authentication operation in response to this (S220).
다른 실시 예에 의하면 상기 데이터 처리장치(400)는 가맹점 단말기일 수도 있다. 즉, 사용자는 결제를 수행하고자 할 수도 있다. 이러한 경우에는 상기 인증요청은 결제요청일 수도 있다. 사용자는 오프라인 매장에서 가맹점에게 자신의 디지털 시스템(100)의 식별정보를 통지하거나 또는 자신이 직접 식별정보를 입력할 수 있다. 또는 원격지에서 사용자는 전화, 메시징, 또는 이메일 등을 통해 가맹점에게 소정의 결제 건에 대한 결제(인증)요청을 수행해달라고 요청할 수도 있다. 그러면 상기 가맹점 단말기에 상기 디지털 시스템(100)의 식별정보가 입력됨으로써 인증(결제)요청이 상기 인증 시스템(200)으로 전송될 수 있다(S200). 이때에도 상기 가맹점 단말기 및/또는 상기 디지털 시스템(100)으로 인증행위 요청정보가 전송될 수 있다(S200, S200-1). 물론, 상기 서버 생성키가 상기 디지털 시스템(100)으로 전송될 수 있다. 사용자는 이에 응답하여 인증행위 즉, 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시킬 수 있다(S220). 상기 통신을 통해 상기 서버 생성키는 상기 사용자 장치(300)로 전송될 수 있다. According to another embodiment, the
그러면 상기 디지털 시스템(100)은 사용자 장치(300)에 의해 생성된 장치 일회성 정보를 획득할 수 있다(S230, S240). 구현 예에 따라서는 상기 사용자 장치(300)의 장치 식별정보를 더 획득할 수도 있다. 또한, 상기 디지털 시스템(100)은 단말 일회성 정보를 생성할 수 있다(S230-1).The
그러면 상기 디지털 시스템(100)은 상기 인증 시스템(200)으로 적어도 상기 단말 일회성 정보 또는 상기 장치 일회성 정보를 포함하며, 실시 예에 따라 상기 장치 식별정보나 상기 디지털 시스템(100)의 단말기 식별정보를 더 포함하는 확인신호를 전송할 수 있다(S250).The
실시 예에 따라서는 상기 디지털 시스템(100)은 상기 사용자 장치(300)의 장치 일회성 정보를 획득하지 않고 장치 식별정보만을 획득하든지, 또는 상기 사용자 장치(300)의 장치 식별정보도 획득하지 않고 단순히 통신만을 수행할 수도 있다. 이런 경우에는 상기 디지털 시스템(100)은 상기 단말 일회성 정보를 생성하는 것이 바람직하다. 왜냐하면 본 발명의 기술적 사상에 의하면 상기 사용자 장치(300)와 상기 디지털 시스템(100)의 단말 일회성 정보 중 적어도 하나는 확인신호정보에 포함되는 것이 바람직하기 때문이다.According to an embodiment, the
그러면 상기 인증 시스템(200)은 상기 확인신호에 기초하여 인증확인절차를 수행할 수 있다(S260). 그리고 인증결과를 상기 디지털 시스템(100)으로 전송할 수 있다(S270). 또는 상기 데이터 처리장치(400)로 전송할 수도 있다(S270-1). 물론, 서비스 시스템(500)으로 인증결과를 전송할 수도 있다.Then, the
한편, 본 발명의 실시 예에 따른 인증요청은 상기 디지털 시스템(100)의 사용자가 아닌 타인에 의해 수행될 수도 있다. 예컨대, 상기 사용자의 가족이나 친지 또는 지인 등 상기 사용자(즉, 인증확인을 수행하는 자)가 아닌 인증요청자가 상기 데이터 처리장치(400)에 상기 사용자의 식별정보를 입력하고 인증요청을 상기 인증 시스템(200)으로 출력할 수도 있다.Meanwhile, the authentication request according to the embodiment of the present invention may be performed by a person other than the user of the
예컨대, 사용자의 지인인 인증요청자가 사용자의 웹 계정에 로그인을 하여야 하거나 사용자를 대신하여 증명서를 출력받는다든지, 또는 제3자의 결제가 필요한 경우든 소정의 서비스를 서비스 시스템(500)으로부터 제공받고자 하는 경우가 존재할 수 있다. 이러한 경우에 종래에는 인증요청자에게 인증을 위한 정보(예컨대, 로그인 정보, 공인인증서 비밀번호 등)를 알려주어야 하거나 또는 그 실시가 쉽지 않았다. 하지만, 본 발명의 기술적 사상에 의하면 인증요청과 인증행위는 공간적으로 분리된 상태에서 이루어질 수 있고, 또한 인증요청자가 인증행위를 할 필요가 없으므로 타인에게 인증을 위한 정보를 알려주지 않아도 되는 효과가 있다.For example, if the authentication requestor, who is an acquaintance of the user, should log in to the user's web account, receive a certificate on behalf of the user, or require payment by a third party, the
또한 결제 서비스의 경우 인증요청자가 가맹점 측에 상기 사용자의 식별정보를 대면하여 또는 원격지에서 통지하면, 상기 가맹점 측이 상기 데이터 처리장치(예컨대, 가맹점 단말기, 400)를 통해 인증요청(즉, 결제요청)을 상기 인증 시스템(200)으로 출력할 수도 있다. 물론, 이때에는 상기 인증요청자에 대한 정보(예컨대, 결제요청자의 이름, 전화번호 등)가 더 포함될 수 있으며, 인증행위 요청정보에도 상기 결제요청자에 대한 정보가 포함될 수 있다.Also, in the case of a payment service, when the authentication requester faces the identification information of the user or remotely notifies the affiliation shop side, the affiliate shop sends an authentication request (that is, a payment request ) To the authentication system (200). Of course, at this time, information on the authentication requester (for example, a name of a payment requester, a telephone number, etc.) may be further included, and information on the payment requester may be included in the authentication action request information.
이러한 경우에는 상기 인증 시스템(200)은 인증행위 요청정보 및 서버 생성키를 상기 사용자의 디지털 시스템(100)으로 전송할 수 있고, 사용자에 의해 전술한 바와 같은 인증행위가 수행될 수도 있다. 그리고 인증 시스템(200)에 의해 인증확인절차가 수행되고, 인증확인절차가 성공되면, 인증(결제)결과는 상기 데이터 처리장치(400) 및 상기 디지털 시스템(100)으로 전송될 수 있다. In this case, the
다른 실시 예에 의하면, 사용자가 아닌 인증요청자가 상기 데이터 처리장치(예컨대, 컴퓨터, 인증요청자의 모바일 단말기 등, 400)에 상기 디지털 시스템(100)의 식별정보를 입력하거나, 인증요청자가 가맹점 측에 상기 사용자의 식별정보를 대면하여 또는 원격지에서 통지하면, 상기 가맹점 측이 상기 데이터 처리장치(예컨대, 가맹점 단말기, 400)에 상기 디지털 시스템(100)의 식별정보를 입력할 수 있다. 그러면 상기 데이터 처리장치(400)가 상기 디지털 시스템(100)으로 인증행위 요청정보(즉, 결제내역 등이 포함된 결제관련정보)를 전송할 수도 있다. 물론, 이를 위해서는 상기 데이터 처리장치(400)에 본 발명의 기술적 사상을 구현하기 위한 소정의 소프트웨어가가 설치되어야할 수도 있다.According to another embodiment, an authentication requestor that is not a user inputs identification information of the
상기 인증행위 요청정보에는 가맹점에 대한 정보, 결제내역, 및/또는 상기 결제요청자에 대한 정보가 포함될 수 있다. 그러면 사용자가 상기 인증행위 요청정보를 확인하고, 인증행위 요청정보에 상응하는 결제요청에 대해 결제를 하고자 할 경우 전술한 바와 같은 인증행위를 수행할 수 있다. 그러면 상기 디지털 시스템(100)은 전술한 바와 같은 확인신호를 인증 시스템(200)으로 전송할 수 있다. 그리고 이때 상기 확인신호에는 상기 단말 일회성 정보 및/또는 장치 일회성 정보뿐만 아니라 결제요청에 필요한 정보(예컨대, 가맹점에 대한 정보, 결제내역 등)가 더 포함될 수 있다. 즉, 상기 확인신호에 상기 인증 시스템(200)으로 전송될 인증(결제)요청이 더 포함될 수 있다.The authentication action request information may include information on the merchant, payment details, and / or information on the payment requester. If the user confirms the authentication action request information and wishes to settle the settlement request corresponding to the authentication action request information, the user can perform the authentication operation as described above. The
그러면 상기 인증 시스템(200)은 상기 확인신호에 기초하여 인증확인절차를 수행할 수 있다. 인증확인절차가 성공되면 상기 인증 시스템(200)은 상기 인증결과를 상기 데이터 처리장치(400) 및/또는 상기 디지털 시스템(100)으로 전송할 수 있다. 물론, 결제의 경우에는 인증확인절차가 성공하면, 상기 인증 시스템(200) 또는 상기 서비스 시스템(500)이 결제의 승인여부를 판단하고 결제결과를 상기 데이터 처리장치(400) 및/또는 상기 디지털 시스템(100)으로 전송할 수도 있다.The
결국 본 발명의 기술적 사상에 의하면 사용자가 제3자인 인증요청자를 대신하여 인증을 수행하기에도 매우 용이하면서 보안성은 높은 솔루션을 제공할 수 있는 효과가 있다.As a result, according to the technical idea of the present invention, it is possible to provide a solution with high security, which is very easy to perform authentication on behalf of a third party authentication requestor.
또한, 도4 및 도5에 도시된 바와 같이 본 발명에 의하면, 인증요청을 위해서는 상기 디지털 시스템(100)의 식별정보(예컨대, 전화번호)만 요구되므로 인증요청의 용이성이 있고, 인증행위를 위해서 사용자는 자신의 디지털 시스템(100)과 자신의 사용자 장치(300)를 통신(예컨대, 태깅)시키기만 하면 된다. 이처럼 인증요청의 용이성과 인증행위의 편의성이 있음에도 보안성은 전술한 바와 같이 매우 높을 수 있다. 또한, 도4 및 도5에 도시된 바와 같이 인증요청의 용이성과 결제확인 행위의 편의성으로 인해 2채널 인증에서도 사용자가 간편하게 인증요청의 허용여부를 결정할 수 있고, 원격지에서도 인증에 필요한 정보(예컨대, 로그인 정보, 공인인증서 비밀번호, OTP 등)를 불러주지 않으면서도 안전하게 인증행위를 수행할 수 있는 효과가 있다.4 and 5, since only the identification information (e.g., telephone number) of the
도6은 본 발명의 또 다른 일실시 예에 따른 사용자 장치를 이용한 본인인증방법의 개략적인 데이터 플로우를 나타낸다.FIG. 6 shows a schematic data flow of an authentication method using a user apparatus according to another embodiment of the present invention.
도6을 참조하면, 사용자가 자신의 디지털 시스템(100)의 식별정보를 통지하거나 입력하면 상기 데이터 처리장치(400)는 상기 식별정보를 수신한 후(S300) 상기 인증에 상응하는 인증행위 요청정보를 상기 디지털 시스템(100)으로 전송할 수도 있다(S310). 이를 위해서는 상기 데이터 처리장치(400)에 본 발명의 기술적 사상을 구현하기 위한 소정의 소프트웨어가 설치될 수 있음은 물론이다. 6, when the user notifies or inputs the identification information of his / her
예컨대, 식당이나 주요소 등에서 사용자가 매장 측에 결제카드를 제공하지 않고 자신의 디지털 시스템(100)의 식별정보를 통지하거나 이동단말기(400)에 입력하면 상기 데이터 처리장치(400)는 상기 식별정보를 수신한 후(S300) 상기 인증에 상응하는 인증행위 요청정보를 상기 디지털 시스템(100)으로 전송할 수 있다(S310). 그러면 사용자는 자리에 앉아서 또는 차 안에서 상기 디지털 시스템(100)을 상기 데이터 처리장치(400)에 근거리 무선통신시키고 간편하게 결제를 수행할 수 있다. 이러한 경우 사용자 장치(300)뿐만 아니라 사용자 장치(300)의 결제금융정보가 가맹점 측으로 전송되지 않을 수 있어서 안전한 결제 솔루션이 될 수 있다.For example, when the user notifies the identification information of his / her
구현 예에 따라서는, 상기 데이터 처리장치(400)와 상기 디지털 시스템(100)이 근거리 무선통신을 수행할 수도 있다. 이러한 경우에는 상기 데이터 처리장치(400)와 상기 디지털 시스템(100)의 근거리 무선통신에 의해 상기 인증행위 요청정보가 상기 디지털 시스템(100)으로 전송될 수도 있다. 또한, 이때에는 상기 데이터 처리장치(400)에 상기 디지털 시스템(100)의 식별정보가 입력될 필요가 없을 수도 있다.According to an embodiment, the
예컨대, 본 발명의 기술적 사상이 결제 서비스에 이용될 경우, 데이터 처리장치(예컨대, 가맹점 단말기, 400)에 결제금액이 입력되면, 사용자는 상기 디지털 시스템(100)을 상기 데이터 처리장치(400)에 근거리 무선통신시킬 수 있다. 그러면 결제금액을 포함하는 결제내역(예컨대, 가맹점 식별정보 등)을 포함하는 인증행위 요청정보가 상기 디지털 시스템(100)으로 전송될 수 있다. 그러면 사용자는 다시 디지털 시스템(100)을 자신의 사용자 장치(예컨대, 결제용 IC 카드, 300)와 근거리 무선통신시킬 수 있다. 이처럼 연속된 두 번의 근거리 무선통신을 통해 사용자는 간편하게 결제를 수행할 수 있다. 그리고 이러한 경우, 자신의 디지털 시스템(100)의 식별정보를 가맹점 측에 통지하지 않아도 되며, 사용자 장치(300)의 결제금융정보가 가맹점 측으로 전송되지 않을 수 있어서 안전한 결제 솔루션이 될 수 있다.For example, when the technical idea of the present invention is applied to a payment service, when a settlement amount is input to a data processing apparatus (for example, an affiliate terminal 400), the user inputs the
이처럼 상기 인증행위 요청정보가 상기 데이터 처리장치(400)로부터 상기 디지털 시스템(100)으로 전송되는 경우, 이러한 경우 상기 인증행위 요청정보에는 인증요청(결제요청)에 필요한 정보(결제관련 정보)들이 포함될 수 있다. 그리고 상기 인증행위 요청정보가 수신되면, 상기 디지털 시스템(100)은 상기 인증 시스템(200)과 통신을 수행하여 서버 생성키를 수신할 수 있다(S310-1)In the case where the authentication action request information is transmitted from the
그리고 사용자에 의해 인증행위가 수행되면(S320), 상기 디지털 시스템(100)에 의해 생성된 단말 일회성 정보 및/또는 사용자 장치(300)에 의해 생성된 장치 일회성 정보와 상기 인증요청(결제요청)이 상기 확인신호에 같이 포함되어 상기 인증 시스템(200)으로 전송될 수 있다(S320, S330, S330-1, S340, S350). 물론 상기 인증요청(결제요청)은 상기 확인신호와는 별개로 전송될 수도 있다. 즉, 상기 인증요청(결제요청)은 상기 확인신호가 상기 인증 시스템(200)으로 출력되기 전에 또는 출력된 후에 별도로 상기 인증 시스템(200)으로 출력될 수도 있다.When the authentication operation is performed by the user (S320), the terminal one-time information generated by the
그러면 상기 인증 시스템(200)은 상기 확인신호에 기초하여 인증확인절차를 수행할 수 있다(S360). 그리고 인증확인절차가 성공되면 상기 인증결과를 상기 디지털 시스템(100)으로 전송할 수도 있다(S380-1). 물론, 상기 데이터 처리장치(400)로 전송할 수도 있다(S380). 또는 소정의 서비스 시스템(500)으로 전송할 수도 있다.Then, the
한편, 전술한 바와 같이 인증정보에 단순히 서버 생성키 및 매체고유정보(또는 단말 식별정보 및/또는 장치 식별정보)가 포함되거나, 상기 인증정보가 서버 생성키 및 매체고유정보에 기초하여 결정되는 결정 값일 경우는 도9를 참조하여 설명하도록 한다.On the other hand, as described above, when the authentication information includes merely a server generated key and medium specific information (or terminal identification information and / or device identification information), or the authentication information is determined based on the server generated key and medium unique information Value will be described with reference to FIG.
도9는 본 발명의 또 다른 일실시 예에 따른 사용자 장치를 이용한 본인인증방법의 개략적인 데이터 플로우를 나타낸다.FIG. 9 shows a schematic data flow of an authentication method using a user apparatus according to another embodiment of the present invention.
도9를 참조하면, 상기 디지털 시스템(100)은 인증 시스템(200)으로 인증요청을 수행할 수 있다(S600. 물론 전술한 바와 같이 소정의 데이터 처리장치(400)가 인증요청을 수행할 수도 있지만, 이에 대해서는 전술한 바와 같으므로 상세한 설명은 생략하도록 한다.9, the
그러면, 상기 인증 시스템(200)은 상기 디지털 시스템(100)으로 서버 생성키를 전송할 수 있다. 그러면 사용자는 인증행위 즉, 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시킬 수 있다(S620). 물론, 상기 통신 후에 상기 서버 생성키가 상기 디지털 시스템(100)으로 전송될 수도 있다.The
상기 디지털 시스템(100)은 상기 통신을 통해 상기 사용자 장치(300)로부터 상기 사용자 장치(300)의 장치 식별정보를 수신할 수 있다(S630). 그러면 상기 디지털 시스템(100)은 상기 장치 식별정보와(여기에 자신의 단말 식별정보를 선택적으로 포함할 수 있다. 단말 식별정보가 생략될 수 있는 것은 상기 디지털 시스템(100)이 인증 시스템(200)과 통신할 때, 이미 상기 디지털 시스템(100)에 대한 인증이 분리하여 이루어질 수도 있고, 또한 필요에 따라서는 특정 디지털 시스템(100)으로 한정하지 않고 상기 사용자 장치(300)를 인증할 수도 있기 때문이다. 하지만 보안성을 높이기 위해서는 인증정보를 생성할 때 디지털 시스템의 식별정보가 포함되어 생성될 수 있다.) 수신한 서버 생성키를 포함하는 인증정보를 생성하고(S640), 생성한 인증정보를 포함하는 확인신호를 인증 시스템(200)으로 전송할 수 있다(S650). 또한, 전술한 바와 같이 서비스 인증대상에 대한 정보가 상기 인증정보에 더 포함될 수도 있다.The
다른 실시 예에 의하면, 상기 디지털 시스템(100)은 상기 장치 식별정보를 수신하고(S630). 적어도 수신한 장치 식별정보에 기초하여 결정되는 매체고유정보를 생성할 수 있다. 즉, 상기 장치 식별정보 이외에 선택적으로 단말 식별정보에 더 기초하여 상기 매체고유정보를 생성할 수도 있다. 그리고 매체고유정보 및 상기 서버 생성키를 포함하는 상기 인증정보를 생성하고(S540), 생성한 인증정보를 포함하는 확인신호를 인증 시스템(200)으로 전송할 수 있다(S650). According to another embodiment, the
또 다른 실시 예에 의하면, 상기 디지털 시스템(100)은 상기 장치 식별정보를 수신하고(S630). 적어도 수신한 장치 식별정보에 기초하여 결정되는 매체고유정보를 생성할 수 있다. 그리고 매체고유정보 및 상기 서버 생성키에 기초하여 인증정보(단말 일회성 정보)를 생성하고(S540), 생성한 인증정보를 포함하는 확인신호를 인증 시스템(200)으로 전송할 수 있다(S650).According to another embodiment, the
이러한 경우는 상기 디지털 시스템(100)이 상기 인증정보를 생성하는 경우이고, 전술한 바와 같이 상기 사용자 장치(300)가 인증정보를 생성할 수도 있다.In this case, the
이때에는 상기 통신(S620)을 통해 상기 서버 생성키가 상기 사용자 장치(300)로 전송될 수 있다. 필요에 따라 단말 식별정보가 사용자 장치(300)로 더 전송될 수 있다. At this time, the server generation key may be transmitted to the
사용자 장치(300)는 수신한 서버 생성키와 장치 식별정보에 기초하여 인증정보(장치 일회성 정보)를 생성하거나, 서버 생성키와 장치 식별정보 및 단말 식별정보에 기초하여 인증정보를 생성하거나, 서버 생성키와 매체고유정보에 기초하여 인증정보를 생성할 수 있다. 생성된 인증정보는 상기 디지털 시스템(100)으로 전송되고, 상기 디지털 시스템(100)은 상기 인증정보를 포함하는 상기 확인신호를 상기 인증 시스템(200)으로 전송할 수 있다.The
인증 시스템(200)은 수신한 확인신호에 포함된 상기 인증정보를 인증하는 인증확인절차를 수행할 수 있다(S660). 그리고 인증결과를 상기 디지털 시스템(100)으로 전송할 수 있다(S670).The
한편, 상기 인증정보에 추가적인 서비스 인증대상에 대한 정보가 포함되거나, 상기 인증정보가 상기 서비스 인증대상에 대한 정보에 기초하여 생성되는 경우의 일 예는 도10과 같을 수 있다.On the other hand, an example of the case where the authentication information includes additional information about the service authentication object or the authentication information is generated based on the information about the service authentication object may be as shown in FIG.
종래의 계좌이체 또는 송금의 경우에는 송금할 송금계좌정보(송금계좌를 식별할 수 있는 정보)를 포함하는 인증요청(송금요청)이 송금자의 장치(모바일 폰 또는 컴퓨터 등)에 의해 수행되면, 인증 시스템(예컨대, 금융기관 시스템 또는 계좌이체 서비스를 수행하는 수행자의 서버와 연계된 인증센터 등)에서 송금자를 소정의 방식(공인인증서 및/또는 OTP 등)으로 인증하게 된다. 인증이 성공되면 실제로 송금처리를 수행하는 송금처리 시스템(상기 송금처리 시스템은 상기 인증 시스템에 포함될 수도 있고, 상기 인증 시스템과는 별도로 구현되어 연결될 수도 있다)은 송금자 장치에 의해 요청된 송금계좌정보로 송금을 수행하게 된다. 이때 악의의 공격자가 배포한 악성 코드 송금자 장치의 특정 장소(예컨대, 메모리 등)에 상주하고 있다가 인증이 종료되고 상기 송금처리 시스템이 송금을 하기 전에 송금계좌정보를 공격자가 원하는 계좌로 변경하여 상기 송금처리 시스템으로 전송하고, 송금처리 시스템은 변경된 계좌로 송금을 수행하게 되는 문제점이 있었다. 그리고 이때 송금자 장치에 디스플레이되는 송금계좌정보는 송금자가 입력한 대로 유지되어서 사용자가 인지하지 못하는 경우도 존재하였다. 하지만 본 발명의 기술적 사상에 따르면 송금계좌정보를 서비스 인증대상에 대한 정보로써 상기 인증정보에 포함시키거나 상기 송금계좌정보에 기초하여 상기 인증정보를 생성함으로써 이러한 공격이 방지될 수 있는 효과가 있다.In the case of a conventional account transfer or remittance, when an authentication request (remittance request) including remittance account information to be remitted (information capable of identifying the remittance account) is performed by the sender's apparatus (mobile phone, computer, or the like) (Such as an authorized certificate and / or OTP) in a system (e.g., a financial institution system or an authentication center associated with a server of a performer performing a money transfer service). (The remittance processing system may be included in the authentication system or separately implemented and connected to the authentication system) that performs the remittance process if the authentication is successful, As shown in FIG. At this time, the malicious attacker resides in a specific place (for example, memory) of the malicious code remitter device distributed by the attacker, and the authentication is terminated, and the remittance processing system changes the remittance account information to the account desired by the attacker To the remittance processing system, and the remittance processing system transfers the remittance to the changed account. At this time, the remittance account information displayed on the remitter device is kept as inputted by the remitter, so that the user may not be able to recognize the remittance account information. However, according to the technical idea of the present invention, such an attack can be prevented by incorporating the remittance account information into the authentication information as information on the service authentication object or generating the authentication information based on the remittance account information.
도10은 본 발명의 일 실시 예에 따른 본인인증방법이 계좌이체(송금)에 적용되는 일 예를 설명하기 위한 도면이다. 도 10에서는 설명의 편의상 인증 시스템(200)에 송금처리 시스템이 포함되는 경우를 예시적으로 도시하고 있지만, 인증 시스템(200)과는 별도로 송금처리 시스템이 구비될 수도 있음은 전술한 바와 같다.10 is a diagram for explaining an example in which the authentication method according to an embodiment of the present invention is applied to account transfer (money transfer). In FIG. 10, the case where the remittance processing system is included in the
도10을 참조하면, 송금자는 디지털 시스템(100)을 이용하여 인증요청(송금요청)을 인증 시스템(200)으로 전송할 수 있다(S700). 물론 전술한 바와 같이 상기 디지털 시스템(100)과는 별개의 데이터 처리장치(400)로 인증요청(송금요청)을 수행할 수도 있고, 이러한 경우는 상술한 바와 같으므로 상세한 설명은 생략하도록 한다. 또한 인증요청(송금요청) 전에 송금자는 송금계좌정보를 미리 입력할 수도 있고, 인증요청(송금요청) 후에 송금계좌정보를 입력할 수도 있다(S740). 구현 예에 따라서는, 상기 데이터 처리장치(400)를 이용해 송금자가 송금 등의 금융거래를 수행할 수도 있으며, 이때에는 상기 데이터 처리장치(400)에 입력된 송금계좌정보가 상기 인증 시스템(200)을 통해 상기 디지털 시스템(100)으로 전송될 수도 있다. 어떠한 경로로든 상기 디지털 시스템(100)은 상기 인증정보를 생성하기 위해 상기 송금계좌정보를 입력받을 수 있다.Referring to FIG. 10, a sender can transmit an authentication request (a transfer request) to the
상기 인증 시스템(200)은 서버 생성키를 상기 디지털 시스템(100)으로 전송할 수 있으며(S710), 상기 디지털 시스템(100)은 사용자 장치(300)와 통신을 수행할 수 있다(S720). 그러면 상기 디지털 시스템(100)은 사용자 장치(300)로부터 장치 식별정보를 수신할 수 있다(S730).The
그러면, 상기 디지털 시스템(100)은 인증정보를 생성할 수 있다(S750). Then, the
상기 인증정보는 상기 송금계좌정보를 기초정보로 이용하여 생성되는 정보일 수 있다. 예컨대, 상기 인증정보는 서버 생성키, 장치 식별정보 및/또는 단말 식별정보, 및 송금계좌정보에 기초하여 생성되는 정보일 수 있다. 구현 예에 따라서는, 상기 서버 생성키 및 송금계좌정보만이 상기 인증정보의 기초정보로 이용될 수도 있다. 즉, 구현 예에 따라서는 상기 사용자 장치(300)가 인증대상에 대한 정보에서 제외될 수도 있으며, 이러한 경우에는 상기 통신(S720)은 생략될 수도 있다.The authentication information may be information generated using the remittance account information as basic information. For example, the authentication information may be information generated based on a server generation key, device identification information and / or terminal identification information, and remittance account information. In some implementations, only the server generated key and remittance account information may be used as basic information of the authentication information. That is, according to the embodiment, the
어떠한 경우든 상기 인증정보는 상기 서버 생성키 및 상기 송금계좌정보에 기초하여 생성되는 일회성 정보일 수 있다.In any case, the authentication information may be one-time information generated based on the server generation key and the remittance account information.
이러한 인증정보는 상기 확인신호에 포함되어 상기 인증 시스템(200)으로 전송될 수 있다. Such authentication information may be included in the confirmation signal and transmitted to the
그러면 송금처리 시스템은 인증정보를 인증하는 인증확인절차가 수행될 수 있다(S770). 또한, 구현 예에 따라 송금자를 인증하는 장치는 상기 송금 처리시스템과는 별도의 장치일 수도 있으며, 이러한 경우에는 상기 인증정보는 송금자를 인증할 수 있는 정보(서버 생성키, 단말 식별정보 및/또는 장치 식별정보(또는 매체고유정보)와 상기 송금계좌정보(또는 송금계좌정보에 기초한 결정 값)가 분리되어 포함될 수 있는 것이 바람직하다.Then, the remittance processing system may perform an authentication check procedure for authenticating the authentication information (S770). In addition, the apparatus for authenticating the sender according to the embodiment may be a separate apparatus from the remittance processing system. In this case, the authentication information may include information (server generation key, terminal identification information and / It is preferable that the apparatus identification information (or medium specific information) and the remittance account information (or the determination value based on the remittance account information) can be separately included.
어떠한 경우든 상기 송금처리 시스템은 인증확인절차를 통해 자신이 송금할 계좌가 송금자가 입력한 송금계좌정보에 상응하는지를 판단할 수 있다. 즉, 인증정보에 포함된 송금계좌정보(또는 결정 값)이 자신이 송금할 송금계좌정보(또는 결정 값)에 상응하거나, 상기 인증정보 자체가 송금계좌정보에 기초한 결정 값일 경우 송금처리 시스템이 확인용 인증정보를 생성하여 상기 인증정보가 상기 디지털 시스템(100)으로부터 수신한 인증정보에 상응하는지를 판단할 수 있다. In any case, the remittance processing system can determine whether the account to be remitted by the remittance accounting system corresponds to the remittance account information inputted by the remitter through the authentication confirmation procedure. That is, when the remittance account information (or the decision value) included in the authentication information corresponds to the remittance account information (or the decision value) to be remitted by itself, or when the authentication information itself is a decision value based on the remittance account information, It is possible to determine whether the authentication information corresponds to the authentication information received from the
이처럼 본 발명의 기술적 사상에 의하면, 상기 송금처리 시스템이 송금 전에 상기 디지털 시스템(100)으로부터 수신한 인증정보를 인증하는 인증확인절차(또는 적어도 상기 인증정보에 포함된 송금계좌정보(또는 송금계좌정보에 기초한 결정 값)을 인증하는 절차)를 수행하고 인증이 성공하여야만 실제로 송금을 하게 되는 경우(S780), 상기 인증정보는 송금계좌정보에 기초한 일회성 정보이므로 사용자가 입력한 송금계좌정보(즉, 서비스 인증대상)와는 다른 계좌로 송금이 수행되는 것이 원천적으로 방지될 수 있는 효과가 있다.As described above, according to the technical idea of the present invention, the remittance processing system can perform the authentication confirmation procedure for authenticating the authentication information received from the
물론, 송금이 수행된 후에는 상기 인증 시스템(200)은 송금결과를 상기 디지털 시스템(100)으로 전송할 수 있다(S790).Of course, after the remittance is performed, the
도7은 본 발명의 일실시 예에 따라 인증 시스템이 인증확인절차를 수행하는 과정을 설명하기 위한 도면이다.7 is a diagram for explaining a process of an authentication system performing an authentication procedure according to an embodiment of the present invention.
도7을 참조하여 인증 시스템(200)의 인증부(230)에 의해 인증확인절차가 수행되는 일련의 과정을 살펴보면, 상기 인증부(230)는 인증정보(즉, 단말 일회성 정보 및/또는 장치 일회성 정보)가 포함된 확인신호를 획득할 수 있다(S410). 그러면, 상기 인증부(230)는 전술한 바와 같은 상기 인증정보를 인증할 수 있다. 예컨대, 디지털 시스템(100)으로 전송한 서버 생성키에 기초하여 서버 일회성 정보를 생성한 후(S411), 생성한 서버 일회성 정보와 상기 단말 일회성 정보 및/또는 장치 일회성 정보가 상응하는지를 판단하는 일회성 정보의 인증을 수행할 수 있다(S412). 물론, 상기 장치 일회성 정보는 시간 동기화 방식으로 생성될 수도 있으며, 이러한 경우에는 시간정보 즉, 상기 서버 생성키를 입력 값으로 하여 서버 일회성 정보를 생성할 수도 있다.Referring to FIG. 7, the
그리고 인증정보(일회성 정보)의 인증이 성공되면 인증확인절차가 성공했다고 판단할 수 있으며(S460), 일회성 정보의 인증이 실패하면 인증확인절차가 실패했다고 판단할 수 있다(S450). If authentication of the authentication information (one-time information) is successful, it can be determined that the authentication confirmation process has succeeded (S460). If the authentication of the one-time information fails, it can be determined that the authentication confirmation process has failed (S450).
상기 인증부(230)는 이러한 일회성 정보의 인증만 수행할 수도 있지만, 구현 예에 따라서는 도7에 도시된 바와 같이 장치 식별정보의 인증(즉, 사용자 장치(300)의 인증), 단말기 식별정보의 인증(즉, 디지털 시스템(100)의 하드웨어의 인증), 및/또는 페어여부의 인증 중 적어도 하나를 선택적으로 더 수행할 수도 있다. 그리고 이러한 인증들이 모두 성공하여야 인증확인절차가 성공했다고 판단할 수 있고(S460), 어느 하나라도 실패하면 인증확인절차가 실패했다고 판단할 수도 있다(S450).The
또한 도7에는 장치 식별정보의 인증, 단말기 식별정보의 인증, 및 페어여부의 인증이 순차적으로 수행되는 경우를 도시하고 있지만, 이러한 인증들의 순서는 얼마든지 변경될 수 있음도 물론이다.7, the authentication of the device identification information, the authentication of the terminal identification information, and the authentication of the pair are sequentially performed. However, it is needless to say that the sequence of such authentication can be changed at any time.
일예에 의하면, 도7에 도시된 바와 같이 상기 일회성 정보의 인증이 성공하면, 상기 인증부(230)는 장치 식별정보를 이용한 사용자 장치(300) 인증을 수행할 수 있다(S420). 그리고 상기 사용자 장치(300)의 인증이 성공하면, 전체 인증확인절차가 성공했다고 판단할 수도 있고(S460), 단말기 식별정보를 이용한 인증을 더 수행할 수도 있다(S430). 물론, 상기 사용자 장치(300)의 인증이 실패하면, 상기 인증부(230)는 전체 인증확인절차가 실패했다고 판단할 수 있다(S450).For example, if authentication of the one-time information is successful as shown in FIG. 7, the
상기 인증부(230)가 상기 단말기 식별정보를 이용한 인증을 더 수행하는 경우(S430), 상기 인증부(230)는 상기 확인신호에 포함된 디지털 시스템(100)의 단말기 식별정보와 DB(240)에 미리 등록된 정보가 상응하는지를 판단함으로써 상기 디지털 시스템(100)의 하드웨어의 인증을 수행할 수 있다(S430). 그리고 디지털 시스템(100)의 하드웨어의 인증이 성공하면, 전체 인증확인절차가 성공했다고 판단할 수도 있고(S460), 페어여부의 인증을 더 수행할 수도 있다(S430). 물론, 상기 디지털 시스템(100)의 하드웨어의 인증이 실패하면, 상기 인증부(230)는 전체 인증확인절차가 실패했다고 판단할 수 있다(S450).When the
상기 인증부(230)가 페어 인증을 더 수행하는 경우(S430), 상기 인증부(230)는 DB(240)에 미리 등록된 페어 설정 정보 즉, 페어를 이루는 디지털 시스템 및 사용자 장치에 대한 정보를 확인하고, 상기 결제확인 행위에 이용된 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 페어인지를 확인하는 페어인증을 수행할 수 있다(S440). 그리고 페어인증이 성공하면, 전체 인증확인절차가 성공했다고 판단할 수 있다(S460). 물론, 페어인증이 실패하면, 상기 인증부(230)는 전체 인증확인절차가 실패했다고 판단할 수 있다(S450).When the
도8은 본 발명의 일실시 예에 따라 디지털 시스템이 확인신호를 전송하는 과정을 설명하기 위한 도면이다. 8 is a diagram for explaining a process in which a digital system transmits an acknowledgment signal according to an embodiment of the present invention.
도8을 참조하면, 사용자는 인증행위를 하기 위해 상기 디지털 시스템(100)에 설치된 소정의 애플리케이션을 통해 상기 사용자 장치(300)의 사용자 인증정보(예컨대, 결제용 카드의 PIN)를 입력할 수 있다(S500). 그리고 상기 디지털 시스템(100)과 상기 사용자 장치(300)를 통신시킬 수 있다(S510). 그리고 상기 통신을 통해 상기 디지털 시스템(100)은 상기 사용자 장치(300)의 장치 식별정보를 수신할 수 있다(S520). Referring to FIG. 8, a user may input user authentication information (e.g., a PIN of a payment card) of the
상기 디지털 시스템(100)은 상기 사용자 장치(300)와 통신을 통해 사용자로부터 입력된 사용자 인증정보가 상기 사용자 장치(300)에 설정된 정보에 상응하는지를 판단하는 사용자 인증을 수행할 수 있다(S530). 그리고 사용자 인증이 성공한 경우, 상기 디지털 시스템(100)은 일회성 정보를 포함하는 확인신호를 생성하여 인증 시스템(200)으로 전송할 수 있다(S550). 물론, 사용자 인증이 실패하면(S530), 상기 디지털 시스템(100)은 프로세스를 종료할 수 있다(S560). 구현 예에 따라서는 상기 디지털 시스템(100)이 페어인증을 수행할 수도 있다(S540). 그리고 페어인증이 더 성공하여야 상기 디지털 시스템(100)은 확인신호를 전송할 수도 있다(S550). The
상기 디지털 시스템(100)이 페어인증을 수행하기 위해, 상기 디지털 시스템(100)에 상기 디지털 시스템(100)과 페어를 형성하는 사용자 장치(300)의 장치 식별정보가 미리 등록되어 있을 수도 있다. 구현 예에 따라서는 상기 사용자 장치(300)의 저장장치에 상기 사용자 장치(300)와 페어를 형성하는 디지털 시스템(100)의 식별정보 또는 단말기 식별정보가 저장되어 있을 수도 있다. 이러한 경우에는 상기 디지털 시스템(100)이 상기 저장장치에 저장된 정보를 확인함으로써 페어인증을 수행할 수도 있다. In order for the
어떠한 경우든 상기 디지털 시스템(100)과 상기 사용자 장치(300)가 페어를 형성하는 장치가 아닌 경우에는, 상기 디지털 시스템(100)은 상기 확인신호를 상기 인증 시스템(200)으로 전송하지 않고 프로세스를 종료할 수 있다(S560). In any case, if the
도8에서는 사용자 인증이 페어인증 전에 수행된 일예를 도시하고 있지만, 페어인증이 먼저 수행될 수도 있음은 물론이다. Although FIG. 8 shows an example in which the user authentication is performed before the pair authentication, it is needless to say that the pair authentication may be performed first.
또한, 도8에서 상기 사용자 장치(300)의 사용자 인증정보(예컨대, PIN)의 입력은 상기 인증 시스템(200)으로 확인신호가 전송된 다음, 인증확인절차가 종료되기 전이면 언제든지 이루어질 수도 있다. 즉, 상기 디지털 시스템(100)은 상기 인증 시스템(200)으로 상기 확인신호를 전송한 후에, 상기 사용자 장치(300)의 사용자 인증정보를 사용자로부터 입력받고 이를 인증할 수도 있다. 이러한 경우에는 사용자 인증의 결과를 나타내는 소정의 인증신호를 상기 디지털 시스템(100)이 상기 인증 시스템(200)으로 더 전송할 수도 있다. 그러면, 인증 시스템(200)에 포함된 제어부(210)는 상기 인증신호를 확인한 후에 최종적으로 인증확인절차의 성공여부를 판단할 수도 있다. In FIG. 8, the user authentication information (e.g., PIN) of the
구현 예에 따라서는 상기 디지털 시스템(100)은 사용자 인증정보를 상기 인증 시스템(200)으로 전송하고, 상기 인증 시스템(200)에 의해 상기 사용자 인증정보의 인증이 수행될 수도 있다. 이러한 경우에는 상기 디지털 시스템(100)은 상기 결제요청이 상기 인증 시스템(200)에 의해 승인되기 전 어떤한 시점에서도 상기 사용자 인증정보를 상기 인증 시스템(200)으로 전송할 수 있다. 예컨대, 상기 사용자 인증정보를 상기 확인신호에 포함시켜 전송할 수도 있고, 상기 확인신호의 전송 전 또는 후 언제든지 상기 사용자 인증정보를 상기 인증 시스템(200)으로 전송할 수 있다. 그러면, 상기 인증 시스템(200)에 포함된 인증부(230)가 상기 DB(240)에 저장된 사용자 장치(300)의 사용자 인증 정보를 이용하여 상기 사용자 인증을 수행할 수 있다. 그리고 이러한 사용자 인증이 성공하여야 최종적으로 인증확인절차가 성공하였다고 판단할 수도 있다. According to an embodiment, the
도11은 본 발명의 기술적 사상을 구현하기 위해 인증 시스템에 저장될 수 있는 매체확인 정보의 일예를 나타낸다.11 shows an example of medium identification information that can be stored in an authentication system to implement the technical idea of the present invention.
도11을 참조하면, 상기 인증 시스템(200)의 DB(240)에는 매체고유확인 정보가 저장될 수 있다. 상기 매체고유확인 정보는 전술한 바와 같이 본 발명의 기술적 사상을 구현할 수 있는 단말 식별정보 및/또는 장치 식별정보가 그 자체로 저장된 정보일 수 있다. 또한, 전술한 바와 같이 보안성의 증가를 위해 상기 DB(240)에는 도10a에 도시된 바와 같이 미리 페어로 설정된 디지털 시스템(100) 및 사용자 장치(300) 각각의 식별정보 즉, 단말 식별정보 및 장치 식별정보가 서로 대응되도록 저장되어 있을 수 있다. 예컨대, 소정의 디지털 시스템(단말 식별정보 A)은 특정 사용자 장치(a)와 페어로 설정되어 있을 수 있다. 이러한 경우, A에 해당하는 디지털 시스템과 a에 해당하는 사용자 장치가 통신을 수행하여 본 발명의 기술적 사상에 따른 본인인증이 성공될 수 있다.Referring to FIG. 11, the
또한, 특정 디지털 시스템(단말 식별정보 B)에는 복수의 사용자 장치(장치 식별정보 b1, b2)가 페어로 설정될 수 있다. 이때에는 B 및 b1이 통신을 하거나, B 및 b2가 통신을 하여야 본 발명의 기술적 사상에 따른 본인인증이 성공될 수 있다.Further, a plurality of user devices (device identification information b1, b2) may be set as a pair in a specific digital system (terminal identification information B). At this time, B and b1 communicate with each other, and B and b2 communicate with each other, so that the authentication according to the technical idea of the present invention can be succeeded.
도11a처럼 상기 인증 시스템(200)에는 단말 식별정보 및 이에 대응되는 장치 식별정보가 그 자체로서 매체확인 정보로 저장될 수 있다. As shown in FIG. 11A, in the
하지만, 전술한 바와 같이 보안성의 증대를 위해 상기 인증 시스템(200)에는 매체고유정보가 저장되어 있을 수도 있다. 이러한 일예는 도11b에 도시된 바와 같을 수 있다. 매체고유정보는 사용자의 식별정보(예컨대, 이름, 전화번호, 또는 상기 단말 식별정보)에 대응되도록 저장되어 있을 수 있다.However, as described above, the
예컨대, 사용자1에 해당하는 매체고유정보는 h1일 수 있고, 상기 매체고유정보(h1)는 단말 식별정보(A)와 장치 식별정보(a)에 의해 결정되는 결정 값(예컨대, 해시 값)일 수 있다. 또한, 사용자 2에 해당하는 매체고유정보는 h2 및 h3일 수 있고, 상기 매체고유정보(h2)는 단말 식별정보(B)와 장치 식별정보(b1)에 의해 결정되는 결정 값(예컨대, 해시 값)일 수 있다. 또한, 상기 매체고유정보(h3)는 단말 식별정보(B)와 장치 식별정보(b2)에 의해 결정되는 결정 값(예컨대, 해시 값)일 수 있다. 이처럼 매체고유정보가 상기 인증 시스템(200)에 저장되어 있는 경우에는, 상기 인증 시스템(200)이 공격당하더라도 단말 식별정보 및/또는 장치 식별정보가 노출되지 않을 수 있다. 또한, 전술한 바와 같이 사용자 장치(300) 또는 디지털 시스템(100)에 의해 생성되는 인증정보가 서버 생성키 및 매체고유정보에 기초하여 생성될 경우, 상기 인증 시스템(200)은 미리 저장된 매체고유정보를 이용하여 보다 신속하게 상기 인증정보를 인증할 수 있는 확인용 인증정보를 생성할 수 있는 효과가 있다. For example, the medium specific information corresponding to the user 1 may be h1, and the medium specific information h1 may be a determination value (e.g., a hash value) determined by the terminal identification information A and the device identification information . In addition, the medium specific information h2 may be h2 and h3, and the medium specific information h2 may be a determination value (e.g., a hash value) determined by the terminal identification information B and the device identification information b1 ). The medium specific information h3 may be a determination value (e.g., a hash value) determined by the terminal identification information B and the device identification information b2. If the medium specific information is stored in the
본 발명의 실시 예에 따른 사용자 장치를 이용한 본인인증방법은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 하드 디스크, 플로피 디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어, 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다.The authentication method using the user apparatus according to the embodiment of the present invention can be implemented as a computer-readable code on a computer-readable recording medium. A computer-readable recording medium includes all kinds of recording apparatuses in which data that can be read by a computer system is stored. Examples of the computer-readable recording medium include a ROM, a RAM, a CD-ROM, a magnetic tape, a hard disk, a floppy disk, an optical data storage device, and the like in the form of a carrier wave (for example, . In addition, the computer-readable recording medium may be distributed over network-connected computer systems so that computer readable codes can be stored and executed in a distributed manner. And functional programs, codes, and code segments for implementing the present invention can be easily inferred by programmers skilled in the art to which the present invention pertains.
본 발명은 도면에 도시된 일실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the appended claims. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.
Claims (21)
상기 디지털 시스템이 사용자 장치와 통신을 통해 상기 서버 생성키를 상기 사용자 장치로 전송하고 전송된 상기 서버 생성키에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나,
상기 통신이 수행되면 상기 디지털 시스템이 상기 서버 생성키에 기초하여 인증정보를 생성하는 단계를 포함하고,
상기 서버 생성키는,
상기 인증 시스템의 시간정보를 포함하는 사용자 장치를 이용한 본인인증방법.
The digital system receiving a server generation key from an authentication system;
Wherein the digital system transmits the server creation key to the user apparatus through communication with the user apparatus and receives the authentication information generated by the user apparatus based on the transmitted server creation key,
When the communication is performed, the digital system generates authentication information based on the server generation key,
The server creation key includes:
And authenticating the user using the user device including the time information of the authentication system.
상기 디지털 시스템이, 상기 인증정보를 상기 디지털 시스템에서 디스플레이하지 않고, 상기 인증정보를 포함하는 확인신호를 상기 인증 시스템으로 전송하는 단계를 더 포함하는 사용자 장치를 이용한 본인인증방법.
The authentication method according to claim 1,
Wherein the digital system further comprises the step of transmitting an acknowledgment signal including the authentication information to the authentication system without displaying the authentication information in the digital system.
상기 디지털 시스템이 상기 서버 생성키와 상기 디지털 시스템의 시간정보를 비교하는 시간 정당성 확인절차를 수행하는 단계를 더 포함하며,
상기 시간 정당성 확인절차의 수행결과 시간 정당성이 확인되어야 상기 디지털 시스템이,
상기 서버 생성키를 상기 사용자 장치로 전송하거나,
상기 서버 생성키를 이용해 인증정보를 생성하거나,
상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보를 정당한 인증정보로 처리하는 사용자 장치를 이용한 본인인증방법.
The authentication method according to claim 1,
Further comprising performing a time validity checking procedure in which the digital system compares the server generated key with time information of the digital system,
If the time validity is confirmed as a result of performing the time validity checking procedure,
Transmitting the server creation key to the user device,
Generates authentication information using the server creation key,
And a user device that processes the authentication information generated by the user apparatus or the digital system as valid authentication information.
상기 디지털 시스템에서는 상기 사용자 장치에 대응되도록 보호처리된 정보인 것을 특징으로 하는 사용자 장치를 이용한 본인인증방법.
The method according to claim 1,
Wherein the digital system is information protected by the user apparatus so as to correspond to the user apparatus.
상기 디지털 시스템이 상기 사용자 장치가 상기 디지털 시스템에 대응되도록 미리 설정된 페어인지를 판단하는 단계를 더 포함하며,
판단결과 상기 사용자 장치가 미리 설정된 페어여야 상기 인증정보를 포함하는 확인신호를 상기 인증 시스템으로 전송하는 것을 특징으로 하는 사용자 장치를 이용한 본인인증방법.
The authentication method according to claim 1,
Further comprising the step of the digital system determining whether the user equipment is a preset pair to correspond to the digital system,
And transmitting the confirmation signal including the authentication information to the authentication system if the user device is a predetermined pair.
상기 디지털 시스템이 수신된 상기 서버 생성키를 이용하여 일회성 정보의 생성에 기초정보로 이용될 시간정보-상기 시간정보는 상기 디지털 시스템의 제1시간정보 또는 상기 디지털 시스템과 통신을 수행하는 사용자 장치의 제2시간정보-의 정당성을 확인하는 단계;
상기 디지털 시스템이, 사용자 장치와 통신을 통해 정당성이 확인된 상기 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나, 정당성이 확인된 상기 제1시간정보에 기초하여 인증정보를 생성하거나, 또는 정당성이 확인된 상기 제1시간정보를 상기 사용자 장치로 전송하여 인증정보가 생성되도록 하는 단계를 포함하고,
상기 서버 생성키는,
상기 인증 시스템의 시간정보를 포함하는 사용자 장치를 이용한 본인인증방법.
The digital system receiving a server generation key from an authentication system;
Time information to be used as basic information for generation of one-time information by using the server generation key received by the digital system, the time information being information of the first time of the digital system or of the user apparatus performing communication with the digital system Confirming the legitimacy of the second time information;
Wherein the digital system receives the authentication information generated by the user apparatus based on the second time information whose validity has been confirmed through communication with the user apparatus or receives the authentication information generated based on the first time information whose validity is confirmed, Or generating the authentication information by transmitting the first time information whose validity is confirmed to the user device,
The server creation key includes:
And authenticating the user using the user device including the time information of the authentication system.
상기 인증 시스템이 상기 디지털 시스템으로부터 또는 상기 사용자의 데이터 처리장치로부터 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 상기 서버 생성키에 기초하여 생성되는 정보임-를 수신하는 단계;
상기 인증 시스템이 수신된 상기 인증정보를 인증하는 인증확인절차를 수행하는 단계; 및
상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 단계를 포함하는 사용자 장치를 이용한 본인인증방법.
Transmitting the server generation key to the digital system of the user, the server generation key including the time information of the authentication system;
Wherein the authentication system is configured to generate authentication information from the digital system or from the user's data processing device, the authentication information being generated by the user device or generated by the digital system when the digital system is communicating with a predetermined user device And information generated based on the server creation key;
The authentication system performing an authentication procedure for authenticating the received authentication information; And
And successively processing an authentication request output from the data processing apparatus or the digital system to the authentication system or the service system connected to the authentication system when the authentication confirmation process is successful.
상기 디지털 시스템에 의해 시간 정당성이 확인되어야,
상기 서버 생성키가 상기 사용자 장치로 전송되어 상기 사용자 장치에 의해 생성되거나,
상기 디지털 시스템에 의해 생성되거나,
상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보가 상기 디지털 시스템에 의해 정당한 인증정보로 처리되는 것을 특징으로 하는 사용자 장치를 이용한 본인인증방법.
8. The method according to claim 7,
Time validity has to be verified by the digital system,
Wherein the server creation key is transmitted to the user device and generated by the user device,
Generated by the digital system,
Wherein the authentication information generated by the user apparatus or the digital system is processed as valid authentication information by the digital system.
상기 인증 시스템이 상기 사용자 장치에 대응되도록 상기 서버 생성키를 보호처리하는 단계를 더 포함하며,
보호처리된 상기 서버 생성키를 상기 디지털 시스템으로 전송하는 것을 특징으로 하는 사용자 장치를 이용한 본인인증방법.
8. The authentication method according to claim 7,
Further comprising the step of protecting the server creation key so that the authentication system corresponds to the user apparatus,
And transmits the protected server generation key to the digital system.
상기 인증 시스템이 상기 사용자 장치 및 상기 디지털 시스템이 서로 대응되도록 미리 설정된 페어인지를 판단하는 단계를 더 포함하며,
판단결과 미리 설정된 페어여야 상기 인증확인절차가 성공한 것으로 판단하는 것을 특징으로 하는 사용자 장치를 이용한 본인인증방법.
8. The authentication method according to claim 7,
Further comprising the step of determining whether the authentication system is a preset pair so that the user device and the digital system correspond to each other,
And determining that the authentication confirmation process is successful if the authentication result is a predetermined pair.
상기 인증 시스템이 상기 디지털 시스템으로부터 또는 상기 사용자의 데이터 처리장치로부터 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 정당성이 확인된 시간정보에 기초하여 생성되는 정보임-를 수신하는 단계;
상기 인증 시스템이 수신된 상기 인증정보를 인증하는 인증확인절차를 수행하는 단계; 및
상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 단계를 포함하며,
상기 인증정보는,
상기 서버 생성키를 이용하여 정당성이 확인된 상기 디지털 시스템의 제1시간정보에 기초하여 상기 디지털 시스템 또는 상기 사용자 장치에 의해 생성되거나,
정당성이 확인된 상기 사용자 장치의 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 정보인 것을 특징으로 하는 사용자 장치를 이용한 본인인증방법.
Transmitting the server generation key to the digital system of the user, the server generation key including the time information of the authentication system;
Wherein the authentication system is configured to generate authentication information from the digital system or from the user's data processing device, the authentication information being generated by the user device or generated by the digital system when the digital system is communicating with a predetermined user device And information generated based on time information for which validity is confirmed;
The authentication system performing an authentication procedure for authenticating the received authentication information; And
And successively processing an authentication request output from the data processing apparatus or the digital system to the authentication system or a service system connected to the authentication system if the authentication confirmation process is successful,
The authentication information includes:
Generated by the digital system or the user apparatus based on first time information of the digital system whose legitimacy is confirmed using the server generation key,
Wherein the first authentication information is information generated by the user device based on second time information of the user device whose validity is confirmed.
A recorded computer program for performing the method according to any one of claims 1 to 11, installed in a data processing apparatus.
소정의 사용자 장치와 통신을 수행하는 사용자 장치 통신모듈;
인증 시스템으로부터 서버 생성키를 수신하기 위한 통신모듈; 및
상기 사용자 장치 통신모듈을 통해 상기 서버 생성키를 상기 사용자 장치로 전송하고 전송된 상기 서버 생성키에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나,
상기 통신이 수행되면 상기 서버 생성키에 기초하여 인증정보를 생성하기 위한 제어모듈을 포함하며,
상기 서버 생성키는,
상기 인증 시스템의 시간정보를 포함하는 사용자 장치를 이용한 본인인증을 수행하는 디지털 시스템.
In a digital system,
A user device communication module for performing communication with a predetermined user device;
A communication module for receiving a server generation key from an authentication system; And
Transmitting the server generation key to the user device through the user equipment communication module and receiving the authentication information generated by the user device based on the transmitted server generation key,
And a control module for generating authentication information based on the server generation key when the communication is performed,
The server creation key includes:
And authenticating the user using the user apparatus including the time information of the authentication system.
수신하거나 생성한 상기 인증정보를 상기 디지털 시스템에서 디스플레이하지 않고, 상기 인증정보를 포함하는 확인신호를 상기 인증 시스템으로 전송하는 것을 특징으로 하는 사용자 장치를 이용한 본인인증을 수행하는 디지털 시스템.
14. The control module according to claim 13,
And transmits an authentication signal including the authentication information to the authentication system without displaying the authentication information received or generated in the digital system.
상기 서버 생성키와 상기 디지털 시스템의 시간정보를 비교하는 시간 정당성 확인절차를 수행하고 수행결과 시간 정당성이 확인되어야,
상기 서버 생성키를 상기 사용자 장치로 전송하거나,
상기 서버 생성키를 이용해 인증정보를 생성하거나,
상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보를 정당한 인증정보로 처리하는 사용자 장치를 이용한 본인인증을 수행하는 디지털 시스템.
14. The control module according to claim 13,
A time validity checking procedure for comparing the server generated key with the time information of the digital system is performed,
Transmitting the server creation key to the user device,
Generates authentication information using the server creation key,
And authenticating the user using the user apparatus or the user apparatus that processes the authentication information generated by the digital system as valid authentication information.
소정의 사용자 장치와 통신을 수행하는 사용자 장치 통신모듈;
인증 시스템으로부터 상기 인증 시스템의 시간정보를 포함하는 서버 생성키를 수신하기 위한 통신모듈; 및
수신된 상기 서버 생성키를 이용하여 일회성 정보의 생성에 기초정보로 이용될 시간정보-상기 시간정보는 상기 디지털 시스템의 제1시간정보 또는 상기 디지털 시스템과 통신을 수행하는 사용자 장치의 제2시간정보-의 정당성을 확인하고,
상기 사용자 장치와 통신을 통해 정당성이 확인된 상기 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나,
상기 사용자 장치와 통신을 통해 정당성이 확인된 상기 제1시간정보를 전송하고 상기 제1시간정보에 기초하여 상기 사용자 장치에 의해 생성된 인증정보를 수신하거나,
정당성이 확인된 상기 제1시간정보에 기초하여 인증정보를 생성하는 제어모듈을 포함하는 사용자 장치를 이용한 본인인증을 수행하는 디지털 시스템.
In a digital system,
A user device communication module for performing communication with a predetermined user device;
A communication module for receiving a server generation key including time information of the authentication system from an authentication system; And
Time information to be used as basic information for generation of one-time information using the received server generation key, the time information including first time information of the digital system or second time information of a user apparatus communicating with the digital system - Check the legitimacy of -
Receiving authentication information generated by the user device based on the second time information for which validity is confirmed through communication with the user device,
Transmitting the first time information whose validity has been confirmed through communication with the user device, receiving the authentication information generated by the user device based on the first time information,
And a control module for generating authentication information based on the first time information for which the validity is confirmed.
사용자의 디지털 시스템으로 전송할 서버 생성키-상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함함-를 생성하고, 상기 디지털 시스템 또는 상기 사용자의 데이터 처리장치로부터 수신되는 확인신호에 포함된 인증정보를 인증하는 인증확인절차를 수행하는 인증부;
상기 서버 생성키를 상기 디지털 시스템으로 전송하고, 상기 디지털 시스템으로부터 상기 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 상기 서버 생성키에 기초하여 생성되는 정보임-를 수신하는 통신부; 및
상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 제어부를 포함하는 인증 시스템.
In an authentication system,
A server generation key to be transmitted to a digital system of a user, the server generation key including time information of the authentication system, and generates authentication information included in an acknowledgment signal received from the digital system or the data processing apparatus of the user An authentication unit for performing an authentication check process for authenticating the user;
Wherein the authentication information is transmitted from the digital system to the digital system when the digital system is in communication with a predetermined user device, And generating information based on the server creation key; And
And a control unit for successively processing an authentication request output from the data processing apparatus or the digital system to the authentication system or the service system connected to the authentication system if the authentication confirmation process is successful.
상기 디지털 시스템에 의해 시간 정당성이 확인되어야
상기 서버 생성키가 상기 사용자 장치로 전송되어 상기 사용자 장치에 의해 생성되거나,
상기 디지털 시스템에 의해 생성되거나,
상기 사용자 장치 또는 상기 디지털 시스템에 의해 생성된 상기 인증정보가 상기 디지털 시스템에 의해 정당한 인증정보로 처리되는 것을 특징으로 하는 인증 시스템.
18. The method according to claim 17,
Time validity must be verified by the digital system
Wherein the server creation key is transmitted to the user device and generated by the user device,
Generated by the digital system,
Wherein the authentication information generated by the user apparatus or the digital system is processed by the digital system as valid authentication information.
상기 사용자 장치에 대응되도록 상기 서버 생성키를 보호처리하는 단계를 더 포함하며,
상기 통신부는,
보호처리된 상기 서버 생성키를 상기 디지털 시스템으로 전송하는 것을 특징으로 하는 인증 시스템.
18. The information processing apparatus according to claim 17,
Further comprising the step of protecting the server generation key to correspond to the user apparatus,
Wherein,
And transmits the protected server generation key to the digital system.
상기 사용자 장치 및 상기 디지털 시스템이 서로 대응되도록 미리 설정된 페어인지를 판단하고, 판단결과 미리 설정된 페어여야 상기 인증확인절차가 성공한 것으로 판단하는 인증 시스템.
18. The information processing apparatus according to claim 17,
Determines whether the user apparatus and the digital system are a predetermined pair so as to correspond to each other, and judges that the authentication check procedure is successful if it is determined that the pair is a predetermined pair.
사용자의 디지털 시스템으로 전송할 서버 생성키-상기 서버 생성키는 상기 인증 시스템의 시간정보를 포함함-를 생성하고, 상기 디지털 시스템 또는 상기 사용자의 데이터 처리장치로부터 수신되는 확인신호에 포함된 인증정보를 인증하는 인증확인절차를 수행하는 인증부;
상기 서버 생성키를 상기 디지털 시스템으로 전송하고, 상기 디지털 시스템으로부터 상기 인증정보-상기 인증정보는 상기 디지털 시스템이 소정의 사용자 장치와 통신을 수행하면, 상기 사용자 장치에 의해 생성되거나 상기 디지털 시스템에 의해 생성되며 정당성이 확인된 시간정보에 기초하여 생성되는 정보임-를 수신하는 통신부; 및
상기 인증확인절차가 성공하여야 상기 데이터 처리장치 또는 상기 디지털 시스템으로부터 상기 인증 시스템 또는 상기 인증 시스템과 연결된 서비스 시스템으로 출력된 인증요청을 성공처리하는 제어부를 포함하며,
상기 인증정보는,
상기 서버 생성키를 이용하여 정당성이 확인된 상기 디지털 시스템의 제1시간정보에 기초하여 상기 디지털 시스템 또는 상기 사용자 장치에 의해 생성되거나,
정당성이 확인된 상기 사용자 장치의 제2시간정보에 기초하여 상기 사용자 장치에 의해 생성된 정보인 것을 특징으로 하는 사용자 장치를 이용한 본인인증방법.In an authentication system,
A server generation key to be transmitted to a digital system of a user, the server generation key including time information of the authentication system, and generates authentication information included in an acknowledgment signal received from the digital system or the data processing apparatus of the user An authentication unit for performing an authentication check process for authenticating the user;
Wherein the authentication information is transmitted from the digital system to the digital system when the digital system is in communication with a predetermined user device, The information being generated based on time information generated and validated; And
And a control unit for successfully processing an authentication request output from the data processing apparatus or the digital system to the authentication system or the service system connected to the authentication system,
The authentication information includes:
Generated by the digital system or the user apparatus based on first time information of the digital system whose legitimacy is confirmed using the server generation key,
Wherein the first authentication information is information generated by the user device based on second time information of the user device whose validity is confirmed.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20150001222 | 2015-01-06 | ||
KR1020150001222 | 2015-01-06 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20160084787A true KR20160084787A (en) | 2016-07-14 |
Family
ID=56499276
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150036026A KR20160084787A (en) | 2015-01-06 | 2015-03-16 | Method for authentication using user apparatus, digital system, and authentication system thereof |
KR1020150036025A KR20160084786A (en) | 2015-01-06 | 2015-03-16 | Method for authentication using user apparatus, digital system, and authentication system thereof |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020150036025A KR20160084786A (en) | 2015-01-06 | 2015-03-16 | Method for authentication using user apparatus, digital system, and authentication system thereof |
Country Status (1)
Country | Link |
---|---|
KR (2) | KR20160084787A (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112581659A (en) * | 2020-12-04 | 2021-03-30 | 上海银基信息安全技术股份有限公司 | Digital key user passing method, device, system and storage medium |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130029983A (en) | 2011-09-16 | 2013-03-26 | (주)에이티솔루션즈 | Recording medium, method and device for log-in or certification use of near field communication |
-
2015
- 2015-03-16 KR KR1020150036026A patent/KR20160084787A/en unknown
- 2015-03-16 KR KR1020150036025A patent/KR20160084786A/en not_active Application Discontinuation
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130029983A (en) | 2011-09-16 | 2013-03-26 | (주)에이티솔루션즈 | Recording medium, method and device for log-in or certification use of near field communication |
Also Published As
Publication number | Publication date |
---|---|
KR20160084786A (en) | 2016-07-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA3017893C (en) | System and method for certificate issuance based on block chain | |
US20130219481A1 (en) | Cyberspace Trusted Identity (CTI) Module | |
KR101542111B1 (en) | Method for payment using card, digital system, and settlment side system thereof | |
KR101467242B1 (en) | Digital system for pair user authentication, authentication system, and providing method thereof | |
KR101498120B1 (en) | Digital certificate system for cloud-computing environment and method thereof | |
KR101574169B1 (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR102122555B1 (en) | System and Method for Identification Based on Finanace Card Possessed by User | |
KR20160084789A (en) | Method for authentication, digital system, and authentication system thereof | |
KR20140020337A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR20150077379A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR20160084787A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR101491515B1 (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR101603684B1 (en) | Method for authentication using user apparatus, digital system, user apparatus, and authentication system thereof | |
KR101621265B1 (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR20160111190A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
US11960581B2 (en) | Mobile device secret protection system and method | |
KR20150088571A (en) | Method for authentication using user apparatus, digital system, user apparatus, and authentication system thereof | |
KR20140033189A (en) | Method for authentication using user apparatus, digital system, user apparatus, and authentication system thereof | |
KR20150075620A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR101584219B1 (en) | Authentication method, digital system, and authentication system thereof | |
KR20150089569A (en) | Method for authentication using user apparatus, digital system, user apparatus, and authentication system thereof | |
KR20140047058A (en) | Digital certificate system for cloud-computing environment and providing method thereof | |
KR20150083562A (en) | Method for authentication using user apparatus, digital system, and authentication system thereof | |
KR20150075569A (en) | Method for payment using card, digital system, and settlment side system thereof | |
KR20150075568A (en) | Method for payment using card, digital system, and settlment side system thereof |