KR20210045633A - 저장도메인을 이용한 범용 전자서명 방법 및 시스템 - Google Patents

저장도메인을 이용한 범용 전자서명 방법 및 시스템 Download PDF

Info

Publication number
KR20210045633A
KR20210045633A KR1020190128903A KR20190128903A KR20210045633A KR 20210045633 A KR20210045633 A KR 20210045633A KR 1020190128903 A KR1020190128903 A KR 1020190128903A KR 20190128903 A KR20190128903 A KR 20190128903A KR 20210045633 A KR20210045633 A KR 20210045633A
Authority
KR
South Korea
Prior art keywords
domain
storage
server
user terminal
certificate
Prior art date
Application number
KR1020190128903A
Other languages
English (en)
Other versions
KR102310812B1 (ko
Inventor
한상욱
안군식
국선호
Original Assignee
한국전자인증 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자인증 주식회사 filed Critical 한국전자인증 주식회사
Priority to KR1020190128903A priority Critical patent/KR102310812B1/ko
Publication of KR20210045633A publication Critical patent/KR20210045633A/ko
Application granted granted Critical
Publication of KR102310812B1 publication Critical patent/KR102310812B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/3025Domain name generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 저장도메인을 이용한 범용 전자서명 방법 및 시스템에 관한 것으로서, 더욱 상세하게는 웹브라우져의 특정 도메인의 로컬스토리지에 인증서데이터를 저장하되, 액티브엑스 등의 플러그인 소프트웨어 없어 한번의 절차로 서비스도메인, 단말기, 및 브라우져 종류에 관계없이 전자서명을 수행할 수 있는, 저장도메인을 이용한 범용 전자서명 방법 및 시스템에 관한 것이다.

Description

저장도메인을 이용한 범용 전자서명 방법 및 시스템 {Method and System for Universe Electronic Signature Using Save Domain}
본 발명은 저장도메인을 이용한 범용 전자서명 방법 및 시스템에 관한 것으로서, 더욱 상세하게는 웹브라우져의 특정 도메인의 로컬스토리지에 인증서데이터를 저장하되, 액티브엑스 등의 플러그인 소프트웨어 없어 한번의 절차로 서비스도메인, 단말기, 및 브라우져 종류에 관계없이 전자서명을 수행할 수 있는, 저장도메인을 이용한 범용 전자서명 방법 및 시스템에 관한 것이다.
통상적으로, 전자서명에 사용되는 인증서는 하드 디스크와 같은 로컬 스토리지(local storage)에 저장되고, 브라우저에서 인증서를 이용하기 위해서 플러그인(plug-in)을 설치하여 로컬 스토리지에 저장된 인증서를 이용하는 방법이 사용되고 있다.
그러나, 인증서를 필요로 하는 도메인들에서 플러그인을 배포하는 비용적 문제뿐만 아니라 브라우저를 통해 플러그인을 다운로드하여 PC에 설치하는 것이 악성 코드의 배포 대상이 되는 문제, 그리고 사용자의 접근성을 저하시키는 문제가 있다.
그리고, 이러한 로컬 스토리지는 도메인에 각각 별도로 할당되어 있기 때문에, 서로 다른 도메인 간의 데이터 공유가 불가능하며, 이에 따라, 사용자는 도메인 별로 인증서를 따로 발급 및 저장하여 사용해야 하는 불편함을 초래한다.
한편, 특정 도메인에 인증서를 저장하고, 다수의 도메인에서 redirection 방식으로 특정 도메인에 저장된 인증서를 함께 사용하는 방법이 제안되었다.
그러나, redirection을 이용한 위의 방법은 다수의 도메인에서 특정 도메인의 스토리지에 저장된 인증서를 선택하고 이를 검증하는 과정의 주체가 되는 페이지가 계속해서 변하게 된다. 즉, 브라우저에 표시되는 도메인이 계속해서 변하므로, 전자서명을 수행하는 해당 PC의 패킷을 캡쳐하거나 VPN을 사용하는 경우 전자서명과 관련된정보가 노출될 수 있는 문제점이 있다.
또한, 이러한 redirection 방식을 이용하는 인증방식은 도메인 간 프로토콜이 서로 상이한 경우 브라우저 보안설정에 따라 경고 메시지가 뜰 수 있어, 사용자 입장에서 보안상 허점이 있다고 느낄 수 있는 문제점이 있다.
한편, 이와 같은 다수의 도메인에서 특정 도메인의 스토리지에 저장된 인증서를 이용하는 방법의 경우, 사용자단말기가 변경되거나 혹은 사용하는 웹브라우저의 종류가 변경되는 경우(예를 들어, 크롬, 혹은 인터넷익스플로러)에서는 각각 해당 단말기의 해당 브라우져의 저장도메인에 인증서데이터를 저장해야 한다는 문제점이 있었다.
또한, 인증서의 전달 및 보관에 있어서, 기본적으로 사용자단말기가 관여하기 때문에, 보안에 취약하다는 문제점이 있었다.
본 발명은 웹브라우져의 특정 도메인의 로컬스토리지에 인증서데이터를 저장하되, 액티브엑스 등의 플러그인 소프트웨어 없어 한번의 절차로 서비스도메인, 단말기, 및 브라우져 종류에 관계없이 전자서명을 수행할 수 있는, 저장도메인을 이용한 범용 전자서명 방법 및 시스템을 제공하는 것을 목적으로 한다.
상기와 같은 과제를 해결하기 위하여 본 발명은, 저장도메인을 이용한 범용 전자서명 방법으로서, 제1사용자단말기에서, 제1브라우저의 저장도메인의 로컬스토리지에 인증서데이터를 저장하는 제1인증서데이터저장단계; 제1사용자단말기에서, 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버에 인증서 및 개인키를 포함하는 인증서데이터를 전송하는 인증서데이터전송단계; 인증서저장DB서버에서 상기 인증서데이터를 저장하는 인증서데이터저장단계; 제2사용자단말기에서, 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버로부터 상기 인증서데이터를 수신하고, 상기 인증서데이터를 상기 제2사용자단말기의 제2브라우저의 저장도메인의 로컬스토리지에 저장하는 제2인증서데이터저장단계; 및 제2사용자단말기에서, 상기 제2브라우저로 서비스서버에 접속하여, 상기 저장도메인의 로컬스토리지에 저장된 인증서데이터로 전자서명을 수행하는 전자서명단계;를 포함하는, 저장도메인을 이용한 범용 전자서명 방법을 제공한다.
본 발명의 일 실시예에서는, 상기 제1인증서데이터저장단계는, 제1사용자단말기에서, 상기 크로스도메인서버로 사용자인증요청을 하면서, 인증정보를 송신하는 단계; 크로스도메인서버에서, 접속된 인증서버에 대해 상기 인증정보를 송신하는 단계; 인증서버에서, 수신한 인증정보에 대하여 인증을 수행하고, 인증결과를 상기 크로스도메인서버에 송신하는 단계; 크로스도메인서버에서, 제1사용자단말기로 사용자인증결과를 전송하는 단계; 제1사용자단말기에서, 상기 제1브라우저의 상기 저장도메인의 상기 로컬스토리지의 상기 인증서데이터를 상기 크로스도메인서버에 전송하는 단계; 크로스도메인서버에서, 상기 인증서데이터를 접속된 인증서저장DB서버에 전송하는 단계; 및 상기 인증서저장DB서버에서서, 상기 인증서데이터를 저장하는 단계;를 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 인증서버는 상기 크로스도메인서버와만 데이터 통신을 송수신을 수행할 수 있고, 상기 인증서저장DB서버는 상기 크로스도메인서버와만 데이터 송수신을 수행할 수 있다
본 발명의 일 실시예에서는, 상기 제2인증서데이터저장단계는, 제2사용자단말기에서, 상기 크로스도메인서버로 사용자인증요청 및 인증서데이터요청을 하면서, 인증정보를 송신하는 단계; 크로스도메인서버에서, 접속된 인증서버에 대해 상기 인증정보를 송신하는 단계; 인증서버에서, 수신한 인증정보에 대하여 인증을 수행하고, 인증결과를 상기 크로스도메인서버에 송신하는 단계; 크로스도메인서버에서, 인증서저장DB서버에 대하여 인증서데이터를 요청하는 단계; 인증서저장DB서버에서, 인증서데이터를 상기 크로스도메인서버에 전송하는 단계; 크로스도메인서버에서, 제2사용자단말기에 인증서데이터를 전송하는 단계; 및 제2사용자단말기에서, 제2브라우저의 상기 저장도메인의 로컬스토리지에 상기 인증서데이터를 저장하는 단계;를 포함할 수 있다.
본 발명의 일 실시예에서는, 상기 저장도메인의 도메인과 상기 크로스도메인서버의 도메인은 서로 동일할 수 있다.
본 발명의 일 실시예에서는, 상기 전자서명단계는, 제2사용자단말기에서, 상기 서비스서버의 서비스도메인에서 전자서명요청을 수신하는 단계; 제2사용자단말기에서, 상기 서비스도메인의 소스코드의 iframe을 통해 접근된 제2사용자단말기의 저장도메인의 로컬스토리지에 저장된 인증서데이터에 의하여 상기 저장도메인의 로컬스토리지 내부에서 전자서명데이터를 생성하는 단계; 및 제2사용자단말기에서, 상기 전자서명데이터를 상기 서비스도메인의 로컬스토리지로 전송하는 단계;를 포함할 수 있다.
상기와 같은 과제를 해결하기 위하여, 본 발명의 일 실시예서는, 제1사용자단말기, 크로스도메인서버, 제2사용자단말기를 포함하는 저장도메인을 이용한 범용 전자서명 시스템으로서, 제1사용자단말기는 제1브라우저의 저장도메인의 로컬스토리지에 인증서데이터를 저장하는 제1인증서데이터저장단계; 및 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버에 인증서 및 개인키를 포함하는 인증서데이터를 전송하는 인증서데이터전송단계;를 수행하고, 상기 제2사용자단말기는 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버로부터 상기 인증서데이터를 수신하고, 상기 인증서데이터를 상기 제2사용자단말기의 제2브라우저의 저장도메인의 로컬스토리지에 저장하는 제2인증서데이터저장단계를 수행하고, 상기 인증서저장DB서버는 상기 인증서데이터를 저장하는 인증서데이터저장단계를 수행하고, 상기 제2사용자단말기는 상기 제2브라우저로 서비스서버에 접속하여, 상기 저장도메인의 로컬스토리지에 저장된 인증서데이터로 전자서명을 수행하는 전자서명단계; 를 수행하는, 저장도메인을 이용한 범용 전자서명 시스템을 제공한다.
본 발명의 일 실시예에 따르면, 웹브라우져의 특정 도메인의 로컬스토리지에 인증서데이터를 저장하되, 액티브엑스 등의 플러그인 소프트웨어 없어 한번의 절차로 서비스도메인, 단말기, 및 브라우져 종류에 관계없이 전자서명을 수행할 수 있는, 저장도메인을 이용한 범용 전자서명 방법 및 시스템를 제공할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 크로스도메인 서버에 대한 인증만을 수행함으로써, 단말기 혹은 웹브라우저가 변경되더라도 인증서데이터를 다수의 도메인에서 사용할 수 있는 형태로 도메인의 로컬스토리지에 저장할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 액티브엑스 등의 플러그인 없이 크로스도메인 서버에 대한 인증만을 수행함으로써, 전자서명을 수행할 수 있는 효과를 발휘할 수 있다.
본 발명의 일 실시예에 따르면, 서로 다른 단말기 사이에서의 인증서 이동을 높은 보안성을 유지하면서 수행할 수 있는 효과를 발휘할 수 있다.
도 1은 본 발명의 일 실시예에 따른 저장도메인을 이용한 범용 전자서명 시스템의 전체적인 구성요소를 개략적으로 도시한다.
도 2는 본 발명의 일 실시예에 따른 제1사용자단말기에 의하여 서비스도메인에 접속하여 저장도메인의 로컬스토리지에 인증서데이터가 저장되고, 이를 이용하여 전자서명을 수행하는 과정에 대하여 개략적으로 도시한다.
도 3은 본 발명의 일 실시예에 따른 저장도메인을 이용한 범용 전자서명 방법의 전체 단계를 개략적으로 도시한다.
도 4는 본 발명의 일 실시예에 따라 제1사용자단말기에 의하여, 인증서저장DB서버에 인증서데이터를 저장하는 과정을 개략적으로 도시한다.
도 5는 본 발명의 일 실시예에 따라 제2사용자단말기에 의하여 인증서저장DB서버에서의 인증서데이터를 저장도메인의 로컬스토리지에 저장하는 과정을 개략적으로 도시한다.
도 6은 본 발명의 일 실시예에 따른 제2사용자단말기에 의하여 서비스도메인에 접속하여 저장도메인의 로컬스토리지에 저장된 인증서데이터를 이용하여 전자서명을 수행하는 과정에 대하여 개략적으로 도시한다.
도 7은 본 발명의 일 실시예에 따른 컴퓨팅 장치의 내부구성을 개략적으로 도시한다.
다양한 실시예들이 이제 도면을 참조하여 설명되며, 전체 도면에서 걸쳐 유사한 도면번호는 유사한 구성요소를 나타내기 위해서 사용된다. 본 명세서에서, 다양한 설명들이 본 발명의 이해를 제공하기 위해서 제시된다. 그러나 이러한 실시예들은 이러한 구체적인 설명 없이도 실행될 수 있음이 명백하다. 다른 예들에서, 공지된 구조 및 장치들은 실시예들의 설명을 용이하게 하기 위해서 블록 다이어그램 형태로 제공된다.
본 명세서에서 사용되는 용어 "컴포넌트", "모듈", "시스템", "~부" 등은 컴퓨터-관련 엔티티, 하드웨어, 펌웨어, 소프트웨어, 소프트웨어 및 하드웨어의 조합, 또는 소프트웨어의 실행을 지칭한다. 예를 들어, 컴포넌트는 프로세서상에서 실행되는 처리과정, 프로세서, 객체, 실행 스레드, 프로그램, 및/또는 컴퓨터일 수 있지만, 이들로 제한되는 것은 아니다. 예를 들어, 컴퓨팅 장치에서 실행되는 애플리케이션 및 컴퓨팅 장치 모두 컴포넌트일 수 있다. 하나 이상의 컴포넌트는 프로세서 및/또는 실행 스레드 내에 상주할 수 있고, 일 컴포넌트는 하나의 컴퓨터내에 로컬화될 수 있고, 또는 2개 이상의 컴퓨터들 사이에 분배될 수 있다. 또한, 이러한 컴포넌트들은 그 내부에 저장된 다양한 데이터 구조들을 갖는 다양한 컴퓨터 판독가능한 매체로부터 실행할 수 있다. 컴포넌트들은 예를 들어 하나 이상의 데이터 패킷들을 갖는 신호(예를 들면, 로컬 시스템, 분산 시스템에서 다른 컴포넌트와 상호작용하는 하나의 컴포넌트로부터 데이터 및/또는 신호를 통해 다른 시스템과 인터넷과 같은 네트워크를 통한 데이터)에 따라 로컬 및/또는 원격 처리들을 통해 통신할 수 있다.
또한, "포함한다" 및/또는 "포함하는"이라는 용어는, 해당 특징 및/또는 구성요소가 존재함을 의미하지만, 하나이상의 다른 특징, 구성요소 및/또는 이들의 그룹의 존재 또는 추가를 배제하지 않는 것으로 이해되어야 한다.
또한, 제1, 제2등과 같이 서수를 포함하는 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되지는 않는다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1구성요소는 제2구성요소로 명명될 수 있고, 유사하게 제2구성요소도 제1구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
또한, 본 발명의 실시예들에서, 별도로 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 발명의 실시예에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서 언급되는 "사용자 단말"은 네트워크를 통해 서버나 타 단말에 접속할 수 있는 컴퓨터나 휴대용 단말기로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop) 등을 포함하고, 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말 등과 같은 모든 종류의 핸드헬드 (Handheld) 기반의 무선 통신 장치를 포함할 수 있다. 또한, "네트워크"는 근거리 통신망(Local Area Network;LAN), 광역 통신망(Wide Area Network; WAN) 또는 부가가치 통신망(Value Added Network; VAN) 등과 같은 유선네트워크나 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 무선 네트워크로 구현될 수 있다.
도 1은 본 발명의 일 실시예에 따른 저장도메인을 이용한 범용 전자서명 시스템의 전체적인 구성요소를 개략적으로 도시한다.
제1사용자단말기(1000)에서 사용자는 복수의 서비스서버(6000), 예를들어, A.com, C.com 등에 접속할 수 있다. 또한, 제1사용자단말기(1000)는 도 2를 참조하여 설명한 방법으로, 저장도메인을 통하여 전자서명에 필요한 데이터(예를 들어, 개인키 및 인증서)를 생성하여, 제1사용자단말기(1000)의 실행하고 있는 브라우저의 저장도메인의 로컬스토리지(브라우저 저장소)에 저장할 수 있고, 제1사용자단말기(1000)의 브라우저의 저장도메인의 로컬스토리지에 저장된 데이터에 기초하여, A.com 등의 서비스서버(6000)를 이용함에 있어서 필요한 전자서명을 수행할 수 있다.
한편, 이와 같은 방식에서는, 제1사용자단말기(1000)의 저장도메인의 로컬스토리지에만 전자서명에 필요한 데이터가 저장되기 때문에, 사용자의 단말기가 변동하는 경우에, 다시 별도의 과정을 거쳐야 한다.
한편, 크로스도메인서버(3000)는 상기 제1사용자단말기(1000)의 브라우저의 저장도메인의 로컬스토리지에 저장된 전자서명에 필요한 데이터를 인증과정 등을 거쳐서, 상기 제2사용자단말기로 안전하게 이전시키는 역할을 한다.
이와 같은 크로스도메인서버(3000)는 상기 제1사용자단말기(1000)의 전자서명에 필요한 데이터를 제2사용자단말기로 옮기는 과정에서의 사용자 인증과정을 검증하는 인증서버(4000) 및 전자서명에 필요한 데이터를 저장하는 인증서저장DB서버(5000)에 접속될 수 있다.
바람직하게는, 상기 인증서버(4000) 및 상기 인증서저장DB서버(5000)는 외부의 일반적인 단말기에 접속이 되지 않고, 내부적으로 상기 크로스도메인서버(3000)에만 접속이 됨이 바람직하다.
한편, 상기 크로스도메인서버(3000)는 제2사용자단말기에서의 인증과정이 수행된 후에, 상기 인증서저장DB서버(5000)에 저장된 상기 전자서명에 필요한 데이터를 상기 제2사용자단말기로 송신하게 되고, 제2사용자단말기에서는 지정된 브라우저의 상기 저장도메인의 로컬스토리지에 전자서명에 필요한 데이터를 저장한다.
이와 같은 방식으로, 별도의 플러그인 프로그램 없이 브라우저 혹은 단말기의 종류에 상관 없이, 인증을 수해할 수 있는 동일한 사용자는 전자서명에 필요한 데이터를 용이하게 단말기 및 브라우저 간에 이동할 수 있고, 또한 변경된 브라우저 및/또는 사용자단말기에서 전자서명을 수행할 수 있다.
이하에서는, 전술한 방식의 저장도메인을 이용한 범용 전자서명 방법에 대하여 설명한다.
도 2는 본 발명의 일 실시예에 따른 제1사용자단말기(1000)에 의하여 서비스도메인에 접속하여 저장도메인의 로컬스토리지에 인증서데이터가 저장되고, 이를 이용하여 전자서명을 수행하는 과정에 대하여 개략적으로 도시한다.
본 발명의 일 실시예에 따른 전자서명 방법은 우선 제1사용자단말기(1000)(1000) 혹은 제2사용자단말기(2000)의 브라우저가 서비스도메인에 해당하는 A.com에 접속하고, 서비스도메인의 HTML 문서 등의 iframe이 저장도메인 B.com에 대한 사용자단말기의 로컬 스토리지에 접근하는 구조를 갖는다. 이 경우, 서비스 도메인에 해당하는 A.com 은 도 1에 도시된 바와 같이 C.com 등으로 변경될 수 있으나, 이와 같이 서로 다른 서비스도메인은 동일한 저장도메인 B.com 의 로컬스토리지를 이용하여 전자서명을 수행한다. 다만, 이와 같은 저장도메인의 로컬스토리지는 필연적으로 사용자단말기가 바뀌는 경우에 달라지게 되고, 서로 다른 종류의 브라우져(예를 들어 크롬과 익스플로러) 각각은 각각의 도메인의 로컬스토리지를 갖는다.
한편, 서비스도메인은 iframe을 가지는데, iframe은 사용자단말기에서 실행되는 브라우저에서 발생한 인증서 생성 요청 또는 전자서명 요청에 따라 저장 도메인에 전자서명을 요청하고, 이에 따라, 저장 도메인이 로컬 스토리지에 접근한다.
한편, iframe은 서비스도메인에 존재하는 소스 코드 형태의 프레임으로서, 사용자단말기의 브라우저의 요청에 따라 서비스도메인과 저장도메인을 연결하는 링크 역할을 수행한다. 구체적인 일 예로써, iframe을 통해 연결되는 저장도메인은 서비스도메인이 로드될 때 함께 로드되고, iframe은 포스트메시지 이벤트(postMessage()) 등을 통하여 저장도메인과 연결될 수 있다. 저장도메인은 사용자단말기에서 실행되고, 이에 대한 로컬 스토리지가 할당되고, 서비스메인의 iframe(100)으로부터 전달받은 인증서 생성 요청에 따라 인증서 등을 생성하여 저장도메인의 로컬스토리지에 저장할 수도 있고, 서비스도메인의 iframe으로부터 전달받은 전자서명 요청에 따라 저장도메인의 로컬스토리지에 저장된 인증서 등을 이용하여 전자서명을 수행할 수 있다.
즉, 본 발명의 일 실시예에 따르면, 저장도메인은 로컬스토리지 내에서 전자서명을 수행하므로 인터넷을 통해 외부의 서버에 접속하지 않고 단지 사용자단말기단에서 전자서명을 수행하며, 전자서명 수행 결과를 서비스도메인의 iframe에 전달한다. 이후, 저장도메인에서의 인증서를 저장하는 로컬 스토리지는 사용자단말기의 물리적 저장공간에 해당할 수 있고, 사용자단말기에서 실행되는 브라우저에서 할당된 영역에 인증서 등의 전자서명을 수행하기 위한 데이터를 저장한다. 이 경우, 상기 전자서명을 수행하기 위한 데이터는 암호화 과정을 거칠 수 있다.
바람직하게는, 저장도메인의 로컬스토리지에 저장된 인증서 등의 데이터는 일반적인 스크립트로는 접근이 불가능하며 단지 포스트메시지 이벤트를 통해서만 전자서명 관련 요청을 서비스도메인의 iframe으로부터 수신하거나 전자서명 관련 데이터를 iframe에 전달할 수 있다. 즉, 저장도메인은 인터넷에 연결되어 있지 않은 상태에도 HTML 영역에서 로컬스토리지에 저장된 인증서 등을 이용하여 전자서명을 수행할 수 있다.
이와 같은 방법에서는, 사용자단말기는 브라우저의 저장도메인에서 전자서명을 수행하므로, 전자서명에서 발생하는 데이터를 외부로 노출하지 않고, 액티브 엑스 등의 별도의 플러그인을 필요하지 않는 이점이 있고, 서비스도메인에 접속하여 전자서명을 수행하더라도 전자서명이 수행되는 동안 브라우저 상에서 서비스도메인의 URL이 변경되지 않으므로, 해킹시 정보 노출의 위험이 감소된다.
구체적으로, 본 발명의 일 실시예에서는 사용자단말기의 브라우저는 서비스도메인을 제공하는 서버에 접속하고, 본 발명에 따른 전자서명 혹은 인증서 저장을 수행하기 위하여 필요한 HTML 문서들을 서버로부터 서비스도메인으로 내려받는다. 그리고 이때, 서비스도메인이 서버로부터 HTML 문서들을 내려받는 동안, 저장도메인에서도 본 발명의 전자서명을 수행하기 위하여 필요한 HTML문서들을 서버로부터 내려받는다. 이후에는 사용자단말기는 해당 서버에 접속하지 않은 상태에서 전자서명을 수행하는 동작을 수행하므로, 사용자단말기의 브라우저가 저장도메인 상에서 전자서명을 수행하는 동안에는 서버에 접속하지 않는다. 이에 따라 전자서명 수행 과정에서 발생하는 데이터들이 서버로 전송되어 해킹의 위험에 노출되는 문제점을 방지할 수 있다.
위에서는 전자서명을 수행하는 과정에 있어서의 저장도메인(B.COM)을 이용하는 방식을 설명하였으나, 위와 같은 방식은 전자서명을 수행하는 것뿐만 아니라, 전자서명에 필요한 개인키, 공개키 등의 암호화키의 생성, 인증서의 생성 등의 절차에도 적용될 수 있다.
도 3은 본 발명의 일 실시예에 따른 저장도메인을 이용한 범용 전자서명 방법의 전체 단계를 개략적으로 도시한다.
단계 S100에서는, 제1사용자단말기(1000)에서, 제1브라우저의 저장도메인의 로컬스토리지에 인증서데이터를 저장하는 제1인증서데이터저장단계;가 수행된다.
이와 같은 단계는 도 2를 참조하여 설명하였던 실시예에 의하여 수행될 수 있다. 이후, 제1사용자단말기(1000)에서는 서로 다른 서비스서버(6000)에 해당할 수 있는 A.COM 혹은 C.COM의 서비스를 동일한 저장도메인에 저장된 인증서데이터에 의하여, 별도의 플러그인 없이 웹브라우저 상에서 전자서명을 수행할 수 있다.
단계 S200에서는, 제1사용자단말기(1000)에서, 크로스도메인서버(3000)에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버(3000)에 인증서 및 개인키를 포함하는 인증서데이터를 전송하는 인증서데이터전송단계; 및 인증서저장DB서버(5000)에서 상기 인증서데이터를 저장하는 인증서데이터저장단계;가 수행된다.
바람직하게는, 이와 같은 과정은 별도의 플러그인 프로그램 없이 상기 단계 S100에서 인증서데이터가 저장되었던 브라우저를 통하여 수행된다. 이에 대한 세부 과정들은 도 4를 참조하여 설명하도록 한다.
단계 S300에서는, 제2사용자단말기에서, 크로스도메인서버(3000)에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버(3000)로부터 상기 인증서데이터를 수신하고, 상기 인증서데이터를 상기 제2사용자단말기의 제2브라우저의 저장도메인의 로컬스토리지에 저장하는 제2인증서데이터저장단계;가 수행된다.
바람직하게는, 이와 같은 과정은 별도의 플러그인 프로그램 없이 웹브라우저를 통하여 수행되고, 제2사용자단말기에서 이후 전자서명 등을 통하여 서비스서버(6000)에 접속하여 서비스를 이용할 브라우저를 통하여 수행된다. 이에 대한 세부 과정들은 도 5를 참조하여 설명하도록 한다.
단계 S400에서는, 제2사용자단말기에서, 상기 제2브라우저로 서비스서버(6000)에 접속하여, 상기 저장도메인의 로컬스토리지에 저장된 인증서데이터로 전자서명을 수행하는 전자서명단계;가 수행된다.
이와 같은 단계는 도 2를 참조하여 설명하였던 실시예에 의하여 수행될 수 있다. 이후, 제1사용자단말기(1000)에서는 서로 다른 서비스서버(6000)에 해당할 수 있는 A.COM 혹은 C.COM의 서비스를 동일한 저장도메인에 저장된 인증서데이터에 의하여, 별도의 플러그인 없이 웹브라우저 상에서 전자서명을 수행할 수 있다.
도 4는 본 발명의 일 실시예에 따라 제1사용자단말기(1000)에 의하여, 인증서저장DB서버(5000)에 인증서데이터를 저장하는 과정을 개략적으로 도시한다.
도 4에 도시된 단계들은 전술한 단계 S200에 해당할 수 있다.
,
단계 S210에서는 제1사용자단말기(1000)에서, 상기 크로스도메인서버(3000)로 사용자인증요청을 하면서, 인증정보를 송신하는 단계;가 수행된다.
구체적으로, 제1사용자단말기(1000)는 상기 서비스서버(6000)의 도메인을 통하거나 혹은 크로스도메인서버(3000)의 도메인에 직접 접속하고, 크로스도메인서버(3000)에 의한 사용자인증정보요청을 수신한다. 이후, 제1사용자단말기(1000)는 OTP정보, 패스워드, 생체인증, 핸드폰 등을 통한 일회성 본인확인번호 등의 인증정보를 상기 크로스도메인서버(3000)로 송신하게 된다.
단계 S220에서는, 크로스도메인서버(3000)에서, 접속된 인증서버(4000)에 대해 상기 인증정보를 송신하는 단계; 인증서버(4000)에서, 수신한 인증정보에 대하여 인증을 수행하고, 인증결과를 상기 크로스도메인서버(3000)에 송신하는 단계;가 수행된다.
단계 S230에서는, 크로스도메인서버(3000)에서, 제1사용자단말기(1000)로 사용자인증결과를 전송하는 단계;가 수행된다.
단계 S240에서는 상기 사용자인증결과가 긍정적인 경우에, 제1사용자단말기(1000)에서, 상기 제1브라우저의 상기 저장도메인의 상기 로컬스토리지의 상기 인증서데이터를 상기 크로스도메인서버(3000)에 전송하는 단계;가 수행된다.
단계 S250에서는, 크로스도메인서버(3000)에서, 상기 인증서데이터를 접속된 인증서저장DB서버(5000)에 전송하는 단계;가 수행된다.
단계 S260에서는, 상기 인증서저장DB서버(5000)에서서, 상기 인증서데이터를 저장하는 단계;가 수행된다. 이와 같은 과정을 통하여, 제1사용자단말기(1000)의 웹브라우저의 저장도메인의 로컬스토리지에 저장된 인증서데이터가 인증서저장DB서버(5000)에 안전하게 보관된다. 이후, 사용자는 단말기가 변경되거나, 및/또는 브라우저가 변경되는 경우에, 후술하는 도 5에 도시된 형태의 절차를 거쳐서 인증서데이터를 저장할 수 있다.
바람직하게는, 상기 인증서버(4000)는 상기 크로스도메인서버(3000)와만 데이터 통신을 송수신을 수행할 수 있고, 상기 인증서저장DB서버(5000)는 상기 크로스도메인서버(3000)와만 데이터 송수신을 수행할 수 있다.
바람직하게는, 상기 사용자의 인증요청시의 크로스도메인서버(3000)로의 송신정보는 비밀번호, OTP, 생체인증 관련 정보에 해당할 수 있고, 이와 같은 과정 역시 별도의 액티브 엑스 없이 웹브라우저 상에서 이루어짐이 바람직하다.
도 5는 본 발명의 일 실시예에 따라 제2사용자단말기에 의하여 인증서저장DB서버(5000)에서의 인증서데이터를 저장도메인의 로컬스토리지에 저장하는 과정을 개략적으로 도시한다.
단계 S310에서는, 제2사용자단말기에서, 상기 크로스도메인서버(3000)로 사용자인증요청 및 인증서데이터요청을 하면서, 인증정보를 송신하는 단계;가 수행된다.
구체적으로, 제2사용자단말기는 상기 서비스서버(6000)의 도메인을 통하거나 혹은 크로스도메인서버(3000)의 도메인에 직접 접속하고, 크로스도메인서버(3000)에 의한 사용자인증정보요청을 수신한다. 이후, 제1사용자단말기(1000)는 OTP정보, 패스워드, 생체인증, 핸드폰 등을 통한 일회성 본인확인번호 등의 인증정보를 상기 크로스도메인서버(3000)로 송신하면서, 인증서데이터를 요청한다.
단계 S320에서는, 크로스도메인서버(3000)에서, 접속된 인증서버(4000)에 대해 상기 인증정보를 송신하는 단계; 및 인증서버(4000)에서, 수신한 인증정보에 대하여 인증을 수행하고, 인증결과를 상기 크로스도메인서버(3000)에 송신하는 단계;가 수행된다.
단계 S330에서는, 상기 인증결과가 긍정적인 경우 크로스도메인서버(3000)에서, 인증서저장DB서버(5000)에 대하여 인증서데이터를 요청하는 단계;가 수행된다.
단계 S340에서는, 인증서저장DB서버(5000)에서, 인증서데이터를 상기 크로스도메인서버(3000)에 전송하는 단계;가 수행되고, 단계 S350에서는 크로스도메인서버(3000)에서, 제2사용자단말기에 인증서데이터를 전송하는 단계;가 수행된다.
이와 같은 방식으로 인증서데이터는 상기 제2사용자단말기로 전송되게 된다.
단계 S350에서는, 제2사용자단말기에서, 제2브라우저의 상기 저장도메인의 로컬스토리지에 상기 인증서데이터를 저장하는 단계;가 수행된다.
단계 S350에서의 상기 저장도메인은 도 3의 상기 단계 S100의 저장도메인과 동일하다.
더욱 바람직하게는, 상기 저장도메인의 도메인과 상기 크로스도메인서버(3000)의 도메인은 서로 동일하다. 이 경우, 인증서데이터의 생성 및 인증서데이터에 의한 전자서명이 수행되는 로컬스토리지의 저장도메인이 크로스도메인서버(3000)의 도메인과 동일함으로써, 인증서의 생성, 전자서명, 및 브라우져/단말간의 이전이 동일한 도메인에서 수행될 수 있는 이점이 있다.
도 6은 본 발명의 일 실시예에 따른 제2사용자단말기에 의하여 서비스도메인에 접속하여 저장도메인의 로컬스토리지에 저장된 인증서데이터를 이용하여 전자서명을 수행하는 과정에 대하여 개략적으로 도시한다.
상기 제2사용자단말기는 상기 인증서데이터가 저장된 브라우저를 통해, A.com, C.com 등의 서비스에 접속한다. 이후, 제2사용자단말기에서 위의 도메인의 서비스를 이용하다가, 상기 서비스서버(6000)의 상기 A.com 혹은 C.com 등의 서비스도메인에서 전자서명요청을 수신하는 단계;가 수행된다.
이후, 도 2를 참조하여 설명하였던 방식과 동일하게, 제2사용자단말기에서, 상기 서비스도메인의 소스코드의 iframe을 통해 접근된 제2사용자단말기의 저장도메인의 로컬스토리지에 저장된 인증서데이터에 의하여 상기 저장도메인의 로컬스토리지 내부에서 전자서명데이터를 생성하는 단계;를 수행한다.
이후, 상기 제2사용자단말기에서, 상기 전자서명데이터를 상기 서비스도메인의 로컬스토리지로 전송하는 단계;를 수행하고, 이후 전자서명데이터는 상기 서비스서버(6000)로 송신됨으로써, 전자서명이 완료될 수 있다.
도 7은 본 발명의 일 실시예에 따른 컴퓨팅 장치의 내부구성을 개략적으로 도시한다.
도 7은 본 발명의 일 실시예에 따른 컴퓨팅 장치의 내부구성을 예시적으로 도시한다.
도 1에 도시된 구성요소 전체 혹은 일부는 후술하는 컴퓨팅장치의 구성요소를 포함할 수 있다.
도 7에 도시한 바와 같이, 컴퓨팅 장치(11000)은 적어도 하나의 프로세서(processor)(11100), 메모리(memory)(11200), 주변장치 인터페이스(peripheral interface)(11300), 입/출력 서브시스템(I/Osubsystem)(11400), 전력 회로(11500) 및 통신 회로(11600)를 적어도 포함할 수 있다.
메모리(11200)는, 일례로 고속 랜덤 액세스 메모리(high-speed random access memory), 자기 디스크, 에스램(SRAM), 디램(DRAM), 롬(ROM), 플래시 메모리 또는 비휘발성 메모리를 포함할 수 있다. 메모리(11200)는 컴퓨팅 장치(11000)의 동작에 필요한 소프트웨어 모듈, 명령어 집합 또는 그밖에 다양한 데이터를 포함할 수 있다.
이때, 프로세서(11100)나 주변장치 인터페이스(11300) 등의 다른 컴포넌트에서 메모리(11200)에 액세스하는 것은 프로세서(11100)에 의해 제어될 수 있다. 상기 프로세서(11100)은 단일 혹은 복수로 구성될 수 있고, 연산처리속도 향상을 위하여 GPU 및 TPU 형태의 프로세서를 포함할 수 있다.
주변장치 인터페이스(11300)는 컴퓨팅 장치(11000)의 입력 및/또는 출력 주변장치를 프로세서(11100) 및 메모리 (11200)에 결합시킬 수 있다. 프로세서(11100)는 메모리(11200)에 저장된 소프트웨어 모듈 또는 명령어 집합을 실행하여 컴퓨팅 장치(11000)을 위한 다양한 기능을 수행하고 데이터를 처리할 수 있다.
입/출력 서브시스템(11400)은 다양한 입/출력 주변장치들을 주변장치 인터페이스(11300)에 결합시킬 수 있다. 예를 들어, 입/출력 서브시스템(11400)은 모니터나 키보드, 마우스, 프린터 또는 필요에 따라 터치스크린이나 센서등의 주변장치를 주변장치 인터페이스(11300)에 결합시키기 위한 컨트롤러를 포함할 수 있다. 다른 측면에 따르면, 입/출력 주변장치들은 입/출력 서브시스템(11400)을 거치지 않고 주변장치 인터페이스(11300)에 결합될 수도 있다.
전력 회로(11500)는 단말기의 컴포넌트의 전부 또는 일부로 전력을 공급할 수 있다. 예를 들어 전력 회로(11500)는 전력 관리 시스템, 배터리나 교류(AC) 등과 같은 하나 이상의 전원, 충전 시스템, 전력 실패 감지 회로(power failure detection circuit), 전력 변환기나 인버터, 전력 상태 표시자 또는 전력 생성, 관리, 분배를 위한 임의의 다른 컴포넌트들을 포함할 수 있다.
통신 회로(11600)는 적어도 하나의 외부 포트를 이용하여 다른 컴퓨팅 장치와 통신을 가능하게 할 수 있다.
또는 상술한 바와 같이 필요에 따라 통신 회로(11600)는 RF 회로를 포함하여 전자기 신호(electromagnetic signal)라고도 알려진 RF 신호를 송수신함으로써, 다른 컴퓨팅 장치와 통신을 가능하게 할 수도 있다.
이러한 도 7의 실시예는, 컴퓨팅 장치(11000)의 일례일 뿐이고, 컴퓨팅 장치(11000)은 도 7에 도시된 일부 컴포넌트가 생략되거나, 도 7에 도시되지 않은 추가의 컴포넌트를 더 구비하거나, 2개 이상의 컴포넌트를 결합시키는 구성 또는 배치를 가질 수 있다. 예를 들어, 모바일 환경의 통신 단말을 위한 컴퓨팅 장치는 도 6에 도시된 컴포넌트들 외에도, 터치스크린이나 센서 등을 더 포함할 수도 있으며, 통신 회로(11600)에 다양한 통신방식(WiFi, 3G, LTE, Bluetooth, NFC, Zigbee 등)의 RF 통신을 위한 회로가 포함될 수도 있다. 컴퓨팅 장치(11000)에 포함 가능한 컴포넌트들은 하나 이상의 신호 처리 또는 어플리케이션에 특화된 집적 회로를 포함하는 하드웨어, 소프트웨어, 또는 하드웨어 및 소프트웨어 양자의 조합으로 구현될 수 있다.
본 발명의 실시예에 따른 방법들은 다양한 컴퓨팅 장치를 통하여 수행될 수 있는 프로그램 명령(instruction) 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 특히, 본 실시예에 따른 프로그램은 PC 기반의 프로그램 또는 모바일 단말 전용의 어플리케이션으로 구성될 수 있다. 본 발명이 적용되는 애플리케이션은 파일 배포 시스템이 제공하는 파일을 통해 이용자 단말에 설치될 수 있다. 일 예로, 파일 배포 시스템은 이용자 단말이기의 요청에 따라 상기 파일을 전송하는 파일 전송부(미도시)를 포함할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로 (collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨팅 장치 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(OTPical media), 플롭티컬 디스크(flOTPical disk)와 같은 자기-광 매체(magneto-OTPical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.

Claims (7)

  1. 저장도메인을 이용한 범용 전자서명 방법으로서,
    제1사용자단말기에서, 제1브라우저의 저장도메인의 로컬스토리지에 인증서데이터를 저장하는 제1인증서데이터저장단계;
    제1사용자단말기에서, 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버에 인증서 및 개인키를 포함하는 인증서데이터를 전송하는 인증서데이터전송단계;
    인증서저장DB서버에서 상기 인증서데이터를 저장하는 인증서데이터저장단계;
    제2사용자단말기에서, 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버로부터 상기 인증서데이터를 수신하고, 상기 인증서데이터를 상기 제2사용자단말기의 제2브라우저의 저장도메인의 로컬스토리지에 저장하는 제2인증서데이터저장단계; 및
    제2사용자단말기에서, 상기 제2브라우저로 서비스서버에 접속하여, 상기 저장도메인의 로컬스토리지에 저장된 인증서데이터로 전자서명을 수행하는 전자서명단계; 를 포함하는, 저장도메인을 이용한 범용 전자서명 방법.
  2. 청구항 1에 있어서,
    상기 인증서데이터전송단계는,
    제1사용자단말기에서, 상기 크로스도메인서버로 사용자인증요청을 하면서, 인증정보를 송신하는 단계;
    크로스도메인서버에서, 접속된 인증서버에 대해 상기 인증정보를 송신하는 단계;
    인증서버에서, 수신한 인증정보에 대하여 인증을 수행하고, 인증결과를 상기 크로스도메인서버에 송신하는 단계;
    크로스도메인서버에서, 제1사용자단말기로 사용자인증결과를 전송하는 단계;
    제1사용자단말기에서, 상기 제1브라우저의 상기 저장도메인의 상기 로컬스토리지의 상기 인증서데이터를 상기 크로스도메인서버에 전송하는 단계;
    크로스도메인서버에서, 상기 인증서데이터를 접속된 인증서저장DB서버에 전송하는 단계; 및
    상기 인증서저장DB서버에서서, 상기 인증서데이터를 저장하는 단계;를 포함하는, 저장도메인을 이용한 범용 전자서명 방법.
  3. 청구항 2에 있어서,
    상기 인증서버는 상기 크로스도메인서버와만 데이터 통신을 송수신을 수행할 수 있고,
    상기 인증서저장DB서버는 상기 크로스도메인서버와만 데이터 송수신을 수행할 수 있는, 저장도메인을 이용한 범용 전자서명 방법.
  4. 청구항 1에 있어서,
    상기 제2인증서데이터저장단계는,
    제2사용자단말기에서, 상기 크로스도메인서버로 사용자인증요청 및 인증서데이터요청을 하면서, 인증정보를 송신하는 단계;
    크로스도메인서버에서, 접속된 인증서버에 대해 상기 인증정보를 송신하는 단계;
    인증서버에서, 수신한 인증정보에 대하여 인증을 수행하고, 인증결과를 상기 크로스도메인서버에 송신하는 단계;
    크로스도메인서버에서, 인증서저장DB서버에 대하여 인증서데이터를 요청하는 단계;
    인증서저장DB서버에서, 인증서데이터를 상기 크로스도메인서버에 전송하는 단계;
    크로스도메인서버에서, 제2사용자단말기에 인증서데이터를 전송하는 단계; 및
    제2사용자단말기에서, 제2브라우저의 상기 저장도메인의 로컬스토리지에 상기 인증서데이터를 저장하는 단계;를 포함하는, 저장도메인을 이용한 범용 전자서명 방법.
  5. 청구항 1에 있어서,
    상기 저장도메인의 도메인과 상기 크로스도메인서버의 도메인은 서로 동일한, 저장도메인을 이용한 범용 전자서명 방법.
  6. 청구항 1에 있어서,
    상기 전자서명단계는,
    제2사용자단말기에서, 상기 서비스서버의 서비스도메인에서 전자서명요청을 수신하는 단계;
    제2사용자단말기에서, 상기 서비스도메인의 소스코드의 iframe을 통해 접근된 제2사용자단말기의 저장도메인의 로컬스토리지에 저장된 인증서데이터에 의하여 상기 저장도메인의 로컬스토리지 내부에서 전자서명데이터를 생성하는 단계; 및
    제2사용자단말기에서, 상기 전자서명데이터를 상기 서비스도메인의 로컬스토리지로 전송하는 단계;를 포함하는, 저장도메인을 이용한 범용 전자서명 방법.
  7. 제1사용자단말기, 크로스도메인서버, 제2사용자단말기를 포함하는 저장도메인을 이용한 범용 전자서명 시스템으로서,
    제1사용자단말기는 제1브라우저의 저장도메인의 로컬스토리지에 인증서데이터를 저장하는 제1인증서데이터저장단계; 및 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버에 인증서 및 개인키를 포함하는 인증서데이터를 전송하는 인증서데이터전송단계;를 수행하고,
    상기 제2사용자단말기는 크로스도메인서버에 대해 인증을 수행하고, 인증이 완료된 경우에, 상기 크로스도메인서버로부터 상기 인증서데이터를 수신하고, 상기 인증서데이터를 상기 제2사용자단말기의 제2브라우저의 저장도메인의 로컬스토리지에 저장하는 제2인증서데이터저장단계를 수행하고,
    상기 인증서저장DB서버는 상기 인증서데이터를 저장하는 인증서데이터저장단계를 수행하고,
    상기 제2사용자단말기는 상기 제2브라우저로 서비스서버에 접속하여, 상기 저장도메인의 로컬스토리지에 저장된 인증서데이터로 전자서명을 수행하는 전자서명단계; 를 수행하는, 저장도메인을 이용한 범용 전자서명 시스템.
KR1020190128903A 2019-10-17 2019-10-17 저장도메인을 이용한 범용 전자서명 방법 및 시스템 KR102310812B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190128903A KR102310812B1 (ko) 2019-10-17 2019-10-17 저장도메인을 이용한 범용 전자서명 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190128903A KR102310812B1 (ko) 2019-10-17 2019-10-17 저장도메인을 이용한 범용 전자서명 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20210045633A true KR20210045633A (ko) 2021-04-27
KR102310812B1 KR102310812B1 (ko) 2021-10-08

Family

ID=75725815

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190128903A KR102310812B1 (ko) 2019-10-17 2019-10-17 저장도메인을 이용한 범용 전자서명 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102310812B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100860404B1 (ko) * 2006-06-29 2008-09-26 한국전자통신연구원 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
KR20140096594A (ko) * 2013-01-28 2014-08-06 이니텍(주) 인증서를 클라우드 저장소 서버가 관리하는 방법
US8931059B2 (en) * 2010-07-06 2015-01-06 Google & Technology Holdings LLC Method and apparatus for cross DRM domain registration
KR101815145B1 (ko) * 2016-06-28 2018-01-05 한국전자인증(주) 크로스 도메인간 인증서 공유방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100860404B1 (ko) * 2006-06-29 2008-09-26 한국전자통신연구원 다중 도메인 홈네트워크 환경에서의 디바이스 인증 방법 및장치
US8931059B2 (en) * 2010-07-06 2015-01-06 Google & Technology Holdings LLC Method and apparatus for cross DRM domain registration
KR20140096594A (ko) * 2013-01-28 2014-08-06 이니텍(주) 인증서를 클라우드 저장소 서버가 관리하는 방법
KR101815145B1 (ko) * 2016-06-28 2018-01-05 한국전자인증(주) 크로스 도메인간 인증서 공유방법

Also Published As

Publication number Publication date
KR102310812B1 (ko) 2021-10-08

Similar Documents

Publication Publication Date Title
US10666441B2 (en) Controlling exposure of sensitive data and operation using process bound security tokens in cloud computing environment
EP3657377B1 (en) Techniques to secure computation data in a computing environment
US9871821B2 (en) Securely operating a process using user-specific and device-specific security constraints
US10270757B2 (en) Managing exchanges of sensitive data
US9160731B2 (en) Establishing a trust relationship between two product systems
EP3050276A1 (en) Securely authorizing access to remote resources
CN103890716A (zh) 用于访问基本输入/输出系统的功能的基于网页的接口
US10990709B2 (en) Authorization control for hardware management
CN111835523B (zh) 一种数据请求方法、系统及计算设备
KR102310812B1 (ko) 저장도메인을 이용한 범용 전자서명 방법 및 시스템
KR102310811B1 (ko) 클라우드 기반 데이터 전자인증 및 암호화 방법 및 시스템
US10805302B2 (en) Systems and methods to secure platform application services between platform client applications and platform services
TW201237639A (en) Back-end constrained delegation model
CN112184150A (zh) 数据共享交换中的多方审批方法、装置、系统和电子装置
KR102268985B1 (ko) 블록체인 기반 사용자 주도의 신뢰된 대상 간 문서 유통 방법 및 시스템
KR101660791B1 (ko) 서비스 제공 시스템의 클라이언트 장치 및 그것의 서비스 제공 방법
US20240126905A1 (en) Methods for dynamic platform security configuration
KR102626868B1 (ko) 키 격리 기반의 서명 방법 및 시스템
US20240303381A1 (en) Systems and methods to manage security protocol and data model (spdm) secure communication sessions
US20240333531A1 (en) Device onboarding in distributed systems
US20240129134A1 (en) System and method for securing operation of data processing systems during and after onboarding
KR20210045635A (ko) Fido기반 비밀번호 무사용 전자서명 방법 및 시스템

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right