KR20180135222A - Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS - Google Patents

Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS Download PDF

Info

Publication number
KR20180135222A
KR20180135222A KR1020170073043A KR20170073043A KR20180135222A KR 20180135222 A KR20180135222 A KR 20180135222A KR 1020170073043 A KR1020170073043 A KR 1020170073043A KR 20170073043 A KR20170073043 A KR 20170073043A KR 20180135222 A KR20180135222 A KR 20180135222A
Authority
KR
South Korea
Prior art keywords
authentication
user
information
terminal
key
Prior art date
Application number
KR1020170073043A
Other languages
Korean (ko)
Other versions
KR101955950B1 (en
Inventor
김동현
김선호
Original Assignee
주식회사 엔터소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엔터소프트 filed Critical 주식회사 엔터소프트
Priority to KR1020170073043A priority Critical patent/KR101955950B1/en
Publication of KR20180135222A publication Critical patent/KR20180135222A/en
Application granted granted Critical
Publication of KR101955950B1 publication Critical patent/KR101955950B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3823Payment protocols; Details thereof insuring higher security of transaction combining multiple encryption tools for a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3223Realising banking transactions through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • G06Q20/3829Payment protocols; Details thereof insuring higher security of transaction involving key management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/385Payment protocols; Details thereof using an alias or single-use codes

Landscapes

  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • Theoretical Computer Science (AREA)
  • Finance (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Telephonic Communication Services (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Provided are a multichannel authentication method including the steps of: forming an authentication terminal in which a transaction processing request through a first channel is previously registered and a second communication channel; and authenticating a user using a knowledge-based authentication element, a software possession-based authentication element, and a hardware possession-based authentication element, an authentication server therefor and authentication terminal therefor. Accordingly, the present invention can increase security reliability.

Description

다채널 인증 방법, 이를 위한 인증 서버와 인증 단말{Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS}[0001] The present invention relates to a multi-channel authentication method, an authentication server and an authentication terminal,

본 발명은 다채널 인증 방법 및 이를 위한 인증 서버와 인증 단말에 관한 것으로, 상세하게는, 다중인증요소를 이용한 다채널 인증 방법 및 이를 위한 인증 서버와 인증 단말에 관한 것이다.The present invention relates to a multi-channel authentication method and an authentication server and an authentication terminal for the same, and more particularly, to a multi-channel authentication method using multiple authentication factors, an authentication server and an authentication terminal for the same.

정보통신기술의 발달로 다양한 금융 거래가 온라인을 통해 처리되고 있다. 개인정보누출로 인한 금융 사고를 방지하기 위해, 온라인 금융 거래에는 다양한 보안 기술이 적용되어 해킹의 위험으로부터 금융 거래자를 보호하고 있다.With the development of information and communication technology, various financial transactions are being processed online. In order to prevent financial accidents caused by personal information leakage, various security technologies are applied to online financial transactions to protect financial traders from the risk of hacking.

보안 기술은 그 인증요소에 따라 비밀번호, PIN (Personal Identification Number) 등과 같이 정당한 사용자가 알고 있는 정보를 통해 인증을 수행하는 지식기반인증(What you know), OTP(One Time Password), 보안토큰 등과 같이 사용자가 해당 요소를 소유하고 있는지로 인증을 수행하는 소지기반인증(What you have), 지문, 홍채 등과 같이 사용자가 가진 고유한 특성을 이용하여 인증을 수행하는 특성기반인증(What you are) 등으로 분류될 수 있다. The security technology is classified into a knowledge based authentication (What you know), an OTP (One Time Password), a security token, and the like that perform authentication through information known to a legitimate user such as a password and a Personal Identification Number Based authentication (What you are) that carries out authentication using unique characteristics of a user such as what you have, fingerprint, iris, etc., which performs authentication based on whether the user owns the element, Can be classified.

최근 온라인 금융 거래에서는 보안성을 강화하기 위해 지식기반의 인증 방식과 OTP를 이용한 소지기반의 인증 방법을 함께 이용하여 이용되고 있다. Recently, in order to enhance the security of online banking transactions, a knowledge - based authentication method and an OTP - based authentication method are used together.

다만, OPT는 토큰 구입 비용이 주기적으로(약 2~3년 간격) 발생하고, 진정한 사용자라도 OTP를 소지하지 않은 경우 금융 서비스의 이용이 불가능하고, OTP를 불법으로 취득한자가 진정한 사용자로 행동할 수 있다는 문제점이 있다.However, if OPT does not have an OTP, it will not be possible to use the financial service. Even if a true user purchases the token, it will be impossible to use the service. .

나아가, 2011년 미국 RSA사의 사례에서 지적된 것과 같이 OTP생성 기술이 유출되거나, 디아블로 3에서 지적된 것과 같이 시간동기화 방식의 허점을 이용하는 경우 여전히 해킹에 취약한 문제점이 있다. Furthermore, as pointed out in the case of RSA in the United States in 2011, OTP generation technology is leaked, or, as pointed out in Diablo 3, there is still a problem in vulnerability to hacking when using time-synchronization loopholes.

아울러, OTP기술은 여전히 단일채널인증의 한계점을 가지고 있다. 구체적으로, 도 1에 도시된 것과 같이 해커는 멀웨어(malicious software, malware)를 통해 서비스 제공 서버(인터넷 뱅킹서버)와 사용자 단말의 통신 채널을 왜곡하고, 사용자가 입력한 비밀번호, OTP등을 탈취하여 정당한 사용자로 인증될 수 있다.In addition, OTP technology still has limitations in single-channel authentication. Specifically, as shown in FIG. 1, a hacker may distort a communication channel between a service providing server (an Internet banking server) and a user terminal through malicious software (malware) and take a password, OTP, It can be authenticated as a legitimate user.

이와 같은 문제점을 해결하기 위해 2-채널 앱인증 및 시스템(특허출원 제10-2012-0151201호)와 앱위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법(특허출원 제 10-2016-008062호) 등의 기술이 제안되었으나, 역공학에 대한 문제로 인해 상용화되지 못하고 있는 실정이다.In order to solve such a problem, a 2-channel application authentication system and system (patent application No. 10-20-0802062) and a 2-channel authentication agent system capable of detecting an application forgery and alteration (Patent Application No. 10-2016-008062) Has been proposed, but it has not been commercialized due to the problem of reverse engineering.

본 발명이 해결하고자 하는 일 기술적 과제는,다중요소인증 방법이 적용된 다채널 인증 방법, 다채널 인증을 수행하는 인증 서버 및 인증 단말을 제공하는 데 있다.SUMMARY OF THE INVENTION The present invention provides a multi-channel authentication method, a multi-channel authentication method, and an authentication terminal.

본 발명이 해결하고자 하는 기술적 과제는 상술된 것에 제한되지 않는다.The technical problem to be solved by the present invention is not limited to the above.

상술한 기술적 과제를 해결하기 위해, 본 발명은 다채널 인증 방법, 및 이를 위한 인증 서버 및 인증 단말을 제공한다. In order to solve the above-mentioned technical problems, the present invention provides a multi-channel authentication method, and an authentication server and an authentication terminal therefor.

일 실시예에 따른 다채널 인증 방법은 서비스 제공 장치가 사용자의 트랜잭션 처리를 위해 인증 서버에 사용자 인증을 요청하는 단계와 인증 서버가 트랜잭션에 대응되는 사용자 ID, 세션 ID, 트랜잭션 정보, 및 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성하는 단계와 인증 서버가 사용자 ID에 대응되는 인증 단말 및 인증 단말에 대해 미리 설정된 인증키를 탐색하는 단계와 인증 서버가 인증 단말에 미리 저장된 인증 어플리케이션으로 인증키를 전송하는 단계와 인증 어플리케이션이 인증키를 이용하여 인증 단말에 미리 저장된 유저 토큰을 복호화하여 인증 서버로 전송하는 단계와 인증 어플리케이션으로부터 복호화된 유저 토큰이 전송되면, 인증 서버가 인증 어플리케이션으로 트랜잭션 정보를 전송하는 단계와 인증 어플리케이션이 트랜잭션 정보를 표시하고, 사용자로부터 비밀 번호를 입력 받는 단계와 인증 어플리케이션이 인증키를 이용하여 복호화한 유저 토큰 및 인증키를 이용하여 암호화한 비밀번호, 및 인증 단말의 디바이스 정보로 구성된 인증 정보를 생성하여 인증 서버에 전송하는 단계와 인증 서버가 인증 정보에 기초하여 사용자를 검증하고, 서비스 제공 장치에 마련된 리스너에 검증 결과를 푸시하는 단계를 포함한다.A multi-channel authentication method according to an exemplary embodiment includes a step in which a service providing apparatus requests a user authentication to an authentication server for transaction processing of a user, a step in which an authentication server acquires user ID, session ID, transaction information, A step of generating an at least one transaction record, a step of the authentication server searching for an authentication key preset for the authentication terminal and the authentication terminal corresponding to the user ID, and the step of transmitting the authentication key to the authentication application stored in advance in the authentication terminal And a step in which the authentication application decrypts the user token previously stored in the authentication terminal using the authentication key and transmits the decrypted user token to the authentication server, and when the decrypted user token is transmitted from the authentication application, the authentication server transmits the transaction information to the authentication application And authentication application Generates transaction information, receives a password from a user, generates a password encrypted using the user token and the authentication key decrypted by the authentication application using the authentication key, and authentication information composed of device information of the authentication terminal And a step of the authentication server verifying the user based on the authentication information and pushing the verification result to the listener provided in the service providing apparatus.

이때, 인증 정보를 전송하는 단계는,인증 단말과 인증 서버 간의 통신을 위한 채널을 생성하는 단계;를 포함할 수 있다. At this time, the step of transmitting the authentication information may include a step of generating a channel for communication between the authentication terminal and the authentication server.

또한, 인증 서버에 전송하는 단계는,인증 정보의 생성이 완료되면 인증 서버로부터 전송된 인증키를 삭제하는 단계;를 더 포함할 수 있다.The transmitting of the authentication information to the authentication server may further include deleting the authentication key transmitted from the authentication server when the generation of the authentication information is completed.

또한, 다채널 인증 방법은 인증 서버가 인증 단말의 등록을 위해 임시 ID를 발급하는 단계와 인증 어플리케이션이 설치된 인증 단말이 임시 ID를 이용하여 인증 서버에 등록을 요청하는 단계와 인증 단말을 통해 전송된 임시 ID 및 사용자 정보에 기초하여 등록을 요청한 사용자를 검증하는 단계와 사용자 검증이 완료되면, 유저 토큰, 및 인증키를 발행하고, 유저 토큰, 인증키, 인증 단말을 통해 전송된 비밀번호, 및 인증 단말의 디바이스 정보를 포함하는 사용자 레코드를 저장하는 단계와 인증키에 의하여 복호화되도록 유저 토큰을 암호화하여 인증 단말에 전송하는 단계를 더 포함할 수 있다.In the multi-channel authentication method, the authentication server issues a temporary ID for registration of the authentication terminal, the authentication terminal having the authentication application requests registration to the authentication server using the temporary ID, A step of issuing a user token and an authentication key, and transmitting the user token, the authentication key, the password transmitted through the authentication terminal, Storing the user record including the device information of the authentication key, and encrypting the user token to be decrypted by the authentication key and transmitting the encrypted user token to the authentication terminal.

일 실시예에 따른 인증 서버는 서비스 제공 장치로부터 트랜잭션 처리를 위한 사용자 인증 요청이 수신되면, 인증을 요청한 사용자 ID, 세션 ID, 트랜잭션 정보, 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성하는 트랜잭션 관리부와 사용자 ID에 대응되는 인증 단말 및 인증 단말에 대해 미리 설정된 인증키를 탐색하는 정보 관리부와 인증 단말에 미리 저장된 인증 어플리케이션으로 인증키를 전송하는 푸시처리부와인증 어플리케이션으로부터 인증키를 이용하여 복호화된 유저 토큰이 전송되면, 인증 어플리케이션으로 트랜잭션 정보를 전송하는 정보 제공부와인증 어플리케이션으로부터 복호화된 유저 토큰, 인증키를 이용하여 암호화된 비밀 번호, 인증 단말의 디바이스 정보로 구성된 인증 정보를 수신하여 검증하는 인증 처리부를 포함할 수 있다.The authentication server according to an embodiment of the present invention includes a transaction management unit for generating a transaction record composed of at least one of a user ID requesting authentication, a session ID, transaction information, and a progress status when a user authentication request for transaction processing is received from the service providing apparatus, A push processing unit for transmitting an authentication key to an authentication application pre-stored in the authentication terminal, and a user token decrypted using the authentication key from the authentication application, An authentication processing unit for receiving and verifying authentication information composed of information provided to transmit the transaction information to the authentication application and the authentication information composed of the user token decrypted from the authentication application, the password encrypted using the authentication key, and the device information of the authentication terminal artillery Can.

이때, 인증 처리부는, 검증이 완료되면, 서비스 제공 장치에 마련된 리스너로 검증 결과를 푸시하고, 트랜잭션 레코드의 진행 상태를 완료로 변경할 수 있다. At this time, when the verification is completed, the authentication processing unit may push the verification result to the listener provided in the service providing apparatus and change the progress status of the transaction record to the completion.

또한, 정보 관리부는,인증 단말로부터 미리 발급된 임시 ID를 이용한 접근이 발생하면, 임시 ID를 이용하여 사용자를 검증하고, 유저 토큰 및 인증키를 발행하고,임시 ID를 이용하여 접근한 인증 단말의 디바이스 정보, 유저 토큰, 인증키로 구성된 사용자 레코드를 생성하여 저장하고, 인증키를 이용하여 유저 토큰을 암호화하여 임시 ID를 이용하여 접근한 인증 단말로 전송하는 사용자 레코드 관리부를 포함할 수 있다. When the access using the provisional ID issued in advance from the authentication terminal occurs, the information management unit verifies the user by using the temporary ID, issues the user token and the authentication key, A user record management unit for generating and storing a user record composed of device information, a user token and an authentication key, encrypting the user token using the authentication key, and transmitting the encrypted user token to the authentication terminal accessed using the temporary ID.

일 실시예에 따른 인증 단말은 인증 서버와 데이터를 송수신하는 통신부와 암호화된 유저 토큰 및 인증 어플리케이션이 저장되는 저장부와인증 서버의 인증키 푸시에 따라 인증 어플리케이션을 실행하는 프로세스를 포함하고, 인증 어플리케이션은,사용자로부터 입력 받은 비밀번호, 인증키를 이용하여 복호화된 유저 토큰, 및 인증 단말의 디바이스 정보로 구성된 인증 정보를 생성하고 인증 서버에 인증 정보를 전송할 수 있다. The authentication terminal according to an embodiment includes a communication unit for transmitting and receiving data with an authentication server, a storage unit for storing an encrypted user token and an authentication application, and a process for executing an authentication application according to an authentication key push of an authentication server, Can generate the authentication information including the password input from the user, the user token decrypted using the authentication key, and the device information of the authentication terminal, and can transmit the authentication information to the authentication server.

또한, 인증 어플리케이션은 인증 서버와 통신 채널을 생성하고, 통신 채널을 통해 인증 정보를 전송할 수 있다. In addition, the authentication application can create a communication channel with the authentication server and transmit the authentication information through the communication channel.

또한, 인증 단말은 인증 단말로부터 수신한 트랜잭션 정보를 표시하고, 사용자로부터 비밀 번호를 입력 받는 입출력부;를 더 포함하고,인증 어플리케이션은 통신 채널을 통해 인증 서버로부터 복호화된 유저 토큰을 전송하여 인증 서버로부터 트랜잭션 정보를 수신할 수 있다. The authentication application further includes an input / output unit that displays transaction information received from the authentication terminal and receives a password from the user, and the authentication application transmits the decrypted user token through the communication channel to the authentication server, Lt; / RTI >

또한, 프로세스는 인증 정보의 생성이 완료되면 인증키를 삭제할 수 있다.Also, the process can delete the authentication key when the generation of the authentication information is completed.

본 발명의 실시예에 따르면, 지식기반인증 요소인 비밀번호, 소프트웨어 소지기반인증 요소인 유저 토큰, 및 하드웨어 소지기반인증 요소인 디바이스 정보를 함께 이용하여 트랜잭션 처리 요청에 대해 인증함으로써, 그 보안 신뢰성이 향상된다. According to the embodiment of the present invention, the security reliability is improved by authenticating the transaction processing request by using the password as the knowledge-based authentication element, the user token as the software possession-based authentication element, and the device information as the hardware possession- do.

또한, 복수의 채널을 통해 트랜잭션 처리와 인증을 처리하는 다채널 인증 방법, 이를 위한 인증 서버 및 인증 단말을 제공함으로써, 온라인 금융 거래의 보안성을 더욱 향상시킬 수 있다.Also, by providing a multi-channel authentication method for processing transaction and authentication through a plurality of channels, and an authentication server and an authentication terminal for the multi-channel authentication method, the security of an online financial transaction can be further improved.

도 1은 종래 OTP를 이용한 보안 방법의 취약점을 설명하기 위한 도면이다.
도 2는 일 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이다.
도 3은 도2의 다채널 인증 시스템을 구성하는 장치간의 통신 보안 방법의 일례를 도시한 도면이다.
도 4는 다른 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이다.
도 5는 일 실시예에 따른 다채널 인증 방법을 이용하기 위한 등록 절차를 도시한 도면이다.
도 6은 일 실시예에 따른 다채널 인증 방법을 개략적으로 도시한 도면이다.
도 7은 트랜잭션 정보 제공의 일례를 도시한 도면이다.
도 8은 사용자 검증에 이용되는 인증 정보의 일례를 도시한 도면이다.
도 9는 일 실시예에 따른 다채널 인증 방법의 채널 설정의 일례를 도시한 도면이다.
도 10은 일 실시예에 따른 다채널 인증 방법의 채널 설정의 다른례를 도시한 도면이다.
도 11은 일 실시예에 따른 다채널 인증 시스템의 인증 단말의 제어 블럭도이다.
도 12는 일 실시예에 따른 다채널 인증 시스템의 인증 서버의 제어 블록블럭도이다.1 is a view for explaining a weak point of a security method using a conventional OTP.
FIG. 2 is a diagram schematically illustrating a multi-channel authentication system according to an embodiment.
3 is a diagram illustrating an example of a communication security method between devices constituting the multi-channel authentication system of FIG.
4 is a diagram schematically showing a multi-channel authentication system according to another embodiment.
FIG. 5 is a diagram illustrating a registration procedure for using a multi-channel authentication method according to an embodiment.
6 is a diagram schematically illustrating a multi-channel authentication method according to an embodiment.
7 is a diagram showing an example of transaction information provision.
8 is a diagram showing an example of authentication information used for user verification.
9 is a diagram illustrating an example of channel setting of the multi-channel authentication method according to an embodiment.
10 is a diagram illustrating another example of channel setting of the multi-channel authentication method according to the embodiment.
11 is a control block diagram of an authentication terminal of a multi-channel authentication system according to an embodiment.
12 is a control block diagram of an authentication server of a multi-channel authentication system according to an embodiment.

본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.Brief Description of the Drawings The advantages and features of the present invention, and how to accomplish them, will become apparent with reference to the embodiments described hereinafter with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. To fully disclose the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims.

본 발명에서 사용되는 용어는 본 발명에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 발명의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 발명에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 발명의 전반에 걸친 내용을 토대로 정의되어야 한다. 이하, 도면을 참조하여 본 발명에 대하여 구체적으로 설명한다.While the present invention has been described in connection with what is presently considered to be the most practical and preferred embodiment, it is to be understood that the invention is not limited to the disclosed embodiments. Also, in certain cases, there may be a term selected arbitrarily by the applicant, in which case the meaning thereof will be described in detail in the description of the corresponding invention. Therefore, the term used in the present invention should be defined based on the meaning of the term, not on the name of a simple term, but on the entire contents of the present invention. Hereinafter, the present invention will be described in detail with reference to the drawings.

이하에서는, 다채널 인증 시스템에 의해 처리되는 트랜잭션 처리가 금융정보조회, 자금이체, 송금 등과 같은 금융 처리인 것으로 설명하나, 다채널 인증 시스템을 통해 처리될 수 있는 트랜잭션이 이에 한정되는 것은 아니다. Hereinafter, it will be described that the transaction processing processed by the multi-channel authentication system is a financial transaction such as a financial information inquiry, a money transfer, a transfer, etc. However, the transactions that can be processed through the multi-channel authentication system are not limited thereto.

도 2는 일 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이고, 도 3은 도2의 다채널 인증 시스템을 구성하는 장치간의 통신 보안 방법의 일례를 도시한 도면이고, 도 4는 다른 실시예에 따른 다채널 인증 시스템을 개략적으로 도시한 도면이다.FIG. 2 is a diagram schematically illustrating a multi-channel authentication system according to an embodiment, FIG. 3 is a diagram illustrating an example of a method for securing communication between devices constituting the multi-channel authentication system of FIG. 2, 1 is a diagram schematically illustrating a multi-channel authentication system according to an embodiment of the present invention.

도 2를 참조하면, 일 실시예에 따른 다채널 인증 시스템은 서비스 제공 장치(100), 인증 서버(200), 푸시 서버(300), 및 인증 단말(400)을 포함하며,서비스 요청 단말(10)로부터 트랜잭션 처리가 요청되면 정당한 사용자의 요청인지 검증하고 요청된 트랜잭션을 처리한다. 2, a multi-channel authentication system according to an embodiment includes a service providing apparatus 100, an authentication server 200, a push server 300, and an authentication terminal 400, ), It verifies that it is a legitimate user request and processes the requested transaction.

이때, 다채널 인증 시스템을 구성하는 서비스 제공 장치(100), 인증 서버(200), 푸시 서버(300), 및 인증 단말(400) 간 통신에는 소정의 보안 프로토콜이 적용될 수 있다. 예컨대, 도 3에 도시된 것과 같이 서비스 제공 장치(100)와 인증 서버(200)는VPN(virtual private network)으로 구성되어 특수 통신체계와 암호화 기법을 적용하여 상호간 통신하고, 인증 서버(200), 인증 단말(400), 및 푸시 서버(300)는SSL (Secure Socket Layer 혹은 TLS, Transport Layer Security)로 구성되어 상호간 통신할 수 있다. At this time, a predetermined security protocol may be applied to the communication between the service providing apparatus 100, the authentication server 200, the push server 300, and the authentication terminal 400 constituting the multi-channel authentication system. For example, as shown in FIG. 3, the service providing apparatus 100 and the authentication server 200 are configured as a virtual private network (VPN) to communicate with each other by applying a special communication scheme and an encryption scheme. The authentication server 200, The authentication terminal 400 and the push server 300 are composed of SSL (Secure Socket Layer or TLS, Transport Layer Security) and can communicate with each other.

한편, 도 2에서는 인증 서버(200)와 푸시 서버(300)가 별도로 구성된 것으로 도시되어 있으나, 인증 서버(200)와 푸시 서버(300)는 도 4에 도시된 것과 같이 하나의 장치로 구성될 수도 있음을 이해하여야 한다.2, the authentication server 200 and the push server 300 are separately configured. However, the authentication server 200 and the push server 300 may be constituted by one device as shown in FIG. 4 .

이하에서는, 일 실시예에 따른 다채널 인증 방법 및 시스템을 설명하기 앞서, 도 5를 참조하여 인증을 위해 필요한 사용자 등록 단계에 대하여 먼저 설명한다. 도 5는 일 실시예에 따른 다채널 인증 방법을 이용하기 위한 등록 절차를 도시한 도면이다.Hereinafter, a multi-channel authentication method and system according to an embodiment will be described with reference to FIG. 5, and a user registration step required for authentication will be described first. FIG. 5 is a diagram illustrating a registration procedure for using a multi-channel authentication method according to an embodiment.

사용자는 인증 서버(200)에 인증 단말(400)을 등록하는 단계를 거쳐 다채널 인증 방법 및 시스템을 이용할 수 있다. 사용자는 계좌번호, 카드번호등과 같이 사용자를 식별하기 하기 위한 사용자 정보를 인증 서버(200)로 전송하여 인증 단말(400) 등록을 요청할 수 있으며, 경우에 따라 오프라인(은행창구)을 통해서만 인증 단말(400)의 등록 절차가 진행될 수도 있다.The user can use the multi-channel authentication method and system through the step of registering the authentication terminal 400 in the authentication server 200. [ The user can request the registration of the authentication terminal 400 by transmitting the user information for identifying the user such as the account number and the card number to the authentication server 200. In this case, The registration procedure may be performed.

인증 단말 등록 요청이 수신되면, 인증 서버(200)는 인증 단말 등록 요청과 함께 수신한 사용자 정보를 이용하여 등록을 요청한 사용자가 기 등록된 사용자인지 판단한다(510).When the authentication terminal registration request is received, the authentication server 200 determines whether the user who requested the registration using the received user information together with the authentication terminal registration request is a registered user (510).

등록을 요청한 사용자가기 등록된 사용자인 경우(510의 예)기 등록된 사용자 ID와 매칭하여 임시 ID를 발급하고, 등록되지 않은 사용자인 경우(510의 아니오)사용자 ID를 생성하는 사용자 등록 단계(520)를 거쳐 임시 ID를 발급한다(530). 이때, 임시 ID는 숫자 또는 문자로 이루어진 형태일 수 있으나, 경우에 따라 QR코드 또는 BAR 코드와 같은 소정의 코드 형태일 수 있으며, 임시ID 타임 레코드를 가져 미리 설정된 시간 동안만 유효한 것으로 처리될 수 있다.If the user who requested registration is the top registered user (YES in step 510), the user registration step 520 (step 510) of issuing the temporary ID by matching with the previously registered user ID and generating the user ID (530). ≪ / RTI > In this case, the temporary ID may be in the form of a number or a letter, but it may be a predetermined code form such as a QR code or a BAR code in some cases, and may have a temporary ID time record and be processed for a predetermined time only .

임시 ID가 발급되면, 사용자는 발급된 임시 ID를 이용하여 인증 단말(400)의 등록을 요청할 수 있다(540). 구체적으로, 등록이 필요한 인증 단말(400)에 미리 지정된 인증 어플리케이션이 설치되면(541), 사용자는 인증 어플리케이션을 통해 임시 ID입력과 비밀번호를 등록하게 된다(542, 543). When the temporary ID is issued, the user can request registration of the authentication terminal 400 using the issued temporary ID (540). Specifically, when an authentication application previously designated in the authentication terminal 400 requiring registration is installed (541), the user registers the temporary ID input and the password through the authentication application (542, 543).

임시 ID 입력과 비밀번호 등록이 완료되면, 인증 어플리케이션은 인증 단말(400)의 디바이스 정보를 추출할 수 있다.When the temporary ID input and the password registration are completed, the authentication application can extract the device information of the authentication terminal 400. [

여기서, 디바이스 정보는 해당인증 단말(400)의 물리적인 특성에 따른 정보로 인증 단말(400)을 다른 단말과 식별할 수 있는 정보라면 디바이스 정보가 될 수 있다. 예컨대, 인증 단말(400)은모델번호, Wi-Fi 주소, Bluetooth 주소, WCDMA 휴대폰에 내장되어 있는 15자리 숫자로된 단말기 고유 일련번호인 IMEI, IMSI와 함께 SIM카드 번호를 구성하는 고정번호(89로 시작하는 19자리 숫자)인 ICCID, 일부 CDMA 연산자가 각 핸드폰을 고유하게 식별하기 위해 사용하는 일련의 코드인 MEID 중 적어도 하나의 정보를 추출하여 디바이스 정보를 생성할 수 있다. Here, the device information may be device information if it is information that can distinguish the authentication terminal 400 from other terminals, based on the physical characteristics of the authentication terminal 400. For example, the authentication terminal 400 includes a model number, a Wi-Fi address, a Bluetooth address, a fixed number (89) constituting a SIM card number together with IMEI and IMSI which are terminal unique serial numbers of 15 digits embedded in a WCDMA mobile phone And a MEID, which is a series of codes used by some CDMA operators to uniquely identify each mobile phone, to generate device information.

디바이스 정보의 생성이 완료되면, 인증 어플리케이션은 사용자로부터 입력 받은 임시 ID, 등록된 비밀번호, 디바이스 정보를 인증 서버(200)에 전송한다(544). 이때, 인증 어플리케이션은 등록을 요청한 사용자가 정당한 사용자인지 확인하기 위해 사용자 등록시에 저장된 정보, 예컨대. 사용자 ID등을 함께 전송할 수도 있다. When the generation of the device information is completed, the authentication application transmits the temporary ID input from the user, the registered password, and the device information to the authentication server 200 (544). At this time, in order to confirm that the user requesting registration is a legitimate user, the authentication application stores information stored at the time of user registration, e.g., User ID and the like may be transmitted together.

인증 어플리케이션을 통해 임시 ID, 비밀번호, 디바이스 정보가 전송되면, 인증 서버(200)는 이를 기 등록된 사용자 ID와 매칭하여 사용자 레코드를 생성할 수 있다(550). When the temporary ID, the password, and the device information are transmitted through the authentication application, the authentication server 200 may generate a user record by matching with the pre-registered user ID (550).

구체적으로, 인증 서버(200)는 임시 ID 및 임시 ID와 함께 전송된 정보를 이용하여 등록을 요청한 사용자의 동일성을 확인하고(551), 전송된 디바이스 정보를 이용하여 디바이스 토큰을 생성한다(552). Specifically, the authentication server 200 confirms the identity of the user requesting the registration using the information transmitted together with the temporary ID and the temporary ID (551), and generates a device token using the transmitted device information (552) .

디바이스 토큰은인증 단말(400)을 다른 단말과 식별하기 위한 것으로, 디바이스 정보 중 적어도 하나로 구성되어 생성될 수 있으며, 미리 설정된 알고리즘에 따라 디바이스 정보를 변환하여 생성될 수도 있다. 이와 같이 디바이스 정보를 토큰으로 변환하여 관리함으로써, 디바이스 정보를 외부 위협으로부터 더욱 안전하게 보호할 수 있다.The device token is used to identify the authentication terminal 400 to another terminal. The device token may be composed of at least one of device information, and may be generated by converting device information according to a predetermined algorithm. By converting the device information into tokens and managing them in this way, the device information can be protected more safely from external threats.

또한, 인증 서버(200)는 유저 토큰과 유저 토큰의 암호화 및 복호화에 이용될 인증키를 생성할 수 있다(553). In addition, the authentication server 200 may generate an authentication key to be used for encryption and decryption of the user token and the user token (553).

유저 토큰은 사용자 정보를 외부 위협으로부터 안전하게 보호하기 위한 것으로, 소정의 알고리즘에 따라 타 사용자와의 구별 가능한 고유한 값을 가지도록 생성된다. 경우에 따라 유저 토큰 생성을 위해 사용자 ID, 계좌번호 등과 같은 사용자 정보가 이용될 수도 있다. 인증키는 유저 토큰의 암호화와 복호화에 이용되는 키를 의미한다. The user token is used to safeguard user information from external threats and is generated to have a unique value distinguishable from other users according to a predetermined algorithm. In some cases, user information such as a user ID, an account number, and the like may be used for generating a user token. The authentication key means a key used for encrypting and decrypting a user token.

인증 서버(200)는 사용자 ID에 디바이스 토큰, 비밀번호, 유저토크, 인증키를 매칭하여 사용자 레코드를생성하고 이를 저장할 수 있다. 이때, 사용자 레코드에는 푸시 서버(300) 또는 인증 서버(200)가 인증 단말(400)과 통신하기 위한 디바이스 ID가 포함될 수 있다. 여기서, 디바이스 ID는 인증 단말(400)의 고유 문자 또는 식별 코드이거나, 소프트웨어 구축에 쓰이는 표준 식별자인 UUID(Universally Unique IDentifier)일 수 있으나, 이에 한정되는 것은 아니다. The authentication server 200 may generate a user record by matching the user ID with the device token, the password, the user talk, and the authentication key, and store the user record. At this time, the user record may include a device ID for the push server 300 or the authentication server 200 to communicate with the authentication terminal 400. Here, the device ID may be a unique character or an identification code of the authentication terminal 400, or may be a Universally Unique IDentifier (UUID), which is a standard identifier used in software construction, but is not limited thereto.

이와 같은 과정을 통해 생성된 사용자 레코드는 소정의 데이터 베이스 형태로 저장될 수 있으면, 필요에 따라 별도로 마련된 데이터 베이스 장치에 저장될 수도 있다.If the user records generated through the above process can be stored in a predetermined database format, the user records may be stored in a separate database device as needed.

사용자 레코드 생성이 완료되면, 인증 서버(200)는 인증키를 이용하여 유저 토큰을 암호화하고(560), 암호화된 유저 토큰을 인증 단말(400)로 전송할 수 있다(570). 유저 토큰의 암호화에는 AES(Advanced Encryption Standard) 암호화 기법이 이용될 수 있으나, 암호화 기법이 이에 한정되는 것이 아니고, 인증키를 통해 복호화 가능한 형태의 공지된 암호화 기법 또는 추후 기술의 발달로 개시될 암호화 기법이 적용될 수도 있다. When the user record creation is completed, the authentication server 200 encrypts the user token using the authentication key 560 and transmits the encrypted user token to the authentication terminal 400 (570). An Advanced Encryption Standard (AES) encryption scheme may be used for encryption of the user token, but the encryption scheme is not limited thereto. The encryption scheme may be a known encryption scheme that can be decrypted using an authentication key, May be applied.

한편, 인증 어플리케이션은 인증 서버(200)로부터 수신한 암호화된 유저 토큰을 인증 단말(400)에 저장할 수 있다(580). 이때, 유저 토큰은 비휘발성 메모리에 저장된다.Meanwhile, the authentication application can store the encrypted user token received from the authentication server 200 in the authentication terminal 400 (580). At this time, the user token is stored in the nonvolatile memory.

도 6은 일 실시예에 따른 다채널 인증 방법을 개략적으로 도시한 도면이고, 도 7은 트랜잭션 정보 제공의 일례를 도시한 도면이고, 도 8은 사용자 검증에 이용되는 인증 정보의 일례를 도시한 도면이고, 도 9는 일 실시예에 따른 다채널 인증 방법의 채널 설정의 일례를 도시한 도면이고, 도 10은 일 실시예에 따른 다채널 인증 방법의 채널 설정의 다른례를 도시한 도면이다.FIG. 6 is a diagram schematically illustrating a multi-channel authentication method according to an embodiment, FIG. 7 is a diagram showing an example of transaction information provision, and FIG. 8 is a diagram showing an example of authentication information used for user verification FIG. 9 is a diagram illustrating an example of channel setting in the multi-channel authentication method according to an embodiment, and FIG. 10 is a diagram illustrating another example of channel setting in the multi-channel authentication method according to an embodiment.

이하 도 2 및 도 6을 참조하여일 실시예에 따른 다채널 인증 시스템의 인증 절차를 상세히 설명한다.Hereinafter, the authentication procedure of the multi-channel authentication system according to one embodiment will be described in detail with reference to FIG. 2 and FIG.

서비스 제공 장치(100)는 서비스 요청 단말(10)로부터 트랜잭션 처리 요청을 수신한다(601). 이때, 트랜잭션 처리 요청에는 트랜잭션 처리를 요청한 사용자 ID, 세션 ID, 트랜잭션 정보 등이 포함될 수 있다.The service providing apparatus 100 receives a transaction processing request from the service requesting terminal 10 (601). At this time, the transaction processing request may include a user ID requesting transaction processing, a session ID, transaction information, and the like.

트랜잭션 처리 요청이 수신되면 서비스 제공 장치(100)는 사용자 ID, 세션 ID, 트랜잭션 정보, 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성한다(603). 여기서, 트랜잭션 정보는 처리가 요청된 트랜잭션과 관련된 것으로, 예컨대, 이체 계좌, 이체 금액, 계좌 소유자 등과 같이 송금과 관련된 정보일 수 있다. When the transaction processing request is received, the service providing apparatus 100 generates a transaction record composed of at least one of a user ID, a session ID, transaction information, and a progress state (603). Here, the transaction information is related to the transaction for which processing is requested, and may be, for example, transfer related information such as a transfer account, a transfer amount, an account holder, and the like.

한편, HTTP/HTTPS 프로토콜의 특성상 서버는 클라이언트의 요청(Request)이 있을 때만 응답(Response)할 수 있으므로,인증 단말(400)을 통해 인증 절차가 진행되는 동안 클라이언트인 서비스 요청 단말(10)은 Javascript 등을 통해 주기적(5~10")으로 서비스 제공 장치(100)에 트랜잭션 처리 요청을 전송하게 된다. 그러므로, 서비스 제공 장치(100)는 서비스 요청 단말(10)로부터 트랜잭션 처리 요청이 수신되면,수신된 트랜잭션 처리 요청이 사용자에 의한 요청인지 판단한다(605). On the other hand, the server can respond only when there is a request from the client on the characteristics of the HTTP / HTTPS protocol. Therefore, the service request terminal 10, which is a client during the authentication procedure through the authentication terminal 400, The service providing apparatus 100 transmits a transaction processing request to the service providing apparatus 100 periodically (5 to 10 ") via the communication network 100. Therefore, when a transaction processing request is received from the service requesting terminal 10, (605) whether the requested transaction processing request is a request by the user.

구체적으로, 서비스 제공 장치(100)는 생성된 트랜잭션 레코드와 처리 중인 트랜잭션 레코드를 비교하여, 생성된 트랜잭션 레코드와 사용자 ID, 세션 ID, 및 트랜잭션 정보 중 적어도 하나가 동일한 처리중인 트랜잭션 레코드가 있으면, 처리 상태를 확인하기 위해 주기적으로 전송되는 트랜잭션 요청인 것으로 판단하여(605의 아니오), 생성된 트랜잭션 레코드를 폐기하고 인증결과를 확인할 수 있다. Specifically, the service providing apparatus 100 compares the generated transaction record with the transaction record being processed, and if there is a transaction record in process having at least one of the generated transaction record and the user ID, session ID, and transaction information, It is determined that the transaction request is periodically transmitted to check the status (NO in 605), the generated transaction record is discarded and the authentication result can be confirmed.

반대로, 생성된 트랜잭션 레코드와 사용자 ID, 세션 ID, 및 트랜잭션 정보 중 적어도 하나가 동일한 처리중인 트랜잭션 레코드가 없으면, 사용자의 요청인 것으로 판단하여(605의 예), 생성된 트랜잭션 레코드의 처리 상태를 진행중으로 변경하고, 인증 서버(200)에 사용자 인증을 요청할 수 있다(606). 이때, 서비스 제공 장치(100)는 트랜잭션 레코드를 인증 요청과 함께 전송할 수 있다. On the contrary, if at least one of the generated transaction record and the transaction ID of the user ID, the session ID, and the transaction information is not in the same transaction record, it is determined that the request is a user request (Yes in 605) And may request the authentication server 200 to authenticate the user (606). At this time, the service providing apparatus 100 may transmit the transaction record together with the authentication request.

서비스 제공 장치(100)로부터 인증 요청이 수신되면, 인증 서버(200)는 사용자 레코드를 검색한다(607).When an authentication request is received from the service providing apparatus 100, the authentication server 200 searches for a user record (607).

구체적으로, 인증 서버(200)는 사용자 ID에 대응되는 사용자 레코드를 검색하고, 사용자 레코드에저장된 디바이스 ID에 대응되는 인증 단말(400)로 사용자 레코드의 인증키를 전송한다(609). 이때, 도 2와 같이 별도의 푸시 서버(300)가 있는 경우, 인증 서버(200)의 요청에 따라 푸시 서버(300)가 디바이스 ID에 대응되는 인증 단말(400)에 설치된 인증 어플리케이션으로인증키를푸시하게 되며, 도 4와 같이 인증 서버(200)가 푸시 서버(300)의 기능을 함께 수행하는 경우에는 인증 서버(200)가 인증 단말(400)에 설치된 인증 어플리케이션으로인증키를푸시할 수 있다. Specifically, the authentication server 200 searches the user record corresponding to the user ID, and transmits the authentication key of the user record to the authentication terminal 400 corresponding to the device ID stored in the user record (609). 2, when the push server 300 receives a request from the authentication server 200, the push server 300 transmits an authentication key to the authentication application installed in the authentication terminal 400 corresponding to the device ID The authentication server 200 may push the authentication key to the authentication application installed in the authentication terminal 400 when the authentication server 200 performs the function of the push server 300 as shown in FIG. .

인증 키를 수신한 인증 단말(400)은 인증 어플리케이션을 실행한다(611). 이때, 인증 어플리케이션의 실행은 자동으로 이루어질 수 있으나, 경우에 따라 사용자의 조작에 의하여 실행될 수 있다. The authentication terminal 400 having received the authentication key executes the authentication application (611). At this time, execution of the authentication application may be performed automatically, but may be executed by a user's operation in some cases.

인증 어플리케이션이 실행되면, 인증 어플리케이션은 푸시된인증키를 이용하여 유저 토큰을 복호화한다(613). 이때, 인증키의복호화 기법은 상술한 등록 단계에서 사용된 암호화기법에 대응되는 것이다. 예컨대, 유저 토큰의 암호화에 AES가 사용된 경우, 인증 어플리케이션은 AES의 복호화 기법을 이용하여 유저 토큰을 복호화할 수 있다. When the authentication application is executed, the authentication application decrypts the user token using the pushed authentication key (613). At this time, the decryption technique of the authentication key corresponds to the encryption technique used in the registration step. For example, when AES is used to encrypt a user token, the authentication application may decrypt the user token using the AES decryption scheme.

인증 어플리케이션을 통해 인증키가 복호화되면, 인증 단말(400)은 복호화된 유저 토큰을 인증 서버(200)로 전송하고(615),인증 서버(200)는 수신한 유저 토큰이 유효하면 트랜잭션 레코드에 저장된 트랜잭션 정보를 인증 단말(400)로 전송한다(617). 이때, 유저 토큰의 유효성 검증은 인증 단말(400)로부터 수신한 유저 토큰과 사용자 레코드에 저장된 유저 토큰의 비교를 통해 수행될 수 있다.When the authentication key is decrypted through the authentication application, the authentication terminal 400 transmits the decrypted user token to the authentication server 200 (615). When the received user token is valid, the authentication server 200 stores the decrypted user token in the transaction record And transmits the transaction information to the authentication terminal 400 (617). At this time, the validity of the user token may be verified by comparing the user token received from the authentication terminal 400 with the user token stored in the user record.

인증 서버(200)로부터 트랜잭션 정보가 수신되면, 인증 어플리케이션은 인증 정보를 생성한다(621). When the transaction information is received from the authentication server 200, the authentication application generates the authentication information (621).

구체적으로, 인증 어플리케이션은 도 7에 도시된 것과 같이 인증 서버(200)로부터 수신한 트랜잭션 정보를 표시하고(701), 사용자로부터 등록된 비밀번호를 입력 받는다. Specifically, the authentication application displays the transaction information received from the authentication server 200 as shown in FIG. 7 (701), and receives the password registered from the user.

또한, 인증 어플리케이션은 인증 단말(400)의 물리적인 특성인 디바이스 정보를 추출할 수 있다. 이때, 디바이스 정보는 등록 단계에서 추출된 디바이스 정보에 대응되는 것으로, 상술한 것과 같이 Wi-Fi 주소, Bluetooth 주소, IMEI, ICCID, MEID 중 적어도 하나를 포함할 수 있다. In addition, the authentication application can extract device information, which is a physical characteristic of the authentication terminal 400. [ At this time, the device information corresponds to the device information extracted in the registration step and may include at least one of Wi-Fi address, Bluetooth address, IMEI, ICCID, and MEID as described above.

디바이스 정보의 생성이 완료되면, 인증 단말(400)은 8(a)에 도시된 것과 같이 유저 토큰, 비밀번호, 디바이스 정보로 구성된 인증 정보를 생성하고(621), 이를 인증 서버(200)에 전송할 수 있다(623) When the generation of the device information is completed, the authentication terminal 400 generates (621) authentication information composed of a user token, a password and device information as shown in 8 (a), and transmits the authentication information to the authentication server 200 (623)

이때, 인증 정보는 암호화되어 전송될 수 있다. 인증 단말(400)과 인증 서버(200)는 인증키를 공유하므로, 인증 단말(400)은 인증키를 이용하여 유저 토큰, 비밀번호, 디바이스 정보 중 적어도 하나의 정보를 암호화하여 전송할 수 있다. 인증 정보의 암호화는 유저 토큰의 암호화 기법과 동일할 수 있으나, 선택적으로 유저 토큰의 암호화 기법과 다른 암호화 기법이 이용될 수도 있다.At this time, the authentication information can be encrypted and transmitted. Since the authentication terminal 400 and the authentication server 200 share the authentication key, the authentication terminal 400 can encrypt and transmit at least one of the user token, the password, and the device information using the authentication key. The encryption of the authentication information may be the same as the encryption technique of the user token, but an encryption technique different from the encryption technique of the user token may be optionally used.

아울러, 인증 단말(400)은 인증 정보를 보호하기 위해 인증 서버(200)와 종래 통신 채널과 다른 채널을 생성하고, 이를 통해 인증 정보를 전송할 수도 있다. In addition, the authentication terminal 400 may generate a channel different from the conventional communication channel with the authentication server 200 in order to protect authentication information, and may transmit the authentication information through the channel.

인증 정보의 전송이 완료되면, 인증 단말(400)은 인증 단말(400)에 저장된 암호키를 메모리에서 삭제(release)시킬 수 있다.When the transmission of the authentication information is completed, the authentication terminal 400 can release the encryption key stored in the authentication terminal 400 from the memory.

한편, 인증 정보를 수신한 인증 서버(200)는 인증 정보를 이용하여 사용자를 검증을 수행한다(625). 구체적으로, 인증정보에 포함된 유저 토큰과 비밀번호를 사용자 레코드에 포함된 유저 토큰과 비밀번호와 비교하고, 인증 정보에 포함된 디바이스 정보를 이용하여 생성된 디바이스 토큰과 사용자 레코드에 포함된 디바이스 토큰을 비교하여 사용자를 검증할 수 있다. 이때, 디바이스 토큰의 생성 방법은 상술한 등록 단계와 동일한 것일 수 있다. On the other hand, the authentication server 200 receiving the authentication information performs verification of the user using the authentication information (625). Specifically, the user token and the password included in the authentication information are compared with the user token and the password included in the user record, and the device token generated using the device information included in the authentication information is compared with the device token included in the user record Thereby verifying the user. At this time, the method of generating the device token may be the same as the registration step described above.

인증 단말(400)은 이와 같이 과정을 통해 인증이 종료되면,서비스 제공 장치(100)로 인증 결과를 전송하고(627), 트랜잭션 레코드의 처리 상태를 종료 상태로 변경할 수 있다.The authentication terminal 400 may transmit the authentication result to the service providing apparatus 100 (627) and change the processing state of the transaction record to the end state when the authentication is completed through the above process.

검증 결과는 푸시 형태로 서비스 제공 장치(100)로 전달될 수 있으면, 푸시 형태의 검증 결과 수신을 위해 서비스 제공 장치(100)에는 리스너(도 12의 110)가 마련될 수 있다.If the verification result can be transmitted to the service providing apparatus 100 in a push form, the service providing apparatus 100 may be provided with a listener (110 of FIG. 12) to receive the push type verification result.

서비스 제공 장치(100)는 리스너(110) 조회를 통해 인증 결과를 확인하고(629), 인증 결과가 유효한 경우에 사용자가 요청한 트랜잭션을 처리한다. The service providing apparatus 100 confirms the authentication result through inquiry of the listener 110 (629), and processes the transaction requested by the user when the authentication result is valid.

한편, 도 6에서는 인증 단말(400)이 인증키를 이용하여 인증 정보를 암호화하는 것으로 설명하였으나, 인증 정보의 암호화 방법이 이에 한정되는 것이 아니다. 6, the authentication terminal 400 encrypts the authentication information using the authentication key, but the authentication information encryption method is not limited thereto.

인증 정보의 암호화의 다른례로, 사용자가 입력한 비밀번호를 이용하여 인증 정보를 암호화할 수 있다. As another example of the encryption of the authentication information, the authentication information can be encrypted using the password inputted by the user.

구체적으로, 인증 단말(400)은 사용자가 입력한 비밀번호를 암호화키로 이용하거나, 미리 설정된 규칙에 따라 비밀번호와 인증키의 조합으로 생성된 암호화키를 이용하여 인증 정보의 전부 또는 일부를 암호화하여 인증 서버(200)에 전송할 수 있다. Specifically, the authentication terminal 400 encrypts all or a part of the authentication information by using the password inputted by the user as an encryption key, or by using an encryption key generated by a combination of a password and an authentication key according to a preset rule, (200).

예컨대, 인증 단말(400)은 비밀번호를 암호화키로 이용하여 유저 토큰을 암호화하거나, 비밀번호와 인증키 조합으로 생성된 암호화키를 이용하여 디바이스 정보를 암호화할 수 있다. For example, the authentication terminal 400 can encrypt the user token using the password as the encryption key, or encrypt the device information using the encryption key generated using the combination of the password and the authentication key.

나아가, 인증 정보의 각 필드 별로 서로 다른 암호화키가 이용될 수도 있다. 예컨대, 유저 토큰은 비밀번호로 암호화하고 디바이스 정보는 인증키로 암호화되거나, 유저 토큰은 인증키에 의하여 다시 암호화되고, 비밀번호는 인증키로 암호화되고, 디바이스 정보는 비밀번호와 인증키의 조합으로 생성된 암호화키에 의하여 암호화될 수 있다. Furthermore, different encryption keys may be used for each field of the authentication information. For example, the user token is encrypted with a password, the device information is encrypted with an authentication key, the user token is encrypted again with an authentication key, the password is encrypted with an authentication key, and the device information is encrypted with an encryption key Lt; / RTI >

이와 같이 인증 정보가 비밀번호를 이용하여 암호화되는 경우, 인증 서버(200)는 사용자 레코드에 저장된 비밀번호 및 인증키를 이용하여 복호화키를 생성하고 생성된 복호화 키를 이용하여 수신한 인증 정보를 복호화한다. When the authentication information is encrypted using the password, the authentication server 200 generates a decryption key using the secret and the authentication key stored in the user record, and decrypts the received authentication information using the generated decryption key.

또한, 인증 정보 암호화에 비밀번호가 이용되는 경우, 인증 정보는 도 8(b)에 도시된 것과 같이 유저 토큰과 디바이스 정보로만 구성될 수 있다. When a password is used for the authentication information encryption, the authentication information may be composed only of the user token and the device information as shown in FIG. 8 (b).

이와 같이 비밀정보를 인증 정보의 암호화에 이용함으로써, 보안성을 더욱 향상시킬 수 있다. By using the secret information for encryption of the authentication information, the security can be further improved.

인증 정보의 암호화의 또 다른례로, 인증 단말(400)은 도 8(c)에 도시된 것과 같이 인증 단말(400)에서 추출된 디바이스 정보를 미리 미리 설정된 알고리즘에 따라 디바이스 토큰으로 변환하여 인증 정보를 생성함으로써, 디바이스 정보에 대한 보안성을 더욱 향상시킬 수 있다. As another example of the encryption of the authentication information, the authentication terminal 400 converts the device information extracted from the authentication terminal 400 into a device token according to a predetermined algorithm in advance, as shown in Fig. 8 (c) The security for the device information can be further improved.

상술한것과 같이 일 실시예에 따른 다채널 인증 방법은 지식기반인증 요소인 비밀번호, 소프트웨어 소지기반인증 요소인 유저 토큰, 및 하드웨어 소지기반인증 요소인 디바이스 정보를 함께 이용하여 트랜잭션 처리 요청에 대해 인증함으로써, 그 보안 신뢰성이 향상된다. As described above, the multi-channel authentication method according to an embodiment authenticates a transaction processing request by using a password as a knowledge-based authentication element, a user token as a software owned authentication element, and device information as a hardware owned authentication element together , The security reliability is improved.

또한, 상술한 다채널 인증 방법은, 2개의 통신 채널을 이용하여 인증을 처리하게 되므로, 키로커 또는 메모리 해킹 등에 있어서도 강한 보안성을 지닌다. 구체적으로, 도 9에 도시된 것과 같이 서비스 요청 단말(10)은 서비스 요청 단말(10)과 형성된 제1 채널(901)을 통해 트랜잭션 처리를 요청하고, 인증 절차는 인증 단말(400)과 인증 단말(400) 사이에 형성된 제2 채널(902)을 통해 처리된다. 그러므로, 하나의 채널을 해킹한다고 하더라도 인증과 트랜잭션 처리에 영향을 받지 않으므로, 일 실시예에 따른 다채널 인증 방법은 더욱 높은 보안성을 가지게 된다. In addition, since the above-described multi-channel authentication method processes authentication using two communication channels, it has strong security even in a key locker or memory hacking. 9, the service requesting terminal 10 requests transaction processing through the first channel 901 formed with the service requesting terminal 10, and the authentication procedure is performed between the authentication terminal 400 and the authentication terminal 100. [ Is processed through a second channel (902) formed between the second channel (400). Therefore, even if a single channel is hacked, the multichannel authentication method according to an embodiment has higher security because it is not affected by authentication and transaction processing.

한편, 다채널 인증 방법은 인증에 이용되는 채널 수를 더욱 확장될 수도 있다. 일례로, 도 10에 도시된 것과 같이 인증 서버(200)와 인증 단말(400) 간에 형성된 제2채널(1021)을 통해 유저 토큰과 부가정보의 전송(615, 617)이 이루어지고, 최종적으로 인증에 이용되는 인증 정보는 제2 채널(1021)과 별도로 마련된 제3 채널을 통해 전송될 수 있다. On the other hand, the multi-channel authentication method may further expand the number of channels used for authentication. For example, as shown in FIG. 10, the transmission of the user token and additional information 615 and 617 is performed through the second channel 1021 formed between the authentication server 200 and the authentication terminal 400, The authentication information used in the second channel 1021 may be transmitted through a third channel provided separately from the second channel 1021. [

이하에서는, 도면을 참조하여 다채널 인증 시스템의 주요 구성 요소에 대하여 상세히 설명한다. Hereinafter, major components of the multi-channel authentication system will be described in detail with reference to the drawings.

도 11은 일 실시예에 따른 다채널 인증 시스템의 인증 단말의 제어 블럭도이다. 11 is a control block diagram of an authentication terminal of a multi-channel authentication system according to an embodiment.

도 11을 참조하면, 인증 단말(400)은 통신부(410), 단말 저장부(420),표시부, 입력부, 및 제어부를 포함한다. 인증 단말(400)은 도 2에 도시된 것과 같이, 휴대성이 높고 통신망의 접근이 용이한 스마트폰일 수 있으나, 이에 한정되는 것이 아니다. 예컨대, 인증 단말(400)은 데스크 탑 등과 같이 고정된 위치에서 사용되는 정보처리장치 또는 PMP(Portable Media Player), PDA(Personal Digital Assistant), 타블렛 PC(Tablet PC)등과 같이 휴대가 용이한 정보 처리 장치로 치환될 수 있음을 이해하여야 한다. 11, the authentication terminal 400 includes a communication unit 410, a terminal storage unit 420, a display unit, an input unit, and a control unit. The authentication terminal 400 may be a smart phone having high portability and easy access to the communication network, as shown in FIG. 2, but is not limited thereto. For example, the authentication terminal 400 may be an information processing device used at a fixed location such as a desktop or a portable information processing device such as a portable media player (PMP), a personal digital assistant (PDA), a tablet PC, It should be understood that the term " device "

통신부(410)는 통신망에 연결되어 인증 서버(200)와 데이터를 송수신할 수 있다. 통신부(410)는 GSM/3GPP 계열의 통신 방식(GSM, HSDPA, LTE 어드밴스드), 3GPP2 계열의 통신 방식(CDMA 등) 또는 와이맥스 등의 무선 통신 프로토콜를 통해 통신망에 연결될 수 있으나, 통신부(410)는 종래의 통신 프로토콜 또는 추후 기술의 개발에 따라 개발될 통신 프로토콜을 통해 통신망에 연결될 수도 있다. The communication unit 410 is connected to the communication network and can exchange data with the authentication server 200. The communication unit 410 may be connected to a communication network through a GSM / 3GPP communication scheme (GSM, HSDPA, LTE Advanced), a 3GPP2 communication scheme (CDMA or the like), or a wireless communication protocol such as WiMAX, Lt; RTI ID = 0.0 > and / or < / RTI >

구체적으로, 통신부(410))는 인증 서버(200) 또는 푸시 서버(300)로부터 푸시 방식으로 전송되는 인증키를 수신할 수 있으며, 프로세서(440)의 제어에 따라 인증 서버(200)와 형성된 통신 채널을 형성하고, 형성된 통신 채널을 통해 부가 정보를 수신하거나, 인증 정보를 전송할 수 있다. The communication unit 410 may receive an authentication key transmitted in a pushing manner from the authentication server 200 or the push server 300 and may communicate with the authentication server 200 under the control of the processor 440. [ Channels, receive additional information through a formed communication channel, or transmit authentication information.

입출력부(430)는 사용자에게 인증에 필요한 각종 정보를 표시하고, 사용자의 각종 입력을 수신한다. 이를 위해, 입출력부(430)는 디스플레이 패널(Plasma Display Panel, PDP), 액정 디스플레이(Liquid Crystal Display: LCD) 패널, 발광 다이오드(Light Emitting Diode: LED) 패널, 또는 유기 발광 다이오드(Organic Light Emitting Diode: OLED) 패널, 능동형 유기 발광 다이오드(Active-matrix Organic Light-Emitting Diode, AMOLED) 패널 등과 같은 표시 수단을 포함할 수 있으며, 키패드, 푸시 버튼(push button), 또는 멤브레인 버튼(membrane button)등과 같은 버튼 입력 수단, 터치 패드(touch pad) 등과 같은 터치 입력 수단을 포함할 수 있으며, 입출력이 모두 가능한 터치 스크린 형태로 구현될 수도 있다.The input / output unit 430 displays various information necessary for authentication to the user, and receives various inputs from the user. The input / output unit 430 may be a display panel (PDP), a liquid crystal display (LCD) panel, a light emitting diode (LED) panel, or an organic light emitting diode (OLED) panel, an active-matrix organic light-emitting diode (AMOLED) panel, and the like, and may include a keypad, a push button, or a membrane button Button input means, a touch pad, or the like, and may be implemented as a touch screen capable of both input and output.

구체적으로, 입출력부(430)는 인증 서버(200)로부터 수신한 부가정보를 표시하고, 사용자로부터 미리 설정된 비밀번호를 입력받을 수 있다.Specifically, the input / output unit 430 displays the additional information received from the authentication server 200 and receives a preset password from the user.

단말 저장부(420)는다채널 인증을 위해 필요한 각종 데이터를 저장한다. 단말 저장부(420)는 플래시 메모리 타입(flash memory type), 하드디스크 타입(hard disk type), SSD 타입(Solid State Disk type), SDD 타입(Silicon Disk Drive type), 멀티미디어 카드 마이크로 타입(multimedia card micro type), 카드 타입의 메모리(예를 들어 SD 또는 XD 메모리 등), 램(random access memory; RAM), SRAM(static random access memory), 롬(read-only memory; ROM), EEPROM(electrically erasable programmable read-only memory), PROM(programmable read-only memory), 자기 메모리, 자기 디스크 및 광 디스크 중 적어도 하나의 타입의 저장 장치를 포함할 수 있다.The terminal storage unit 420 stores various data required for channel authentication. The terminal storage unit 420 may be a flash memory type, a hard disk type, a solid state disk type, an SDD type (Silicon Disk Drive type), a multimedia card type micro type, card type memory (e.g., SD or XD memory), random access memory (RAM), static random access memory (SRAM), read-only memory (ROM), electrically erasable programmable read-only memory (PROM), programmable read-only memory (PROM), magnetic memory, magnetic disk, and optical disk.

구체적으로, 단말 저장부(420)는 인증 어플리케이션 및 인증 어플리케이션의 실행에 따라 발생하는 데이터를 저장할 수 있으며, 인증 서버(200)로부터 수신한 인증 키를 저장할 수 있다. 이때, 인증 키는 인증 절차가 종료되거나, 인증 어플리케이션의 실행이 종료되는 경우 삭제될 수 있다. Specifically, the terminal storage unit 420 may store data generated according to the execution of the authentication application and the authentication application, and may store the authentication key received from the authentication server 200. [ At this time, the authentication key may be deleted when the authentication procedure is terminated or the execution of the authentication application is terminated.

그리고, 프로세서(440)는 단말 저장부(420)에 저장된 각종 정보를 이용하여 각 장치를 제어하는 것으로, 프로세서(440)는 CPU, micro CPU 등의 장치일 수 있다. 즉, 본 명세서에서 인증 어플리케이션이 수행하는 동작은 실질적으로 프로세서(440)의 구동을 통해 이루어지는 것임을 이해하여야 한다.The processor 440 controls each device using various information stored in the terminal storage unit 420. The processor 440 may be a CPU, a micro CPU, or the like. That is, it should be appreciated that the operations performed by the authentication application herein are substantially effected through the actuation of the processor 440.

구체적으로, 프로세서(440)는 인증 서버(200)로부터 인증키가 푸시되면, 단말 저장부(420)에 저장된 인증 어플리케이션을 실행한다. 이때, 인증키는 유저 토큰과 달리 휘발성 저장장치에 저장될 수 있다.Specifically, when the authentication key is pushed from the authentication server 200, the processor 440 executes the authentication application stored in the terminal storage unit 420. [ At this time, the authentication key may be stored in the volatile storage device, unlike the user token.

프로세서(440)에 의하여 실행된 인증 어플리케이션은 인증키를 이용하여 단말 저장부(420)에 미리 저장된 유저 토큰을 복호화하고, 통신부(410)와 인증 서버(200)간에 형성된 통신 채널을 통해 복호화된유저 토큰을 인증 서버(200)로 전송한다. The authentication application executed by the processor 440 decrypts the user token stored in advance in the terminal storage 420 using the authentication key and transmits the decrypted user to the authentication server 200 through the communication channel established between the communication unit 410 and the authentication server 200. [ And transmits the token to the authentication server 200.

또한, 프로세서는 입출력부(430)를 제어하여인증 서버(200)로부터 수신된 트랜잭션 정보하고, 사용자로부터 비밀번호를 입력 받을 수 있으며, 비밀번호, 복호화된유저 토큰, 디바이스 정보 등으로 구성된 인증 정보를 생성할 수 있다.The processor controls the input / output unit 430 to receive the transaction information received from the authentication server 200, receive the password from the user, generate the authentication information including the password, the decrypted user token, and the device information .

이와 같이 인증 정보가 생성되면 인증 어플리케이션은 상술한 것과 같이 인증키 또는 비밀 번호 등을 이용하여 이를 암호화하여 인증 서버(200)로 전송할 수 있다. When the authentication information is generated as described above, the authentication application can encrypt the authentication information using the authentication key or the password, and transmit the encrypted authentication key to the authentication server 200 as described above.

이때, 암호화된 인증 정보는 유저 토큰이 전송되는 통신 채널과 동일한 통신 채널을 통해 전송될 수 있으나, 유저 토큰 및 부가정보가 전송된 통신 채널과 별도의 채널을 통해 전송될 수도 있다. 예컨대. 인증 어플리케이션은 인증키가 푸시되면인증 서버(200)와 통신을 위해 제1 통신 채널을 형성하여 인증키 및 트랜잭션 정보를 송수신하고, 인증 정보가 생성되면 제1 통신 채널과 다른 제2 통신 채널을 생성하고, 제2 통신 채널을 통해 인증 정보를 전송할 수 있다. At this time, the encrypted authentication information may be transmitted through the same communication channel as the communication channel through which the user token is transmitted, but may be transmitted through a separate channel from the communication channel through which the user token and the additional information are transmitted. for example. When the authentication key is pushed, the authentication application forms a first communication channel for communication with the authentication server 200 to transmit and receive the authentication key and transaction information, and generates a second communication channel different from the first communication channel when authentication information is generated And transmit the authentication information through the second communication channel.

이와 같이 인증 절차에 다수개의 통신 채널을 형성하여 통신함으로써, 다채널 인증 시스템의 보안성은 더욱 향상될 수 있다. By thus forming a plurality of communication channels in the authentication procedure and communicating, the security of the multi-channel authentication system can be further improved.

또한, 프로세서(440)는 인증 정보의 생성 및 전송이 완료되거나, 인증 어플리케이션의 실행이 종료되면 인증키를단말 저장부(420)에서 삭제할 수 있다. In addition, the processor 440 can delete the authentication key from the terminal storage 420 when the generation and transmission of the authentication information is completed, or when the execution of the authentication application is terminated.

도 12는 일 실시예에 따른 다채널 인증 시스템의 인증 서버의 제어 블록블럭도이다.12 is a control block diagram of an authentication server of a multi-channel authentication system according to an embodiment.

도 12를 참조하면, 인증 서버(200)는 트랜잭션 관리부(210), 정보 관리부(220), 푸시처리부(230), 정보 제공부(240), 인증 처리부(250)를 포함할 수 있다. Referring to FIG. 12, the authentication server 200 may include a transaction management unit 210, an information management unit 220, a push processing unit 230, an information providing unit 240, and an authentication processing unit 250.

트랜잭션 관리부(210)는서비스 제공 장치(100)로부터 인증 요청과 함께 수신된 트랜잭션 레코드를 저장하고, 인증의 처리 단계가 진행됨에 따라 트랜잭션의 처리 상태를 갱신할 수 있으며, 필요에 따라 처리가 종료된 트랜잭션 레코드를 별도로 저장할 수도 있다. The transaction management unit 210 stores the transaction record received together with the authentication request from the service providing apparatus 100, and can update the processing state of the transaction as the authentication processing step proceeds. If necessary, You can also store transaction records separately.

정보 관리부(220)는 사용자 레코드를 생성하고, 인증을 요청한 사용자에 대응되는 사용자 레코드를 검색할 수 있다.The information management unit 220 can generate a user record and retrieve a user record corresponding to the user who has requested authentication.

사용자 레코드 생성을 위해 정보 관리부(220)는 사용자 레코드 관리부(221)를 더 포함할 수 있으며, 사용자 레코드 관리부(221)는 인증 단말(400)과 연동하여 도 5의 인증 단말(400) 등록 절차를 수행한다. 즉, 사용자 레코드 관리부(221)는사용자 ID에 디바이스 토큰, 비밀번호, 유저토크, 인증키,데이터를 푸시하기 위해 디바이스 ID를 매칭하여 사용자 레코드를 생성하고, 인증을 요청한 인증 단말(400)에 인증키를 이용하여 암호화된 유저 토큰을 전송할 수 있다. The information management unit 220 may further include a user record management unit 221 for generating a user record and the user record management unit 221 may register the authentication terminal 400 registration procedure of FIG. 5 in cooperation with the authentication terminal 400 . That is, the user record management unit 221 generates a user record by matching the device ID to push the device token, the password, the user talk, the authentication key, and the data to the user ID and sends the authentication key to the authentication terminal 400, May be used to transmit the encrypted user token.

이와 같이 생성된 사용자 레코드는 서버저장부(260)에 저장될 수 있으며, 사용자 레코드 관리부(221)는 보안성을 향상시키기 위해 사용자 레코드를 복수의 데이터베이스로 분할하여 관리할 수도 있다. 예컨대, 사용자 레코드 관리부(221)는 인증 단말(400)로 인증키를 전송하기 위해 필요한 사용자 ID, 인증키, 디바이스 ID는 제1 데이터 베이스로 관리하고, 인증 절차에서 이용되는 유저 토큰, 디바이스 토큰, 비밀 번호는 제2 데이터 베이스로 관리할 수도 있다.The user record thus generated may be stored in the server storage unit 260. The user record management unit 221 may divide and manage the user record into a plurality of databases to improve security. For example, the user record management unit 221 manages the user ID, the authentication key, and the device ID, which are necessary for transmitting the authentication key to the authentication terminal 400, with the first database, and stores the user token, The password can also be managed by the second database.

푸시처리부(230)는 트랜잭션 처리를 요청한 사용자가 미리 등록한 인증 단말(400)로 인증키를 전송한다. 이때, 인증키는 푸시 형태로 전송될 수 있으며, 다채널 인증 시스템이 별도의 푸시 서버(300)를 구비한 경우, 푸시처리부(230)는 푸시 서버(300)에 인증키 푸시를 요청할 수 있다. The push processing unit 230 transmits the authentication key to the authentication terminal 400 previously registered by the user requesting the transaction processing. At this time, the authentication key may be transmitted in a push form. If the multi-channel authentication system has a separate push server 300, the push processing unit 230 may request the push server 300 to push the authentication key.

정보 제공부(240)는인증 단말(400)로부터 수신된 유저 토큰이 유효하면 트랜잭션 레코드에 저장된 트랜잭션 정보를 인증 단말(400)로 전송한다. The information providing unit 240 transmits the transaction information stored in the transaction record to the authentication terminal 400 if the user token received from the authentication terminal 400 is valid.

인증 처리부(250)는 인증 단말(400)로부터 수신된 인증 정보에 기초하여 사용자를 검증하고, 검증 결과를 서비스 제공 장치(100)에 리스너(110)에 전송한다. 이때, 검증 결과는 푸시 방법으로 전송될 수 있다. The authentication processing unit 250 verifies the user based on the authentication information received from the authentication terminal 400 and transmits the verification result to the service providing apparatus 100 to the listener 110. [ At this time, the verification result can be transmitted in the push method.

구체적으로, 인증 처리부(250)는 인증 정보를 복호화할 수 있다. 이때, 복화화에 이용되는 키는 인증 단말(400)에서 암호화에 사용된 키와 동일한 것으로, 상술할 것과 같이 인증 단말(400)이 인증키를 이용하여 인증 정보를 암호화한 경우 인증키를 이용하여 복호화하고, 비밀번호를 이용하여 인증 정보를 암호화한 경우 비밀번호를 이용하여 복호화하고, 비밀번호와 인증키의 조합으로 생성된 인증키로 암호화한 경우 인증 단말(400)과 동일한 방식으로 비밀번호와 인증키를 조합하여 복호화할 수 있다. Specifically, the authentication processing unit 250 can decrypt the authentication information. At this time, the key used for deciphering is the same as the key used for encryption in the authentication terminal 400. When the authentication terminal 400 encrypts the authentication information using the authentication key, as described above, Decrypts the encrypted authentication information using the password and encrypts the authentication information using an authentication key generated by a combination of a password and an authentication key. In the same manner as the authentication terminal 400, a password and an authentication key are combined It can be decoded.

또한, 인증 처리부(250)는 복호화한 인증 정보에 포함된 유저 토큰, 비밀번호, 디바이스 정보와 사용자 레코드의 해당값을 비교하여 사용자를 검증을 수행하고, 검증 결과를 리스너(110)로 푸시한다. Also, the authentication processing unit 250 compares the user token, the password, and the device information included in the decrypted authentication information with the corresponding values of the user record, performs the verification of the user, and pushes the verification result to the listener 110.

본원 발명의 실시예 들과 관련된 기술 분야에서 통상의 지식을 가진 자는 상기 기재의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로, 개시된 방법들은 한정적인 관점이 아닌 설명적 관점에서 고려되어야 한다. 본 발명의 범위는 발명의 상세한 설명이 아닌 특허청구 범위에 나타나며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명의 범위에 포함되는 것으로 해석되어야 한다.It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed methods should be considered in an illustrative rather than a restrictive sense. It is intended that the present invention cover the modifications and variations of this invention provided they come within the scope of the appended claims and their equivalents.

100: 서비스 제공 장치
200: 인증 서버
300: 푸시 서버
400: 인증 단말100: Service providing device
200: authentication server
300: push server
400: authentication terminal

Claims (11)

서비스 제공 장치가 사용자의 트랜잭션 처리를 위해 인증 서버에 사용자 인증을 요청하는 단계;
상기 인증 서버가 상기 트랜잭션에 대응되는 사용자 ID, 세션 ID, 트랜잭션 정보, 및 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성하는 단계;
상기 인증 서버가 상기 사용자 ID에 대응되는 인증 단말 및 상기 인증 단말에 대해 미리 설정된 인증키를 탐색하는 단계;
상기 인증 서버가 상기 인증 단말에 미리 저장된 인증 어플리케이션으로 상기 인증키를 전송하는 단계;
상기 인증 어플리케이션이 상기 인증키를 이용하여 상기 인증 단말에 미리 저장된 유저 토큰을 복호화하여 상기 인증 서버로 전송하는 단계;
상기 인증 어플리케이션으로부터 복호화된 유저 토큰이 전송되면, 상기 인증 서버가 상기 인증 어플리케이션으로 상기 트랜잭션 정보를 전송하는 단계;
상기 인증 어플리케이션이 상기 트랜잭션 정보를 표시하고, 상기 사용자로부터 비밀 번호를 입력 받는 단계;
상기 인증 어플리케이션이 상기 인증키를 이용하여 복호화한 유저 토큰 및 상기 인증키를 이용하여 암호화한 상기 비밀번호, 및 상기 인증 단말의 디바이스 정보로 구성된 인증 정보를 생성하여 상기 인증 서버에 전송하는 단계; 및
상기 인증 서버가 상기 인증 정보에 기초하여 사용자를 검증하고, 상기 서비스 제공 장치에 마련된 리스너에 검증 결과를 푸시하는 단계;
를 포함하는 다채널 인증 방법.
The service providing apparatus requesting the authentication server to authenticate the user for transaction processing of the user;
Generating, by the authentication server, a transaction record composed of at least one of a user ID, a session ID, transaction information, and a progress status corresponding to the transaction;
The authentication server searching for an authentication key corresponding to the user ID and an authentication key preset for the authentication terminal;
The authentication server transmitting the authentication key to an authentication application previously stored in the authentication terminal;
The authentication application decrypting the user token previously stored in the authentication terminal using the authentication key and transmitting the decrypted user token to the authentication server;
When the decrypted user token is transmitted from the authentication application, the authentication server transmits the transaction information to the authentication application;
The authentication application displaying the transaction information and receiving a password from the user;
Generating authentication information including the user token decrypted by the authentication application using the authentication key, the password encrypted using the authentication key, and the device information of the authentication terminal, and transmitting the authentication information to the authentication server; And
Verifying the user based on the authentication information, and pushing a verification result to a listener provided in the service providing apparatus;
And a multi-channel authentication method.
제1항에 있어서,
상기 인증 정보를 전송하는 단계는,
상기 인증 단말과 상기 인증 서버 간의 통신을 위한 채널을 생성하는 단계;를 포함하는 다채널 인증 방법.
The method according to claim 1,
Wherein the transmitting the authentication information comprises:
And generating a channel for communication between the authentication terminal and the authentication server.
제1항에 있어서,
상기 인증 서버에 전송하는 단계는,
상기 인증 정보의 생성이 완료되면 상기 인증 서버로부터 전송된 인증키를 삭제하는 단계;를 더 포함하는 다채널 인증 방법.
The method according to claim 1,
Wherein the step of transmitting to the authentication server comprises:
And deleting the authentication key transmitted from the authentication server when generation of the authentication information is completed.
제1항에있어서,
상기 인증 서버가 인증 단말의 등록을 위해 임시 ID를 발급하는 단계;
상기 인증 어플리케이션이 설치된 인증 단말이 상기 임시 ID를 이용하여 상기 인증 서버에 등록을 요청하는 단계;
상기 인증 단말을 통해 전송된 임시 ID 및 사용자 정보에 기초하여 등록을 요청한 사용자를 검증하는 단계;
상기 사용자 검증이 완료되면, 유저 토큰, 및 인증키를 발행하고, 상기 유저 토큰, 상기 인증키, 상기 인증 단말을 통해 전송된 비밀번호, 및 상기 인증 단말의 디바이스 정보를 포함하는 사용자 레코드를 저장하는 단계; 및
상기 인증키에 의하여 복호화되도록 상기 유저 토큰을 암호화하여 상기 인증 단말에 전송하는 단계;
를 포함하는 다채널 인증 방법.
The method according to claim 1,
The authentication server issuing a temporary ID for registration of an authentication terminal;
The authentication terminal having the authentication application requesting registration to the authentication server using the temporary ID;
Verifying the user who requested registration based on the temporary ID and the user information transmitted through the authentication terminal;
When the user verification is completed, issuing a user token and an authentication key, storing a user record including the user token, the authentication key, the password transmitted through the authentication terminal, and the device information of the authentication terminal ; And
Encrypting the user token to be decrypted by the authentication key and transmitting the encrypted user token to the authentication terminal;
And a multi-channel authentication method.
서비스 제공 장치로부터 트랜잭션 처리를 위한 사용자 인증 요청이 수신되면, 인증을 요청한 사용자 ID, 세션 ID, 트랜잭션 정보, 진행 상태 중 적어도 하나로 구성된 트랜잭션 레코드를 생성하는 트랜잭션 관리부;
상기 사용자 ID에 대응되는 인증 단말 및 상기 인증 단말에 대해 미리 설정된 인증키를 탐색하는 정보 관리부;
상기 인증 단말에 미리 저장된 인증 어플리케이션으로 상기 인증키를 전송하는 푸시처리부;
상기 인증 어플리케이션으로부터 상기 인증키를 이용하여 복호화된 유저 토큰이 전송되면, 상기 인증 어플리케이션으로 상기 트랜잭션 정보를 전송하는 정보 제공부; 및
상기 인증 어플리케이션으로부터 복호화된 유저 토큰, 상기 인증키를 이용하여 암호화된 비밀 번호, 상기 인증 단말의 디바이스 정보로 구성된 인증 정보를 수신하여 검증하는 인증 처리부;
를 포함하는 인증 서버.
A transaction management unit for generating a transaction record composed of at least one of a user ID requesting authentication, a session ID, transaction information, and a progress status when a user authentication request for transaction processing is received from the service providing apparatus;
An information management unit for searching an authentication terminal corresponding to the user ID and an authentication key preset for the authentication terminal;
A push processing unit for transmitting the authentication key to an authentication application previously stored in the authentication terminal;
An information providing unit transmitting the transaction information to the authentication application when the decrypted user token is transmitted from the authentication application using the authentication key; And
An authentication processing unit for receiving and verifying authentication information including a user token decrypted from the authentication application, a password encrypted using the authentication key, and authentication information including device information of the authentication terminal;
.
제5항에 있어서,
상기 인증 처리부는,
상기 검증이 완료되면, 상기 서비스 제공 장치에 마련된 리스너로 상기 검증 결과를 푸시하고, 상기 트랜잭션 레코드의 진행 상태를 완료로 변경하는 인증 서버.
6. The method of claim 5,
The authentication processing unit,
And when the verification is completed, pushing the verification result to a listener provided in the service providing apparatus, and changing the progress status of the transaction record to completion.
제6항에 있어서,
상기 정보 관리부는,
인증 단말로부터 미리 발급된 임시 ID를 이용한 접근이 발생하면, 상기 임시 ID를 이용하여 사용자를 검증하고, 유저 토큰 및 상기 인증키를 발행하고,
상기 임시 ID를 이용하여 접근한 인증 단말의 디바이스 정보, 상기 유저 토큰, 상기 인증키로 구성된 사용자 레코드를 생성하여 저장하고,
상기 인증키를 이용하여 상기 유저 토큰을 암호화하여 상기 임시 ID를 이용하여 접근한 인증 단말로 전송하는 사용자 레코드 관리부;
를 포함하는 인증 서버.
The method according to claim 6,
The information management unit,
When the access using the provisional ID issued in advance from the authentication terminal occurs, verifies the user using the provisional ID, issues the user token and the authentication key,
Generates and stores a user record composed of the device information of the authentication terminal accessed using the temporary ID, the user token, and the authentication key,
A user record management unit for encrypting the user token using the authentication key and transmitting the encrypted user token to the authentication terminal accessed using the temporary ID;
.
인증 서버와 데이터를 송수신하는 통신부;
암호화된 유저 토큰 및 인증 어플리케이션이 저장되는 저장부;
상기 인증 서버의 인증키 푸시에 따라 상기 인증 어플리케이션을 실행하는 프로세스;를 포함하는 인증 단말에 있어서,
상기 인증 어플리케이션은,
사용자로부터 입력 받은 비밀번호, 상기 인증키를 이용하여 복호화된 유저 토큰, 및 상기 인증 단말의 디바이스 정보로 구성된 인증 정보를 생성하고 상기 인증 서버에 상기 인증 정보를 전송하는 인증 단말.
A communication unit for transmitting and receiving data to and from the authentication server;
A storage unit for storing an encrypted user token and an authentication application;
And a process of executing the authentication application according to an authentication key push of the authentication server,
The authentication application,
An authenticating terminal that generates authentication information including a password input from a user, a user token decrypted using the authentication key, and device information of the authentication terminal, and transmits the authentication information to the authentication server.
제8항에 있어서,
상기 인증 어플리케이션은,
상기 인증 서버와 통신 채널을 생성하고, 상기 통신 채널을 통해 상기 인증 정보를 전송하는 인증 단말.
9. The method of claim 8,
The authentication application,
And generates an authentication channel with the authentication server, and transmits the authentication information through the communication channel.
제9항에 있어서,
상기 인증 단말로부터 수신한 트랜잭션 정보를 표시하고, 사용자로부터 상기 비밀 번호를 입력 받는 입출력부;를 더 포함하고,
상기 인증 어플리케이션은 상기 통신 채널을 통해 상기 인증 서버로부터 상기 복호화된 유저 토큰을 전송하여 상기 인증 서버로부터 상기 트랜잭션 정보를 수신하는 인증 단말.
10. The method of claim 9,
And an input / output unit for displaying transaction information received from the authentication terminal and receiving the password from a user,
Wherein the authentication application receives the transaction information from the authentication server by transmitting the decrypted user token from the authentication server via the communication channel.
제8항에 있어서,
상기 프로세스는 상기 인증 정보의 생성이 완료되면 상기 인증키를 삭제하는 인증 단말.9. The method of claim 8,
The authentication terminal deletes the authentication key when generation of the authentication information is completed.
KR1020170073043A 2017-06-12 2017-06-12 Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS KR101955950B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170073043A KR101955950B1 (en) 2017-06-12 2017-06-12 Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170073043A KR101955950B1 (en) 2017-06-12 2017-06-12 Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS

Publications (2)

Publication Number Publication Date
KR20180135222A true KR20180135222A (en) 2018-12-20
KR101955950B1 KR101955950B1 (en) 2019-06-24

Family

ID=64952700

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170073043A KR101955950B1 (en) 2017-06-12 2017-06-12 Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS

Country Status (1)

Country Link
KR (1) KR101955950B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102505012B1 (en) * 2022-09-01 2023-03-02 (주)엠나인파이브 User location-based issuance system of non-fungible tokens

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100038990A (en) * 2008-10-07 2010-04-15 조영미 Apparatus and method of secrity authenticate in network authenticate system
KR101388935B1 (en) * 2012-10-22 2014-04-24 소프트포럼 주식회사 Two channel based user authentication apparatus and method
KR101659847B1 (en) * 2015-07-14 2016-09-26 (주)케이스마텍 Method for two channel authentication using smart phone
KR101680525B1 (en) * 2016-07-12 2016-12-06 김주한 app forgery detection, 2-channel certification agency system and method thereof

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100038990A (en) * 2008-10-07 2010-04-15 조영미 Apparatus and method of secrity authenticate in network authenticate system
KR101388935B1 (en) * 2012-10-22 2014-04-24 소프트포럼 주식회사 Two channel based user authentication apparatus and method
KR101659847B1 (en) * 2015-07-14 2016-09-26 (주)케이스마텍 Method for two channel authentication using smart phone
KR101680525B1 (en) * 2016-07-12 2016-12-06 김주한 app forgery detection, 2-channel certification agency system and method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102505012B1 (en) * 2022-09-01 2023-03-02 (주)엠나인파이브 User location-based issuance system of non-fungible tokens

Also Published As

Publication number Publication date
KR101955950B1 (en) 2019-06-24

Similar Documents

Publication Publication Date Title
US11223948B2 (en) Anonymous authentication and remote wireless token access
US9338163B2 (en) Method using a single authentication device to authenticate a user to a service provider among a plurality of service providers and device for performing such a method
KR102408761B1 (en) System and method for implementing a one-time-password using asymmetric cryptography
JP6818679B2 (en) Secure host card embroidery credentials
KR102304778B1 (en) System and method for initially establishing and periodically confirming trust in a software application
US9350548B2 (en) Two factor authentication using a protected pin-like passcode
US20180082050A1 (en) Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
EP2485453B1 (en) Method for online authentication
JP2019512961A (en) Method and system for user authentication with improved security
CN113474774A (en) System and method for approving a new validator
KR20160048203A (en) System for accessing data from multiple devices
JP2019530265A (en) Method and apparatus for providing and acquiring graphic code information and terminal
US8397281B2 (en) Service assisted secret provisioning
EP2879421A1 (en) Terminal identity verification and service authentication method, system, and terminal
WO2015065249A1 (en) Method and system for protecting information against unauthorized use (variants)
NO340355B1 (en) 2-factor authentication for network connected storage device
US11451376B2 (en) Systems and methods for secure communication
KR20160063250A (en) Network authentication method using a card device
KR101799517B1 (en) A authentication server and method thereof
US11251943B2 (en) Sharing a secret between an isolated device and a network connected device
KR101955950B1 (en) Method for authentication using multi-channel, Authentication Server and AuthenticationAPPARATUS
KR20160082426A (en) User Terminal, Method and Application for Support of Wearable Terminal, and Certification Server
KR101708880B1 (en) Integrated lon-in apparatus and integrated log-in method
KR102547682B1 (en) Server for supporting user identification using physically unclonable function based onetime password and operating method thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant