KR20170124510A - Verification mehod and appratus based on security tunnel - Google Patents

Verification mehod and appratus based on security tunnel Download PDF

Info

Publication number
KR20170124510A
KR20170124510A KR1020170143662A KR20170143662A KR20170124510A KR 20170124510 A KR20170124510 A KR 20170124510A KR 1020170143662 A KR1020170143662 A KR 1020170143662A KR 20170143662 A KR20170143662 A KR 20170143662A KR 20170124510 A KR20170124510 A KR 20170124510A
Authority
KR
South Korea
Prior art keywords
authentication
terminal
server
information
user
Prior art date
Application number
KR1020170143662A
Other languages
Korean (ko)
Other versions
KR102011763B1 (en
Inventor
서원일
Original Assignee
(주)엔에스비욘드
서원일
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔에스비욘드, 서원일 filed Critical (주)엔에스비욘드
Publication of KR20170124510A publication Critical patent/KR20170124510A/en
Application granted granted Critical
Publication of KR102011763B1 publication Critical patent/KR102011763B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/36User authentication by graphic or iconic representation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Disclosed are a verification method and a verification apparatus based on a security tunnel with improved data security. According to an embodiment of the present invention, a verification method of a verification server comprises the steps of: receiving a verification request to provide a service to a first terminal from a service server; generating a security tunnel for communicating with a second terminal identified based on the verification request; transmitting OTP information to the second terminal through the security tunnel; receiving response information on the OTP information from the second terminal through the security tunnel; and determining a verification state based on the response information.

Description

보안 터널 기반 인증 방법 및 장치{VERIFICATION MEHOD AND APPRATUS BASED ON SECURITY TUNNEL}Technical Field [0001] The present invention relates to a secure tunnel based authentication method and apparatus,

아래 실시예들은 보안 터널 기반 인증 방법 및 장치에 관한 것이다.The following embodiments relate to a secure tunnel based authentication method and apparatus.

온라인 서비스의 발달로 인해 인터넷 뱅킹, 카드 결제, 공공 서비스 등에서 사용자를 인증하기 위한 다양항 인증 방식이 존재한다. 기존의 인증 방식들은 인증 정보의 탈취 및 위조, 인증 단말기의 원격 탈취에 취약하다. 이를 개선하기 위한 새로운 방식의 인증 기법이 요구된다. Due to the development of online services, various forms of authentication exist for authenticating users in Internet banking, card payment, and public service. Existing authentication methods are vulnerable to deception and forgery of authentication information and remote deception of authentication terminal. And a new authentication method is required to improve this.

데이터는 서킷 스위칭 또는 패킷 스위칭을 통해 전달될 수 있다. 서킷 스위칭이란 두 디바이스 간에 네트워크 경로를 생성하고 두 디바이스 간에는 해당 경로를 통해서만 데이터를 전달하는 방식을 말한다. 패킷 스위칭은 미리 정해진 경로 없이 데이터를 패킷으로 나누어 전달하는 방식을 말한다. 서킷 네트워크는 전송 효율은 낮으나 데이터 보안이 강하고, 패킷 네트워크는 전송 효율은 높지만 데이터 보안은 약하다.Data can be passed through circuit switching or packet switching. Circuit switching refers to a method of creating a network path between two devices and transferring data between the two devices only through that path. Packet switching refers to a method in which data is divided into packets and transmitted without a predetermined path. Circuit networks have low transmission efficiency but strong data security. Packet networks have high transmission efficiency, but data security is weak.

아래 실시예들은 데이터 보안이 강화된 새로운 방식의 인증 기법을 제공하는 것에 그 목적이 있다.The following embodiments are intended to provide a new authentication method with enhanced data security.

일 측에 따르면, 패킷 스위칭 방식에 서킷 스위칭 방식을 적절히 접목시킴으로써, 높은 전송 효율을 유지하면서도 데이터 보안을 향상시키는 기술을 제공할 수 있다.According to one side, it is possible to provide a technique for improving data security while maintaining high transmission efficiency by appropriately combining the circuit switching method with the packet switching method.

일 측에 따른 인증 서버의 인증 방법은, 서비스 서버로부터 제1 단말에 서비스를 제공하기 위한 인증 요청을 수신하는 단계; 상기 인증 요청에 기초하여 식별된 제2 단말과의 통신을 위한 보안 터널을 생성하는 단계; 상기 보안 터널을 통해 상기 제2 단말로 OTP 정보를 전송하는 단계; 상기 보안 터널을 통해 상기 제2 단말로부터 상기 OTP 정보에 대한 응답 정보를 수신하는 단계; 및 상기 응답 정보에 기초하여 인증 여부를 결정하는 단계를 포함한다.An authentication method of an authentication server according to one side includes: receiving an authentication request from a service server to provide a service to a first terminal; Generating a secure tunnel for communication with the identified second terminal based on the authentication request; Transmitting OTP information to the second terminal through the secure tunnel; Receiving response information for the OTP information from the second terminal through the secure tunnel; And determining whether to authenticate based on the response information.

상기 보안 터널이 존재하는 동안 상기 보안 터널 이외의 루트를 통한 상기 제2 단말의 트래픽 전송은 차단될 수 있다. 상기 보안 터널을 생성하는 단계는, 상기 제2 단말과 연결되는 제1 게이트웨이 및 인증 장치와 연결되는 제2 게이트웨이 간에 보안 경로를 설정하는 단계; 및 상기 제2 단말로 상기 제1 게이트웨이에 관한 정보를 전송하는 단계를 포함할 수 있다.The traffic transmission of the second terminal through a route other than the secure tunnel may be blocked while the secure tunnel exists. Wherein the step of creating the secure tunnel comprises: establishing a secure path between a first gateway connected to the second terminal and a second gateway connected to the authentication device; And transmitting information about the first gateway to the second terminal.

상기 보안 터널은 상기 제2 단말, 상기 제1 게이트웨이 및 상기 제2 게이트웨이를 연결할 수 있다. 상기 인증 장치는 상기 OTP 정보를 생성하고, 상기 OTP 정보와 상기 응답 정보의 비교 결과에 기초하여 상기 인증 여부를 결정할 수 있다. 상기 제2 단말에 인증 절차의 수행을 위한 인증 어플리케이션의 실행을 요청하는 단계를 더 포함할 수 있고, 상기 제1 게이트웨이에 관한 정보는, 상기 제2 단말로부터 상기 인증 어플리케이션의 실행 정보를 수신함에 응답하여 상기 제2 단말로 전송될 수 있다.The secure tunnel may connect the second terminal, the first gateway and the second gateway. The authentication apparatus generates the OTP information, and can determine whether to perform the authentication based on a result of comparison between the OTP information and the response information. And requesting execution of an authentication application for performing an authentication procedure to the second terminal, wherein the information about the first gateway includes a response to receiving the execution information of the authentication application from the second terminal And transmitted to the second terminal.

상기 제2 단말은 상기 제1 게이트웨이로의 접근 권한을 가질 수 있다. 상기 OTP 정보는, 자동 기입의 방지를 위한 문자열 및 패턴 중 적어도 하나를 포함할 수 있다. 상기 제1 단말은 공용 단말이고, 상기 제2 단말은 사용자의 전용 단말일 수 있다. 상기 인증 서버의 인증 방법은, 상기 서비스 서버로 인증 결과를 전송하는 단계를 더 포함할 수 있다.The second terminal may have access to the first gateway. The OTP information may include at least one of a character string and a pattern for preventing automatic writing. The first terminal may be a public terminal, and the second terminal may be a dedicated terminal of a user. The authentication method of the authentication server may further include transmitting the authentication result to the service server.

일 측에 따른 단말의 인증 방법은, 인증 서버로부터 보안 터널에 관한 정보를 수신하는 단계; 상기 보안 터널을 통해 상기 인증 서버로부터 OTP 정보를 수신하는 단계; 사용자로부터 상기 OTP 정보에 대한 응답 정보를 입력 받는 단계; 상기 응답 정보를 상기 보안 터널을 통해 상기 인증 서버로 전송하는 단계를 포함하는, 단말의 인증 방법.An authentication method of a terminal according to one side includes: receiving information on a security tunnel from an authentication server; Receiving OTP information from the authentication server through the secure tunnel; Receiving response information for the OTP information from a user; And transmitting the response information to the authentication server via the secure tunnel.

상기 보안 터널이 존재하는 동안 상기 보안 터널 이외의 루트를 통한 트래픽 전송은 차단될 수 있다. 상기 응답 정보에 기초하여 제1 단말에 서비스를 제공하기 위한 인증 여부가 결정될 수 있다. 상기 인증 서버로부터 인증 절차의 수행을 위한 인증 어플리케이션의 실행 요청을 수신하는 단계; 및 상기 인증 어플리케이션을 실행하고, 상기 인증 서버로 상기 인증 어플리케이션의 실행 정보를 전송하는 단계를 더 포함하고, 상기 보안 터널에 관한 정보는 상기 실행 정보의 전송에 응답하여 상기 인증 서버로부터 수신될 수 있다.Traffic transmission through a route other than the secure tunnel may be blocked while the security tunnel exists. Based on the response information, whether to authenticate to provide a service to the first terminal can be determined. Receiving an execution request of an authentication application for performing an authentication procedure from the authentication server; And executing the authentication application and sending execution information of the authentication application to the authentication server, wherein information about the secure tunnel may be received from the authentication server in response to the transmission of the execution information .

상기 보안 터널은 상기 단말, 상기 단말과 연결되는 제1 게이트웨이 및 상기 제1 게이트웨이와 연결되는 제2 게이트웨이를 연결할 수 있다. 상기 제1 게이트웨이와 상기 제2 게이트웨이 간에는 보안 경로가 설정될 수 있다. 상기 보안 터널에 관한 정보는 상기 제1 게이트웨이에 관한 정보를 포함할 수 있다. 상기 제2 게이트웨이에 연결된 인증 장치는 상기 OTP 정보를 생성하고, 상기 OTP 정보와 상기 응답 정보의 비교 결과에 기초하여 인증 여부를 결정할 수 있다.The secure tunnel may connect the terminal, a first gateway connected to the terminal, and a second gateway connected to the first gateway. A secure path may be established between the first gateway and the second gateway. The information about the secure tunnel may include information about the first gateway. The authentication device connected to the second gateway may generate the OTP information and determine whether to authenticate based on the comparison result of the OTP information and the response information.

아래 실시예들에 따르면 데이터 보안이 강화된 새로운 방식의 인증 기법이 제공될 수 있다.According to the embodiments described below, a new authentication scheme with enhanced data security can be provided.

실시예들은 서버 보호 측면에서, 비 인증 상태에서 인증 서버로의 접근을 원천적으로 봉쇄함으로써 인증 서버 및 정보를 보호하는 기술을 제공할 수 있다. 또한, 실시예들은 네트워크 보호 측면에서, 격리된 전용 인증 네트워크를 구성함으로써 인증 정보의 안전한 전송을 보장할 수 있다.Embodiments can provide authentication server and information protection technique by originally blocking access to an authentication server from an unauthenticated state in terms of server protection. Furthermore, the embodiments can ensure secure transmission of authentication information by configuring an isolated dedicated authentication network in terms of network protection.

또한, 실시예들은 단말 보호 측면에서, 인증 시간 동안 인증 단말의 인증용 네트워크를 제외한 타 네트워크 트래픽을 일시적으로 차단함으로써, 원격 접속을 통한 해커의 인증 정보 탈취 행위를 원천적으로 방지할 수 있다. 또한, 실시예들은 인정 정보 보호 측면에서, 인증 시간 동안만 유효한 일회성 패스워드(OTP)를 사용함으로써 로봇에 의한 자동 입력을 방지할 수 있다.In addition, embodiments of the present invention temporarily prevent other network traffic except for the authentication network of the authentication terminal during the authentication time, thereby preventing the authentication information hacking behavior of the hacker through remote access. In addition, the embodiments can prevent automatic input by the robot by using a one-time password (OTP) valid only during authentication time in terms of authentication information protection.

도 1은 일 실시예에 따른 인증 시스템을 설명하기 위한 도면.
도 2는 일 실시예에 따른 보안 터널의 생성 과정을 설명하기 위한 도면.
도 3은 일 실시예에 따른 인증 과정을 설명하기 위한 도면.
도 4는 일 실시예에 따른 은행 서비스를 위한 인증 과정을 설명하기 위한 도면.
도 5는 일 실시예에 따른 카드 서비스를 위한 인증 과정을 설명하기 위한 도면.
도 6은 일 실시예에 따른 증권 서비스를 위한 인증 과정을 설명하기 위한 도면.
도 7은 일 실시예에 따른 공공 서비스를 위한 인증 과정을 설명하기 위한 도면.
도 8은 일 실시예에 따른 인증 서버의 인증 방법을 나타내는 동작 흐름도.
도 9는 일 실시예에 따른 단말의 인증 방법을 나타내는 동작 흐름도.
도 10은 일 실시예에 따른 인증 어플리케이션이 인증 데이터 외 IP 트래픽을 차단하는 동작을 설명하는 도면.
도 11은 일 실시예에 따른 인증 서버 장애 시 비상 대처 프로세스를 설명하는 도면.1 is a view for explaining an authentication system according to an embodiment;
2 is a diagram for explaining a process of creating a secure tunnel according to an exemplary embodiment;
FIG. 3 is a diagram for explaining an authentication process according to an embodiment; FIG.
4 is a diagram illustrating an authentication process for a bank service according to an exemplary embodiment;
5 is a diagram illustrating an authentication process for a card service according to an exemplary embodiment;
FIG. 6 is a diagram for explaining an authentication procedure for a security service according to an embodiment; FIG.
FIG. 7 illustrates an authentication process for a public service according to an exemplary embodiment; FIG.
8 is an operational flowchart illustrating an authentication method of an authentication server according to an embodiment;
9 is an operational flowchart illustrating an authentication method of a terminal according to an embodiment;
10 is a diagram illustrating an operation in which an authentication application according to an embodiment blocks IP traffic other than authentication data.
11 is a diagram illustrating an emergency response process when an authentication server fails according to an embodiment;

이하, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다. 하기에서 제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. Like reference symbols in the drawings denote like elements. The terms first or second in the following can be used to describe various elements, but such terms should be interpreted solely for the purpose of distinguishing one element from another. For example, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.

아래에서 설명될 실시예들은 다양한 서비스들에 적용될 수 있다. 예를 들어, 실시예들은 금융 거래, 전자 상거래, 인터넷 서비스, 게임 서비스, 상품권 서비스 등 온라인 서비스에 적용될 수 있다. 또는, 실시예들은 그룹웨어, 메일, 시스템 정책 변경, 계정관리, 임직원 인증 등 기업정보 서비스에 적용될 수 있다.Embodiments to be described below may be applied to various services. For example, embodiments may be applied to online services such as financial transactions, electronic commerce, Internet services, game services, and gift certificate services. Alternatively, the embodiments may be applied to enterprise information services such as groupware, mail, system policy change, account management, and employee certification.

도 1은 일 실시예에 따른 인증 시스템을 설명하기 위한 도면이다. 도 1을 참조하면, 인증 시스템은 제1 단말(110), 제2 단말(120), 인증 서버(130) 및 서비스 서버(140)를 포함한다. 사용자는 제1 단말(110)을 통해 서비스 서버(140)의 서비스를 이용하고자 하는 경우에, 제2 단말(120)을 통해 사용자 인증을 수행할 수 있다. 사용자는 제1 단말(110)을 통해 서비스 서버(140)에 접속하여 다양한 서비스를 제공받을 수 있다. 이러한 서비스를 제공받기 위해 사용자에게 사용자 인증이 요구될 수 있다. 예컨대, 서비스 서버(140)는 사용자에게 전자 메일 서비스, 인터넷 뱅킹 서비스, 온라인 결제 서비스 또는 공공 문서의 발급 서비스 등을 제공할 수 있고, 이러한 서비스를 제공받기 위해 사용자에게 사용자 인증이 요구될 수 있다.1 is a view for explaining an authentication system according to an embodiment. Referring to FIG. 1, the authentication system includes a first terminal 110, a second terminal 120, an authentication server 130, and a service server 140. The user can perform user authentication through the second terminal 120 when the user desires to use the service of the service server 140 through the first terminal 110. [ The user can access the service server 140 through the first terminal 110 and receive various services. The user may be required to authenticate the user in order to receive such a service. For example, the service server 140 may provide an e-mail service, an Internet banking service, an online settlement service, or a public document issuance service to a user, and a user authentication may be required to provide the service.

사용자의 인증은 제1 단말(110)과 구별되는 제2 단말(120)을 통해 수행될 수 있다. 다시 말해, 실시예에 따른 인증 과정에는 2-채널 기법이 적용될 수 있다. 예컨대, 사용자는 제1 단말(110)을 통해 서비스 서버(140)에 로그인을 요청할 수 있고, 제2 단말(120)을 통해 일정한 절차를 수행함에 따라 로그인 요청이 수락될 수 있다. 일 측에 따르면, 제1 단말(110)은 공용 단말일 수 있고, 제2 단말(120)은 전용 단말일 수 있다. 예컨대, 제2 단말(120)은 스마트 폰, 태블릿 PC, 노트북 등 특정 사용자에 의해 전용적으로 사용되는 단말일 수 있다.The authentication of the user may be performed through the second terminal 120, which is distinguished from the first terminal 110. In other words, a two-channel technique can be applied to the authentication process according to the embodiment. For example, the user can request a login to the service server 140 through the first terminal 110, and the login request can be accepted according to a certain procedure through the second terminal 120. According to one aspect, the first terminal 110 may be a public terminal, and the second terminal 120 may be a dedicated terminal. For example, the second terminal 120 may be a terminal that is exclusively used by a specific user such as a smart phone, a tablet PC, or a notebook computer.

서비스 서버(140)는 제1 단말(110)로부터 수신된 로그인 요청에 반응하여, 인증 서버(130)에게 사용자 인증을 요청할 수 있다. 인증 서버(130)는 서비스 서버(140)의 요청에 따라 사용자 인증을 수행하고, 서비스 서버(140)에 인증 결과를 알릴 수 있다. 인증 서버(130)는 제2 단말(120)과 인증 서버(130) 간의 보안 터널(161)을 생성하고, 보안 터널(161)을 통해 인증 절차를 안전하게 수행할 수 있다. 보안 터널(161)은 제2 단말(120)과 인증 서버(130) 간의 보안 네트워크를 위한 전용 경로로서, 외부 디바이스(150)에서 접근 불가능한 네트워크 경로일 수 있다.In response to the login request received from the first terminal 110, the service server 140 may request the authentication server 130 to authenticate the user. The authentication server 130 may perform user authentication according to a request of the service server 140 and inform the service server 140 of the authentication result. The authentication server 130 generates a secure tunnel 161 between the second terminal 120 and the authentication server 130 and securely performs the authentication procedure through the secure tunnel 161. [ The secure tunnel 161 is a dedicated path for the secure network between the second terminal 120 and the authentication server 130 and may be a network path that is not accessible from the external device 150. [

일 측에 따르면, 사용자는 서비스 서버(140)에 사용자의 식별 정보(예를 들어, 이메일 주소, 로그인 아이디 등) 및 제2 단말(120)의 식별 정보(예를 들어, 핸드폰 번호 등)를 매칭하여 등록할 수 있다. 서비스 서버(140)는 사용자의 로그인 요청으로부터 사용자의 식별 정보를 획득하고, 해당 식별 정보에 매칭되는 제2 단말(120)의 식별 정보를 획득할 수 있다. 서비스 서버(140)는 인증 서버(130)에 사용자 인증을 요청할 때 제2 단말(120)의 식별 정보를 전달할 수 있다. 인증 서버(130)는 전달받은 식별 정보에 기초하여 보안 터널(161)을 생성할 수 있다.According to one aspect of the present invention, the user can identify the user's identification information (e.g., e-mail address, login ID) and identification information (e.g., cell phone number) of the second terminal 120 to the service server 140 Can be registered. The service server 140 may obtain the identification information of the user from the login request of the user and obtain the identification information of the second terminal 120 matching the identification information. The service server 140 may transmit the identification information of the second terminal 120 when the authentication server 130 requests the user authentication. The authentication server 130 may generate the secure tunnel 161 based on the received identification information.

다른 일 측에 따르면, 제2 단말(120)은 인증 서버(130)에 미리 등록될 수 있다. 등록 과정에서 인증 서버(130)는 사용자의 식별 정보(예를 들어, 이메일 주소, 로그인 아이디 등) 및 해당 사용자 전용의 제2 단말(120)의 식별 정보(예를 들어, 핸드폰 번호 등)를 매칭하여 저장할 수 있다. 인증 서버(130)는 서비스 서버(140)에 의한 사용자 인증 요청에 포함된 사용자 식별 정보에 기초하여 제2 단말(120)의 식별 정보를 획득하고, 제2 단말(120)의 식별 정보를 이용하여 보안 터널(161)을 생성할 수 있다.According to the other party, the second terminal 120 can be registered in advance in the authentication server 130. [ The authentication server 130 matches the identification information (e.g., e-mail address, login ID) of the user and the identification information (e.g., cell phone number) of the second terminal 120 dedicated to the user . The authentication server 130 obtains the identification information of the second terminal 120 based on the user identification information included in the user authentication request by the service server 140 and uses the identification information of the second terminal 120 The security tunnel 161 can be created.

인증 서버(130)는 보안 게이트웨이(131) 및 인증 장치(132)를 포함할 수 있다. 보안 게이트웨이(131)는 보안 터널(161)에 기초하여 인증 장치(132)를 외부와 차단할 수 있다. 인증 장치(132)는 보안 터널(161)을 통해 제2 단말(120)로 암호 정보를 전송하고, 보안 터널(161)을 통해 암호 정보에 대한 응답 정보를 수신할 수 있다. 인증 장치(132)는 응답 정보에 기초하여 사용자의 인증 여부를 결정할 수 있다.The authentication server 130 may include a security gateway 131 and an authentication device 132. The security gateway 131 can block the authentication device 132 from the outside based on the security tunnel 161. [ The authentication device 132 may transmit the encryption information to the second terminal 120 through the security tunnel 161 and may receive the response information on the encryption information through the security tunnel 161. [ The authentication device 132 can determine whether the user is authenticated based on the response information.

암호 정보는 OTP(One Time Password)를 포함할 수 있다. 보안 터널(161)을 통해 외부와 차단된 상태에서 OTP를 이용함에 따라 보안 수준이 향상될 수 있다. 예컨대, 보안 터널(161)을 이용함으로써 OTP가 외부 디바이스(150)로 유출될 수 없고, 보안 터널(161)이 해제된 이후에는 OTP의 정보성이 상실되므로 OTP가 외부 디바이스(150)로 유출되더라도 사용자의 인증에 악용될 우려가 없다. 제2 단말(120)에 설치된 인증 어플리케이션(121)은 이러한 보안 강화를 위한 동작을 수행할 수 있다.The password information may include an OTP (One Time Password). The security level can be improved by using the OTP in the state of being blocked from the outside through the security tunnel 161. [ For example, by using the security tunnel 161, since the OTP can not flow out to the external device 150 and the information property of the OTP is lost after the security tunnel 161 is released, even if the OTP flows out to the external device 150 There is no possibility of being abused by the user's authentication. The authentication application 121 installed in the second terminal 120 can perform the operation for enhancing security.

구체적으로, 제2 단말(120)은 인증 서버(130)의 요청에 따라 인증 어플리케이션(121)을 실행하고, 인증 어플리케이션(121)을 통하여 인증 서버(130)로부터 보안 터널(161)에 관한 정보를 수신할 수 있다. The second terminal 120 executes the authentication application 121 according to a request from the authentication server 130 and transmits information about the secure tunnel 161 from the authentication server 130 through the authentication application 121 .

이 때, 인증 어플리케이션(121)은 보안 터널(161) 이외의 경로로 트래픽이 유출되는 것을 차단할 수 있다. 일 측에 따르면, 인증 어플리케이션(121)은 자신의 원래 코드가 변형되었는지 여부를 스스로 검사하고, 만약 자신의 원래 코드가 변형되었다고 판단되면 보안 터널(161)을 강제로 해제할 수 있다. 이로 인하여, 보안 터널(161) 이외의 경로로 트래픽이 유출되는 것을 차단하는 동작이 안전하게 보장될 수 있다.At this time, the authentication application 121 can block traffic from flowing out of the security tunnel 161. According to one aspect, the authentication application 121 may itself check whether its original code has been tampered with, and if it is determined that its original code has been tampered with, the security tunnel 161 may be forcibly released. Accordingly, an operation of blocking traffic from flowing to a path other than the secure tunnel 161 can be securely guaranteed.

제2 단말(120)에 악성 코드(122)가 존재하는 경우에도, 보안 터널(161)이 존재할 때는 인증 어플리케이션(121)에 의하여 보안 터널(161) 이외의 네트워크 트래픽이 차단되므로 OTP가 외부 디바이스(150)로 유출될 수 없고, 보안 터널(161)이 해제된 이후에는 OTP의 정보성이 상실되므로 OTP가 외부 디바이스(150)로 유출되더라도 사용자의 인증에 악용될 우려가 없다.Even when the malicious code 122 exists in the second terminal 120, network traffic other than the secure tunnel 161 is blocked by the authentication application 121 when the secure tunnel 161 exists, 150 and the information tunnel of the OTP is lost after the security tunnel 161 is released, there is no possibility that the OTP will be abused by the user even if the OTP is leaked to the external device 150.

인증 어플리케이션(121)은 인증 장치(132)에 의해 생성된 OTP 정보를 보안 터널(161)을 통해 수신하고, 제2 단말(120)에 출력할 수 있다. 인증 어플리케이션(121)은 OTP 정보에 대한 사용자 입력을 수신하고, 보안 터널(161)을 통해 인증 장치(132)에게 OTP 정보에 대한 응답 정보를 전송할 수 있다. 인증 장치(132)는 미리 정해진 시간이 경과하면 생성된 OTP를 폐기할 수 있다. The authentication application 121 can receive the OTP information generated by the authentication device 132 through the security tunnel 161 and output it to the second terminal 120. [ The authentication application 121 may receive user input for the OTP information and may transmit the response information for the OTP information to the authentication device 132 via the security tunnel 161. [ The authentication device 132 can discard the generated OTP after a predetermined time has elapsed.

이러한 과정을 통해 OTP는 보안 터널(161)이 존재하는 동안에는 외부로 유출되지 않으며, 보안 터널(161)이 해제된 이후에는 정보성을 상실하게 된다. 따라서, 실시예에 따른 인증 절차는 악성 코드(122) 내지 외부 디바이스(150)의 접근으로부터 안전할 수 있다.Through this process, the OTP does not leak to the outside while the security tunnel 161 exists, and the information is lost after the security tunnel 161 is released. Thus, the authentication procedure according to the embodiment can be secure from the access of the malicious code 122 to the external device 150. [

제1 단말(110), 제2 단말(120), 서비스 서버(140) 및 보안 서버(130)는 인터넷(160)을 통해 서로 연결될 수 있다. 제2 단말(120)은 3G, LTE, 와이파이 등의 무선 통신망(170)을 통해 인터넷(160)에 연결될 수 있다. 이 때, 보안 서버(130) 내 인증 장치(132)는 보안 게이트웨이(131)에 의하여 보호되어, 외부 디바이스(150)로부터 인 비져블(invisible)할 수 있다. 또한, 인터넷(160)을 통한 제1 단말(110)과 서비스 서버(140)의 통신은 외부로 유출될 수 있으나, 인터넷(160) 상의 보안 터널(161)을 통한 제2 단말(120)과 보안 서버(130)의 통신은 외부로 유출되지 않는다. 보안 터널에 관해서는 아래에서 보다 구체적으로 설명한다.The first terminal 110, the second terminal 120, the service server 140 and the security server 130 may be connected to each other via the Internet 160. The second terminal 120 may be connected to the Internet 160 through a wireless communication network 170 such as 3G, LTE, Wi-Fi, or the like. At this time, the authentication device 132 in the security server 130 is protected by the security gateway 131 and can be invisible from the external device 150. The communication between the first terminal 110 and the service server 140 through the Internet 160 may be transmitted to the second terminal 120 through the security tunnel 161 on the Internet 160, The communication of the server 130 does not leak to the outside. The security tunnel will be described in more detail below.

도 2는 일 실시예에 따른 보안 터널의 생성 과정을 설명하기 위한 도면이다. 도 2를 참조하면, 단말(210)은 보안 게이트웨이(220)를 통해 인증 장치(230)와 통신할 수 있다. 단말(210)은 도 1의 제2 단말(120)에 대응할 수 있다. 보안 게이트웨이(220), 관리 장치(240) 및 인증 장치(230)는 인증 서버를 구성할 수 있다. 관리 장치(240)는 보안 터널 생성을 위한 전체 프로세스를 관리할 수 있다.FIG. 2 is a diagram for explaining a process of creating a secure tunnel according to an embodiment. Referring to FIG. 2, the terminal 210 may communicate with the authentication device 230 through the security gateway 220. The terminal 210 may correspond to the second terminal 120 of FIG. The security gateway 220, the management apparatus 240, and the authentication apparatus 230 may constitute an authentication server. The management device 240 may manage the entire process for creating a secure tunnel.

보안 게이트웨이(220)는 단말(210)과 연결되는 제1 게이트웨이(221) 및 인증 장치(230)와 연결되는 제2 게이트웨이(222)를 포함할 수 있다. 단말(210)과 제1 게이트웨이(221)는 공중망을 통하여 연결되고, 인증 장치(230)와 제2 게이트웨이(222)는 사설망을 통하여 연결될 수 있다. 제1 게이트웨이(221)와 제2 게이트웨이(222)는 제어 경로(20) 및 보안 경로들(30 내지 60)로 연결될 수 있다. The security gateway 220 may include a first gateway 221 connected to the terminal 210 and a second gateway 222 connected to the authentication device 230. The terminal 210 and the first gateway 221 may be connected through a public network and the authentication device 230 and the second gateway 222 may be connected through a private network. The first gateway 221 and the second gateway 222 may be connected to the control path 20 and the security paths 30 to 60.

제어 경로(20)는 외부에서 접근 가능한 경로이다. 제어 경로(20)는 제1 게이트웨이(221)에 의하여 제공되는 포인트(21)과 제2 게이트웨이(222)에 의하여 제공되는 포인트(22) 사이를 연결하는 가상 사설 터널(virtual private tunnel, VPT)일 수 있다. 관리 장치(240)는 제어 경로(20)를 통하여 외부와 연결될 수 있다.The control path 20 is an externally accessible path. The control path 20 is a virtual private tunnel (VPT) linking between a point 21 provided by the first gateway 221 and a point 22 provided by the second gateway 222 . The management device 240 may be connected to the outside through the control path 20. [

보안 경로들(30, 40, 50)은 외부에서 접근이 제한되는 경로이다. 보안 경로들(30, 40, 50)은 제1 게이트웨이(221)에 의하여 제공되는 포인트들(31, 41, 51)과 제2 게이트웨이(222)에 의하여 제공되는 포인트들(32, 42, 52) 사이를 연결하는 VPT들일 수 있다. 보안 경로들(30, 40, 50)은 관리 장치(240)의 제어에 따라 생성되거나, 해제될 수 있다.The security paths 30, 40, and 50 are paths for which access from outside is limited. The secure paths 30,40 and 50 are connected to the points 31,41 and 51 provided by the first gateway 221 and the points 32,42 and 52 provided by the second gateway 222, Lt; RTI ID = 0.0 > VPTs < / RTI > The security paths 30, 40 and 50 may be created or released under the control of the management device 240. [

제1 게이트웨이(221)는 외부에서 수신되는 패킷의 유형이 터널 타입인지 확인하고, 수신된 패킷의 유형이 터널 타입이 아닌 경우 해당 패킷을 드랍시킬 수 있다. 수신된 패킷의 유형이 터널 타입인 경우, 해당 패킷에 대응하는 보안 경로를 통하여 해당 패킷을 인증 장치(230)로 전달할 수 있다.The first gateway 221 determines whether the type of the packet received from the outside is a tunnel type, and drops the packet if the type of the received packet is not a tunnel type. If the type of the received packet is a tunnel type, the packet can be transmitted to the authentication device 230 through the secure path corresponding to the packet.

예외적으로, 제1 게이트웨이(221)는 수신된 패킷의 유형이 터널 타입이 아니더라도 화이트리스트에 등재된 단말로부터 전송된 인증 패킷이라고 판단되는 경우, 제어 경로(20)를 통하여 인증 패킷을 관리 장치(240)로 전달할 수 있다. 인증 패킷은 보안 경로의 생성을 요청하는 패킷일 수 있다.If the type of the received packet is not the tunnel type but the first gateway 221 determines that the received packet is an authentication packet transmitted from a terminal registered in the whitelist, the first gateway 221 transmits an authentication packet to the management device 240 ). ≪ / RTI > The authentication packet may be a packet requesting the generation of a secure path.

관리 장치(240)는 서비스 서버로부터 인증 요청을 수신함에 응답하여, 단말(210)에 인증 절차의 수행을 위한 인증 어플리케이션의 실행을 요청할 수 있다. 단말(210)은 인증 어플리케이션을 실행하고, 관리 장치(240)로 인증 어플리케이션의 실행 정보를 전송할 수 있다. 관리 장치(240)는 인증 어플리케이션의 실행 정보를 수신함에 응답하여 보안 터널을 생성하고, 생성된 보안 터널에 관한 정보를 단말(210)로 전송할 수 있다. In response to receiving the authentication request from the service server, the management device 240 may request the terminal 210 to execute the authentication application for performing the authentication procedure. The terminal 210 can execute the authentication application and transmit the execution information of the authentication application to the management device 240. [ The management apparatus 240 may generate a secure tunnel in response to receiving the execution information of the authentication application and may transmit information on the generated secure tunnel to the terminal 210. [

예컨대, 관리 장치(240)는 제1 게이트웨이(221)에 의하여 제공되는 포인트(41)과 제2 게이트웨이(222)에 의하여 제공되는 포인트(42) 사이를 연결하는 보안 터널(40)을 생성하고, 보안 터널(40)에 관한 정보를 단말(210)로 전송할 수 있다. 보안 터널(40)에 기초하여, 단말(210)과 보안 터널(40)의 엔드 포인트(예를 들어, 포인트(42))를 연결하는 보안 터널(60)이 형성될 수 있다. 보안 터널(60)을 통하여 단말(210)에 설치된 인증 어플리케이션과 인증 장치(232)가 서로 통신할 수 있다.For example, the management device 240 may create a security tunnel 40 connecting between a point 41 provided by the first gateway 221 and a point 42 provided by the second gateway 222, And may transmit information regarding the secure tunnel 40 to the terminal 210. A security tunnel 60 may be formed that connects the endpoints (e.g., points 42) of the secure tunnel 40 with the terminal 210 based on the secure tunnel 40. [ The authentication application installed in the terminal 210 through the secure tunnel 60 and the authentication device 232 can communicate with each other.

보안 터널(40)은 다른 보안 터널들(30, 50)과 격리되어 있으므로, 보안 터널(40)에 대한 정보가 유출되는 경우에도, 나머지 보안 터널들(30, 50)에 연결된 인증 장치들(231, 233)의 보안은 유지될 수 있다. 보안 터널(40)은 적절한 시기에 생성될 수 있다. 예컨대, 관리 장치(240)는 서비스 서버로부터 인증 요청을 수신함에 응답하여 보안 터널(40)을 생성하거나, 인증 어플리케이션의 실행 정보를 수신함에 응답하여 보안 터널(40)을 생성할 수 있다.The security tunnel 40 is isolated from the other security tunnels 30 and 50 so that even when the information about the secure tunnel 40 is leaked, the authentication devices 231 , 233) can be maintained. The secure tunnel 40 may be created at an appropriate time. For example, the management device 240 may generate the security tunnel 40 in response to receiving the authentication request from the service server, or may generate the security tunnel 40 in response to receiving the execution information of the authentication application.

인증 장치(232)는 OTP 정보를 생성하고, 보안 터널(40)의 생성 이후에 OTP 정보를 보안 터널(40)을 통해 단말(210)에 전송할 수 있다. OTP 정보는 자동 기입의 방지를 위한 문자열 및 패턴 중 적어도 하나를 포함할 수 있다. 예컨대, OTP 정보는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)에 따른 문자열이나, 미리 정해진 패턴을 포함할 수 있다. 단말(210)은 사용자로부터 OTP 정보에 대한 응답 정보를 입력 받을 수 있다. 사용자는 OTP 정보에 따른 문자열을 단말(210)에 그대로 입력하거나, OTP 정보에 따른 패턴을 단말(210)에 그대로 입력할 수 있다. 따라서, 사용자는 패스워드 등의 정보를 별도의 기록하거나 암기할 필요 없이 간단하게 인증 절차를 수행할 수 있다. 단말(210)은 응답 정보를 보안 터널(40)을 통해 인증 장치(232)로 전송할 수 있다. 인증 장치(232)는 OTP 정보와 응답 정보의 비교 결과에 기초하여 사용자의 인증 여부를 결정할 수 있다. 인증 장치(232)는 관리 장치(240)에 인증 결과를 알릴 수 있고, 관리 장치(240)는 인증 결과를 서비스 서버로 전송할 수 있다. 관리 서버(240)는 인증 절차가 완료됨에 따라 보안 터널(40)을 해제할 수 있다.The authentication device 232 may generate OTP information and may transmit the OTP information to the terminal 210 via the secure tunnel 40 after the creation of the secure tunnel 40. [ The OTP information may include at least one of a character string and a pattern for preventing automatic writing. For example, the OTP information may include a character string according to CAPTCHA (Completely Automated Public Tutor test to tell Computers and Humans Apart) or a predetermined pattern. The terminal 210 may receive the response information for the OTP information from the user. The user can directly input the character string according to the OTP information to the terminal 210 or can input the pattern according to the OTP information to the terminal 210 as it is. Therefore, the user can simply perform the authentication procedure without recording or memorizing information such as a password. The terminal 210 may transmit the response information to the authentication device 232 through the security tunnel 40. [ The authentication device 232 can determine whether or not the user is authenticated based on the comparison result of the OTP information and the response information. The authentication device 232 can inform the management device 240 of the authentication result and the management device 240 can transmit the authentication result to the service server. The management server 240 can release the security tunnel 40 as the authentication procedure is completed.

도 3은 일 실시예에 따른 인증 과정을 설명하기 위한 도면이다. 사용자는 제1 단말(310) 및 제2 단말(350)을 통한 2-채널 인증 절차를 통해 전자 메일 서버(320)의 서비스를 제공받을 수 있다. 도 3을 참조하여 사용자가 소정의 인증 과정을 통해 전자 메일 서비스를 제공받는 실시예를 설명하겠으나, 본 실시예는 유사한 다른 서비스의 제공을 위해서도 적용될 수 있다.FIG. 3 is a diagram for explaining an authentication process according to an embodiment. The user can be provided with the service of the e-mail server 320 through the two-channel authentication procedure through the first terminal 310 and the second terminal 350. 3, a description will be given of an embodiment in which a user is provided with an e-mail service through a predetermined authentication process, but the present embodiment can also be applied to providing other similar services.

사용자는 단말(310)로 전자 메일 서버(320)에 접속하여, 전자 메일 서비스를 위해 미리 등록한 아이디를 입력할 수 있다. 전자 메일 서버(320)는 사용자를 인증하기 위해 인증 서버(330)에 사용자의 인증을 요청할 수 있다. 전자 메일 서버(320)는 인증 서버(330)에 인증 요청과 함께 제2 단말(350)의 식별 정보를 전송할 수 있다. 제2 단말(350)의 식별 정보는 전화번호나 네트워크 주소 등과 정보를 포함할 수 있다.The user can access the e-mail server 320 with the terminal 310 and input an ID previously registered for the e-mail service. The e-mail server 320 can request the authentication server 330 to authenticate the user to authenticate the user. The e-mail server 320 may transmit the identification information of the second terminal 350 together with the authentication request to the authentication server 330. The identification information of the second terminal 350 may include a telephone number, a network address, and the like.

인증 서버(330)의 관리 장치는 보안 게이트웨이(340) 내 보안 경로를 설정함으로써 단말(350)과 인증 서버(330)의 인증 장치를 연결하는 보안 터널(360)을 생성하고, 제2 단말(350)로 보안 터널(360)에 관한 정보를 전송할 수 있다. 보안 터널(360)이 생성된 이후에, 인증 서버(330)의 인증 장치는 보안 터널(360)을 통해 제2 단말(350)로 OTP 정보를 전송할 수 있다. 제2 단말(350)은 사용자로부터 수신한 OTP 정보에 대한 응답 정보를 보안 터널(360)을 통해 인증 서버(330)의 인증 장치로 전송할 수 있다. 인증 서버(330)의 인증 장치는 응답 정보에 기초하여 사용자의 인증 여부를 결정하고, 인증 서버(330)의 관리 장치를 통하여 전자 메일 서버(320)에 인증 결과를 전송할 수 있다.The management apparatus of the authentication server 330 creates a security tunnel 360 for connecting the authentication apparatus of the terminal 350 and the authentication server 330 by setting a security path in the security gateway 340, The security tunnel 360 may transmit information about the security tunnel 360 to the user. After the secure tunnel 360 is created, the authentication device of the authentication server 330 may transmit the OTP information to the second terminal 350 through the secure tunnel 360. The second terminal 350 can transmit the response information about the OTP information received from the user to the authentication device of the authentication server 330 through the security tunnel 360. [ The authentication device of the authentication server 330 determines whether or not the user is authenticated based on the response information, and can transmit the authentication result to the e-mail server 320 through the management device of the authentication server 330. [

전자 메일 서버(320)는 인증 결과에 기초하여 제1 단말(310)에 서비스를 제공할 수 있다. 예컨대, 전자 메일 서버(320)는 인증이 성공한 경우 사용자의 로그인을 허용할 수 있고, 인증이 실패한 경우 사용자의 로그인을 불허할 수 있다. 따라서, 사용자는 비밀번호와 같은 별도의 인증을 위한 정보를 기억하지 않고 보안 터널(360)에 연결된 제2 단말(350)을 통해 편리하고 안전하게 인증 절차를 수행할 수 있다.The e-mail server 320 may provide the first terminal 310 with a service based on the authentication result. For example, the e-mail server 320 may allow the user to log in if the authentication is successful and may not allow the user to log in if the authentication fails. Accordingly, the user can conveniently and safely perform the authentication procedure through the second terminal 350 connected to the secure tunnel 360 without storing information for separate authentication such as a password.

도 4는 일 실시예에 따른 은행 서비스를 위한 인증 과정을 설명하기 위한 도면이다. 사용자는 실시예에 따른 인증 과정을 통해 은행 서비스를 이용할 수 있다. 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 인터넷 뱅킹을 이용할 수 있다. 구체적으로, 사용자는 제1 단말(410)에 계좌 이체 정보를 입력하고, 계좌 이체를 신청할 수 있다. 이 때, 사용자는 제1 단말(410)에 로그인 정보를 입력할 수 있다. 로그인 정보는 아이디나 공인인증서 등을 포함할 수 있다. 4 is a diagram for explaining an authentication process for a bank service according to an embodiment. The user can use the bank service through the authentication process according to the embodiment. According to one aspect, the user can use the Internet banking through the authentication process according to the embodiment. Specifically, the user can input the account transfer information to the first terminal 410 and apply for the account transfer. At this time, the user can input the login information to the first terminal 410. The login information may include an ID or an authorized certificate.

은행 서버(420)는 인증 서버(430)에 계좌 이체를 위한 사용자 인증을 요청할 수 있다. 인증 서버(430)는 보안 터널(450)을 생성하고, 보안 터널(450)을 통해 제2 단말(440)과 OTP 정보 및 응답 정보를 교환함으로써, 사용자를 인증할 수 있다. 인증 서버(430)는 인증 장치(431), 관리 장치(432) 및 보안 게이트웨이(433)를 통해 앞서 설명된 인증 절차를 수행할 수 있다. 인증 서버(430)는 은행 서버(420)에 인증 결과를 전달할 수 있다. 인증 서버(430)는 인증 절차의 종료에 따라 보안 터널(450)을 해제할 수 있다. 인증 서버(430)는 은행 서버(420)에 인증 결과를 전달할 수 있고, 은행 서버(420)는 인증 결과에 따라 계좌 이체를 수행할 수 있다.The bank server 420 may request the authentication server 430 for user authentication for account transfer. The authentication server 430 can authenticate the user by creating a secure tunnel 450 and exchanging OTP information and response information with the second terminal 440 through the secure tunnel 450. [ The authentication server 430 can perform the above-described authentication procedure through the authentication device 431, the management device 432, and the security gateway 433. [ The authentication server 430 may transmit the authentication result to the bank server 420. The authentication server 430 can release the security tunnel 450 upon termination of the authentication procedure. The authentication server 430 may transmit the authentication result to the bank server 420 and the bank server 420 may perform the account transfer according to the authentication result.

다른 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 인터넷 대출을 이용할 수 있다. 구체적으로, 사용자는 제1 단말(410)을 통해 신용정보조회와 약관동의 등의 절차를 걸친 이후에, 제1 단말(410)에 로그인 정보를 입력할 수 있다. 로그인 정보는 아이디나 공인인증서 등을 포함할 수 있다. 은행 서버(420)는 인증 서버(430)에 사용자 인증을 요청할 수 있다. 인증 서버(430)는 보안 터널(450)을 생성하고, 보안 터널(450)을 통해 제2 단말(440)과 OTP 정보 및 응답 정보를 교환함으로써, 사용자를 인증할 수 있다. 인증 서버(430)는 은행 서버에 인증 결과를 전달할 수 있다. 사용자는 인증에 성공한 이후에, 제1 단말(410)에 신청 대출금, 계좌 등의 정보를 입력하고, 대출을 신청할 수 있다. 또한, 사용자는 제1 단말(410)을 통해 상품설명서나 약정서 등을 확인할 수 있다. 이 때, 계좌 비밀번호나 보안카드 번호 등의 보안이 필요한 정보들은 제2 단말(440)에 입력되어 보안 터널(450) 및 인증 서버(430)를 통해 은행 서버(420)로 전달될 수 있다. 사용자는 상기 과정을 통해 대출을 신청하고, 이에 대한 승인을 대기할 수 있다.According to another aspect, the user may utilize the Internet loan through the authentication process according to the embodiment. Specifically, the user can enter login information into the first terminal 410 after passing through the credit information inquiry and agreement agreement process through the first terminal 410. The login information may include an ID or an authorized certificate. The bank server 420 may request the authentication server 430 to authenticate the user. The authentication server 430 can authenticate the user by creating a secure tunnel 450 and exchanging OTP information and response information with the second terminal 440 through the secure tunnel 450. [ The authentication server 430 may transmit the authentication result to the bank server. After the user succeeds in authentication, the user can input information such as application loan, account, etc. to the first terminal 410 and apply for a loan. Also, the user can confirm the product description, the agreement, etc. through the first terminal 410. At this time, information requiring security such as an account password or a security card number may be input to the second terminal 440 and transmitted to the bank server 420 through the secure tunnel 450 and the authentication server 430. The user can apply for the loan through the above process and wait for approval.

다른 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 ATM(Automated Teller Machine) 기기에서 현금을 인출할 수 있다. 구체적으로, 사용자는 ATM 기기인 제1 단말(410)에 카드를 삽입하고, 현금 인출을 요청하고, 계좌의 비밀번호를 입력할 수 있다. 은행 서버(420)는 인증 서버(430)에 사용자 인증을 요청할 수 있다. 인증 서버(430)는 앞서 설명된 인증 절차를 수행할 수 있고, 은행 서버(420)는 사용자 인증에 성공한 이후에 제1 단말(410)에 현금 인출을 승인할 수 있다.According to another aspect, a user can withdraw cash from an ATM (Automated Teller Machine) device through an authentication process according to an embodiment. Specifically, the user can insert a card into the first terminal 410, which is an ATM device, request cash withdrawal, and input the password of the account. The bank server 420 may request the authentication server 430 to authenticate the user. The authentication server 430 may perform the authentication procedure described above and the bank server 420 may approve the cash withdrawal to the first terminal 410 after successful user authentication.

다른 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 모바일 카드를 이용하여 ATM 기기에서 현금을 인출할 수 있다. 구체적으로, 사용자는 ATM 기기인 제1 단말(410)에 제2 단말(420)을 접촉하여 제2 단말(420)의 모바일 카드를 활성화하고, 모바일 카드 정보를 전달할 수 있다. 은행 서버(420)는 모바일 카드 정보에 기초하여 인증 서버(430)에 카드 인증을 요청할 수 있다. 인증 서버(430)는 앞서 설명된 인증 절차를 수행할 수 있고, 은행 서버(420)는 카드 인증에 성공한 이후에 제1 단말(410)에 현금 인출 절차를 진행시킬 수 있다. 그 이후에, 사용자는 제1 단말(410)에 현금 인출을 요청하고, 제2 단말(420)에 계좌의 비밀번호를 입력할 수 있다. 은행 서버(420)는 인증 서버(430)에 사용자 인증을 요청할 수 있다. 인증 서버(430)는 앞서 설명된 인증 절차를 수행할 수 있고, 은행 서버(420)는 사용자 인증에 성공한 이후에 제1 단말(410)에 현금 인출을 승인할 수 있다.According to another aspect, the user can withdraw cash from the ATM device using the mobile card through the authentication process according to the embodiment. Specifically, the user can activate the mobile card of the second terminal 420 by contacting the first terminal 410, which is an ATM device, with the second terminal 420, and can transmit the mobile card information. The bank server 420 may request the authentication server 430 to authenticate the card based on the mobile card information. The authentication server 430 may perform the authentication procedure described above and the bank server 420 may proceed the cash withdrawal procedure to the first terminal 410 after the card authentication is successful. Thereafter, the user can request cash withdrawal from the first terminal 410 and input the password of the account to the second terminal 420. The bank server 420 may request the authentication server 430 to authenticate the user. The authentication server 430 may perform the authentication procedure described above and the bank server 420 may approve the cash withdrawal to the first terminal 410 after successful user authentication.

도 5는 일 실시예에 따른 카드 서비스를 위한 인증 과정을 설명하기 위한 도면이다. 사용자는 실시예에 따른 인증 과정을 통해 카드 서비스를 이용할 수 있다. 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 온라인 결제 서비스를 이용할 수 있다. 구체적으로, 사용자는 제1 단말(510)을 통해 온라인 쇼핑몰에서 구매 상품을 결정하고, 구매 상품에 대한 결제를 위해 제1 단말(510)에 결제 정보를 입력할 수 있다. 결제 정보는 카드 정보나 휴대폰 결제 정보 등을 포함할 수 있다. 쇼핑몰 서버(520)는 결제대행 서버(530)나 거래승인 서버(540)로 결제 정보를 전달하고, 결제대행 서버(530)나 거래승인 서버(540)는 인증 서버(550)에 사용자 인증을 요청할 수 있다. 인증 서버(550)는 보안 터널(580)을 생성하고, 보안 터널(580)을 통해 제2 단말(560)과 OTP 정보 및 응답 정보를 교환함으로써, 사용자를 인증할 수 있다. 인증 서버(550)는 인증 장치(551), 관리 장치(552) 및 보안 게이트웨이(553)를 통해 앞서 설명된 인증 절차를 수행할 수 있다. 인증 서버(550)는 결제대행 서버(530)나 거래승인 서버(540)로 인증 결과를 전달할 수 있다. 사용자 인증에 성공한 이후에 구매 상품에 대한 결제는 완료될 수 있다.5 is a diagram for explaining an authentication process for a card service according to an embodiment. The user can use the card service through the authentication process according to the embodiment. According to one aspect, the user can use the online settlement service through the authentication process according to the embodiment. Specifically, the user can determine the purchase item in the online shopping mall through the first terminal 510 and input the payment information to the first terminal 510 for payment for the purchase item. The payment information may include card information, mobile payment information, and the like. The shopping mall server 520 delivers the payment information to the payment agent server 530 or the transaction approval server 540 and the payment agent server 530 or the transaction approval server 540 requests the authentication server 550 to authenticate the user . The authentication server 550 can authenticate the user by creating a secure tunnel 580 and exchanging OTP information and response information with the second terminal 560 via the secure tunnel 580. [ The authentication server 550 can perform the above-described authentication procedure through the authentication device 551, the management device 552, and the security gateway 553. [ The authentication server 550 can transmit the authentication result to the payment agent server 530 or the transaction approval server 540. [ After the user authentication is successful, the payment for the purchased product may be completed.

다른 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 오프라인 신용카드 결제를 이용할 수 있다. 구체적으로, 사용자는 카드 단말기인 제1 단말(510)을 통해 카드 정보를 입력할 수 있고, 제1 단말(510)은 거래승인 서버(540)로 카드 정보를 전달할 수 있다. 거래승인 서버(540)는 인증 서버(550)에 사용자 인증을 요청할 수 있다. 인증 서버(550)는 보안 터널(580)을 생성하고, 보안 터널(580)을 통해 제2 단말(560)과 OTP 정보 및 응답 정보를 교환함으로써, 사용자를 인증할 수 있다. 인증 서버(550)는 거래승인 서버(540)로 인증 결과를 전달할 수 있고, 사용자 인증에 성공한 이후에 카드 결제가 완료될 수 있다.According to another party, the user can use the offline credit card payment through the authentication process according to the embodiment. Specifically, the user can input the card information through the first terminal 510, which is a card terminal, and the first terminal 510 can transmit the card information to the transaction approval server 540. The transaction approval server 540 may request the authentication server 550 to authenticate the user. The authentication server 550 can authenticate the user by creating a secure tunnel 580 and exchanging OTP information and response information with the second terminal 560 via the secure tunnel 580. [ The authentication server 550 can transmit the authentication result to the transaction approval server 540, and after the user authentication is successful, the card settlement can be completed.

다른 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 ATM 기기에서 현금 서비스를 이용할 수 있다. 구체적으로, 사용자는 ATM 기기인 제1 단말(510)에 카드를 삽입하고, 현금 서비스를 요청하고, 카드의 비밀번호를 입력할 수 있다. 거래승인 서버(540)는 인증 서버(550)에 사용자 인증을 요청할 수 있다. 인증 서버(550)는 앞서 설명된 인증 절차를 수행할 수 있고, 거래승인 서버(540)은 사용자 인증에 성공한 이후에 제1 단말(510)에 현금 서비스를 승인할 수 있다.According to another aspect, the user can use the cash service in the ATM device through the authentication process according to the embodiment. Specifically, the user inserts a card into the first terminal 510, which is an ATM device, requests a cash service, and inputs a password of the card. The transaction approval server 540 may request the authentication server 550 to authenticate the user. The authentication server 550 can perform the authentication procedure described above and the transaction approval server 540 can approve the cash service to the first terminal 510 after successful user authentication.

도 6은 일 실시예에 따른 증권 서비스를 위한 인증 과정을 설명하기 위한 도면이다. 사용자는 실시예에 따른 인증 과정을 통해 증권 서비스를 이용할 수 있다. 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 온라인 주식 거래 서비스를 이용할 수 있다. 구체적으로, 사용자는 제1 단말(610)에 증권사 홈페이지의 접속을 위한 로그인 정보를 입력할 수 있다. 로그인 정보는 아이디, 패스워드나 공인인증서 등을 포함할 수 있다. 사용자의 로그인에 성공한 이후에 2차 인증이 수행될 수 있다. MTS(Mobile Trading Service) 서버(620)는 인증 서버(630)에 2차 인증을 요청할 수 있다. 인증 서버(630)는 보안 터널(650)을 생성하고, 보안 터널(650)을 통해 제2 단말(640)과 OTP 정보 및 응답 정보를 교환함으로써, 사용자를 인증할 수 있다. 인증 서버(630)는 인증 장치(631), 관리 장치(632) 및 보안 게이트웨이(633)를 통해 앞서 설명된 인증 절차를 수행할 수 있다. 인증 서버(630)는 MTS 서버(620)에 인증 결과를 전달할 수 있다. 사용자는 2차 인증에 성공한 이후에 주식 계좌를 이용하여 주식 거래를 진행할 수 있다.6 is a diagram for explaining an authentication procedure for a security service according to an embodiment. The user can use the securities service through the authentication process according to the embodiment. According to one aspect, the user can use the online stock trading service through the authentication process according to the embodiment. Specifically, the user can input login information for accessing the securities company website to the first terminal 610. The login information may include an ID, a password, or an authorized certificate. Secondary authentication can be performed after the user's login is successful. The MTS (Mobile Trading Service) server 620 may request the authentication server 630 for secondary authentication. The authentication server 630 can authenticate the user by creating a secure tunnel 650 and exchanging OTP information and response information with the second terminal 640 via the secure tunnel 650. [ The authentication server 630 can perform the above-described authentication procedure through the authentication device 631, the management device 632, and the security gateway 633. [ The authentication server 630 may forward the authentication result to the MTS server 620. [ The user can proceed with the stock transaction using the stock account after the second authentication succeeds.

도 7은 일 실시예에 따른 공공 서비스를 위한 인증 과정을 설명하기 위한 도면이다. 사용자는 실시예에 따른 인증 과정을 통해 공공 서비스를 이용할 수 있다. 일 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 공공 서비스를 위한 온라인 인증을 수행할 수 있다. 구체적으로, 사용자는 제1 단말(710)에 공공 기관의 홈페이지의 접속을 위한 로그인 정보를 입력할 수 있다. 로그인 정보는 아이디, 패스워드나 공인인증서 등을 포함할 수 있다. 사용자의 로그인에 성공한 이후에 2차 인증이 수행될 수 있다. 민원 서버(720)는 인증승인 서버(730)를 통하여 인증 서버(740)에 2차 인증을 요청할 수 있다. 인증 서버(740)는 보안 터널(750)을 생성하고, 보안 터널(750)을 통해 제2 단말(740)과 OTP 정보 및 응답 정보를 교환함으로써, 사용자를 인증할 수 있다. 인증 서버(740)는 인증 장치(741), 관리 장치(742) 및 보안 게이트웨이(743)를 통해 앞서 설명된 인증 절차를 수행할 수 있다. 인증 서버(740)는 인증승인 서버(730)에 인증 결과를 전달할 수 있다. 사용자는 2차 인증에 성공한 이후에 공공 기관의 홈페이지에 대한 로그인에 성공할 수 있다.7 is a diagram for explaining an authentication process for a public service according to an embodiment. The user can use the public service through the authentication process according to the embodiment. According to one aspect, the user can perform online authentication for public services through the authentication process according to the embodiment. Specifically, the user can input login information for accessing the home page of the public institution to the first terminal 710. [ The login information may include an ID, a password, or an authorized certificate. Secondary authentication can be performed after the user's login is successful. The complaint server 720 can request the authentication server 740 for the secondary authentication through the authentication approval server 730. [ The authentication server 740 may create a secure tunnel 750 and authenticate the user by exchanging OTP information and response information with the second terminal 740 via the secure tunnel 750. The authentication server 740 can perform the authentication procedures described above through the authentication device 741, the management device 742, and the security gateway 743. [ The authentication server 740 can forward the authentication result to the authentication approval server 730. [ After successful secondary authentication, the user can successfully login to the homepage of the public institution.

다른 측에 따르면, 사용자는 실시예에 따른 인증 과정을 통해 공공 서비스를 위한 모바일 인증을 수행할 수 있다. 구체적으로, 사용자는 제2 단말(750)에 공공 기관의 홈페이지의 접속을 위한 로그인 정보를 입력할 수 있다. 사용자의 로그인에 성공한 이후에 2차 인증이 수행될 수 있다. 인증승인 서버(730)는 인증 서버(740)에 2차 인증을 요청할 수 있다. 인증 서버(740)는 앞서 설명된 인증 절차를 수행할 수 있고, 인증승인 서버(740)는 2차 인증에 성공한 이후에 제2 단말(740)에 사용자 로그인을 승인할 수 있다.According to another aspect, a user may perform mobile authentication for public services through an authentication process according to an embodiment. Specifically, the user can input login information for accessing the homepage of the public institution to the second terminal 750. [ Secondary authentication can be performed after the user's login is successful. The authentication approval server 730 may request the authentication server 740 for secondary authentication. The authentication server 740 can perform the authentication procedure described above and the authentication approval server 740 can approve the user login to the second terminal 740 after the second authentication succeeds.

전술한 예시들 이외에도, 실시예들은 다양한 형태로 변형되어 적용될 수 있다. 예를 들어, 실시예들은 시스템 내부 통제에 적용될 수 있다. 이 경우, 실시예들은 시스템 내부 통제를 위한 권한을 인증 또는 변경하는 데 이용될 수 있다. 또는, 실시예들은 멤버쉽 서비스나 상품권 서비스에 적용될 수 있다. 이 경우, 실시예들은 멤버쉽 또는 상품권의 이용자를 인증하는데 이용될 수 있다.In addition to the above-described examples, the embodiments may be modified and applied in various forms. For example, embodiments may be applied to system internal controls. In this case, embodiments may be used to authenticate or change authority for system internal control. Alternatively, embodiments may be applied to membership services or voucher services. In this case, embodiments may be used to authenticate the user of the membership or voucher.

도 8은 일 실시예에 따른 인증 서버의 인증 방법을 나타내는 동작 흐름도이다. 도 8을 참조하면, 단계(810)에서, 인증 서버는 서비스 서버로부터 제1 단말에 서비스를 제공하기 위한 인증 요청을 수신한다. 단계(820)에서, 인증 서버는 인증 요청에 기초하여 식별된 제2 단말과의 통신을 위한 보안 터널을 생성한다. 단계(830)에서, 인증 서버는 보안 터널을 통해 제2 단말로 OTP 정보를 전송한다. 단계(840)에서, 인증 서버는 보안 터널을 통해 제2 단말로부터 OTP 정보에 대한 응답 정보를 수신한다. 단계(850)에서, 인증 서버는 응답 정보에 기초하여 인증 여부를 결정한다. 인증 서버의 동작에는 앞서 설명된 내용이 그대로 적용될 수 있으므로 보다 상세한 설명은 생략한다.8 is a flowchart illustrating an authentication method of an authentication server according to an embodiment. Referring to FIG. 8, in step 810, the authentication server receives an authentication request from a service server to provide a service to the first terminal. In step 820, the authentication server generates a secure tunnel for communication with the identified second terminal based on the authentication request. In step 830, the authentication server transmits the OTP information to the second terminal through the secure tunnel. In step 840, the authentication server receives response information for the OTP information from the second terminal through the secure tunnel. In step 850, the authentication server determines whether or not to authenticate based on the response information. The operation of the authentication server can be applied to the operation of the authentication server described above, so that a detailed description thereof will be omitted.

도 9는 일 실시예에 따른 단말의 인증 방법을 나타내는 동작 흐름도이다. 도 9를 참조하면, 단계(910)에서, 단말은 인증 서버로부터 보안 터널에 관한 정보를 수신한다. 단계(920)에서, 단말은 보안 터널을 통해 인증 서버로부터 OTP 정보를 수신한다. 단계(930)에서, 단말은 사용자로부터 OTP 정보에 대한 응답 정보를 수신한다. 단계(940)에서, 단말은 응답 정보를 보안 터널을 통해 인증 서버로 전송한다. 단말의 동작에는 앞서 설명된 내용이 그대로 적용될 수 있으므로 보다 상세한 설명은 생략한다.9 is a flowchart illustrating an authentication method of a UE according to an embodiment of the present invention. Referring to FIG. 9, in step 910, the terminal receives information about the secure tunnel from the authentication server. In step 920, the terminal receives the OTP information from the authentication server via the secure tunnel. In step 930, the terminal receives response information for OTP information from the user. In step 940, the terminal transmits the response information to the authentication server through the secure tunnel. Since the above-described contents can be directly applied to the operation of the terminal, detailed description will be omitted.

도 10은 일 실시예에 따른 인증 어플리케이션이 인증 데이터 외 IP 트래픽을 차단하는 동작을 설명하는 도면이다. 도 10을 참조하면, 인증 단말(1000)은 복수의 프로세스들(1011, 1012, 1013 및 1014), TCP/IP 프로토콜 스택(1020), 가상 사설 망 인터페이스(1040), 인증 어플리케이션(1030) 및 물리적 네트워크 인터페이스(1050)로 구현될 수 있다.10 is a view for explaining an operation in which an authentication application according to an embodiment blocks IP traffic other than authentication data. 10, the authentication terminal 1000 includes a plurality of processes 1011, 1012, 1013, and 1014, a TCP / IP protocol stack 1020, a virtual private network interface 1040, an authentication application 1030, Network interface 1050 as shown in FIG.

프로세스(1011, 1012, 1013 또는 1014)로부터 외부로 전송되는 출력 패킷과 외부로부터 프로세스(1011, 1012, 1013 또는 1014)로 수신되는 입력 패킷은 모두 인증 어플리케이션(1030)을 통하여 제어될 수 있다.Output packets transmitted from the process 1011, 1012, 1013, or 1014 to the outside and input packets received from the outside to the process 1011, 1012, 1013, or 1014 may all be controlled through the authentication application 1030.

인증 어플리케이션(1030)은 인증을 위한 패킷을 제외한 모든 데이터 트래픽을 일시적으로 차단함으로써, RCS(remote computing service) 등 악성 프로그램에 의한 데이터의 전달을 차단할 수 있다. 인증 어플리케이션(1030)은 패킷의 유형에 따라 전송 여부를 결정할 수 있다. 예를 들어, 인증 어플리케이션(1030)은 인증용 패킷을 제외한 모든 패킷을 드랍 처리할 수 있다.The authentication application 1030 may temporarily block all data traffic except the packet for authentication, thereby blocking data transmission by a malicious program such as a remote computing service (RCS). The authentication application 1030 can determine whether to transmit according to the type of packet. For example, the authentication application 1030 may drop all packets except the authentication packet.

도 11은 일 실시예에 따른 인증 서버 장애 시 비상 대처 프로세스를 설명하는 도면이다. 도 11을 참조하면, 인증 서버(1130) 혹은 네트워크에 장애가 발생하는 경우에도 모든 서비스가 중단되는 상황이 방지될 수 있다.11 is a view for explaining an emergency response process in case of an authentication server failure according to an embodiment. Referring to FIG. 11, it is possible to prevent a situation where all services are stopped even when a failure occurs in the authentication server 1130 or the network.

보다 구체적으로, 인증 요청 서버(1120)(예를 들어, 뱅킹 서버)와 인증 단말(1140)은 이전에 마지막으로 발급된 OTP를 저장할 수 있다. 인증 요청 서버(1120)는 주기적으로 인증 서버(1130) 혹은 네트워크의 장애 여부를 체크함으로써, 인증 서버(1130) 혹은 네트워크에 장애가 발생하는 것을 인지할 수 있다.More specifically, the authentication request server 1120 (e.g., a banking server) and the authentication terminal 1140 may store the lastly issued OTP. The authentication request server 1120 periodically checks whether the authentication server 1130 or the network has failed or not, thereby recognizing that the authentication server 1130 or the network has failed.

인증 서버(1130) 혹은 네트워크의 장애를 인지하면, 인증 요청 서버(1120)는 서비스 단말(1110)에 인증 정보를 입력 받는 인터페이스를 표시할 수 있다. 사용자는 인증 단말(1140)을 구동하여 이전 마지막 OTP를 확인하고, 인증 단말(1140)에 저장된 OTP를 서비스 단말(1110)에 입력할 수 있다.When the authentication server 1130 or the network detects a failure, the authentication request server 1120 may display an interface for inputting authentication information to the service terminal 1110. [ The user can operate the authentication terminal 1140 to confirm the last OTP and input the OTP stored in the authentication terminal 1140 to the service terminal 1110. [

인증 요청 서버(1120)는 이전에 마지막으로 발급된 OTP를 저장하고 있으므로, 저장 중인 OTP와 서비스 단말(1110)을 통하여 입력되는 OTP를 비교함으로써 사용자 인증을 수행할 수 있다. 전술한 비상 대체 프로세스를 통하여, 인증 서버(1130) 혹은 네트워크에 장애가 발생하는 경우에도 인증 서비스가 중단되는 상황이 방지될 수 있다.Since the authentication request server 1120 stores the last issued OTP, the authentication request server 1120 can perform user authentication by comparing the OTP stored in the OTP with the OTP input through the service terminal 1110. [ Through the above-described emergency replacement process, a situation in which the authentication server 1130 or the authentication service is stopped even when a failure occurs in the network can be prevented.

이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The embodiments described above may be implemented in hardware components, software components, and / or a combination of hardware components and software components. For example, the devices, methods, and components described in the embodiments may be implemented within a computer system, such as, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, such as an array, a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.Although the embodiments have been described with reference to the drawings, various technical modifications and variations may be applied to those skilled in the art. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

Claims (1)

서비스 서버로부터 제1 단말에 서비스를 제공하기 위한 인증 요청을 수신하는 단계;
상기 인증 요청에 기초하여 식별된 제2 단말과의 통신을 위한 보안 터널을 생성하는 단계;
상기 보안 터널을 통해 상기 제2 단말로 OTP 정보를 전송하는 단계;
상기 보안 터널을 통해 상기 제2 단말로부터 상기 OTP 정보에 대한 응답 정보를 수신하는 단계; 및
상기 응답 정보에 기초하여 인증 여부를 결정하는 단계
를 포함하는, 인증 서버의 인증 방법.Receiving an authentication request from a service server to provide a service to a first terminal;
Generating a secure tunnel for communication with the identified second terminal based on the authentication request;
Transmitting OTP information to the second terminal through the secure tunnel;
Receiving response information for the OTP information from the second terminal through the secure tunnel; And
Determining whether to authenticate based on the response information
The authentication method comprising the steps of:
KR1020170143662A 2015-11-20 2017-10-31 Verification mehod and appratus based on security tunnel KR102011763B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020150163551 2015-11-20
KR20150163551 2015-11-20

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020160022042A Division KR101795450B1 (en) 2015-11-20 2016-02-24 Verification mehod and appratus based on security tunnel

Publications (2)

Publication Number Publication Date
KR20170124510A true KR20170124510A (en) 2017-11-10
KR102011763B1 KR102011763B1 (en) 2019-08-19

Family

ID=58717537

Family Applications (4)

Application Number Title Priority Date Filing Date
KR1020160022042A KR101795450B1 (en) 2015-11-20 2016-02-24 Verification mehod and appratus based on security tunnel
KR1020160155150A KR101795451B1 (en) 2015-11-20 2016-11-21 Method and apparatus for controling security of target device using security tunnel
KR1020170143662A KR102011763B1 (en) 2015-11-20 2017-10-31 Verification mehod and appratus based on security tunnel
KR1020170143917A KR101969752B1 (en) 2015-11-20 2017-10-31 Method and apparatus for controling security of target device using security tunnel

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020160022042A KR101795450B1 (en) 2015-11-20 2016-02-24 Verification mehod and appratus based on security tunnel
KR1020160155150A KR101795451B1 (en) 2015-11-20 2016-11-21 Method and apparatus for controling security of target device using security tunnel

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020170143917A KR101969752B1 (en) 2015-11-20 2017-10-31 Method and apparatus for controling security of target device using security tunnel

Country Status (2)

Country Link
KR (4) KR101795450B1 (en)
WO (1) WO2017086757A1 (en)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101976168B1 (en) * 2017-06-19 2019-05-10 (주)엔에스비욘드 Method for performing login or service use based on two channel and apparatus for performing the same
KR102027326B1 (en) * 2018-11-13 2019-11-14 주식회사 한줌 Security system and method for smart terminal device
KR102150484B1 (en) 2019-11-28 2020-09-01 주식회사 넷앤드 An access authentication system using onetime password for enhancing security
JPWO2021240755A1 (en) * 2020-05-28 2021-12-02
KR102236656B1 (en) * 2020-06-23 2021-04-07 주식회사 이노스코리아 Secured communication device providing secured connection having multiple functions and method for operating thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090013618A (en) * 2007-08-02 2009-02-05 주식회사 제이디씨텍 Door lock opening and shutting system using one time password
KR20130008123A (en) * 2011-07-11 2013-01-22 주식회사 비즈모델라인 Method and system for operating a payment by using dynamic determined authentication number, mobile device
KR20150034147A (en) * 2015-02-16 2015-04-02 (주)엔텔스 NETWORK SYSTEM FOR PROVIDING SERVICE INFORMATION USING IPSec PROTOCOL AND TRANSMITTING METHOD OF SERVICE INFORMATION USING IPSec PROTOCOL

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110038563A (en) * 2009-10-08 2011-04-14 최운호 Method, vehicle terminal, biometrics card and system for controlling vehicle through authenticating driver, and method for providing passenger protecting/tracking function using biometrics card and terminal
KR101211477B1 (en) * 2011-08-31 2012-12-12 주식회사 아이레보 Method for mobile-key service
KR101259546B1 (en) * 2011-11-04 2013-04-30 주식회사 아이레보 Method for smart-key service
WO2014157770A1 (en) * 2013-03-26 2014-10-02 주식회사 은광시스템 Method for authenticating entrance and exit by using digital door lock and wireless communication terminal, and apparatus therefor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090013618A (en) * 2007-08-02 2009-02-05 주식회사 제이디씨텍 Door lock opening and shutting system using one time password
KR20130008123A (en) * 2011-07-11 2013-01-22 주식회사 비즈모델라인 Method and system for operating a payment by using dynamic determined authentication number, mobile device
KR20150034147A (en) * 2015-02-16 2015-04-02 (주)엔텔스 NETWORK SYSTEM FOR PROVIDING SERVICE INFORMATION USING IPSec PROTOCOL AND TRANSMITTING METHOD OF SERVICE INFORMATION USING IPSec PROTOCOL

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
모바일 컨버전스, 'Trusted pass, 간편하고 안전한 인증 솔루션'(2015.10.01.)* *

Also Published As

Publication number Publication date
KR20170059359A (en) 2017-05-30
KR101795450B1 (en) 2017-11-09
KR101795451B1 (en) 2017-11-09
KR20170124511A (en) 2017-11-10
KR20170059426A (en) 2017-05-30
WO2017086757A1 (en) 2017-05-26
KR101969752B1 (en) 2019-04-17
KR102011763B1 (en) 2019-08-19

Similar Documents

Publication Publication Date Title
KR102382474B1 (en) System and method for establishing trust using secure transmission protocols
KR102358546B1 (en) System and method for authenticating a client to a device
RU2537795C2 (en) Trusted remote attestation agent (traa)
RU2523304C2 (en) Trusted integrity manager (tim)
KR102011763B1 (en) Verification mehod and appratus based on security tunnel
US11824998B2 (en) System and method for software module binding
US20160117673A1 (en) System and method for secured transactions using mobile devices
US20130219481A1 (en) Cyberspace Trusted Identity (CTI) Module
US9332007B2 (en) Method for secure, entryless login using internet connected device
JP6979966B2 (en) Account linking and service processing Providing methods and devices
US20140019364A1 (en) Anytime validation tokens
RU2560810C2 (en) Method and system for protecting information from unauthorised use (versions thereof)
JP2012503229A (en) Apparatus, system and computer program for authorizing server operation
EP3959628B1 (en) Trusted customer identity systems and methods
US11461565B2 (en) Apparatus and methods for remote controlled cold storage of digital assets using near field communication tags
US11822638B1 (en) Multi-channel authentication using smart cards
CN108604280B (en) Transaction method, transaction information processing method, transaction terminal and server
US10616262B2 (en) Automated and personalized protection system for mobile applications
Margraf et al. Security evaluation of apple pay at point-of-sale terminals
KR101976168B1 (en) Method for performing login or service use based on two channel and apparatus for performing the same
US11972419B2 (en) Method for authenticating payment data, corresponding devices and programs
Cavallari et al. Organisational Aspects and Anatomy of an Attack on NFC/HCE Mobile Payment Systems.
Arnosti et al. Secure physical access with NFC-enabled smartphones
KR101009913B1 (en) Method for providing online payment service, payment module and payment approval server
KR20200057660A (en) Method for operating account reinstating service based account key pairs, system and computer-readable medium recording the method

Legal Events

Date Code Title Description
A107 Divisional application of patent
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant