KR20180119178A - 인증체인 기반 fido 및 인증서 등록 방법 및 장치 - Google Patents

인증체인 기반 fido 및 인증서 등록 방법 및 장치 Download PDF

Info

Publication number
KR20180119178A
KR20180119178A KR1020170052161A KR20170052161A KR20180119178A KR 20180119178 A KR20180119178 A KR 20180119178A KR 1020170052161 A KR1020170052161 A KR 1020170052161A KR 20170052161 A KR20170052161 A KR 20170052161A KR 20180119178 A KR20180119178 A KR 20180119178A
Authority
KR
South Korea
Prior art keywords
fido
certificate
authentication
server
registration
Prior art date
Application number
KR1020170052161A
Other languages
English (en)
Inventor
이미경
임종진
최성훈
한경수
용상운
Original Assignee
라온시큐어(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 라온시큐어(주) filed Critical 라온시큐어(주)
Priority to KR1020170052161A priority Critical patent/KR20180119178A/ko
Publication of KR20180119178A publication Critical patent/KR20180119178A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 사용자와 관련된 복수개의 식별자, 인증서, 인증서정보, FIDO인증용 키쌍 및 인증서서명용 키쌍 등을 여러 단계의 체인으로 얽히게 한 후 검증하는 인증체인 기반의 검증방법으로 FIDO 및 인증서 등록을 수행하는 방법과 그 장치를 제공함으로써, FIDO인증용 키와 인증서서명용 키 간에 인증체인(동일한 사용자의 키라는 증명)이 형성됨으로써 하나의 키가 유출되더라도 보안 이슈가 발생하지 않고, 사용자 입장에서는 중복 인증의 필요가 없이 단 한 번의 인증으로 간편하게 FIDO 및 인증서를 등록할 수 있으며, 서비스를 제공하는 이용기관의 입장에서도 단 한 번의 사용자인증으로 FIDO 등록 및 인증서 등록을 더욱 안전하게 수행할 수 있다.

Description

인증체인 기반 FIDO 및 인증서 등록 방법 및 장치{METHODS AND APPARATUS FOR REGISTRATION OF FIDO AND CERIFICATES BASED ON AUTHENTICATION CHAIN}
본 발명은 인증체인 기반 FIDO 및 인증서 등록 방법 및 장치에 관한 것으로, 보다 상세하게는, 이용기관(Relying Party)의 서비스를 이용하기 위해 FIDO와 인증서를 등록함에 있어서 단 한 번의 사용자 인증으로 사용자 관련 정보를 체인으로 엮은 인증체인에 기반하여 안전하게 등록하는 방법 및 장치에 관한 것이다.
은행 등의 이용기관은 사용자에게 서비스를 제공하기 위해 사용자의 신원확인 및 사용자의 부인방지를 위해 사용자의 공인인증서를 등록하여 사용하고 있다. 공인인증서를 전자서명 수단으로 사용하면, 사용자가 해당 공인인증서에 대해 미리 설정한 비밀번호를 입력함에 따라 전자서명이 완료된다. 그러나, 이러한 공인인증서에 기설정된 비밀번호를 입력하는 방법은 비밀번호를 단순한 형태로 설정함에 따라 타인에게 노출될 위험 또는 비밀번호를 서버로 전송하는 동안에 발생할 수 있는 해킹 위험이 있어 여러 문제점이 발생한다.
이를 해결하기 위해 생체인증 등의 다양한 인증 방법이 도입되었고, 그 중에서도 FIDO(Fast Identity Online) 기술은 사용자의 고유 바이오 정보를 사용자가 소지한 기기에서만 확인하여 프라이버시 위험 없이 안전하게 인증할 수 있는 표준화된 플랫폼을 제공한다. FIDO 인증 시스템 하에서는 공개키 및 개인키의 생성에 사용자가 관여하지 않음으로써, 서비스 제공자는 차후 사용자 장치가 등록하는 공개키 만으로 사용자를 특정할 수 없기 때문에, 개인정보보호에 유리하다. 그러나, 금융 거래 등 사용자를 특정해야 하는 경우에는 서비스 제공자가 사용자에 대한 신원확인 및 사용자의 행위에 대한 부인을 방지할 수 없게 되는 문제가 있다.
따라서, 공인인증서의 약점을 보완하고 FIDO 인증의 신원확인 문제를 해결하기 위해 공인인증서와 FIDO를 결합하여 인증 시스템을 구성하는 시도들이 있다. 예를 들면, FIDO인증용 개인키를 FIDO 인증과 공인인증에 모두 사용하는 방법이 있으나, 이 방법은 공인인증서의 유효기간이 지나면 FIDO 인증 등록을 다시 해야하는 불편함이 있다. 또한, 인증서서명용 개인키와 FIDO인증용 개인키를 별도로 관리하여 FIDO인증응답을 인증서서명용 개인키로 전자서명하는 결합 인증 방법도 있으나, 공인인증서가 탈취되는 경우에는 사용자의 행위에 대한 부인 방지가 불가하게 되는 문제가 있다.
KR 10-1640440 B1. KR 10-1690989 B1.
본 발명은 이용기관의 서비스를 이용하기 위해 인증서를 등록할 때, 사용자 관련 정보가 여러 단계의 체인으로 얽혀 있는 인증을 거치는 인증체인 기반 검증 방법을 사용함으로써, FIDO인증용 키와 인증서서명용 키 간에 인증체인(동일한 사용자의 키라는 증명)이 형성되어 하나의 키가 유출되더라도 보안 이슈가 발생하지 않고, 사용자 입장에서는 중복 인증의 필요가 없이 단 한 번의 인증으로 간편하게 FIDO 및 인증서를 등록할 수 있으며, 서비스를 제공하는 이용기관의 입장에서도 한 번의 사용자인증으로 FIDO 등록 및 인증서 등록을 더욱 안전하게 수행할 수 있도록 하는 방법 및 그 장치를 제공하는 것을 목적으로 한다.
상기 기술적 과제를 달성하기 위한, 본 발명의 일 실시예에 따르면, 네트워크로 연결된 FIDO클라이언트 및 FIDO서버에 의해 수행되는 인증체인 기반 FIDO 및 인증서 등록 방법에 있어서, (a) 상기 FIDO서버가 제1식별자를 포함하는 FIDO등록요청메시지를 생성하는 단계; (b) 상기 FIDO클라이언트가 인증서서명용 키쌍을 생성하는 단계; (c) 상기 FIDO클라이언트가 상기 인증서서명용 키쌍을 이용하여 공인인증서버로부터 인증서를 발급받는 단계; (d) 상기 FIDO클라이언트가 수신한 상기 FIDO등록요청메시지에 제2식별자를 추가하여 상기 FIDO등록요청메시지를 갱신하는 단계; (e) 상기 FIDO클라이언트가 사용자인증을 요청하여 상기 사용자인증이 성공하면 FIDO인증용 키쌍을 생성하고, 상기 갱신된 FIDO등록요청메시지를 상기 FIDO인증용 개인키로 서명하여 FIDO등록응답메시지를 생성하는 단계; 및 (f) 상기 FIDO서버가 상기 FIDO등록응답메시지, FIDO인증용 공개키 및 상기 제2식별자를 수신하고, 상기 FIDO인증용 공개키와 상기 제1,2식별자로 상기 FIDO등록응답메시지를 검증하는 단계를 포함하는 인증체인 기반 FIDO 및 인증서 등록 방법이 제공된다.
상기 (a)단계는, 상기 제1식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드(challenge field)에 포함시키는 단계를 포함할 수 있다.
상기 제1식별자는 상기 사용자의 개인정보 및 인증서발급용정보 중 적어도 하나를 사용하고, 상기 인증서발급용정보는 공인인증서버가 생성한 인증서발급용 인가코드 및/또는 참조번호일 수 있다.
상기 (d)단계는, 상기 제2식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 추가시켜 상기 챌린지 필드를 갱신하는 단계를 포함할 수 있다.
상기 제2식별자는 상기 인증서서명용 공개키, 상기 발급받은 인증서 및 상기 인증서에 포함된 정보 중 적어도 하나를 사용할 수 있다.
상기 (f)단계는, 상기 FIDO등록응답메시지의 챌린지 필드를 추출하는 단계; 및 상기 추출한 챌린지 필드에 상기 제1식별자 및 제2식별자가 포함되어 있는지를 검증하는 단계를 포함할 수 있다.
상기 사용자인증은 지문인식, 홍채인식, 얼굴인식, 음성인식, 뇌파인식, 심박인식, PIN, 패스워드, 인증서 인증장치 개인키 및 OTP 중 적어도 하나를 사용할 수 있다.
상기 기술적 과제를 달성하기 위한, 본 발명의 또 다른 실시예에 따르면, FIDO서버와 네트워크로 연결된 FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법에 있어서, (a) 제1식별자가 포함되어 생성된 FIDO등록요청메시지를 수신하는 단계; (b) 인증서서명용 키쌍을 생성하는 단계; (c) 상기 인증서서명용 키쌍을 이용하여 공인인증서버로부터 인증서를 발급받는 단계; (d) 상기 FIDO등록요청메시지에 제2식별자를 추가하여 상기 FIDO등록요청메시지를 갱신하는 단계; 및 (e) 사용자인증을 요청하여 상기 사용자인증이 성공하면 FIDO인증용 키쌍을 생성하고, 상기 갱신된 FIDO등록요청메시지를 상기 FIDO인증용 개인키로 서명하여 FIDO등록응답메시지를 생성하는 단계를 포함하되, 상기 FIDO등록요청메시지는 상기 FIDO서버가 생성하는 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법이 제공된다.
상기 FIDO등록요청메시지는, 상기 FIDO서버가 상기 제1식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 포함시켜 상기 FIDO등록요청메시지를 생성하는 것일 수 있다.
상기 FIDO등록응답메시지는, 상기 FIDO서버가 상기 FIDO클라이언트로부터 FIDO인증용 공개키 및 상기 제2식별자를 수신하여, 상기 FIDO인증용 공개키와 상기 제1,2식별자로 상기 FIDO등록응답메시지를 검증하는 것일 수 있다.
상기 제1식별자는 상기 사용자의 개인정보 및 인증서발급용정보 중 적어도 하나를 사용하고, 상기 인증서발급용정보는 공인인증서버가 생성한 인증서발급용 인가코드 및/또는 참조번호일 수 있다.
상기 (d)단계는, 상기 제2식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 추가시켜 상기 챌린지 필드를 갱신하는 단계를 포함할 수 있다.
상기 제2식별자는 상기 인증서서명용 공개키, 상기 발급받은 인증서 및 상기 인증서에 포함된 정보 중 적어도 하나를 사용할 수 있다.
상기 FIDO등록응답메시지의 검증은, 상기 FIDO서버가 상기 FIDO등록응답메시지의 챌린지 필드를 추출하고, 상기 추출한 챌린지 필드에 상기 제1식별자 및 제2식별자가 포함되어 있는지를 검증하는 것일 수 있다.
상기 사용자인증은 지문인식, 홍채인식, 얼굴인식, 음성인식, 뇌파인식, 심박인식, PIN, 패스워드, 인증서 인증장치 개인키 및 OTP 중 적어도 하나를 사용할 수 있다.
또한, 다른 바람직한 일 실시예에 따르면, 전술한 각 방법에 따른, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법을 실행하기 위해 설정된, 기록매체에 저장된 컴퓨터 프로그램이 제공된다.
또한, 다른 바람직한 일 실시예에 따르면, 상기 프로그램이 기록된 컴퓨터 판독 가능한 기록매체가 제공된다.
상기 기술적 과제를 달성하기 위한, 본 발명의 또 다른 바람직한 실시예에 따르면, FIDO클라이언트와 네트워크로 연결된 FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법에 있어서, 제1식별자를 포함하는 FIDO등록요청메시지를 생성하는 단계; (b) 상기 FIDO클라이언트가 전송한 FIDO등록응답메시지, FIDO인증용 공개키 및 제2식별자를 수신하는 단계; 및 (c) 상기 FIDO인증용 공개키와 상기 제1,2식별자로 상기 FIDO등록응답메시지를 검증하는 단계를 포함하되, 상기 FIDO등록응답메시지는 상기 FIDO클라이언트가 상기 제2식별자를 포함하여 생성하는 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법이 제공된다.
상기 FIDO등록응답메시지는, 상기 FIDO클라이언트가 상기 FIDO서버로부터 상기 FIDO등록요청메시지를 수신하고, 인증서서명용 키쌍을 생성하고, 상기 인증서서명용 키쌍을 이용하여 공인인증서버로부터 인증서를 발급받고, 상기 FIDO등록요청메시지에 제2식별자를 추가하여 상기 FIDO등록요청메시지를 갱신하고, 사용자인증을 요청하여 상기 사용자인증이 성공하면 FIDO인증용 키쌍을 생성하고, 상기 갱신된 FIDO등록요청메시지를 상기 FIDO인증용 개인키로 서명하여 생성한 것일 수 있다.
상기 (a)단계는, 상기 제1식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 포함시키는 단계를 포함할 수 있다.
상기 제1식별자는 상기 사용자의 개인정보 및 인증서발급용정보 중 적어도 하나를 사용하고, 상기 인증서발급용정보는 공인인증서버가 생성한 인증서발급용 인가코드 및/또는 참조번호일 수 있다.
상기 FIDO등록요청메시지는, 상기 FIDO클라이언트가 상기 제2식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 추가시켜 상기 챌린지 필드를 갱신함으로써 갱신되는 것일 수 있다.
상기 제2식별자는 상기 인증서서명용 공개키, 상기 발급받은 인증서 및 상기 인증서에 포함된 정보 중 적어도 하나를 사용할 수 있다.
상기 (c)단계는, 상기 FIDO등록응답메시지의 챌린지 필드를 추출하는 단계; 및 상기 추출한 챌린지 필드에 상기 제1식별자 및 제2식별자가 포함되어 있는지를 검증하는 단계를 포함할 수 있다.
상기 사용자인증은 지문인식, 홍채인식, 얼굴인식, 음성인식, 뇌파인식, 심박인식, PIN, 패스워드, 인증서 인증장치 개인키 및 OTP 중 적어도 하나를 사용할 수 있다.
또한, 또 다른 바람직한 일 실시예에 따르면, 전술한 각 방법에 따른 FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법을 실행하기 위해 설정된, 기록매체에 저장된 컴퓨터 프로그램이 제공된다.
또한, 또 다른 바람직한 일 실시예에 따르면, 상기 프로그램이 기록된 컴퓨터 판독 가능한 기록매체가 제공된다.
상기 기술적 과제를 달성하기 위한, 본 발명의 또 다른 바람직한 실시예에 따르면, 사용자가 이용하는 이용기관(Relying Party) 서버와 네트워크로 연결된 사용자 단말로서, FIDO클라이언트를 포함하되, 상기 FIDO클라이언트는 상기 사용자의 서비스요청에 대응하여 상기 FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법을 실행하기 위해 설정된, 기록매체에 저장된 컴퓨터 프로그램에 의해 동작하고, 상기 이용기관 서버는 상기 FIDO서버를 포함하는 것을 특징으로 하는, 사용자 단말이 제공된다.
상기 기술적 과제를 달성하기 위한, 본 발명의 또 다른 바람직한 실시예에 따르면, 사용자 단말과 네트워크로 연결된 이용기관 서버로서, FIDO서버를 포함하되, 상기 FIDO서버는 상기 사용자의 서비스요청에 대응하여 상기 FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법을 실행하기 위해 설정된, 기록매체에 저장된 컴퓨터 프로그램에 의해 동작하고, 상기 사용자 단말은 상기 FIDO클라이언트를 포함하는 것을 특징으로 하는, 이용기관 서버가 제공된다.
이상과 같이, 본 발명에 따르면, 사용자와 관련된 복수개의 식별자, FIDO인증용 키쌍 및 인증서서명용 키쌍 등을 여러 단계의 체인으로 얽히게 한 후 각 단계를 검증하게 하는 인증체인 기반의 검증방법으로 FIDO 등록 및 인증서 등록을 수행하는 방법과 그 장치를 제공함으로써, FIDO인증용 키와 인증서서명용 키 간에 인증체인(동일한 사용자의 키라는 증명)이 형성되어 하나의 키가 유출되더라도 보안 이슈가 발생하지 않고, 사용자 입장에서는 중복 인증의 필요가 없이 단 한 번의 인증으로 간편하게 FIDO 및 인증서를 등록할 수 있으며, 서비스를 제공하는 이용기관의 입장에서도 단 한 번의 사용자인증으로 FIDO 등록 및 인증서 등록을 더욱 안전하게 수행할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 시스템의 구성을 나타내는 블록도이다.
도 2는 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 사용자 단말의 구성에 대한 다양한 실시예를 나타내는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 FIDO클라이언트의 구성을 나타내는 블록도이다.
도 4는 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 이용기관 서버의 구성에 대한 다양한 실시예를 나타내는 블록도이다.
도 5는 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 인증체인의 구성을 나타내는 블록도이다.
도 6은 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도이다.
도 7은 본 발명의 다른 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도이다.
도 8은 본 발명의 또 다른 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도이다.
도 9는 본 발명의 또 다른 바람직한 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도이다.
이하, 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 하기의 설명에서는 본 발명의 실시예에 따른 동작을 이해하는데 필요한 부분만이 도시되고 설명되며 그 이외 부분의 도시와 설명은 본 발명의 요지를 흐리지 않도록 생략하였다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.
또한, 이하에서 설명되는 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니 되며, 본 발명을 가장 적절하게 표현할 수 있도록 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야 한다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우만을 한정하는 것이 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우 또는 유/무선 네트워크를 통해 유/무선으로 통신하는 경우도 포함한다. 또한, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
설명의 간략함을 위해, 본 명세서에서는 예시를 들어 순서도 또는 플로우 차트의 형태로 하나 이상의 방법이 일련의 단계로서 도시되고 기술되어 있지만, 본 발명이 단계들의 순서에 의해 제한되지 않는데 그 이유는 본 발명에 따라 본 명세서에 도시되고 기술되어 있는 것과 다른 순서로 또는 다른 단계들과 동시에 행해질 수 있기 때문이라는 것을 잘 알 것이다. 또한, 예시된 모든 단계들이 본 발명에 따라 방법을 구현해야만 하는 것은 아닐 수 있다.
명세서 전체에서 설명되는 인증과 관련된 다양한 용어를 정리해보기로 한다. 명세서에는 다양한 키가 등장하는데 인증서서명용 키쌍 및 FIDO인증용 키쌍으로 요약될 수 있다.
인증서서명용 키쌍은 공인인증서버에서 인증서를 발급받기 위한 키로서, 인증서서명용 개인키와 인증서서명용 공개키로 구분된다. 사용자 개인정보와 함께 인증서 발급을 위해 인증서발급용정보를 공인인증서버에 요청을 하면 인가코드, 참조번호 등의 인증서 발급에 필요한 정보를 수신하게 된다. 인증서서명용 키쌍은 사용자 단말에서 생성되고, 인증서서명용 개인키로 인증서서명용 공개키를 서명한다. 수신한 인가코드 및 참조번호 등을 이용하여 인증서 발급 요청을 하게 되고 이때 인증서서명용 공개키를 함께 공인인증서버에 전송하여 인증서를 발급받는다.
FIDO인증용 키쌍은 FIDO클라이언트 및 FIDO서버가 각각 서명 및 검증을 위한 키로써, FIDO인증용개인키와 FIDO인증용 공개키로 구분된다. FIDO인증용 키쌍은 FIDO클라이언트에서 생체인식 등의 사용자인증을 하여 생성이 되며, FIDO인증용 개인키는 사용자인증을 성공해야 접근이 가능하도록 되어 있다. FIDO인증용 공개키는 FIDO서버에 전달을 하여 저장을 하여 향후 FIDO인증에 사용할 수 있도록 한다.
본 명세서에서는 상기 인증 관련 내용들에 대하여 본 발명의 동작을 이해하는데 필요한 부분만을 설명하기로 한다. 또한, 본 발명은 FIDO 스펙을 준수하면서 동작하도록 고안된 것이므로, 동작의 단계마다 FIDO 스펙의 필요한 부분만을 설명하는데, 본 발명의 동작과 직접적인 관계가 없는 FIDO 스펙에 대하여는 생략하기로 한다. 예를 들어, FIDO 스펙에는 제조사가 설정하는 인증장치용 고유한 키에 대하여도 정의하고 있으나, 본 발명의 설명에서는 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 시스템의 구성을 나타내는 블록도이다.
도 1을 참조하면, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록 시스템은 사용자 단말(10), 이용기관 서버(20) 및 공인인증서버(30)를 포함하여 구성될 수 있다.
사용자 단말(10), 이용기관 서버(20) 및 공인인증서버(30)는 다양한 유선 또는 무선의 네트워크를 통해 서로 통신할 수 있다. 통신 네트워크는 이더넷 등의 유선 네트워크일 수도 있고, 와이파이 또는 이동통신망 등의 무선 네트워크 일 수도 있으나, 이에 반드시 한정되지는 않는다.
사용자 단말(10)은 휴대폰, 스마트폰, 컴퓨터, 태블릿, PC 등 다양한 기기일 수 있으며, 본 실시예에서는 스마트폰을 사용하였으나, 이에 반드시 한정되지는 않는다. 사용자 단말(10)은 이용기관 서버(20) 및 공인인증서버(30)와의 통신을 위한 다양한 유무선의 통신수단을 구비할 수 있다. 사용자 단말(10)에는 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 FIDO클라이언트가 탑재될 수 있으며, 자세한 구성은 도 2에서 설명하기로 한다.
사용자 단말(10)은 이용기관 서버(20)와는 개인정보, FIDO인증 및 등록과 관련된 통신을 수행하며, 공인인증서버(30)와는 인증서와 관련된 통신을 수행할 수 있다.
이용기관 서버(20)는 사용자가 이용하는 은행, 보험사, 온라인몰 등의 기관이 운영하는 서버로 RP서버(Relying Party Server)라고 하기도 한다. 이용기관 서버(20)는 사용자에게 각종 온라인 서비스를 제공하기 위한 서버이며, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 FIDO서버를 포함하여 구성될 수 있으며, 자세한 구성은 도 4에서 설명하기로 한다. 이용기관 서버(20)는 공인인증서버(30)와는 인증서와 관련된 통신을 수행할 수 있다.
공인인증서버(30)는 공인인증기관 또는 신용정보기관 등에서 운용하는 서버이며, 인증서 또는 공인인증서의 발급 및 서명 검증을 할 수 있다.
도 2는 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 사용자 단말(10)의 구성에 대한 다양한 실시예를 나타내는 블록도이다.
도 2(a)를 참조하면, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 사용자 단말(10)은 서비스클라이언트(11), FIDO클라이언트(12) 및 사용자인증수단(14)을 포함하여 구성될 수 있다.
서비스클라이언트(11)는 이용기관이 사용자에게 제공하는 서비스 앱 또는 프로그램일 수 있다. 사용자는 서비스클라이언트(11)를 통해 이용기관의 서비스를 접근할 수 있으며, 뱅킹 앱 등이 이에 해당하나, 이에 반드시 한정되지는 않는다. 사용자가 이용기관이 제공하는 서비스를 이용하려면, 이용기관은 사용자의 개인정보와 인증서 등록을 요구할 수 있다. 이 때 사용자는 서비스클라이언트(11)를 통해 사용자의 개인정보를 입력하고 인증서 발급을 요청할 수 있다.
서비스클라이언트(11) FIDO클라이언트(12)와 통신할 수 있으며, 이용기관 서버(20, 도4 참조)의 FIDO서버(22) 및 서비스서버(21)와 직접 통신할 수도 있다.
FIDO클라이언트(12)는 FIDO에서 요구하는 스펙을 준수하면서 FIDO 서명 및 인증과 관련된 모든 작업, 예를 들면 FIDO인증용 키의 생성, 관리 및 서명 등을 수행한다. FIDO클라이언트(12)는 FIDO와 관련된 작업을 FIDO서버(22)와 직접 통신하면서 수행할 수 있다.
또한, FIDO클라이언트(12)는 인증서 서명과 관련된 모든 작업, 예를 들면, 인증서서명용 키의 생성 및 관리, 인증서 서명 등을 수행할 수 있다.
FIDO클라이언트(12)는 서비스클라이언트(11)와 통신할 수 있으며, 이용기관 서버(20, 도4 참조)의 FIDO서버(22) 및 서비스서버(21)와 직접 통신할 수도 있다. 또한, 공인인증서 관련한 작업들을 위해 FIDO클라이언트(12)는 공인인증서버(30)와 직접 통신할 수도 있다.
사용자인증수단(14)은, FIDO클라이언트(12)가 사용자인증을 요구하면 사용자로부터 인증에 필요한 정보를 입력받아 그 정보를 FIDO클라이언트(12)에 전달할 수 있다. 그러면, FIDO클라이언트(12)는 그 정보를 저장하거나 그 정보의 진위를 검증할 수 있다.
사용자인증수단(14)은 바람직하게는 지문인식 등의 생체인식을 사용할 수 있으나, 이에 반드시 한정되지는 않는다. 예를 들어, 지문인식 외에 홍채인식, 얼굴인식, 음성인식, 뇌파인식, 심박인식 등의 다양한 생체인식 수단을 사용할 수도 있고, PIN, 패스워드, 인증서 인증장치 개인키 및 OTP(일회용 비밀번호) 등을 사용할 수도 있으며, 또한 여러 인증수단을 복합적으로 함께 사용할 수도 있다.
도 2(b)를 참조하면, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 사용자 단말(10)은 FIDO클라이언트(12) 및 사용자인증수단(14)을 포함하여 구성될 수도 있다.
도 2(b)에 도시된 사용자 단말(10)와 도 2(a)에 도시된 사용자 단말(10)의 차이점은, FIDO클라이언트(12)가 서비스클라이언트(11)의 기능을 포함할 수 있다는 점이다. 사용자가 이용기관이 제공하는 서비스를 이용하려면, 이용기관은 사용자의 개인정보와 인증서 등록을 요구할 수 있는데, 이 때 사용자는 FIDO클라이언트(12)를 통해 사용자의 개인정보를 입력하고 인증서 발급을 요청할 수 있다.
도 2(c)를 참조하면, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 사용자 단말(10)은 FIDO클라이언트(12)를 포함하여 구성되고, 사용자인증수단(14)은 별도의 장치에 구비되어 사용자 단말(10)과 연결될 수도 있다.
이상에서와 같이, 본 발명에 따른 사용자 단말(10)은 FIDO클라이언트(12)를 필수 구성으로 하며, 필요에 따라 서비스클라이언트(11) 및/또는 사용자인증수단(14)을 사용자 단말(10)의 내부 또는 외부에 구비할 수 있다.
도 3은 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 FIDO클라이언트(12)의 구성을 나타내는 블록도이다.
도 3을 참조하면, FIDO클라이언트(12)는 제어부(16), FIDO인증부(18) 및 인증서인증부(19)를 포함하여 구성될 수 있다.
FIDO인증부(18)는 사용자인증 및 FIDO인증용 키의 생성, 관리 및 서명 등 FIDO와 관련된 작업들이 수행할 수 있다. FIDO인증부(18)에는 FIDO에서 권고하는 모듈들이 포함된다. 예를 들면, FIDO ASM(Authenticator Specific Module), FIDO Authenticator 등이 포함될 수 있으며, TEE, SE, Keystore, Keychain, Trust Zone 등의 신뢰영역 또는 안전영역이 포함될 수 있다.
인증서인증부(19)는 인증서서명용 키의 생성, 관리 및 서명 등 인증서와 관련된 작업들이 수행될 수 있다. 인증서서명용 키는 인증서의 유효기간에 따라 사용 기간이 정해진다.
제어부(16)는 사용자인증수단(14)과의 인터페이스 및 FIDO인증부(18)와 인증서인증부(19)의 제어를 수행할 수 있다. 또한, 사용자와의 인터페이스도 담당할 수도 있다.
도 4는 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 이용기관 서버(20)의 구성에 대한 다양한 실시예를 나타내는 블록도이다.
도 4(a)를 참조하면, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 이용기관 서버(20)는 서비스서버(21) 및 FIDO서버(22)를 포함하여 구성될 수 있다.
서비스서버(21)와 FIDO서버(22)는 이용기관 서버(20)내에 구비되어 각각의 블록으로 구성될 수도 있고, 또는 이용기관 서버(20)내에 각각 별도의 장치로 구비될 수도 있다.
서비스서버(21)는 이용기관(또는 서비스제공자)이 사용자에게 서비스를 제공하기 위한 서버로서, 사용자 단말(10)의 요청에 따라 필요한 서비스를 제공할 수 있다. 사용자가 이용기관이 제공하는 서비스를 이용하려면, 서비스서버(21)는 사용자의 개인정보와 인증서 등록을 요구할 수 있다. 이 때 사용자는 서비스클라이언트(11) 또는 FIDO클라이언트(12)를 통해 사용자의 개인정보를 입력하고 인증서 발급을 요청할 수 있고, 서비스서버(21)는 사용자의 개인정보와 인증서 발급 요청을 수신하여, FIDO서버(22)에 사용자의 개인정보와 인증서 발급 요청을 전송할 수 있다.
또한, 서비스서버(21)는 사용자의 인증서 발급을 위해 공인인증서버(30)에 인증서발급용정보를 요청할 수 있으며, 공인인증서버(30)로부터 인증서발급용정보를 수신하여 FIDO서버(22)로 전송할 수 있다.
서비스서버(21)는 FIDO서버(22)와 통신할 수 있으며, 사용자 단말(10)의 FIDO클라이언트(12) 및 서비스클라이언트(11)와 직접 통신할 수도 있다.
FIDO서버(22)는 FIDO에서 요구하는 스펙을 준수하면서 FIDO 인증과 관련된 모든 작업, 예를 들면 FIDO인증용 공개키 관리, 서명 검증 등을 수행할 수 있다. 이를 위해, FIDO서버(22)는 사용자의 개인정보, 인증서발급용정보, 인증서정보, 인증서서명용 공개키 등을 저장 및 관리할 수 있다.
FIDO서버(22)는 서비스서버(21)와 통신할 수 있으며, 사용자 단말의 FIDO클라이언트(12) 및 서비스클라이언트(11)와 직접 통신할 수도 있다. 또한, 공인인증서 관련한 작업들을 위해 FIDO서버(22)는 공인인증서버(30)와 직접 통신할 수도 있다.
도 4(b)를 참조하면, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 이용기관 서버(20)는 FIDO서버(22)만을 포함하여 구성될 수도 있다.
도 4(b)에 도시된 이용기관 서버(20)와 도 4(a)에 도시된 이용기관 서버(20)의 차이점은, FIDO서버(22)가 서비스서버(21)의 기능을 포함할 수 있다는 점이다. 사용자는 서비스클라이언트(11) 또는 FIDO클라이언트(12)를 통해 사용자의 개인정보를 입력하고 인증서 발급을 요청할 수 있고, FIDO서버(22)는 사용자의 개인정보와 인증서 발급 요청을 수신할 수 있다. 또한, FIDO서버(22)는 사용자의 인증서 발급을 위해 공인인증서버(30)에 인증서발급용정보를 요청할 수 있으며, 공인인증서버(30)로부터 인증서발급용정보를 수신할 수도 있다.
도 5는 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록을 위한 인증체인의 구성을 나타내는 블록도이다.
인증서는 객관적이고 신뢰성 있는 공인인증기관의 인증을 받는데, 공인인증기관은 상위의 공인인증기관이 또 존재할 수 있고, 이러한 연결 관계를 인증서 체인이라고 한다. 인증서 체인은 인증기관들 사이에 매우 강력하게 연결이 되어있다. 그런데, 사용자 단말(10)과 이용기관 서버(20) 사이에도 인증서 체인이 존재한다고 할 수 있지만, 그 연결정도는 기관들의 인증서 체인에 비하여 강력하지 않다. 사용자 단말(10)과 이용기관 서버(20) 사이에 FIDO인증과 인증서인증을 결합하는 시도들이 많이 있지만, 여전이 인증서 탈취 등에는 취약한 면을 가지고 있다.
도 5를 참조하면, 본 발명에 따른 인증체인의 실시예로서, FIDO 스펙을 준수하면서 사용자관련 제1식별자(31), 사용자관련 제2식별자(33), FIDO인증용 개인키(35) 및 FIDO인증용 공개키(37) 등 복수개의 정보가 얽혀 있는 인증체인이다.
여기에서 제1식별자(31)는 FIDO서버(22)에서 체인을 구성하는 정보이고, 제2식별자(33)는 FIDO클라이언트(12)에서 체인을 구성하는 정보이다. 제1식별자(31)와 제2식별자(33)는 각각 복수개의 정보의 조합일 수도 있다.
제1식별자(31)는 FIDO서버(22)에서 사용자의 인증서발급용정보로 구성할 수 있다. 예를 들면, 사용자가 공인인증기관에서 인증서 발급을 받기위해 개인정보를 전송하면 인증기관은 인증서를 발급하기에 앞서 인가코드와 참조번호 등의 정보를 전송할 수 있다. 제1식별자(31)는 이러한 인가코드와 참조번호 등의 인증서발급용정보로 구성할 수 있다.
또한, 사용자의 개인정보, 예를 들면 전화번호, 생년월일, 주민번호, 사회보장번호 등으로 제1식별자(31)를 구성할 수도 있다.
또한, 이러한 사용자관련 정보들의 각종 조합으로 제1식별자(31)를 구성할 수도 있다. 예를 들면, 인가코드와 참조번호를 함께 제1식별자(31)로 사용할 수 있다. 제1식별자(31)는 전술한 것처럼 다양한 정보를 사용할 수 있으며, 언급한 정보들로 한정되지 않는다.
FIDO스펙을 준수하면서 제1식별자(31)를 체인으로 엮는 바람직한 방법은 FIDO등록요청메시지의 필드를 사용하는 것이다. 예를 들면, FIDO등록요청메시지 포맷의 챌린지(challenge) 필드를 사용할 수 있다. 챌린지 필드는 일반적으로 임의의 난수로 세팅하는데, 이때 챌린지 필드를 제1식별자(31)로 세팅할 수 있다. 예를 들면, 인가코드와 참조번호의 해시값과 난수를 결합한 값으로 챌린지 필드를 세팅할 수 있다. 또는, 인가코드의 해시값과 난수를 결합하여 사용할 수도 있다. 이외에도 다양한 방법으로 제1식별자(31)를 체인으로 사용할 수 있으며, 언급한 방법들로 한정되지 않는다.
제2식별자(33)는 FIDO클라이언트(12)에서 구성하는 정보로서 사용자의 또 다른 정보를 사용할 수 있다. 예를 들면, 사용자의 인증서서명용 공개키를 사용할 수 있다. FIDO서버(22)에서 생성한 FIDO등록요청메시지의 챌린지 필드에 제1식별자(31)가 세팅되어 있다면, 이 챌린지 필드에 인증서서명용 공개키를 해시하여 추가로 결합하여 챌린지 필드를 갱신할 수 있다.
다른 바람직한 실시예로는, 제2식별자(33)로서 사용자의 인증서를 사용할 수 있다. FIDO 사용자인증을 받기 전에, 공인인증기관으로부터 인증서 발급을 받고, 수신한 인증서를 해시하여 챌린지 필드에 추가로 결합하여 챌린지 필드를 갱신할 수 있다.
또 다른 바람직한 일 실시예로는, 제2식별자(33)로서 사용자가 발급받은 인증서의 인증서정보(인증서의 발급정보)를 추출하여 사용할 수도 있다. 예를 들면, DN(Distinguished Name)이나 일련번호(Serial No.) 등을 사용할 수 있다. 이외에도 다양한 방법으로 제2식별자(33)를 체인으로 사용할 수 있으며 언급한 정보들로 한정되지 않는다.
FIDO클라이언트(12)는 (제1식별자(31)와 제2식별자(33)가 각각 FIDO서버(22)와 FIDO클라이언트(12)에서 체인으로 엮인) FIDO등록요청메시지를, 사용자인증을 받아 생성한 FIDO인증용 개인키(35)로 서명하여 FIDO등록응답메시지를 생성할 수 있다. 그리고, 생성된 FIDO등록응답메시지를 제2식별자 및 FIDO인증용 공개키(37)와 함께 FIDO서버(22)로 전송할 수 있다.
그러면, FIDO서버(22)가 이 FIDO등록응답메시지를 수신하여 모든 인증체인을 검증할 수 있다. 챌린지 필드의 제1식별자(31)를 추출하여 FIDO서버(22)가 보관하고 있던 제1식별자(31)와 같은지를 검증할 수 있다. 또한, 챌린지 필드에 추가되어 있는 제2식별자(33)를 추출하여 FIDO서버(22)가 수신한 제2식별자(33)와 같은지를 검증할 수 있다. 또한, FIDO인증용 공개키(37)로 FIDO등록응답메시지의 서명검증을 할 수 있다.
만약, 이러한 검증 과정에서 단 하나의 검증이라도 실패하면 인증체인에 보안 문제가 발생하였음을 인지할 수 있는 것이다.
이상과 같이, 본 발명에 따른 인증체인 기반 FIDO 및 인증서 등록방법에 의하면, FIDO스펙을 준수하면서, FIDO서버(22)에서 제1식별자(31)를 포함하여 FIDO등록요청메시지를 생성하고, FIDO클라이언트(12)에서 제2식별자(33)를 추가하여 FIDO등록요청메시지를 갱신하고, 갱신된 FIDO등록요청메시지를 FIDO인증용 개인키(35)로 서명하여 FIDO등록응답메시지를 생성하고, FIDO서버(22)가 FIDO등록응답메시지를 수신하여 인증체인을 검증함으로써, 더욱 안전한 등록을 수행할 수 있다.
도 6은 본 발명의 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도(S40)이다. 도 6은, 도 5에서 설명한 인증체인의 제1식별자(31)로서 인증서발급용정보인 인가코드와 참조번호를 결합하여 사용하고, 제2식별자(33)로서 인증서서명용 공개키를 사용하는 실시예이다.
도 6을 참조하면, S41 단계에서는, 서비스클라이언트(11)가 사용자의 서비스 요청을 수신할 수 있다. 이 때, 사용자의 개인정보도 입력받을 수 있다.
서비스클라이언트(11)는 서비스서버(21)에 사용자의 개인정보와 함께 인증서 및 FIDO 등록을 요청할 수 있다(S43).
인증서 및 FIDO 등록을 요청 받은 서비스서버(21)는 공인인증서버(30)에 인증서 발급을 위한 인증서발급용정보를 요청할 수 있다(S45).
인증서발급용정보 요청을 수신한 공인인증서버(30)는 인증서발급용정보를 생성하여 서비스서버(21)에 전송할 수 있다(S47).
서비스서버(21)는 FIDO서버(22)에 인증서 및 FIDO 등록을 요청할 수 있다(S49).
인증서 및 FIDO 등록을 요청 받은 FIDO서버(22)는 제1식별자(31)로서 인증서발급용정보인 인가코드와 참조번호를 포함하여 FIDO등록요청메시지를 생성할 수 있다(S51). 이 때, FIDO서버(22)는 FIDO등록요청메시지의 챌린지 필드에 다음과 같이 인가코드와 참조번호의 해시값과 난수를 결합한 값을 세팅할 수 있다.
challenge = hash(참조번호+인가코드);
FIDO서버(22)는 생성한 FIDO등록요청메시지를 FIDO클라이언트(12)로 전송할 수 있다(S53). 이 때 인증서발급용정보를 함께 전송할 수 있다.
FIDO등록요청메시지를 수신한 FIDO클라이언트(12)는 인증서서명용 키쌍을 생성할 수 있다(S55). 이 때 생성된 인증서서명용 개인키는 안전영역에 저장된다.
FIDO클라이언트(12)는 FIDO등록요청메시지의 챌린지 필드에 다음과 같이 제2식별자(33)인 인증서서명용 공개키를 해시하여 추가로 결합함으로써, 챌린지 필드를 업데이트하여 FIDO등록요청메시지를 갱신할 수 있다(S57).
H = hash(인증서서명용 공개키);
challenge = hash(challenge + H);
FIDO msg.challenge = challenge;
FIDO클라이언트(12)는 FIDO 스펙에 따라 소정의 사용자인증수단을 통해 사용자인증을 받고(S59), FIDO인증용 키쌍을 생성할 수 있다(S61).
FIDO클라이언트(12)는 다음과 같이 FIDO등록요청메시지를 FIDO인증용 개인키로 서명하여 FIDO등록응답메시지 생성할 수 있다(S63).
S = sign(FIDO msg, attestataion_priv_key)
FIDO클라이언트(12)는 FIDO등록응답메시지를 FIDO서버(22)에 전송할 수 있다. 이 때 인증서서명용 공개키와 FIDO인증용 공개키를 함께 전송할 수 있다(S65).
FIDO등록응답메시지를 수신한 FIDO서버(22)는 다음과 같이 서명값, 제1식별자(31, 참조번호+인가번호), 제2식별자(33, 인증서서명용 공캐키)를 검증할 수 있다(S67).
FIDO msg = unsign(S, meta공개키);
hash(hash(인증서서명용 공개키)+hash(참조번호+인가코드)) == FIDO msg.challenge;
상기 FIDO등록응답메시지의 모든 검증에 성공한 FIDO서버(22)는 인증서서명용 공개키 및 FIDO인증용 공개키를 저장하여 FIDO 등록을 완료할 수 있다(S69).
FIDO서버(22)는 FIDO클라이언트(12)에 FIDO 등록을 완료했음을 통지할 수 있다(S71).
FIDO 등록 완료를 인지한 FIDO클라이언트(12)는 인증서 발급에 필요한 정보를 생성하여(S73) 공인인증서버(30)에 인증서 발급 요청을 할 수 있다(S75). 이 때 인증서서명용 공개키를 함께 전송할 수 있다.
인증서 발급 요청을 수신한 공인인증서버(30)는 인증서를 발급하여 FIDO클라이언트(12)로 전송할 수 있다(S77).
인증서를 발급받은 FIDO클라이언트(12)는 인증서를 저장하고(S79), 인증서 등록이 완료되었음을 FIDO서버(22)에 통지할 수 있다(S81). 이 때 인증서정보 또는 인증서를 함께 전송할 수 있다.
인증서 등록이 완료되었음을 통지 받은 FIDO서버(22)는 인증서정보 또는 인증서를 저장할 수 있다(S83). 인증서정보 또는 인증서를 저장하는 이유는, 등록 후 향후 인증서 인증과정에서 인증응답메시지나 사용자 관련 식별자 등을 검증하기 위한 목적으로 사용하기 위함이다.
인증서 등록이 완료되었음을 통지 받은 FIDO서버(22)는 서비스서버(21)에 인증서 및 FIDO 등록이 완료되었음을 통지할 수 있다(S85).
인증서 및 FIDO 등록이 완료되었음을 통지받은 서비스서버(21)는 서비스클라이언트(11)에 인증서 및 FIDO 등록이 완료되었음을 통지할 수 있다(S87). 이 때 서비스클라이언트(11)는 사용자에게 서비스 요청 또는 인증서 발급 및 등록이 완료되었음을 통지할 수 있다.
이상과 같이, 본 실시예에 의하면, 사용자는 단 한 번의 사용자인증을 수행하고, FIDO서버(22)는 제1식별자(31, 참조번호+인가번호), 제2식별자(33, 인증서서명용 공캐키), FIDO인증용 키쌍으로 이어지는 강력한 인증체인으로 검증을 함으로써 안전하게 FIDO 및 인증서 등록을 수행할 수 있다.
도 7은 본 발명의 다른 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도(S90)이다.
도 7을 참조하면, 도 6의 순서도와(S40)의 차이점은 제2식별자(33)로서 인증서 또는 인증서정보를 사용한다는 점이다. 또한, 인증서 또는 인증서정보를 제2식별자(33)로 사용하기 위해, 도 6의 순서도와(S40)와는 달리 FIDO인증에 앞서서 인증서 발급을 먼저 받는다는 점이 차이가 있다.
S41 단계 내지 S55 단계는 도 6의 순서도와 동일한 단계를 수행할 수 있으므로 설명을 생략하기로 한다.
S55 단계에서 인증서서명용 키쌍을 생성한 FIDO클라이언트(12)는, 인증서 발급에 필요한 정보를 생성하여(S91) 공인인증서버(30)에 인증서 발급 요청을 할 수 있다(S93). 이 때 인증서서명용 공개키를 함께 전송할 수 있다.
인증서 발급 요청을 수신한 공인인증서버(30)는 인증서를 발급하여 FIDO클라이언트(12)로 전송할 수 있다(S95).
인증서를 발급받은 FIDO클라이언트(12)는 FIDO등록요청메시지의 챌린지 필드에 다음과 같이 제2식별자(33)인 인증서 또는 인증서정보를 해시하여 추가로 결합(challenge2)함으로써, 챌린지 필드를 업데이트하여 FIDO등록요청메시지를 갱신할 수 있다(S97).
HmacKey = hash(인증서정보); 또는 HmacKey = hash(인증서);
challenge2 = HAMC(challenge, HmacKey);
FIDO msg.challenge = challenge2;
FIDO클라이언트(12)는 FIDO 스펙에 따라 소정의 사용자인증수단을 통해 사용자인증을 받고(S59), FIDO인증용 키쌍을 생성할 수 있다(S61).
FIDO클라이언트(12)는 다음과 같이 FIDO등록요청메시지를 FIDO인증용 개인키로 서명하여 FIDO등록응답메시지 생성할 수 있다(S63).
S = sign(FIDO msg, attestataion_priv_key)
FIDO클라이언트(12)는 FIDO등록응답메시지를 FIDO서버(22)에 전송할 수 있다. 이 때 인증서서명용 공개키와 FIDO인증용 공개키를 함께 전송할 수 있다(S65).
FIDO등록응답메시지를 수신한 FIDO서버(22)는 다음과 같이 서명값, 제1식별자(31, 참조번호+인가번호), 제2식별자(33, 인증서 또는 인증서정보)를 검증할 수 있다(S67).
S = unsign(FIDO msg, attestataion_pub_key);
challenge2 = FIDO msg.challenge;
HmacKey = hash(인증서정보); 또는 HmacKey = hash(인증서);
challenge3 = HAMC(challenge, HmacKey);
challenge2 == challenge3;
상기 FIDO등록응답메시지의 모든 검증에 성공한 FIDO서버(22)는 인증서서명용 공개키 및 FIDO인증용 공개키를 저장하여 FIDO 등록을 완료할 수 있다(S69).
FIDO서버(22)는 FIDO클라이언트(12)에 FIDO 등록을 완료했음을 통지할 수 있다(S71).
FIDO 등록이 완료되었을 통지받은 FIDO클라이언트(12)는 인증서를 저장하고(S79), 이 후의 단계는 도 6의 S40과 동일할 수 있다.
이상과 같이, 본 실시예에 의하면, 사용자는 단 한 번의 사용자인증을 수행하고, FIDO서버(22)는 제1식별자(31, 참조번호+인가번호), 제2식별자(33, 인증서 또는 인증서정보), FIDO인증용 키쌍으로 이어지는 강력한 인증체인으로 검증을 함으로써 안전하게 FIDO 및 인증서 등록을 수행할 수 있다.
도 8은 본 발명의 또 다른 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도(S100)로서, 도 6의 S40과 마찬가지로 제1식별자(31)로서 인증서발급용정보인 인가코드와 참조번호를 결합하여 사용하고, 제2식별자(33)로서 인증서서명용 공개키를 사용하는 실시예이며, 차이점은 서비스클라이언트(11)와 서비스서버(21)의 기능을 각각 FIDO클라이언트(12)와 FIDO서버(22)가 수행한다는 점이다.
도 8을 참조하면, FIDO클라이언트(12)가 사용자로부터 직접 또는 서비스클라이언트(11)를 거쳐서 사용자의 서비스 요청을 수신할 수 있다. 이 때, 사용자의 개인정보도 입력받을 수 있다(S101).
FIDO클라이언트(12)는 FIDO서버(22)에 사용자의 개인정보와 함께 인증서 및 FIDO 등록을 요청할 수 있다(S103).
인증서 및 FIDO 등록을 요청 받은 FIDO서버(22)는 공인인증서버(30)에 인증서 발급을 위한 인증서발급용정보를 요청할 수 있다(S105).
인증서발급용정보 요청을 수신한 공인인증서버(30)는 인증서발급용정보를 생성하여 FIDO서버(22)에 전송할 수 있다(S107).
인증서발급용정보를 수신한 FIDO서버(22)는 제1식별자(31)로서 인증서발급용정보인 인가코드와 참조번호를 포함하여 FIDO등록요청메시지를 생성할 수 있다(S51).
S51 단계 이후, S53 단계부터 S83 단계까지는 도 6의 S40과 동일할 수 있다.
인증서 등록이 완료되었음을 통지 받고 인증서정보를 저장한 FIDO서버(22)는 FIDO클라이언트(12)에 인증서 및 FIDO 등록이 완료되었음을 통지할 수 있다(S109). 이 때 FIDO클라이언트(12)는 사용자에게 직접 또는 서비스클라이언트(11)를 거쳐 서비스 요청 또는 인증서 발급 및 등록이 완료되었음을 통지할 수 있다.
도 9는 본 발명의 또 다른 바람직한 일 실시예에 따른 인증체인 기반 FIDO 및 인증서 등록 방법에 대한 구체적인 일례를 나타내는 순서도(S120)이다. 도 7의 S90과 마찬가지로 제1식별자(31)로서 인증서발급용정보인 인가코드와 참조번호를 결합하여 사용하고, 제2식별자(33)로서 인증서 또는 인증서정보를 사용하는 실시예이며, 차이점은 도 8의 S100처럼 서비스클라이언트(11)와 서비스서버(21)의 기능을 각각 FIDO클라이언트(12)와 FIDO서버(22)가 수행한다는 점이다.
도 9를 참조하면, S101 단계부터 S107 단계까지는 도 8의 S101 단계부터 S107 단계까지와 동일할 수 있다.
또한, S107 단계 이후, S51 단계부터 S83 단계까지는 도 7의 S51 단계부터 S83 단계까지와 동일할 수 있다.
인증서 등록이 완료되었음을 통지 받고 인증서정보를 저장한 FIDO서버(22)는 FIDO클라이언트(12)에 인증서 및 FIDO 등록이 완료되었음을 통지할 수 있다(S109). 이 때 FIDO클라이언트(12)는 사용자에게 직접 또는 서비스클라이언트(11)를 거쳐 서비스 요청 또는 인증서 발급 및 등록이 완료되었음을 통지할 수 있다.
이상과 같이, 본 실시예들에 의하면, 사용자와 관련된 복수개의 식별자, 인증서, 인증서정보, FIDO인증용 키쌍 및 인증서서명용 키쌍 등을 여러 단계의 체인으로 얽히게 한 후 검증하게 하는 인증체인 기반의 검증방법으로 FIDO 및 인증서 등록을 수행하는 방법과 그 장치를 제공함으로써, FIDO인증용 키와 인증서서명용 키간에 인증체인(동일한 사용자의 키라는 증명)이 형성되어 하나의 키가 유출되더라도 보안 이슈가 발생하지 않고, 사용자 입장에서는 중복 인증의 필요가 없이 단 한 번의 인증으로 간편하게 FIDO 및 인증서를 등록할 수 있으며, 서비스를 제공하는 이용기관의 입장에서도 단 한 번의 사용자인증으로 FIDO 등록 및 인증서 등록을 더욱 안전하게 수행할 수 있는 효과가 있다.
또한, 이상에서 설명된 인증체인 기반 FIDO 및 인증서 등록을 수행하는 방법의 실시예는 다양한 컴퓨터 구성요소들을 통하여 수행될 수 있는 컴퓨터 프로그램 명령어의 형태로 구현될 수 있다. 또한, 상기 구현된 컴퓨터 프로그램은 컴퓨터 판독 가능한 기록 매체에 기록될 수도 있다. 언급된 기록 매체는 ROM, 자기 디스크 혹은 콤팩트 디스크, 광 디스크 등 일 수 있으나, 이에 반드시 한정되지는 않는다.
이상에서와 같이, 본 발명은 도면에 도시된 실시예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 다른 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의하여 정해져야 할 것이다.
10: 사용자 단말
11: 서비스클라이언트
12: FIDO클라이언트
14: 사용자인증수단
16: 제어부
18: FIDO인증부
19: 인증서인증부
20: 이용기관 서버
21: 서비스서버
22: FIDO서버
30: 공인인증서버
31: 제1식별자
33: 제2식별자
35: FIDO인증용 개인키
37: FIDO인증용 공개키

Claims (29)

  1. 네트워크로 연결된 FIDO클라이언트 및 FIDO서버에 의해 수행되는 인증체인 기반 FIDO 및 인증서 등록 방법에 있어서,
    (a) 상기 FIDO서버가 제1식별자를 포함하는 FIDO등록요청메시지를 생성하는 단계;
    (b) 상기 FIDO클라이언트가 인증서서명용 키쌍을 생성하는 단계;
    (c) 상기 FIDO클라이언트가 상기 인증서서명용 키쌍을 이용하여 공인인증서버로부터 인증서를 발급받는 단계;
    (d) 상기 FIDO클라이언트가 수신한 상기 FIDO등록요청메시지에 제2식별자를 추가하여 상기 FIDO등록요청메시지를 갱신하는 단계;
    (e) 상기 FIDO클라이언트가 사용자인증을 요청하여 상기 사용자인증이 성공하면 FIDO인증용 키쌍을 생성하고, 상기 갱신된 FIDO등록요청메시지를 상기 FIDO인증용 개인키로 서명하여 FIDO등록응답메시지를 생성하는 단계; 및
    (f) 상기 FIDO서버가 상기 FIDO등록응답메시지, FIDO인증용 공개키 및 상기 제2식별자를 수신하고, 상기 FIDO인증용 공개키와 상기 제1,2식별자로 상기 FIDO등록응답메시지를 검증하는 단계;
    를 포함하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  2. 제 1항에 있어서,
    상기 (a)단계는,
    상기 제1식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드(challenge field)에 포함시키는 단계;
    를 포함하는 것을 특징으로 하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  3. 제 1항에 있어서,
    상기 제1식별자는 상기 사용자의 개인정보 및 인증서발급용정보 중 적어도 하나를 사용하고,
    상기 인증서발급용정보는 공인인증서버가 생성한 인증서발급용 인가코드 및/또는 참조번호인 것을 특징으로 하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  4. 제 2항에 있어서,
    상기 (d)단계는,
    상기 제2식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 추가시켜 상기 챌린지 필드를 갱신하는 단계;
    를 포함하는 것을 특징으로 하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  5. 제 1항에 있어서,
    상기 제2식별자는 상기 인증서서명용 공개키, 상기 발급받은 인증서 및 상기 인증서에 포함된 정보 중 적어도 하나를 사용하는 것을 특징으로 하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  6. 제 4항에 있어서,
    상기 (f)단계는,
    상기 FIDO등록응답메시지의 챌린지 필드를 추출하는 단계; 및
    상기 추출한 챌린지 필드에 상기 제1식별자 및 제2식별자가 포함되어 있는지를 검증하는 단계;
    를 포함하는 것을 특징으로 하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  7. 제 1항에 있어서,
    상기 사용자인증은 지문인식, 홍채인식, 얼굴인식, 음성인식, 뇌파인식, 심박인식, PIN, 패스워드, 인증서 인증장치 개인키 및 OTP 중 적어도 하나를 사용하는 것을 특징으로 하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  8. FIDO서버와 네트워크로 연결된 FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법에 있어서,
    (a) 제1식별자가 포함되어 생성된 FIDO등록요청메시지를 수신하는 단계;
    (b) 인증서서명용 키쌍을 생성하는 단계;
    (c) 상기 인증서서명용 키쌍을 이용하여 공인인증서버로부터 인증서를 발급받는 단계;
    (d) 상기 FIDO등록요청메시지에 제2식별자를 추가하여 상기 FIDO등록요청메시지를 갱신하는 단계; 및
    (e) 사용자인증을 요청하여 상기 사용자인증이 성공하면 FIDO인증용 키쌍을 생성하고, 상기 갱신된 FIDO등록요청메시지를 상기 FIDO인증용 개인키로 서명하여 FIDO등록응답메시지를 생성하는 단계;
    를 포함하되,
    상기 FIDO등록요청메시지는 상기 FIDO서버가 생성하는 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  9. 제 8항에 있어서,
    상기 FIDO등록요청메시지는, 상기 FIDO서버가 상기 제1식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 포함시켜 상기 FIDO등록요청메시지를 생성하는 것인 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  10. 제 8항에 있어서,
    상기 FIDO등록응답메시지는, 상기 FIDO서버가 상기 FIDO클라이언트로부터 FIDO인증용 공개키 및 상기 제2식별자를 수신하여, 상기 FIDO인증용 공개키와 상기 제1,2식별자로 상기 FIDO등록응답메시지를 검증하는 것인 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  11. 제 8항에 있어서,
    상기 제1식별자는 상기 사용자의 개인정보 및 인증서발급용정보 중 적어도 하나를 사용하고,
    상기 인증서발급용정보는 공인인증서버가 생성한 인증서발급용 인가코드 및/또는 참조번호인 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  12. 제 9항에 있어서,
    상기 (d)단계는,
    상기 제2식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 추가시켜 상기 챌린지 필드를 갱신하는 단계;
    를 포함하는 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  13. 제 8항에 있어서,
    상기 제2식별자는 상기 인증서서명용 공개키, 상기 발급받은 인증서 및 상기 인증서에 포함된 정보 중 적어도 하나를 사용하는 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  14. 제 12항에 있어서,
    상기 FIDO등록응답메시지의 검증은, 상기 FIDO서버가 상기 FIDO등록응답메시지의 챌린지 필드를 추출하고, 상기 추출한 챌린지 필드에 상기 제1식별자 및 제2식별자가 포함되어 있는지를 검증하는 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  15. 제 8항에 있어서,
    상기 사용자인증은 지문인식, 홍채인식, 얼굴인식, 음성인식, 뇌파인식, 심박인식, PIN, 패스워드, 인증서 인증장치 개인키 및 OTP 중 적어도 하나를 사용하는 것을 특징으로 하는, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  16. 청구항 제 8항 내지 청구항 제 15항 중의 어느 한 항에 따른, FIDO클라이언트가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법을 실행하기 위해 설정된, 기록매체에 저장된 컴퓨터 프로그램.
  17. 청구항 제 16항에 기재된 프로그램이 기록된 컴퓨터 판독 가능한 기록매체.
  18. FIDO클라이언트와 네트워크로 연결된 FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법에 있어서,
    (a) 제1식별자를 포함하는 FIDO등록요청메시지를 생성하는 단계;
    (b) 상기 FIDO클라이언트가 전송한 FIDO등록응답메시지, FIDO인증용 공개키 및 제2식별자를 수신하는 단계; 및
    (c) 상기 FIDO인증용 공개키와 상기 제1,2식별자로 상기 FIDO등록응답메시지를 검증하는 단계;
    를 포함하되,
    상기 FIDO등록응답메시지는 상기 FIDO클라이언트가 상기 제2식별자를 포함하여 생성하는 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  19. 제 18항에 있어서,
    상기 FIDO등록응답메시지는,
    상기 FIDO클라이언트가 상기 FIDO서버로부터 상기 FIDO등록요청메시지를 수신하고, 인증서서명용 키쌍을 생성하고, 상기 인증서서명용 키쌍을 이용하여 공인인증서버로부터 인증서를 발급받고, 상기 FIDO등록요청메시지에 제2식별자를 추가하여 상기 FIDO등록요청메시지를 갱신하고, 사용자인증을 요청하여 상기 사용자인증이 성공하면 FIDO인증용 키쌍을 생성하고, 상기 갱신된 FIDO등록요청메시지를 상기 FIDO인증용 개인키로 서명하여 생성한 것인 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  20. 제 18항에 있어서,
    상기 (a)단계는,
    상기 제1식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 포함시키는 단계;
    를 포함하는 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  21. 제 18항에 있어서,
    상기 제1식별자는 상기 사용자의 개인정보 및 인증서발급용정보 중 적어도 하나를 사용하고,
    상기 인증서발급용정보는 공인인증서버가 생성한 인증서발급용 인가코드 및/또는 참조번호인 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  22. 제 20항에 있어서,
    상기 FIDO등록요청메시지는,
    상기 FIDO클라이언트가 상기 제2식별자를 해시하여 상기 FIDO등록요청메시지의 챌린지 필드에 추가시켜 상기 챌린지 필드를 갱신함으로써 갱신되는 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  23. 제 18항에 있어서,
    상기 제2식별자는 상기 인증서서명용 공개키, 상기 발급받은 인증서 및 상기 인증서에 포함된 정보 중 적어도 하나를 사용하는 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  24. 제 22항에 있어서,
    상기 (c)단계는,
    상기 FIDO등록응답메시지의 챌린지 필드를 추출하는 단계; 및
    상기 추출한 챌린지 필드에 상기 제1식별자 및 제2식별자가 포함되어 있는지를 검증하는 단계;
    를 포함하는 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  25. 제 18항에 있어서,
    상기 사용자인증은 지문인식, 홍채인식, 얼굴인식, 음성인식, 뇌파인식, 심박인식, PIN, 패스워드, 인증서 인증장치 개인키 및 OTP 중 적어도 하나를 사용하는 것을 특징으로 하는, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법.
  26. 청구항 제 18항 내지 청구항 제 25항 중의 어느 한 항에 따른, FIDO서버가 수행하는 인증체인 기반 FIDO 및 인증서 등록 방법을 실행하기 위해 설정된, 기록매체에 저장된 컴퓨터 프로그램.
  27. 청구항 제 26항에 기재된 프로그램이 기록된 컴퓨터 판독 가능한 기록매체.
  28. 사용자가 이용하는 이용기관(Relying Party) 서버와 네트워크로 연결된 사용자 단말로서,
    FIDO클라이언트를 포함하되,
    상기 FIDO클라이언트는 상기 사용자의 서비스요청에 대응하여 청구항 16항에 따른 컴퓨터 프로그램에 의해 동작하고,
    상기 이용기관 서버는 상기 FIDO서버를 포함하는 것을 특징으로 하는, 사용자 단말.
  29. 사용자 단말과 네트워크로 연결된 이용기관 서버로서,
    FIDO서버를 포함하되,
    상기 FIDO서버는 상기 사용자의 서비스요청에 대응하여 청구항 26항에 따른 컴퓨터 프로그램에 의해 동작하고,
    상기 사용자 단말은 상기 FIDO클라이언트를 포함하는 것을 특징으로 하는, 이용기관 서버.

KR1020170052161A 2017-04-24 2017-04-24 인증체인 기반 fido 및 인증서 등록 방법 및 장치 KR20180119178A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170052161A KR20180119178A (ko) 2017-04-24 2017-04-24 인증체인 기반 fido 및 인증서 등록 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170052161A KR20180119178A (ko) 2017-04-24 2017-04-24 인증체인 기반 fido 및 인증서 등록 방법 및 장치

Publications (1)

Publication Number Publication Date
KR20180119178A true KR20180119178A (ko) 2018-11-02

Family

ID=64328566

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170052161A KR20180119178A (ko) 2017-04-24 2017-04-24 인증체인 기반 fido 및 인증서 등록 방법 및 장치

Country Status (1)

Country Link
KR (1) KR20180119178A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210045635A (ko) * 2019-10-17 2021-04-27 한국전자인증 주식회사 Fido기반 비밀번호 무사용 전자서명 방법 및 시스템
CN114978543A (zh) * 2022-05-23 2022-08-30 飞天诚信科技股份有限公司 一种凭证注册和认证的方法及系统
KR20220134012A (ko) 2020-05-18 2022-10-05 닛폰세이테츠 가부시키가이샤 괴성물의 제조 방법 및 괴성물
WO2024016829A1 (zh) * 2022-07-21 2024-01-25 飞天诚信科技股份有限公司 一种安全设备的实现方法及安全设备

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210045635A (ko) * 2019-10-17 2021-04-27 한국전자인증 주식회사 Fido기반 비밀번호 무사용 전자서명 방법 및 시스템
KR20220134012A (ko) 2020-05-18 2022-10-05 닛폰세이테츠 가부시키가이샤 괴성물의 제조 방법 및 괴성물
CN114978543A (zh) * 2022-05-23 2022-08-30 飞天诚信科技股份有限公司 一种凭证注册和认证的方法及系统
CN114978543B (zh) * 2022-05-23 2023-09-19 飞天诚信科技股份有限公司 一种凭证注册和认证的方法及系统
WO2024016829A1 (zh) * 2022-07-21 2024-01-25 飞天诚信科技股份有限公司 一种安全设备的实现方法及安全设备

Similar Documents

Publication Publication Date Title
US10609014B2 (en) Un-password: risk aware end-to-end multi-factor authentication via dynamic pairing
US10516538B2 (en) System and method for digitally signing documents using biometric data in a blockchain or PKI
TWI667585B (zh) 一種基於生物特徵的安全認證方法及裝置
CN107070667B (zh) 身份认证方法
JP6586446B2 (ja) 通信端末および関連システムのユーザーの識別情報を確認するための方法
US9654468B2 (en) System and method for secure remote biometric authentication
US8171531B2 (en) Universal authentication token
KR102202547B1 (ko) 액세스 요청을 검증하기 위한 방법 및 시스템
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
EP2369811A1 (en) System and methods for online authentication
US10147092B2 (en) System and method for signing and authenticating secure transactions through a communications network
JP2009510644A (ja) 安全な認証のための方法及び構成
JP2008538146A (ja) バイオメトリック・テンプレートのプライバシー保護のためのアーキテクチャ
US20200196143A1 (en) Public key-based service authentication method and system
KR20180119178A (ko) 인증체인 기반 fido 및 인증서 등록 방법 및 장치
WO2021190197A1 (zh) 生物支付设备的认证方法、装置、计算机设备和存储介质
JP2021519966A (ja) リモート生体計測識別
US8806216B2 (en) Implementation process for the use of cryptographic data of a user stored in a data base
KR102288445B1 (ko) 단체용 인증모듈의 온보딩 방법, 장치 및 프로그램
KR20180039037A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
JP2019161405A (ja) 認証サーバ装置、認証システム及び認証方法
JP2004206258A (ja) 多重認証システム、コンピュータプログラムおよび多重認証方法
US11665162B2 (en) Method for authenticating a user with an authentication server
KR20180119179A (ko) 인증체인 기반 fido 및 인증서 인증 방법 및 장치
WO2007108397A1 (ja) 通信システム、サーバ、クライアント端末及び通信方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application