KR20170130963A - 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 - Google Patents

사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 Download PDF

Info

Publication number
KR20170130963A
KR20170130963A KR1020160061991A KR20160061991A KR20170130963A KR 20170130963 A KR20170130963 A KR 20170130963A KR 1020160061991 A KR1020160061991 A KR 1020160061991A KR 20160061991 A KR20160061991 A KR 20160061991A KR 20170130963 A KR20170130963 A KR 20170130963A
Authority
KR
South Korea
Prior art keywords
user
public key
authentication
identity verification
time
Prior art date
Application number
KR1020160061991A
Other languages
English (en)
Other versions
KR101868564B1 (ko
Inventor
김영진
서영준
범진규
김대식
Original Assignee
(주)드림시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)드림시큐리티 filed Critical (주)드림시큐리티
Priority to KR1020160061991A priority Critical patent/KR101868564B1/ko
Publication of KR20170130963A publication Critical patent/KR20170130963A/ko
Application granted granted Critical
Publication of KR101868564B1 publication Critical patent/KR101868564B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Collating Specific Patterns (AREA)

Abstract

사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 사용자 인증 장치는 사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 본인 확인부; 본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 공개키 수신부; 외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 사용자 등록부 및 상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 사용자 관리부를 포함한다.

Description

사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 {APPARATUS FOR AUTHENTICATING USER IN ASSOCIATION WITH USER-IDENTIFICATION-REGISTRATION AND LOCAL-AUTHENTICATION AND METHOD FOR USING THE SAME}
본 발명은 로컬 기반 사용자 등록 및 인증 기술에 관한 것으로 공개키기반구조(Public Key Infrastructure, PKI)의 인증 기술 및 파이도(FIDO, Fast IDentity Online) 기반 생체인식 인증 기술과도 관련이 있다.
최근 로컬 기반 사용자 인증 기술 중 하나로 지문, 홍채 및 안면인식과 같은 생체인식 인증 기술인 파이도(FIDO, Fast IDentity Online) 기반 생체인식 인증 기술이 액티브X와 공인인증서를 대체할 수 있는 효과적인 인증 기술로 주목 받고 있다. FIDO 기반 생체 인증 기술은 사용자 인증, 전자상거래 등에서 종래의 비밀번호 및 공인인증서를 대체하는 인증 수단으로 확대될 전망이다.
생체인식 인증 기술은 토큰과 같이 저장이 필요한 정보와 다르게, 사용자의 신체의 고유 정보를 이용하기 때문에 높은 편의성을 가지는 것이 장점이다. 이러한 장점으로 생체인식 인증 기술은 비대면 금융거래인 인터넷 뱅킹, 스마트 뱅킹 등 핀테크 분야에서 활용도가 높은 기술로 평가되고 있다. 금융거래 분야 외에도 단말 장치의 로그인 등 다양한 분야의 적용이 응용될 것으로 기대되고 있다.
단, 사용자 고유의 생체인식 인증 정보가 사업자의 서버에 저장될 경우, 해킹 등으로 유출되면 그 피해는 더욱 치명적일 수 있다. 일반적인 생체인식 인증 정보를 암호화 및 토큰화시켜 저장되기 때문에 유출되더라도 이를 직접 악용하기는 어렵지만, 지문과 같은 정보는 비밀번호처럼 언제든 손쉽게 변경할 수 있는 것이 아니기 때문에 큰 불편을 야기할 수 있다.
FIDO 인증 기술은 이러한 문제점을 보완하고자 생체인식 인증 정보를 사업자 서버에 저장하지 않고, 사용자 단말 장치에서 처리한 후 결과값만을 서버에서 검증 받음으로써 인증이 진행된다. 이 과정에는 공개키 기반구조(PKI) 등 기존 인증 관련 기술이 연계되어 안전한 통신을 뒷받침한다.
공개키 기반구조는 암호화와 복호화키로 구성된 공개키를 이용하여 송수신 데이터를 이용해 데이터를 암호화 하고 디지털 인증서를 통해 사용자를 인증하는 시스템에 상응한다. 공개키 방식은 키쌍(공개키 및 개인키)을 생성하여 데이터를 암호화(공개키)하고 이를 다시 풀 수 있는 열쇠(개인키)가 서로 다르기 때문에 데이터의 보안이 가능하다.
즉, 사용자의 생체인식 인증 정보와 사용자 단말 장치라는 2가지가 모두 충족되어 공개키 기반구조로 인증이 처리되기 때문에 보안성도 높다.
이와 관련하여, 한국등록특허 제 10-0876003 호 "생체정보를 이용하는 사용자 인증방법" 는 생체정보를 이용하는 사용자 인증방법에 관한 것으로서, 더욱 상세하게는 온라인 전자금융거래 등에서 사용자에 대한 인증 및 금융거래 행위, 결제 행위에 대한 전자적 인증과 전자결제 서명 등의 안전성을 확보하기 위해 생체센서를 포함하는 인증장치를 이용하여, 매 로그인 할 때 마다 사용자의 생체정보를 이용하여 실시간으로 사용자를 인증하고, 비밀키 값을 획득하여 다른 주요 키값들은 안전하게 암호화하여 저장 및 운영되도록 하는 방법을 제공함으로써, 사용자 인증장치의 변조방지 기능 및 보안 수준을 한층 더 강화시킬 수 있도록 해주는 사용자 인증방법에 관하여 개시하고 있다.
그러나, 이러한 공개키 기반의 생체인식 인증 기술 및 한국등록특허 제 10-0876003 호는 등록을 요청한 사용자를 검증하는 과정이 없이 공개키를 등록하기 때문에 기존의 공인인증서 발급과정의 사용자 검증을 하지 못하고, FIDO 인증 기술 표준에 따르면 사용자의 공개키를 장치의 개인키로 서명하여 확인하는데, 사용자의 공개키에 상응하는 개인키의 소지여부 및 공개키의 유효 여부 및 유효 기간을 확인할 수 없다는 문제점이 존재한다.
이에 따라, 등록된 사용자의 공개키에 대한 신뢰성이 낮을 수밖에 없고, 사업자 서버의 사용자 인증 과정에서의 취약점을 보완하기 위하여 생체인식 인증 또는 비밀번호확인 등의 로컬 인증 정보를 처리하는 사용자 단말 장치가 해킹 된 경우에는 여전히 보안의 위협이 존재한다.
본 발명은 공개키 기반 구조의 로컬 기반 사용자 인증 기술의 신뢰성을 향상시키는 것을 목적으로 한다.
또한, 본 발명은 사용자의 공개키의 상응하는 개인키의 사용자 소지여부를 검증하는 것을 목적으로 한다.
또한, 본 발명은 사용자의 공개키의 신뢰성을 보장하기 위하여 유효 여부 및 유효 기간을 설정하는 것을 목적으로 한다.
또한, 본 발명은 사용자의 공개키와 사용자의 연관 여부를 보증하는 것을 목적으로 한다.
또한, 본 발명은 위조된 공개키의 사용 여부에 대한 증거력을 부여하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 사용자 인증 장치는 사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 본인 확인부; 본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 공개키 수신부; 외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 사용자 등록부 및 상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 사용자 관리부를 포함한다.
이 때, 상기 사용자 인증 장치는 상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 공개키 인증부를 더 포함할 수 있다.
이 때, 상기 본인 확인 기관은 상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인부는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행할 수 있다.
이 때, 상기 사용자 식별 정보는 상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다.
이 때, 상기 공개키 수신부는 상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증할 수 있다.
이 때, 상기 공개키 수신부는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.
이 때, 상기 키쌍은 상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다.
이 때, 상기 사용자 등록부는 상기 외부의 인증 기관에 상기 공개키와 상기 사용자 식별 정보의 타임스탬프를 요청하고, 상기 공개키 및 사용자 식별 정보에 기반하여 발급된 타임스탬프 토큰, 상기 공개키 및 상기 사용자 식별 정보를 매칭하여 저장할 수 있다.
이 때, 상기 타임스탬프 토큰은 상기 외부의 인증 기관의 개인키로 전자서명한 전자서명 및 상기 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함할 수 있다.
이 때, 상기 사용자 등록부는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.
이 때, 상기 사용자 등록부는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다
이 때, 상기 사용자 등록부는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 사용자 인증 방법은 사용자 인증 장치를 이용하는 방법에 있어서, 사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 단계; 본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 단계; 외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 단계 및 상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 단계를 포함한다.
이 때, 상기 사용자 인증 방법은 상기 사용자 인증을 수행하는 단계 이전에, 상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 단계를 더 포함할 수 있다.
이 때, 상기 본인 확인 기관은 상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인 결과를 수신하는 단계는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행할 수 있다.
이 때, 상기 사용자 식별 정보는 상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다.
이 때, 상기 공개키를 검증하는 단계는 상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증할 수 있다.
이 때, 상기 공개키를 검증하는 단계는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.
이 때, 상기 키쌍은 상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다.
이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 외부의 인증 기관에 상기 공개키와 상기 사용자 식별 정보의 타임스탬프를 요청하고, 상기 공개키 및 사용자 식별 정보에 기반하여 발급된 타임스탬프 토큰, 상기 공개키 및 상기 사용자 식별 정보를 매칭하여 저장할 수 있다.
이 때, 상기 타임스탬프 토큰은 상기 외부의 인증 기관의 개인키로 전자서명한 전자서명 및 상기 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함할 수 있다.
이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.
이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다
이 때, 상기 공개키를 수신하여 저장하는 단계는 상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장할 수 있다.
본 발명은 공개키 기반 구조의 로컬 기반 사용자 인증 기술의 신뢰성을 향상시킬 수 있다.
또한, 본 발명은 사용자의 공개키의 상응하는 개인키의 사용자 소지여부를 검증할 수 있다.
또한, 본 발명은 사용자의 공개키의 신뢰성을 보장하기 위하여 유효 여부 및 유효 기간을 설정할 수 있다.
또한, 본 발명은 사용자의 공개키와 사용자의 연관 여부를 보증할 수 있다.
또한, 본 발명은 위조된 공개키의 사용 여부에 대한 증거력을 부여할 수 있다.
도 1은 본 발명의 일실시예에 따른 사용자 인증 시스템을 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 2채널을 이용한 사용자 인증 시스템을 나타낸 도면이다.
도 3은 본 발명의 일실시예에 따른 사용자 인증 장치를 나타낸 블록도이다.
도 4는 본 발명의 일실시예에 따른 사용자 인증 방법을 나타낸 동작흐름도이다.
도 5는 도 4에 도시된 본인 확인 단계의 일 예를 세부적으로 나타낸 동작 흐름도이다.
도 6은 도 4에 도시된 공개키 수신 및 검증 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 7은 도 4에 도시된 공개키의 타임 스탬프 수행 및 저장 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 8은 본 발명의 일실시예에 따른 FIDO 사용자 등록 방법을 나타낸 도면이다.
도 9는 본 발명의 일실시예에 따른 FIDO 사용자 인증 방법을 나타낸 도면이다.
도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일실시예에 따른 사용자 인증 시스템을 나타낸 도면이다. 도 2는 본 발명의 일실시예에 따른 2채널을 이용한 사용자 인증 시스템을 나타낸 도면이다.
도 1 및 2를 참조하면, 본 발명의 일실시예에 따른 사용자 인증 시스템은 사용자(10)의 사용자 단말 장치(20), 본인 확인 기관(30), 타임스탬프 서버(40) 및 사용자 인증 장치(100)을 포함한다.
사용자 단말 장치(20)는 사용자에 의해 사용되는 컴퓨터 시스템에 상응할 수 있다. 예를 들어, 사용자 단말 장치(20)는 스마트폰, 태블릿(tablet), PDA(Personal Digital Assistant), 랩톱(laptop), 데스크톱(desktop) 등과 같은 컴퓨터 시스템에 상응할 수 있다. 이 때, 사용자 단말기(20)는 로컬 인증을 통하여 공개키와 개인키의 키쌍을 생성할 수 있다.
본인 확인 기관(30)은 공증된 외부의 본인 확인 기관에 상응할 수 있고, 본인 인증 서비스를 제공할 수 있다. 예를 들어, 본인 확인 기관(30)은 본인 확인 정보가 입력 받아 본인 확인을 수행하고, 본인 확인 결과를 전송할 수 있다. 예를 들어, 본인 확인 기관(30)의 본인 확인 서비스는 아이핀과 같은 본인 확인 서비스에 상응할 수 있다.
타임스탬프 서버(40)는 외부의 공증된 인증기관에서 원격으로 타임스탬프를 수행할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.
이 때, 타임스탬프 서버(40)가 발급하는 타임스탬프는 RFC3161표준을 따르는 경우, 타임스탬프 토큰의 형태에 상응할 수 있다.
이 때, 타임스탬프 서버(40)가 발급하는 타임스탬프는 RFC3161표준을 따르지 않는 경우, 타임스탬프가 요청된 발급 시각과 데이터에 타임스탬프 서버(40)의 개인키로 전자서명하여 발급될 수도 있다.
사용자 인증 시스템은 먼저 사용자(10)가 사용자 단말 장치(20)를 통해 사용자 인증 장치(100)에 본인 확인 요청을 할 수 있다.
1. 본인 확인 요청에서 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.
2. 본인 확인 요청 전송에서 사용자(10)가 사용자 단말 장치(20)에 입력한 본인 확인 정보를 사용자 인증 장치(100)에 전송할 수 있다.
3. 본인 확인 요청 전송에서 사용자 인증 장치(100)는 사용자가 입력한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다.
4. 본인 확인에서 본인 확인 기관(30)은 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다.
5. 본인 확인 결과 전송에서 사용자 인증 장치(100)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. 이 때, 본인 확인 기관(30)은 본인 확인 결과가 성공인 경우, 사용자 식별 정보를 사용자 인증 장치(100)에 전송할 수 있다. 사용자 식별 정보는 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다.
이 때, 사용자 인증 시스템은 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.
6. 본인 확인 결과 전송에서 사용자 인증 장치(100)는 사용자 단말 장치(20)에 본인 확인 결과를 전송할 수 있다.
7. 본인 확인 결과 확인에서 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우 사용자 단말 장치(20)에 본인 확인 결과와 함께 본인 확인 코드 입력 요청이 출력될 수 있다. 본인 확인 코드 입력 요청은 본인 확인 기관(30)이 본인 확인 정보에 기반하여 사용자 인증 장치(100)을 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.
8. 사용자 인식에서 사용자(10)는 본인 확인 결과가 성공인 경우, 사용자 단말 장치(20)를 통해 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.
9. 키쌍 생성에서 사용자 단말 장치(20)는 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.
10. 공개키 수신에서 사용자 인증 장치(100)는 사용자 단말 장치(20)에서 생성된 사용자(10)의 공개키를 수신할 수 있다. 이 때, 사용자 단말 장치(20)는 공개키를 검증용 키로 암호화하여 사용자 인증 장치(100)에 전송할 수 있다.
11. 공개키 검증에서 사용자 인증 장치(100)는 키쌍에 상응하는 검증용 키로 암호화된 공개키를 수신하여 검증용 키로 복호화하여 공개키를 검증할 수 있다.
이 때, 사용자 인증 장치(100)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.
12. 공개키 타임스탬프 요청에서 사용자 인증 장치(100)는 타임스탬프를 수행하는 공증된 외부 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청할 수 있다. 이 때, 사용자 인증 장치(100)는 5. 본인 확인 결과 수신에서 수신한 사용자 식별 정보를 공개키와 함께 타임 스탬핑을 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다.
13. 공개키 타임스탬프 수행에서 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명, 타임스탬프 토큰 발급 시간을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.
14. 공개키 타임스탬프 결과 전송에서 타임스탬프 서버(40)는 발급된 타임스탬프 토큰을 사용자 인증 장치(100)에 전송할 수 있다.
15. 타임스탬핑된 공개키 저장에서 사용자 인증 장치(100)는 타임스탬프 토큰, 공개키, 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.
16. 공개키 등록 결과 전송에서 사용자 인증 장치(100)는 사용자가 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.
도 3은 본 발명의 일실시예에 따른 사용자 인증 장치를 나타낸 블록도이다.
도 3을 참조하면, 본 발명의 일실시예에 따른 사용자 인증 장치(100)는 본인 확인부(110), 정보 수신부(120), 사용자 등록부(130), 공개키 인증부(140) 및 사용자 관리부(150)을 포함한다.
이 때, 본인 확인부(110)는 사용자(10)의 본인 확인 요청을 외부의 본인 확인 기관(30)으로 제공하고, 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)을 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.
이 때, 본인 확인부(110)는 사용자 단말 장치(20)로부터 사용자(10)가 입력한 본인 확인 정보를 수신할 수 있다. 이 때, 본인 확인부(110)는 수신한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다.
본인 확인 기관(30)은 본인 확인을 수행하는 공증된 외부 기관에 상응할 수 있다. 이 때, 본인 확인 기관(30)은 수신한 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다. 이 때, 본인 확인 기관(30)은 본인 확인 결과가 성공인 경우, 사용자(10)에 상응하는 사용자 식별 정보를 생성할 수 있다. 사용자 식별 정보는 사용자(10)를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다. 이 때, 본인 확인 기관(30)은 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 본인 확인부에(110) 전송할 수 있다. 이 때, 본인 확인 기관(30)은 본인 확인 코드 입력 요청을 사용자 단말 장치(20)에 직접 요청할 수도 있다.
이 때, 본인 확인부(110)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다. 이 때, 본인 확인부(110)는 본인 확인 결과가 성공인 경우, 본인 확인 기관(30)으로부터 사용자 식별 정보를 본인 확인 결과와 함께 수신할 수 있다. 이 때, 본인 확인부(110)는 사용자 식별 정보 및 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 사용자(10)의 본인 확인을 수행할 수 있다.
이 때, 본인 확인부(110)는 본인 확인 결과가 성공이고, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 더 수신할 수 있다.
이 때, 사용자 인증 장치(100)는 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.
이 때, 본인 확인부(110)는 본인 확인 결과를 사용자 단말 장치(20)에 전송할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 사용자 단말 장치(20)는 본인 확인 결과와 함께 본인 확인 코드 입력 요청을 출력할 수 있다. 본인 확인 코드 입력 요청은 본인 확인부(110)가 본인 확인 기관(30)으로부터 수신하여 사용자 단말 장치(20)로 전송될 수도 있고, 본인 확인 기관(30)이 본인 확인 정보에 기반하여 본인 확인부(110)를 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.
사용자(10)는 본인 확인 결과가 성공인 경우, 사용자 단말 장치(20)를 통해 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.
사용자 단말 장치(20)는 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.
공개키 수신부(120)는 사용자 단말 장치(20)로부터 본인 확인된 사용자(10)에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증할 수 있다. 사용자 단말 장치(20)는 공개키를 검증용 키로 암호화하여 공개키 수신부(120)에 전송할 수 있다. 공개키 수신부(120)는 키쌍에 상응하는 검증용 키로 암호화된 공개키를 수신하여 검증용 키로 복호화하여 공개키를 검증할 수 있다.
이 때, 공개키 수신부(120)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.
사용자 등록부(130)는 외부의 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청하고, 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장할 수 있다. 외부의 인증 기관은 타임스탬프를 수행하는 공증된 인증기관에 상응할 수 있고, 원격으로 타임스탬프를 수행할 수 있도록, 타임스탬프 서버(40)를 포함할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.
이 때, 사용자 등록부(130)는 타임스탬프 서버(40)에 공개키와 사용자 식별정보를 함께 타임스탬프를 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다. 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명 및 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.
이 때, 사용자 등록부(130)는 타임스탬프 서버(40)가 발급한 타임스탬프 토큰을 수신할 수 있다, 이 때, 사용자 등록부(130)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.
이 때, 사용자 등록부(130)는 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.
이 때, 사용자 등록부(130)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.
이 때, 사용자 등록부(130)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.
이 때, 사용자 등록부(130)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.
이 때, 사용자 등록부(130)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.
공개키 인증부(140)는 타임스탬프 토큰의 발급 시간을 이용하여 공개키를 인증할 수 있다.
사용자 관리부(150)는 타임스탬프 토큰을 이용하여 사용자(10)에 상응하는 사용자 인증을 수행할 수 있다.
사용자 관리부(150)는 사용자(10)가 결제 등을 수행하는 과정에서, 사용자 단말 장치(20)가 개인키로 서명한 전자서명을 수신하여, 저장된 공개키로 전자서명을 검증하고 본인확인을 수행할 수 있다.
즉, 공개키 인증부(140)와 사용자 관리부(150)는 타임스탬프의 발급 시간에 문제가 있었던 것으로 판정되면, 발급 시간에 상응하는 타임스탬프 토큰과 매칭된 공개키 및 사용자 식별 정보를 차단할 수도 있다.
또한, 사용자 인증 장치(100)는 사용자(10)가 사용자 단말 장치(20)를 교체하고 결제 사실을 부인하는 경우, 사용자 인증 장치(100)에 저장된 공개키, 사용자 식별 정보, 타임스탬프 토큰, 결제과정에 사용된 전자서명을 이용하여 사용자(10)의 결제에 대한 부인을 방지할 수 있다.
도 4는 본 발명의 일실시예에 따른 사용자 인증 방법을 나타낸 동작흐름도이다.
도 4를 참조하면, 본 발명의 일실시예에 따른 사용자 인증 방법은 먼저 본인 확인을 수행한다(S210).
즉, 단계(S210)는 사용자(10)의 본인 확인 요청을 외부의 본인 확인 기관(30)으로 제공하고, 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다.
이 때, 단계(S210)는 먼저 사용자(10)의 사용자 단말 장치(20)로부터 본인 확인을 요청 받을 수 있다(S211).
즉, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)을 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.
또한, 단계(S210)는 본인 확인을 수행할 수 있다(S212).
즉, 단계(S212)는 본인 확인 정보에 기반하여 본인 확인 기관(30)을 통해 본인 확인을 수행할 수 있다.
이 때, 단계(S212)는 사용자 단말 장치(20)로부터 사용자(10)가 입력한 본인 확인 정보를 수신할 수 있다. 이 때, 단계(S212)는 수신한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다. 본인 확인 기관(30)은 본인 확인을 수행하는 공증된 외부 기관에 상응할 수 있다.
이 때, 단계(S212)는 본인 확인 기관(30)을 통해 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다.
또한, 단계(S210)는 본인 확인 기관(30)을 통해 본인 확인 정보의 인증 여부를 판단할 수 있다(S213).
즉, 단계(S213)는 본인 확인 기관(30)의 본인 확인 결과가 성공인 경우, 사용자(10)에 상응하는 사용자 식별 정보를 생성할 수 있다. 사용자 식별 정보는 사용자(10)를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다.
이 때 단계(S213)는 본인 확인이 실패한 경우 사용자(210)에게 본인 확인을 재요청할 수 있다(S211).
또한, 단계(S210)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다(S214).
즉, 단계(S214)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다.
이 때, 단계(S214)는 본인 확인 결과가 성공인 경우, 본인 확인 기관(30)으로부터 사용자 식별 정보를 본인 확인 결과와 함께 수신할 수 있다. 이 때, 본인 확인부(110)는 본인 확인 결과가 성공이고, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 더 수신할 수 있다.
이 때, 단계(S210)는 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.
또한, 단계(S210)는 사용자 단말 장치(20)에 본인 확인 결과를 전송할 수 있다(S215).
즉, 단계(S215)는 본인 확인 결과를 사용자 단말 장치(20)에 전송할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 단계(S215)는 2채널 인증을 수행하는 경우, 사용자 단말 장치(20)에 본인 확인 결과와 함께 본인 확인 코드 입력 요청을 출력할 수 있다. 본인 확인 코드 입력 요청은 사용자 인증 장치(100)가 본인 확인 기관(30)으로부터 수신하여 사용자 단말 장치(20)로 전송될 수도 있고, 본인 확인 기관(30)이 본인 확인 정보에 기반하여 사용자 인증 장치(100)를 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.
이 때, 단계(S215)는 사용자 식별 정보 및 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 사용자(10)의 본인 확인을 수행할 수 있다.
또한, 본 발명의 일실시예에 따른 사용자 인증 방법은 공개키를 수신 및 검증할 수 있다(S220).
즉, 단계(S220)는 먼저 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다(S221).
이 때, 단계(S221)에서 본인 확인 결과가 성공인 경우, 사용자(10)는 사용자 단말 장치(20)를 이용하여 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.
이 때, 단계(S221)는 사용자 단말 장치(20)를 이용하여 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.
또한, 단계(S220)는 공개키를 수신할 수 있다(S222).
즉, 단계(S222)는 사용자 단말 장치(20)로부터 본인 확인된 사용자(10)에 상응하여 생성된 키쌍에 상응하는 공개키를 수신할 수 있다. 이 때, 단계(S222)는 사용자 단말 장치(20)로부터 검증용 키를 이용하여 암호화된 공개키를 수신할 수 있다.
또한, 단계(S220)는 공개키를 검증할 수 있다(S223).
즉, 단계(S223)는 공개키를 암호화한 사용자 단말 장치(20)의 검증용 키를 이용하여 수신한 공개키를 복호화하여 공개키를 검증할 수 있다.
이 때, 단계(S223)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.
또한, 본 발명의 일실시예에 따른 사용자 인증 장치는 공개키의 타임스탬핑 수행하고, 타임스탬핑된 공개키를 저장할 수 있다(S230).
즉, 단계(S230)는 먼저 공개키의 타임스탬핑을 요청할 수 있다(S231).
이 때, 단계(S231)는 외부의 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청할 수 있다. 외부의 인증 기관은 타임스탬프를 수행하는 공증된 인증기관에 상응할 수 있고, 원격으로 타임스탬프를 수행할 수 있도록, 타임스탬프 서버(40)를 포함할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.
이 때, 단계(S231)는 타임스탬프 서버(40)에 공개키와 사용자 식별정보를 함께 타임스탬프를 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다. 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명 및 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.
또한, 단계(S230)는 타임스탬핑된 공개키를 저장할 수 있다(S232),
즉, 단계(S232)는 공개키에 기반하여 타임스탬프 서버(40)가 발급한 타임스탬프 토큰을 수신할 수 있다.
이 때, 단계(S232)는 수신한 타임스탬프 토큰을 저장할 수 있다, 이 때, 단계(S232)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.
또한, 단계(S230)는 공개키의 인증 유효 기간을 설정할 수 있다(S233).
즉, 단계(S233)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.
또한, 단계(S230)는 공개키의 갱신 유효 기간을 설정할 수 있다(S234).
즉, 단계(S234)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.
또한, 단계(S230)는 공개키를 리스트화하여 저장할 수 있다(S235).
즉, 단계(S235)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.
이 때, 단계(S235)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.
이 때, 단계(S235)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.
도 5는 도 4에 도시된 본인 확인 단계의 일 예를 세부적으로 나타낸 동작 흐름도이다.
도 5을 참조하면, 단계(S210)는 사용자(10)의 본인 확인 요청을 외부의 본인 확인 기관(30)으로 제공하고, 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다.
이 때, 단계(S210)는 먼저 사용자(10)의 사용자 단말 장치(20)로부터 본인 확인을 요청 받을 수 있다(S211).
즉, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)를 통해 본인 확인을 수행할 방법을 선택할 수 있다. 이 때, 단계(S211)는 사용자(10)가 사용자 단말 장치(20)을 통해 본인 확인에 필요한 정보를 입력할 수 있다. 이동통신사를 사용한 방법인 경우, 사용자(10)는 본인 확인 정보(휴대폰 번호, 이름, 생년월일 등)의 본인 확인 정보를 입력할 수 있다. 아이핀인 경우, 사용자(10)는 본인 확인 정보(아이핀 ID, 비밀번호)를 입력할 수 있다.
또한, 단계(S210)는 본인 확인을 수행할 수 있다(S212).
즉, 단계(S212)는 본인 확인 정보에 기반하여 본인 확인 기관(30)을 통해 본인 확인을 수행할 수 있다.
이 때, 단계(S212)는 사용자 단말 장치(20)로부터 사용자(10)가 입력한 본인 확인 정보를 수신할 수 있다. 이 때, 단계(S212)는 수신한 본인 확인 정보를 본인 확인 기관(30)에 전송할 수 있다. 본인 확인 기관(30)은 본인 확인을 수행하는 공증된 외부 기관에 상응할 수 있다.
이 때, 단계(S212)는 본인 확인 기관(30)을 통해 본인 확인 정보에 기반하여 본인 확인을 수행할 수 있다.
또한, 단계(S210)는 본인 확인 기관(30)을 통해 본인 확인 정보의 인증 여부를 판단할 수 있다(S213).
즉, 단계(S213)는 본인 확인 기관(30)의 본인 확인 결과가 성공인 경우, 사용자(10)에 상응하는 사용자 식별 정보를 생성할 수 있다. 사용자 식별 정보는 사용자(10)를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응할 수 있다. 이 때, 사용자의 식별 정보는 DI 및 CI의 해시값에 상응할 수도 있다.
이 때 단계(S213)는 본인 확인이 실패한 경우 사용자(210)에게 본인 확인을 재요청할 수 있다(S211).
또한, 단계(S210)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다(S214).
즉, 단계(S214)는 본인 확인 기관(30)으로부터 본인 확인 결과를 수신할 수 있다.
이 때, 단계(S214)는 본인 확인 결과가 성공인 경우, 본인 확인 기관(30)으로부터 사용자 식별 정보를 본인 확인 결과와 함께 수신할 수 있다. 이 때, 본인 확인부(110)는 본인 확인 결과가 성공이고, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청을 더 수신할 수 있다.
이 때, 단계(S210)는 사용자 단말 장치(20), 본인 확인 기관(30) 및 사용자 인증 장치(100) 사이에서 송수신되는 정보를 보호하기 위하여 SSL등의 데이터 암호화를 수행할 수도 있다.
또한, 단계(S210)는 사용자 단말 장치(20)에 본인 확인 결과를 전송할 수 있다(S215).
즉, 단계(S215)는 본인 확인 결과를 사용자 단말 장치(20)에 전송할 수 있다. 이 때, 사용자(10)는 사용자 단말 장치(20)가 출력하는 본인 확인 결과를 확인할 수 있다. 도 2를 참조하면, 단계(S215)는 2채널 인증을 수행하는 경우, 사용자 단말 장치(20)에 본인 확인 결과와 함께 본인 확인 코드 입력 요청을 출력할 수 있다. 본인 확인 코드 입력 요청은 사용자 인증 장치(100)가 본인 확인 기관(30)으로부터 수신하여 사용자 단말 장치(20)로 전송될 수도 있고, 본인 확인 기관(30)이 본인 확인 정보에 기반하여 사용자 인증 장치(100)를 경유하지 않고 직접 사용자 단말 장치(20)에 전송할 수도 있다.
이 때, 단계(S215)는 사용자 식별 정보 및 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 사용자(10)의 본인 확인을 수행할 수 있다.
도 6은 도 4에 도시된 공개키 수신 및 검증 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 6을 참조하면, 단계(S220)는 먼저 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다(S221).
이 때, 단계(S221)에서 본인 확인 결과가 성공인 경우, 사용자(10)는 사용자 단말 장치(20)를 이용하여 생체인식으로 생체 인증 정보를 입력할 수 있다. 생체 인증 정보는 홍채, 목소리, 안면 및 지문 인식 등 다양한 생체 인식 정보에 상응할 수 있다. 이 때, 사용자(10)는 생체 인식 외에 로컬 인증이 가능한 사용자 단말 장치(20)를 통해 ID, 패스워드 및 사용자에 상응하는 기타 정보를 통해서도 인증 정보를 입력할 수 있다. 도 2를 참조하면, 2채널 인증을 수행하는 경우, 본인 확인 코드 입력 요청에 기반하여 사용자(10)는 사용자 단말 장치(20)를 통해 본인 확인 코드를 입력할 수 있다. 본인 확인 코드는 SMS 인증 번호 또는 2차 비밀번호에 상응할 수 있다.
이 때, 단계(S221)는 사용자 단말 장치(20)를 이용하여 사용자(10)의 생체 인식 및 개인정보 중 어느 하나 이상에 기반하여 공개키와 개인키에 상응하는 키쌍을 생성할 수 있다. 키쌍은 사용자 단말 장치(20)를 통해 사용자(10)에 상응하는 생체 정보를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성될 수 있다. 이 때, 로컬 인증은 사용자(10)에 상응하는 기타 정보 또는 비밀번호 등의 인증 정보를 이용하여 수행될 수도 있다.
또한, 단계(S220)는 공개키를 수신할 수 있다(S222).
즉, 단계(S222)는 사용자 단말 장치(20)로부터 본인 확인된 사용자(10)에 상응하여 생성된 키쌍에 상응하는 공개키를 수신할 수 있다. 이 때, 단계(S222)는 사용자 단말 장치(20)로부터 검증용 키를 이용하여 암호화된 공개키를 수신할 수 있다.
또한, 단계(S220)는 공개키를 검증할 수 있다(S223).
즉, 단계(S223)는 공개키를 암호화한 사용자 단말 장치(20)의 검증용 키를 이용하여 수신한 공개키를 복호화하여 공개키를 검증할 수 있다.
이 때, 단계(S223)는 상기 키쌍에 상응하는 상기 개인키로 암호화된 상기 공개키를 상기 공개키로 복호화하여 상기 개인키를 검증할 수 있다.
도 7은 도 4에 도시된 공개키의 타임 스탬프 수행 및 저장 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 7을 참조하면, 단계(S230)는 먼저 공개키의 타임스탬핑을 요청할 수 있다(S231).
이 때, 단계(S231)는 외부의 인증 기관의 타임스탬프 서버(40)에 공개키의 타임스탬프를 요청할 수 있다. 외부의 인증 기관은 타임스탬프를 수행하는 공증된 인증기관에 상응할 수 있고, 원격으로 타임스탬프를 수행할 수 있도록, 타임스탬프 서버(40)를 포함할 수 있다. 타임스탬프는 어느 시점에 데이터가 존재했다는 사실을 증명하기 위하여 특정 위치에 표시하는 시각에 상응할 수 있고, 공통적으로 참고하는 시각에 대해 시간의 기점을 표시하는 시간 변위 매개 변수에 상응할 수 있다.
이 때, 단계(S231)는 타임스탬프 서버(40)에 공개키와 사용자 식별정보를 함께 타임스탬프를 요청할 수 있다. 사용자 식별 정보와 공개키를 함께 인증 기관으로부터 타임스탬프를 받은 경우, 공개키는 사용자와 연관된 것으로 신뢰성을 더욱 보장받을 수 있다. 타임스탬프 서버(40)는 공개키 타임스탬프 요청에 기반하여 타임스탬프 서버(40)의 개인키로 전자서명한 전자서명 및 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 타임스탬프 토큰을 발급할 수 있다. 타임스탬프 토큰은 RFC 3161에 기반하며, 요청된 자료에 시간과 전자서명을 부가할 수 있다.
또한, 단계(S230)는 타임스탬핑된 공개키를 저장할 수 있다(S232),
즉, 단계(S232)는 공개키에 기반하여 타임스탬프 서버(40)가 발급한 타임스탬프 토큰을 수신할 수 있다.
이 때, 단계(S232)는 수신한 타임스탬프 토큰을 저장할 수 있다, 이 때, 단계(S232)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.
또한, 단계(S230)는 공개키의 인증 유효 기간을 설정할 수 있다(S233).
즉, 단계(S233)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.
또한, 단계(S230)는 공개키의 갱신 유효 기간을 설정할 수 있다(S234).
즉, 단계(S234)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.
또한, 단계(S230)는 공개키를 리스트화하여 저장할 수 있다(S235).
즉, 단계(S235)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.
이 때, 단계(S235)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.
이 때, 단계(S235)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.
도 8은 본 발명의 일실시예에 따른 FIDO 사용자 등록 방법을 나타낸 도면이다.
도 8을 참조하면, 본 발명의 일실시예에 따른 FIDO 사용자 등록 방법은 먼저 사용자가 해당하는 사이트 또는 어플리케이션에서 FIDO 등록을 선택할 수 있다(1. REGISTRATION BEGINS). 이 때, 사용자 인증 장치(100)는 본인 확인 요청을 수신하여 본인 확인 기관(30)을 통해 사용자(10)의 본인 확인을 수행 할 수 있다.
또한, FIDO 사용자 등록 방법은 사용자 단말 장치(20)의 생체 인증을 통하여 사용자를 인증할 수 있다(2. USER APPROVAL). 이 때, 사용자(10)는 본인 확인 기관(30)의 본인 확인 결과가 성공인 경우, 생체 인증에 상응하는 로컬 인증을 수행할 수 있다.
또한, FIDO 사용자 등록 방법은 로컬 인증에 문제가 없을 경우, 사용자 단말 장치(20)는 공개키와 대응되는 개인키에 상응하는 키쌍을 생성할 수 있다(3. NEW KEY CREATED). 사용자 단말 장치(20)는 공개키를 검증용 키를 이용하여 암호화 하여 사용자 인증 장치(100)에 전송할 수 있다.
또한, FIDO 사용자 등록 방법은 사용자의 공개키를 등록 할 수 있다(4. REGISTRATION COMPLETE). 수신한 공개키를 검증용 키를 이용하여 복호화하고, 본인 확인 기관(30)으로부터 수신한 사용자 식별정보와 함께 외부 인증 기관의 타임스탬프 서버(40)에 타임스탬프를 요청할 수 있다. 사용자 인증 장치는 타임스탬프 서버(40)로부터 발급된 타임스탬프 토큰을 수신하여 사용자 식별정보 및 공개키와 함께 저장하여 사용자를 등록할 수 있다. 이 때, 사용자 인증 장치(100)는 타임스탬프 토큰, 공개키 및 사용자 식별 정보를 매칭하여 저장하여 사용자를 등록할 수 있다.
이 때, 사용자 인증 장치(100)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 인증 유효 기간을 설정하여 저장할 수 있다.
이 때, 사용자 인증 장치(100)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장할 수 있다.
이 때, 사용자 인증 장치(100)는 타임스탬프 토큰의 발급 시간에 기반하여 공개키를 리스트화하여 저장할 수 있다.
이 때, 사용자 인증 장치(100)는 타임스탬프 토큰, 공개키, 사용자 식별 정보, 인증 유효 기간 및 갱신 유효 기간 중 적어도 하나 이상을 이용하여 전용 인증서를 생성할 수도 있다.
이 때, 사용자 인증 장치(100)는 사용자 등록이 완료되면 사용자 등록 결과를 사용자 단말 장치(20)에 전송할 수 있다.
도 9는 본 발명의 일실시예에 따른 FIDO 사용자 인증 방법을 나타낸 도면이다.
도 9를 참조하면, 본 발명의 일실시예에 따른 FIDO 사용자 인증 방법은 먼저 사용자(10)가 사이트 및 어플리케이션 등에서 FIDO 로그인을 선택할 수 있다(1. LOGIN).
또한, FIDO 사용자 인증 방법은 사용자를 인증할 수 있다(2. USER APPROVAL). 이 때, 사용자(10)는 사용자 단말 장치(20)를 통해 사용자 등록 시 인증했던 방식과 동일한 로컬 인증 방법으로 인증을 수행할 수 있다. 예를 들어, 지문 인식으로 등록한 경우, 지문 인식으로 인증할 수 있다.
또한, FIDO 사용자 인증 방법은 전자서명을 전송할 수 있다(3. KEY SELECTED). 이 때, 사용자 단말 장치(20)는 로컬 인증이 성공인 경우, 로컬 인증에 상응하는 개인키로 로그인에 필요한 정보를 암호화한 전자서명을 사용자 인증 장치(100)에 전송할 수 있다.
또한, FIDO 사용자 인증 방법은 사용자를 인증할 수 있다(4. LOGIN COMPLETE). 사용자 인증 장치(100)는 공개키를 수신하여 사용자(10)의 전자서명을 검증할 수 있다. 이 때, 사용자 인증 장치(100)는 전자서명 검증에 수행되는 공개키를 전자 서명 검증 이전에 타임스탬프 토큰 발급 시간에 기반하여 문제가 없는지 미리 확인 할 수 있다. 즉, 사용자 인증 장치(100)는 타임스탬프 토큰 발급 시간, 인증 유효 기간, 갱신 유효 기간 중 적어도 하나 이상을 이용하여 공개키를 검증한 후, 공개키가 문제가 없는 경우 수신한 전자서명을 복호화 할 수 있다.
도 10은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.
도 10을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 10에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 입력 장치(1140), 사용자 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.
이상에서와 같이 본 발명에 따른 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
10: 사용자 20: 사용자 단말 장치
30: 본인 확인 기관 40: 타임스탬프 서버
100: 사용자 인증 장치 110: 본인 확인부
120: 정보 수신부 130: 사용자 등록부
140: 공개키 인증부 150: 사용자 관리부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 입력 장치 1150: 사용자 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크

Claims (22)

  1. 사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 본인 확인부;
    본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 공개키 수신부;
    외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 사용자 등록부; 및
    상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 사용자 관리부;
    를 포함하는 것을 특징으로 하는 사용자 인증 장치.
  2. 청구항 1에 있어서,
    상기 사용자 인증 장치는
    상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 공개키 인증부를 더 포함하는 것을 특징으로 하는 사용자 인증 장치.
  3. 청구항 2에 있어서,
    상기 본인 확인 기관은
    상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인부는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행하는 것을 특징으로 하는 사용자 인증 장치.
  4. 청구항 3에 있어서,
    상기 사용자 식별 정보는
    상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응하는 것을 특징으로 하는 사용자 인증 장치.
  5. 청구항 4에 있어서,
    상기 공개키 수신부는
    상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증하는 것을 특징으로 하는 사용자 인증 장치.
  6. 청구항 5에 있어서,
    상기 키쌍은
    상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성되는 것을 특징으로 하는 사용자 인증 장치.
  7. 청구항 6에 있어서,
    상기 사용자 등록부는
    상기 외부의 인증 기관에 상기 공개키와 상기 사용자 식별 정보의 타임스탬프를 요청하고, 상기 공개키 및 사용자 식별 정보에 기반하여 발급된 타임스탬프 토큰, 상기 공개키 및 상기 사용자 식별 정보를 매칭하여 저장하는 것을 특징으로 하는 사용자 인증 장치.
  8. 청구항 7에 있어서,
    상기 타임스탬프 토큰은
    상기 외부의 인증 기관의 개인키로 전자서명한 전자서명 및 상기 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 사용자 인증 장치.
  9. 청구항 8에 있어서,
    상기 사용자 등록부는
    상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장하는 것을 특징으로 하는 사용자 인증 장치.
  10. 청구항 9에 있어서,
    상기 사용자 등록부는
    상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장하는 것을 특징으로 하는 사용자 인증 장치.
  11. 청구항 10에 있어서,
    상기 사용자 등록부는
    상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장하는 것을 특징으로 하는 사용자 인증 장치.
  12. 사용자 인증 장치를 이용하는 방법에 있어서,
    사용자의 본인 확인 요청을 외부의 본인 확인 기관으로 제공하고, 상기 본인 확인 기관으로부터 본인 확인 결과를 수신하는 단계;
    본인 확인된 상기 사용자에 상응하여 생성된 키쌍에 상응하는 공개키를 수신하고, 상기 공개키를 검증하는 단계;
    외부의 인증 기관에 상기 공개키의 타임스탬프를 요청하고, 상기 공개키에 기반하여 발급된 타임스탬프 토큰을 수신하여 저장하는 단계; 및
    상기 타임스탬프 토큰을 이용하여 상기 사용자에 상응하는 사용자 인증을 수행하는 단계;
    를 포함하는 것을 특징으로 하는 사용자 인증 방법.
  13. 청구항 12에 있어서,
    상기 사용자 인증 방법은
    상기 사용자 인증을 수행하는 단계 이전에,
    상기 타임스탬프 토큰의 발급 시간을 이용하여 상기 공개키를 인증하는 단계를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.
  14. 청구항 13에 있어서,
    상기 본인 확인 기관은
    상기 사용자에 상응하는 사용자 식별 정보를 생성하고, 상기 본인 확인부는 상기 사용자 식별 정보 및 상기 사용자로부터 입력된 본인 확인 정보 중 어느 하나 이상에 기반하여 상기 사용자의 본인 확인을 수행하는 것을 특징으로 하는 사용자 인증 방법.
  15. 청구항 14에 있어서,
    상기 사용자 식별 정보는
    상기 사용자를 식별하는 중복 가입 정보(Duplication Information, DI)및 회원 연계 정보(Connecting Information, CI) 중 적어도 하나 이상에 상응하는 것을 특징으로 하는 사용자 인증 방법.
  16. 청구항 15에 있어서,
    상기 공개키를 검증하는 단계는
    상기 키쌍에 상응하는 검증용 키로 암호화된 상기 공개키를 상기 검증용 키로 복호화하여 상기 공개키를 검증하는 것을 특징으로 하는 사용자 인증 방법.
  17. 청구항 16에 있어서,
    상기 키쌍은
    상기 사용자에 상응하는 생체 정보 및 인증 정보 중 어느 하나를 이용하여 수행된 로컬 인증이 성공한 경우에만 생성되는 것을 특징으로 하는 사용자 인증 방법.
  18. 청구항 17에 있어서,
    상기 공개키를 수신하여 저장하는 단계는
    상기 외부의 인증 기관에 상기 공개키와 상기 사용자 식별 정보의 타임스탬프를 요청하고, 상기 공개키 및 사용자 식별 정보에 기반하여 발급된 타임스탬프 토큰, 상기 공개키 및 상기 사용자 식별 정보를 매칭하여 저장하는 것을 특징으로 하는 사용자 인증 방법.
  19. 청구항 18에 있어서,
    상기 타임스탬프 토큰은
    상기 외부의 인증 기관의 개인키로 전자서명한 전자서명 및 상기 타임스탬프 토큰의 발급 시간 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 사용자 인증 방법.
  20. 청구항 19에 있어서,
    상기 공개키를 수신하여 저장하는 단계는
    상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 인증 유효 기간을 설정하여 저장하는 것을 특징으로 하는 사용자 인증 방법.
  21. 청구항 20에 있어서,
    상기 공개키를 수신하여 저장하는 단계는
    상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키의 재등록을 위한 갱신 유효 기간을 설정하여 저장하는 것을 특징으로 하는 사용자 인증 방법.
  22. 청구항 21에 있어서,
    상기 공개키를 수신하여 저장하는 단계는
    상기 타임스탬프 토큰의 발급 시간에 기반하여 상기 공개키를 리스트화하여 저장하는 것을 특징으로 하는 사용자 인증 방법.
KR1020160061991A 2016-05-20 2016-05-20 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법 KR101868564B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160061991A KR101868564B1 (ko) 2016-05-20 2016-05-20 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160061991A KR101868564B1 (ko) 2016-05-20 2016-05-20 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20170130963A true KR20170130963A (ko) 2017-11-29
KR101868564B1 KR101868564B1 (ko) 2018-07-23

Family

ID=60812373

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160061991A KR101868564B1 (ko) 2016-05-20 2016-05-20 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101868564B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102196347B1 (ko) * 2020-09-21 2020-12-29 주식회사 온비즈스타 전자 결제 시스템 및 그 동작 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102391085B1 (ko) 2020-09-24 2022-04-27 박성기 사용자 기반 개인정보 대체 연계정보를 이용한 본인확인 시스템 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003087332A (ja) * 2001-09-12 2003-03-20 Nec Corp 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム
KR100910378B1 (ko) * 2008-10-06 2009-08-04 주식회사 오엘콥스 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법
KR20140000050A (ko) * 2012-06-22 2014-01-02 주식회사 케이티 이동통신단말을 이용한 차량 임대 서비스 제공 방법 및 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003087332A (ja) * 2001-09-12 2003-03-20 Nec Corp 中継接続方式およびネットワークレベル認証サーバおよびゲートウェイ装置および情報サーバおよびプログラム
KR100910378B1 (ko) * 2008-10-06 2009-08-04 주식회사 오엘콥스 암호화된 이미지를 이용한 전자증명서 발급 시스템 및 방법
KR20140000050A (ko) * 2012-06-22 2014-01-02 주식회사 케이티 이동통신단말을 이용한 차량 임대 서비스 제공 방법 및 시스템

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102196347B1 (ko) * 2020-09-21 2020-12-29 주식회사 온비즈스타 전자 결제 시스템 및 그 동작 방법

Also Published As

Publication number Publication date
KR101868564B1 (ko) 2018-07-23

Similar Documents

Publication Publication Date Title
US20220131840A1 (en) System and method for identity verification across mobile applications
CA2753039C (en) System and methods for online authentication
KR101863953B1 (ko) 전자 서명 서비스 시스템 및 방법
US11917074B2 (en) Electronic signature authentication system based on biometric information and electronic signature authentication method
KR100876003B1 (ko) 생체정보를 이용하는 사용자 인증방법
US8132722B2 (en) System and method for binding a smartcard and a smartcard reader
US10523441B2 (en) Authentication of access request of a device and protecting confidential information
US8112787B2 (en) System and method for securing a credential via user and server verification
US20090293111A1 (en) Third party system for biometric authentication
US20070118745A1 (en) Multi-factor authentication using a smartcard
KR101897715B1 (ko) 바이오정보를 이용한 패스워드 없는 전자서명 시스템
JP2007148470A (ja) 処理装置、補助情報生成装置、端末装置、認証装置及び生体認証システム
TWM623435U (zh) 使用多安全層級驗證客戶身分與交易服務之系統
US20120124378A1 (en) Method for personal identity authentication utilizing a personal cryptographic device
KR101388930B1 (ko) 분리 서명 기반의 사용자 인증 장치 및 방법
KR20200016506A (ko) 익명 디지털 아이덴티티 수립 방법
KR101868564B1 (ko) 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법
KR101856530B1 (ko) 사용자 인지 기반 암호화 프로토콜을 제공하는 암호화 시스템 및 이를 이용하는 온라인 결제 처리 방법, 보안 장치 및 거래 승인 서버
KR102056612B1 (ko) 임시 익명 인증서 생성 방법
KR101616795B1 (ko) Pki 기반의 개인키 파일 관리 방법 및 그 시스템
WO2019150273A1 (en) A system and method for maintaining a fraud risk profile in a fraud risk engine
AU2015202661B2 (en) System and methods for online authentication
TWI828001B (zh) 使用多安全層級驗證客戶身分與交易服務之系統及方法
KR101804845B1 (ko) 무선단말기에서의 otp인증방법

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant