KR20220111027A - Server for mediating fast identity online 2 authentication, and operating method thereof - Google Patents

Server for mediating fast identity online 2 authentication, and operating method thereof Download PDF

Info

Publication number
KR20220111027A
KR20220111027A KR1020210014153A KR20210014153A KR20220111027A KR 20220111027 A KR20220111027 A KR 20220111027A KR 1020210014153 A KR1020210014153 A KR 1020210014153A KR 20210014153 A KR20210014153 A KR 20210014153A KR 20220111027 A KR20220111027 A KR 20220111027A
Authority
KR
South Korea
Prior art keywords
fido2
authentication
server
user terminal
web url
Prior art date
Application number
KR1020210014153A
Other languages
Korean (ko)
Other versions
KR102484660B1 (en
Inventor
유지은
Original Assignee
주식회사 엘지유플러스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엘지유플러스 filed Critical 주식회사 엘지유플러스
Priority to KR1020210014153A priority Critical patent/KR102484660B1/en
Publication of KR20220111027A publication Critical patent/KR20220111027A/en
Priority to KR1020220189113A priority patent/KR20230010610A/en
Application granted granted Critical
Publication of KR102484660B1 publication Critical patent/KR102484660B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/562Brokering proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/40Security arrangements using identity modules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biodiversity & Conservation Biology (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Disclosed is a method for operating a fast identity online (FIDO)2 authentication mediating server, which comprises the steps of: receiving, from an agency server, an identity checking request including user information transmitted from a user terminal; determining whether the user information is valid by referring to a data storage; generating a web uniform resource locator (URL) for FIDO2 authentication when the user information is valid; transmitting the web URL to the user terminal; receiving a FIDO2 authentication result value from a FIDO2 server, in response to the FIDO2 server and FIDO2 authentication execution through a website linked to the web URL in the user terminal; and transmitting an authentication completion value corresponding to the FIDO2 authentication result value to the agency server. Therefore, the FIDO2 authentication mediating server through a website during user authentication through a user terminal can be provided.

Description

FIDO2 인증 중개 서버 및 그 동작 방법{SERVER FOR MEDIATING FAST IDENTITY ONLINE 2 AUTHENTICATION, AND OPERATING METHOD THEREOF}FIDO2 authentication mediation server and its operation method {SERVER FOR MEDIATING FAST IDENTITY ONLINE 2 AUTHENTICATION, AND OPERATING METHOD THEREOF}

아래의 실시예들은 본인 인증을 중개하는 기술에 관한 것으로, 보다 구체적으로는 FIDO2(fast identity online 2) 인증을 중개하는 기술에 관한 것이다.The following embodiments relate to a technique for mediating identity authentication, and more specifically, to a technique for mediating fast identity online 2 (FIDO2) authentication.

FIDO는 비밀번호를 서로 공유하여 인증하는 공유 방식의 인증 방식 대신, 사람의 생체정보(예를 들어, 지문, 얼굴 모양, 홍채 등)를 사용하여 보다 편리하고 안전하게 인증 기능을 제공하는 인증(authentication) 프로토콜 표준이다. 산업계의 관련 회사들이 만든 FIDO Alliance에서는 FIDO 표준을 제정하여 발표하고 있으며, FIDO2.0은 웹(Web) 환경에서 사용할 수 있도록 기존 UAF(universal authentication framework) 및 U2F(universal 2nd factor)를 통합 확장한 것이다.FIDO is an authentication protocol that provides a more convenient and secure authentication function using a person's biometric information (eg fingerprint, face shape, iris, etc.) It is standard. The FIDO Alliance created by related companies in the industry has established and announced the FIDO standard. will be.

관련 선행기술로, 한국 공개특허공보 제2020-0064017호(발명의 명칭: 블록체인 기법을 이용한 fido2.0 암호키를 생성하는 방법, 출원인: 코인즈월렛 주식회사)가 있다. 해당 공개특허공보에는 블록체인 기법을 이용한 FIDO2 암호키를 생성하는 방법이 개시된다.As a related prior art, there is Korean Patent Application Laid-Open No. 2020-0064017 (Title of the Invention: Method of generating fido2.0 encryption key using block chain technique, Applicant: Coins Wallet Co., Ltd.). This publication discloses a method for generating a FIDO2 encryption key using a block chain technique.

기존 사용자 단말을 통한 본인 인증으로 SMS(short message service)인증, OTP(one time password) 인증 또는 앱(application)을 통한 생체인증 등이 있다. SMS 인증의 경우 편리하나, SMS를 통한 피싱(phishing)(스미싱: smishing) 등에 취약하고, 계정 도용시 SMS 문자를 다른 단말 번호로 착신하여 인증이 가능하다. 앱을 통한 생체인증의 경우 인증 요청시 앱이 없는 경우 앱을 다시 설치하고 인증을 요청해야 한다.Identity authentication through an existing user terminal includes SMS (short message service) authentication, OTP (one time password) authentication, or biometric authentication through an application. SMS authentication is convenient, but it is vulnerable to phishing (smishing) through SMS. In the case of biometric authentication through the app, if the app does not exist when the authentication request is made, you must reinstall the app and request authentication.

일 실시예는 앱(app)을 설치하지 않고 FIDO2 인증을 수행하는 방법을 제공할 수 있다.An embodiment may provide a method of performing FIDO2 authentication without installing an app.

일 실시예는 심(SIM; subscriber identify module) 툴킷(Toolkit) 명령어로 FIDO2 인증을 위한 웹 URL(uniform resource locator)을 전송하는 방법을 제공할 수 있다.An embodiment may provide a method of transmitting a web uniform resource locator (URL) for FIDO2 authentication using a subscriber identify module (SIM) toolkit command.

다만, 기술적 과제는 상술한 기술적 과제들로 한정되는 것은 아니며, 또 다른 기술적 과제들이 존재할 수 있다.However, the technical tasks are not limited to the above-described technical tasks, and other technical tasks may exist.

일 측면에 따른, FIDO2 인증 중개 서버의 동작 방법은, 대행사 서버로부터, 사용자 단말로부터 전송된, 사용자 정보를 포함하는 본인확인 요청을 수신하는 단계; 데이터 저장소를 참조하여 상기 사용자 정보가 유효한지 판단하는 단계; 상기 사용자 정보가 유효한 경우, FIDO(Fast Identity Online)2 인증을 위한 웹 URL(Uniform Resource Locator)을 생성하는 단계; 상기 웹 URL을 상기 사용자 단말로 전송하는 단계; 상기 사용자 단말에서 상기 웹 URL과 연동된 웹 사이트를 통해 FIDO2 서버와 FIDO2 인증이 수행되는 것에 응답하여, 상기 FIDO2 서버로부터 FIDO2 인증 결과값을 수신하는 단계; 및 상기 대행사 서버로 상기 FIDO2 인증 결과값에 대응하는 인증완료 값을 전송하는 단계를 포함한다.According to one aspect, a method of operating a FIDO2 authentication intermediary server includes: receiving, from an agency server, an identity verification request including user information, transmitted from a user terminal; determining whether the user information is valid by referring to a data store; generating a Web Uniform Resource Locator (URL) for Fast Identity Online (FIDO)2 authentication when the user information is valid; transmitting the web URL to the user terminal; receiving, in the user terminal, a FIDO2 authentication result value from the FIDO2 server in response to performing FIDO2 authentication with a FIDO2 server through a web site linked to the web URL; and transmitting an authentication completion value corresponding to the FIDO2 authentication result value to the agency server.

상기 웹 URL은 CTN(Cellular Telephone Number) 및 UICCID(Universal Integrated Circuit Card Identifier)를 조합하여 생성될 수 있다.The web URL may be generated by combining a Cellular Telephone Number (CTN) and a Universal Integrated Circuit Card Identifier (UICCID).

상기 웹 URL은 time-out 정보를 포함할 수 있다.The web URL may include time-out information.

상기 웹 URL은 OTA(Over The Air)를 통해 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 심툴킷(SIM Toolkit) 명령어(Command)로 암호화되어 전송될 수 있다.The web URL may be encrypted and transmitted as a SIM Toolkit command to a Universal Subscriber Identify Module (USIM) in the user terminal through over the air (OTA).

상기 웹 URL은 SMS-PP(Short Message Service - Point to Point) 규격으로 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 전송될 수 있다.The web URL may be transmitted to a Universal Subscriber Identify Module (USIM) in the user terminal in a Short Message Service - Point to Point (SMS-PP) standard.

다른 일 측면에 따른 FIDO2 인증 중개 서버는, 대행사 서버, 사용자 단말 및 FIDO2 서버와 통신하는 통신부; 및 컨트롤러를 포함하고, 상기 컨트롤러는, 대행사 서버로부터, 사용자 단말로부터 전송된, 사용자 정보를 포함하는 본인확인 요청을 수신하고, 데이터 저장소를 참조하여 상기 사용자 정보가 유효한지 판단하고, 상기 사용자 정보가 유효한 경우, FIDO(Fast Identity Online)2 인증을 위한 웹 URL(Uniform Resource Locator)을 생성하고, 상기 웹 URL을 상기 사용자 단말로 전송하고, 상기 사용자 단말에서 상기 웹 URL과 연동된 웹 사이트를 통해 FIDO2 서버와 FIDO2 인증이 수행되는 것에 응답하여, 상기 FIDO2 서버로부터 FIDO2 인증 결과값을 수신하고, 상기 대행사 서버로 상기 FIDO2 인증 결과값에 대응하는 인증완료 값을 전송한다.FIDO2 authentication mediation server according to another aspect, the agency server, the user terminal and the communication unit for communicating with the FIDO2 server; and a controller, wherein the controller receives an identity verification request including user information, transmitted from a user terminal, from an agency server, and determines whether the user information is valid with reference to a data store, and the user information is If valid, a web URL (Uniform Resource Locator) for FIDO (Fast Identity Online)2 authentication is generated, the web URL is transmitted to the user terminal, and the FIDO2 In response to performing FIDO2 authentication with the server, a FIDO2 authentication result value is received from the FIDO2 server, and an authentication completion value corresponding to the FIDO2 authentication result value is transmitted to the agency server.

상기 웹 URL은 CTN(Cellular Telephone Number) 및 UICCID(Universal Integrated Circuit Card Identifier)를 조합하여 생성될 수 있다.The web URL may be generated by combining a Cellular Telephone Number (CTN) and a Universal Integrated Circuit Card Identifier (UICCID).

상기 웹 URL은 time-out 정보를 포함할 수 있다.The web URL may include time-out information.

상기 웹 URL은 OTA(Over The Air)를 통해 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 심툴킷(SIM Toolkit) 명령어(Command)로 암호화되어 전송될 수 있다.The web URL may be encrypted and transmitted as a SIM Toolkit command to a Universal Subscriber Identify Module (USIM) in the user terminal through over the air (OTA).

상기 웹 URL은 SMS-PP(Short Message Service - Point to Point) 규격으로 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 전송될 수 있다.The web URL may be transmitted to a Universal Subscriber Identify Module (USIM) in the user terminal in a Short Message Service - Point to Point (SMS-PP) standard.

사용자 단말을 통한 본인 인증시 웹사이트를 통해 FIDO2 인증을 중개하는 서버 및 방법을 제공할 수 있다.It is possible to provide a server and method that mediate FIDO2 authentication through a website when self-authentication through a user terminal is performed.

SMS(short message service) 또는 OTP(one time password) 번호 대신 심툴킷 명령어를 통해 FIDO2 인증을 위한 웹 URL을 전달하는 서버 및 방법을 제공할 수 있다.A server and method for delivering a web URL for FIDO2 authentication through a Sim Toolkit command instead of a short message service (SMS) or one time password (OTP) number may be provided.

도 1은 일 예에 따른 FIDO2 인증 중개 서버의 구성도이다.
도 2는 일 예에 따른 FIDO2 인증이 진행되는 흐름도이다.
도 3은 일 예에 따른 FIDO2 인증시 등록하는 방법의 흐름도이다.
도 4는 일 예에 따른 FIDO2 인증시 인증하는 방법의 흐름도이다.
도 5는 일 예에 따른 FIDO2 인증시 사용자 단말의 화면을 나타내는 도면이다.
도 6은 일 예에 따른 FIDO2 인증 중개 서버의 동작 방법의 흐름도이다.1 is a configuration diagram of a FIDO2 authentication mediation server according to an example.
2 is a flowchart illustrating FIDO2 authentication according to an example.
3 is a flowchart of a method of registering during FIDO2 authentication according to an example.
4 is a flowchart of a method of authenticating during FIDO2 authentication according to an example.
5 is a diagram illustrating a screen of a user terminal during FIDO2 authentication according to an example.
6 is a flowchart of a method of operating a FIDO2 authentication mediation server according to an example.

실시예들에 대한 특정한 구조적 또는 기능적 설명들은 단지 예시를 위한 목적으로 개시된 것으로서, 다양한 형태로 변경되어 구현될 수 있다. 따라서, 실제 구현되는 형태는 개시된 특정 실시예로만 한정되는 것이 아니며, 본 명세서의 범위는 실시예들로 설명한 기술적 사상에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Specific structural or functional descriptions of the embodiments are disclosed for purposes of illustration only, and may be changed and implemented in various forms. Accordingly, the actual implementation form is not limited to the specific embodiments disclosed, and the scope of the present specification includes changes, equivalents, or substitutes included in the technical spirit described in the embodiments.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Although terms such as first or second may be used to describe various elements, these terms should be interpreted only for the purpose of distinguishing one element from another. For example, a first component may be termed a second component, and similarly, a second component may also be termed a first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.When a component is referred to as being “connected to” another component, it may be directly connected or connected to the other component, but it should be understood that another component may exist in between.

단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The singular expression includes the plural expression unless the context clearly dictates otherwise. In this specification, terms such as "comprise" or "have" are intended to designate that the described feature, number, step, operation, component, part, or combination thereof exists, and includes one or more other features or numbers, It should be understood that the possibility of the presence or addition of steps, operations, components, parts or combinations thereof is not precluded in advance.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 해당 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in a commonly used dictionary should be interpreted as having a meaning consistent with the meaning in the context of the related art, and should not be interpreted in an ideal or excessively formal meaning unless explicitly defined in the present specification. does not

이하, 실시예들을 첨부된 도면들을 참조하여 상세하게 설명한다. 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조 부호를 부여하고, 이에 대한 중복되는 설명은 생략하기로 한다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. In the description with reference to the accompanying drawings, the same components are assigned the same reference numerals regardless of the reference numerals, and the overlapping description thereof will be omitted.

<FIDO2 인증 중개 서버><FIDO2 authentication mediation server>

도 1은 일 예에 따른 FIDO2 인증 중개 서버의 구성도이다.1 is a configuration diagram of a FIDO2 authentication mediation server according to an example.

도 1을 참조하면, FIDO2 인증 중개 서버(100)는 대행사 서버(150), 사용자 단말(140) 및 FIDO2 서버(160)와 네트워크 통신을 수행하는 통신부(110)를 포함할 수 있다. Referring to FIG. 1 , the FIDO2 authentication mediation server 100 may include an agency server 150 , a user terminal 140 , and a communication unit 110 performing network communication with the FIDO2 server 160 .

네트워크는 FIDO2 인증 중개 서버(100), 사용자 단말(140), 대행사 서버(150) 및 FIDO2 서버(160)들 각각의 노드 상호 간에 정보 교환이 가능한 연결 구조를 의미하는 것으로, 근거리 통신망(LAN: Local Area Network), 광역 통신망(WAN: Wide Area Network), 인터넷 (WWW: World Wide Web), 유무선 데이터 통신망, 전화망, 유무선 텔레비전 통신망 등을 포함할 수 있다. 무선 데이터 통신망에는 3G, 4G, 5G, 3GPP(3rd Generation Partnership Project), LTE(Long Term Evolution), WIMAX(World Interoperability for Microwave Access), 와이파이(Wi-Fi) 등이 포함되나 이에 한정되지는 않는다.The network refers to a connection structure in which information exchange is possible between nodes of each of the FIDO2 authentication mediation server 100, the user terminal 140, the agency server 150, and the FIDO2 servers 160, and a local area network (LAN) area network), a wide area network (WAN), the Internet (WWW: World Wide Web), a wired/wireless data communication network, a telephone network, a wired/wireless television communication network, and the like. The wireless data communication network includes, but is not limited to, 3G, 4G, 5G, 3rd Generation Partnership Project (3GPP), Long Term Evolution (LTE), World Interoperability for Microwave Access (WIMAX), Wi-Fi, and the like.

컨트롤러(120)는 대행사 서버(150)로부터 사용자 단말(140)로부터 전송된, 사용자 정보를 포함하는 본인확인 요청을 수신하고, 데이터 저장소(130)를 참조하여 사용자 정보가 유효한지 판단한다. 사용자 정보가 유효한 경우 컨트롤러(120)는 FIDO2 인증을 위한 웹 URL(uniform resource locator)을 생성하고 사용자 단말(140)로 전송한다.The controller 120 receives an identity verification request including user information, transmitted from the user terminal 140 from the agency server 150 , and determines whether the user information is valid with reference to the data storage 130 . When the user information is valid, the controller 120 generates a web uniform resource locator (URL) for FIDO2 authentication and transmits it to the user terminal 140 .

컨트롤러(120)는 CTN(cellular telephone number) 및 UICCID(universal integrated circuit card identifier)를 조합하여 웹 URL을 생성할 수 있다. 컨트롤러(120)는 하드웨어 보안 모듈(HSM; hardware security module)에 저장된 마스터키로 변형하여 웹 URL을 생성할 수 있다. 웹 URL에는 time-out 정보가 포함되어, 웹 URL이 전송되고 일정 시간(예를 들어, 3분)만 유효할 수 있다.The controller 120 may generate a web URL by combining a cellular telephone number (CTN) and a universal integrated circuit card identifier (UICCID). The controller 120 may generate a web URL by transforming it into a master key stored in a hardware security module (HSM). The web URL includes time-out information, so that the web URL is transmitted and may be valid only for a certain period of time (eg, 3 minutes).

컨트롤러(120)는 웹 URL을 OTA(Over The Air)를 통해 사용자 단말(140) 내 유심(USIM; Universal Subscriber Identify Module)에 심툴킷(SIM Toolkit) 명령어(Command)로 암호화하여 전송할 수 있다. 이 때 심툴킷 명령어로 런치브라우저(Launch browser)를 사용할 수 있고, SMS-PP(short message service - point to point) 규격으로 유심에 전송할 수 있다. 사용자 단말(140)의 유심은 해당 URL을 파싱(parsing)하여 브라우저(browser)로 웹 URL과 연동된 웹 사이트를 자동으로 실행할 수 있다. 보다 구체적으로, 사용자 단말(140)의 유심이 수신한 심툴킷 명령어에 의해 브라우저로 웹 URL과 연동된 웹 사이트가 실행된다. 다만 사용자 확인을 위해, 웹 사이트 실행 전 사용자 입력을 위한 팝업(pop-up) 창이 실행되고 대응하는 사용자 입력이 있을 때 웹 사이트가 실행될 수 있다. 사용자 단말에서의 실행화면은 도 5에서 상세히 설명한다.The controller 120 may encrypt and transmit the web URL as a SIM Toolkit command to a Universal Subscriber Identify Module (USIM) in the user terminal 140 through over the air (OTA). In this case, launch browser can be used as the SIM Toolkit command, and it can be transmitted to the SIM using the SMS-PP (short message service - point to point) standard. The SIM of the user terminal 140 may parse the URL and automatically execute the web site linked to the web URL with a browser. More specifically, the web site linked to the web URL is executed by the browser by the SIM toolkit command received by the SIM of the user terminal 140 . However, for user confirmation, a pop-up window for user input is executed before executing the website, and the website may be executed when there is a corresponding user input. The execution screen in the user terminal will be described in detail with reference to FIG. 5 .

사용자 단말(140)에서 웹 URL과 연동된 웹 사이트가 실행되면, FIDO2 서버 및 FIDO2 인증자와 FIDO2 인증이 수행된다. FIDO2 인증 수행 과정은 도 3 및 도 4에서 상세히 설명한다. FIDO2 인증이 수행된 후 컨트롤러는 FIDO2 서버로부터 FIDO2 인증 결과값을 수신하고, FIDO2 인증 결과값에 대응하는 인증완료 값을 대행사 서버(150)로 전송한다.When a web site linked to a web URL is executed in the user terminal 140 , FIDO2 authentication is performed with the FIDO2 server and the FIDO2 authenticator. A process of performing FIDO2 authentication will be described in detail with reference to FIGS. 3 and 4 . After FIDO2 authentication is performed, the controller receives the FIDO2 authentication result value from the FIDO2 server, and transmits an authentication completion value corresponding to the FIDO2 authentication result value to the agency server 150 .

데이터 저장소(130)는 FIDO2 인증 중개 서버(100)에 포함되는 구성 요소로 도시되었지만, 이에 제한되는 것은 아니며 외부 서버에 포함될 수 있다. 데이터 저장소(130)는 사용자 정보를 포함하며, 컨트롤러(120)는 데이터 저장소(130)를 참조하여 대행사 서버(150)로부터 전송된 사용자 정보를 포함하는 본인확인 요청의 유효 여부를 판단한다. 사용자 정보는 이름, 휴대폰번호, 성별, 생년월일, 내외국인 여부 등에 대한 정보를 포함할 수 있다.The data storage 130 is illustrated as a component included in the FIDO2 authentication mediation server 100, but is not limited thereto and may be included in an external server. The data storage 130 includes user information, and the controller 120 determines whether the identity verification request including the user information transmitted from the agency server 150 is valid with reference to the data storage 130 . The user information may include information such as name, mobile phone number, gender, date of birth, whether the user is a foreigner or not.

사용자 단말(140)은 스마트폰, 태블릿 등의 전자 장치일 수 있고, FIDO2 인증을 위한 FIDO2 인증자(170)를 포함할 수 있다. 다만 이에 제한되는 것은 아니고, FIDO2 인증자(170)는 사용자 단말(140)과 별도의 외부 인증장치에 포함될 수도 있다. FIDO2는 사용자 단말에 포함된 빌트인(built-in) 인증자만 사용이 가능했던 FIDO1과 달리 외부에서 연결되어 동작하는 외부 인증장치에 탑재된 인증자도 사용이 가능하기 때문이다. 간결하고 명확한 설명을 위해 사용자 단말(140) 내 구성요소는 FIDO2 인증자(170)만을 도시하였으나, FIDO2 인증에 이용되는 FIDO 클라이언트, ASM(Authenticator specific module) 등이 포함될 수 있다. FIDO 클라이언트는 FIDO 서버의 정책에 따라 인증자를 필터링할 수 있고, ASM은 FIDO 클라이언트의 요청을 FIDO2 인증자로 전달하고, 인증자에서 생성된 응답 값을 FIDO 클라이언트로 전달할 수 있다.The user terminal 140 may be an electronic device such as a smart phone or a tablet, and may include a FIDO2 authenticator 170 for FIDO2 authentication. However, the present invention is not limited thereto, and the FIDO2 authenticator 170 may be included in an external authentication device separate from the user terminal 140 . This is because, unlike FIDO1, where only a built-in authenticator included in the user terminal can be used in FIDO2, an authenticator installed in an external authentication device that is connected and operated from the outside can also be used. For concise and clear explanation, only the FIDO2 authenticator 170 is shown as a component in the user terminal 140 , but a FIDO client used for FIDO2 authentication, an ASM (Authenticator specific module), etc. may be included. The FIDO client may filter the authenticator according to the policy of the FIDO server, and the ASM may transmit the FIDO client's request to the FIDO2 authenticator, and transmit the response value generated by the authenticator to the FIDO client.

FIDO2 서버(160)는 인증 장치에 대한 정책을 설정하고, 사용자의 공개키를 등록, 관리 및 검증한다.The FIDO2 server 160 sets a policy for the authentication device, and registers, manages, and verifies the user's public key.

FIDO2 인증자(170)는 생체 인증 등으로 사용자를 사용자 단말에서 로컬(local) 인증하고, 서버에서의 원격 인증을 위한 공개키 및 개인키 쌍(pair)을 생성하며 개인키를 이용해 전자서명을 수행한다. FIDO2 인증 수행 과정은 도 3 및 도 4에서 상세히 설명한다.The FIDO2 authenticator 170 authenticates a user locally in a user terminal by biometric authentication, etc., generates a public key and a private key pair for remote authentication in a server, and performs an electronic signature using the private key. do. A process of performing FIDO2 authentication will be described in detail with reference to FIGS. 3 and 4 .

대행사 서버(150)는 본인 인증 과정을 대행하는 서버로, 사용자 단말(140)로부터 전송된 사용자 정보와 함께 FIDO2 인증 중개 서버(100)로 본인확인 요청을 전송한다. 구체적으로, 사용자가 사용자 단말(140)로 대행사 웹사이트에 접속하여 웹 생체인증 버튼을 클릭하고 사용자 정보를 입력하면 대행사 서버(150)가 FIDO2 인증 중개 서버(100)로 사용자 정보 및 본인확인 요청을 전송한다.The agency server 150 is a server acting on behalf of the identity authentication process, and transmits an identity verification request to the FIDO2 authentication mediation server 100 together with user information transmitted from the user terminal 140 . Specifically, when the user accesses the agency website with the user terminal 140, clicks the web biometric authentication button, and inputs user information, the agency server 150 sends a request for user information and identity verification to the FIDO2 authentication mediation server 100. send.

도 2는 일 예에 따른 FIDO2 인증이 진행되는 흐름도이다.2 is a flowchart illustrating FIDO2 authentication according to an example.

도 2를 참조하면, FIDO2 인증 중개 서버가 FIDO2 인증을 중개하는 흐름이 도시되어 있다. 대행사 서버(150)는 사용자 단말(140)로부터 전송된 사용자 정보를 포함하는 본인확인 요청을 FIDO2 인증 중개 서버(100)로 전송한다(205). FIDO2 인증 중개 서버는 데이터 저장소(130)를 참조하여 사용자 정보가 유효한지 판단한다.Referring to FIG. 2 , a flow in which the FIDO2 authentication mediation server mediates FIDO2 authentication is shown. The agency server 150 transmits the identity verification request including the user information transmitted from the user terminal 140 to the FIDO2 authentication mediation server 100 (205). The FIDO2 authentication mediation server refers to the data storage 130 and determines whether the user information is valid.

사용자 정보가 유효한 경우 FIDO2 인증 중개 서버(100)는 2차적으로 FIDO2 인증을 위해 웹 URL을 생성한다(210). 웹 URL은 CTN 및 UICCID를 조합하여, 하드웨어 보안 모듈(HSM; hardware security module)에 저장된 마스터키로 변형되어 생성될 수 있다. 웹 URL에는 time-out 정보가 포함되어 웹 URL은 전송되고 일정 시간(예를 들어, 3분)만 유효할 수 있다.If the user information is valid, the FIDO2 authentication mediation server 100 generates a web URL for secondary FIDO2 authentication ( 210 ). The web URL may be generated by combining the CTN and UICCID to transform the master key stored in a hardware security module (HSM). Since the web URL includes time-out information, the web URL is transmitted and may be valid only for a certain period of time (eg, 3 minutes).

FIDO2 인증 중개 서버(100)는 웹 URL을 사용자 단말(140)로 전송한다(215). FIDO2 인증 중개 서버(100)는 OTA를 통해 사용자 단말(140) 내 유심에 심툴킷(SIM Toolkit) 명령어(Command)로 암호화하여 전송할 수 있다. 이 때 심툴킷 명령어로 런치브라우저(Launch browser)가 사용될 수 있고, FIDO2 인증 중개 서버(100)는 웹 URL을 SMS-PP(short message service - point to point) 규격으로 유심에 전송할 수 있다.FIDO2 authentication mediation server 100 transmits a web URL to the user terminal 140 (215). The FIDO2 authentication mediation server 100 may encrypt and transmit a SIM Toolkit command to the SIM in the user terminal 140 through OTA. In this case, a launch browser may be used as the SIM Toolkit command, and the FIDO2 authentication mediation server 100 may transmit a web URL to the SIM in a short message service-point to point (SMS-PP) standard.

사용자 단말(140)의 유심은 해당 URL을 파싱(parsing)하여 브라우저(browser)로 웹 URL과 연동된 웹 사이트를 자동으로 실행할 수 있다(220). 구체적으로, 사용자 단말(140)의 유심이 수신한 심툴킷 명령어(예: Launch Browser)에 의해 브라우저로 웹 URL과 연동된 웹 사이트가 실행된다. 다만 사용자 확인을 위해, 웹 사이트 실행 전 사용자 입력을 위한 팝업(pop-up) 창이 실행되고 대응하는 사용자 입력(예: 확인 버튼 입력)이 있을 때 웹 사이트가 실행될 수 있다.The SIM of the user terminal 140 may parse the corresponding URL and automatically execute the web site linked to the web URL with a browser ( 220 ). Specifically, the web site linked to the web URL is executed by the browser by the SIM toolkit command (eg, Launch Browser) received by the SIM of the user terminal 140 . However, for user confirmation, a pop-up window for user input is executed before executing the website, and the website may be executed when there is a corresponding user input (eg, input of a confirmation button).

사용자 단말(140)이 FIDO2 인증을 위한 웹 사이트를 통해 FIDO2 서버와 FIDO2 인증을 수행하는 과정은 230에 도시되어 있다. FIDO2 인증은 등록 과정과 인증 과정으로 나누어 볼 수 있는데, 230은 등록 후 인증 과정을 도시한다. 사용자 단말(140)에서 웹 사이트가 실행되면 FIDO2 서버(160)로 인증 요청이 전송된다(240). FIDO2 서버(160)는 FIDO2 인증자(170)로 인증과정 수행을 요청하고(250), FIDO2 인증자(170)는 개인키로 암호화한 전자서명을 FIDO2 서버로 전송한다(260). FIDO2 서버(160)가 공개키를 이용해 암호화된 전자서명을 검증(270)하면 인증이 완료된다. A process in which the user terminal 140 performs FIDO2 authentication with the FIDO2 server through a web site for FIDO2 authentication is illustrated at 230 . FIDO2 authentication can be divided into a registration process and an authentication process. Reference numeral 230 shows an authentication process after registration. When the web site is executed in the user terminal 140 , an authentication request is transmitted to the FIDO2 server 160 ( 240 ). The FIDO2 server 160 requests the FIDO2 authenticator 170 to perform an authentication process (250), and the FIDO2 authenticator 170 transmits the digital signature encrypted with the private key to the FIDO2 server (260). When the FIDO2 server 160 verifies the encrypted digital signature using the public key (270), authentication is completed.

FIDO2 인증 중개 서버(100)는 FIDO2 인증이 수행되는 것에 응답하여, FIDO2 서버(160)로부터 인증 결과값을 수신한다(280). FIDO2 인증 중개 서버(100)는 인증 결과값에 대응하는 인증 완료 값을 대행사 서버(150)로 전송(290)하여 사용자 단말에서의 FIDO2 인증이 완료된다.The FIDO2 authentication mediation server 100 receives an authentication result value from the FIDO2 server 160 in response to the FIDO2 authentication being performed ( 280 ). The FIDO2 authentication mediation server 100 transmits (290) an authentication completion value corresponding to the authentication result value to the agency server 150 to complete FIDO2 authentication in the user terminal.

도 3은 일 예에 따른 FIDO2 인증시 등록하는 방법의 흐름도이다.3 is a flowchart of a method of registering during FIDO2 authentication according to an example.

도 3을 참조하면, 일 실시예에 따른 FIDO2 인증시 등록하는 방법이 도시되어 있다.Referring to FIG. 3 , a method of registering during FIDO2 authentication according to an embodiment is illustrated.

도 3에서 수행되는 동작은 FIDO2 인증을 위한 웹 URL과 연동된 웹 사이트가 실행(예: 도 2의 220)된 이후의 동작일 수 있다. FIDO2 인증을 위한 웹 URL과 연동된 웹 사이트가 실행되면, 사용자가 본인 인증을 하려는 서비스에서 처음으로 본인 인증을 수행하는 경우 등록 과정이 필요하다. FIDO2 인증은 하나의 서비스에 하나의 공개키 및 개인키 쌍(pair)이 사용되기 때문에, 등록 과정은 처음 본인 인증 수행시 공개키 및 개인키를 생성하는 과정이다. The operation performed in FIG. 3 may be an operation after a web site linked to a web URL for FIDO2 authentication is executed (eg, 220 in FIG. 2 ). When a website linked to a web URL for FIDO2 authentication is executed, a registration process is required when a user authenticates himself for the first time in a service for which he/she wants to authenticate himself. Since FIDO2 authentication uses one public key and one private key pair for one service, the registration process is a process of generating a public key and a private key when performing user authentication for the first time.

사용자 단말(140)은 FIDO2 서버(160)로 등록요청을 전송할 수 있다(340). FIDO2 서버(160)는 등록 요청에 응답하여 인증 정보를 요청하고, 정책을 전송할 수 있다(345). 사용자는 사용자 단말(140)을 통해 지문 등 생체 정보를 입력하여 FIDO2 인증자(170)로 전송한다(350). 이 때 생체 정보가 아닌 PIN(personal identification number)을 이용할 수도 있다. FIDO2 인증자(170)는 입력된 정보에 기초하여 공개키와 개인키 쌍(pair)을 생성하고, 개인키를 FIDO2 인증자(170)에 저장(355)할 수 있다. 공개키는 FIDO2 서버(160)에 저장(360)할 수 있다. 공개키가 FIDO2 서버(160)에 저장되면 등록이 완료된다.The user terminal 140 may transmit a registration request to the FIDO2 server 160 ( 340 ). The FIDO2 server 160 may request authentication information in response to the registration request and transmit a policy ( 345 ). The user inputs biometric information such as a fingerprint through the user terminal 140 and transmits it to the FIDO2 authenticator 170 (350). In this case, a personal identification number (PIN) may be used instead of biometric information. The FIDO2 authenticator 170 may generate a public key and a private key pair based on the input information, and store the private key in the FIDO2 authenticator 170 (355). The public key may be stored (360) in the FIDO2 server (160). When the public key is stored in the FIDO2 server 160, registration is completed.

도 4는 일 예에 따른 FIDO2 인증시 인증하는 방법의 흐름도이다.4 is a flowchart of a method of authenticating during FIDO2 authentication according to an example.

도 4를 참조하면, 일 실시예에 따른 FIDO2 인증시 인증이 수행되는 방법이 도시되어 있다.Referring to FIG. 4 , a method of performing authentication during FIDO2 authentication according to an embodiment is illustrated.

도 4에서 수행되는 동작은 FIDO2 인증을 위한 웹 URL과 연동된 웹 사이트가 실행(예: 도 2의 220)된 이후의 동작일 수 있다. FIDO2 인증을 위한 웹 URL과 연동된 웹 사이트가 실행되면, 본인 인증을 하려는 서비스에 FIDO2 인증이 등록되어 있는 경우 이에 대한 인증 과정이 진행된다.The operation performed in FIG. 4 may be an operation after a web site linked to a web URL for FIDO2 authentication is executed (eg, 220 in FIG. 2 ). When a website linked to the web URL for FIDO2 authentication is executed, if FIDO2 authentication is registered in the service for which you want to authenticate yourself, the authentication process is performed.

사용자 단말(140)은 FIDO2 서버(160)로 인증요청을 전송할 수 있다(440). FIDO2 서버(160)는 인증 요청에 응답하여 인증 시도(challenge)를 생성하여 사용자 단말(140)로 전송할 수 있다(445). 사용자는 사용자 단말(140)을 통해 지문 등 생체 정보를 입력하고, 인증 시도와 함께 FIDO2 인증자(170)로 전송한다(450). 이 때 생체 정보가 아닌 PIN(personal identification number)을 이용할 수도 있다. FIDO2 인증자(170)는 입력된 정보에 기초하여 개인키를 추출하고, 개인키를 이용하여 FIDO2 서버(160)로부터 전송받은 인증시도를 전자서명할 수 있다(455). FIDO2 인증자(170)는 개인키로 암호화한 전자서명을 FIDO2 서버(160)에 전달(460)할 수 있다. FIDO2 서버(160)는 공개키를 이용하여 전달받은 내용의 위변조 여부를 검증할 수 있다(470).The user terminal 140 may transmit an authentication request to the FIDO2 server 160 ( 440 ). The FIDO2 server 160 may generate an authentication challenge in response to the authentication request and transmit it to the user terminal 140 ( 445 ). The user inputs biometric information such as a fingerprint through the user terminal 140 and transmits it to the FIDO2 authenticator 170 together with an authentication attempt ( 450 ). In this case, a personal identification number (PIN) may be used instead of biometric information. The FIDO2 authenticator 170 may extract a private key based on the input information, and digitally sign the authentication attempt transmitted from the FIDO2 server 160 using the private key (455). The FIDO2 authenticator 170 may transmit 460 the digital signature encrypted with the private key to the FIDO2 server 160 . The FIDO2 server 160 may verify whether the received content has been forged or altered using the public key (470).

FIDO2 서버(160)는 전자서명을 공개키로 검증(470)한 이후, 인증 결과값을 FIDO2 인증 중개 서버(100)로 전송할 수 있다(예: 도 2의 280). After verifying the digital signature with the public key ( 470 ), the FIDO2 server 160 may transmit an authentication result value to the FIDO2 authentication mediation server 100 (eg, 280 in FIG. 2 ).

도 5는 일 예에 따른 FIDO2 인증시 사용자 단말의 화면을 나타내는 도면이다.5 is a diagram illustrating a screen of a user terminal during FIDO2 authentication according to an example.

도 5를 참조하면, 일 예에 따른 FIDO2 인증을 진행할 때 사용자 단말의 실행화면이 도시되어 있다. 510은 사용자가 사용자 단말(140)로 본인 인증 대행사 웹사이트에 접속한 화면이다. 본인 인증 방법 중 웹 생체인증(520)이 있고, 사용자가 해당 탭을 누르면 사용자 정보를 기입하는 곳이 나타난다(530). 사용자가 이름, 생년월일 등 사용자 정보를 기입하고 확인을 누르면 다음 화면(540)이 나타나며, 510과 540 화면 사이에는 아래와 같은 동작이 발생한다.Referring to FIG. 5 , an execution screen of the user terminal is shown when FIDO2 authentication is performed according to an example. Reference numeral 510 is a screen in which the user accesses the identity authentication agency website through the user terminal 140 . Among the self-authentication methods, there is web biometric authentication (520), and when the user presses a corresponding tab, a place for entering user information appears (530). When the user inputs user information such as name and date of birth and presses OK, the next screen 540 appears, and the following operation occurs between the 510 and 540 screens.

510에서 사용자가 사용자 정보 기입 후 확인을 누르면 대행사 서버(150)에서 FIDO2 인증 중개 서버(100)로 사용자 정보를 포함하는 본인확인 요청이 전송된다(예: 도 2의 205). FIDO2 인증 중개 서버(100)는 CTN, UICCID 등을 조합하고 HSM의 마스터키로 변형하여 웹 URL을 생성한다(예: 도 2의 210). FIDO2 인증 중개 서버(100)는 OTA를 통해 사용자 단말(140) 내 유심에 심툴킷 명령어로 암호화하여 SMS-PP 규격으로 웹 URL을 전송한다(예: 도 2의 215).When the user presses OK after entering user information in 510 , an identity verification request including user information is transmitted from the agency server 150 to the FIDO2 authentication mediation server 100 (eg, 205 in FIG. 2 ). The FIDO2 authentication mediation server 100 combines CTN, UICCID, etc. and transforms it into the master key of the HSM to generate a web URL (eg, 210 in FIG. 2 ). The FIDO2 authentication mediation server 100 encrypts the SIM toolkit command to the SIM in the user terminal 140 through OTA and transmits the web URL in the SMS-PP standard (eg, 215 in FIG. 2 ).

사용자 단말(140)의 유심은 해당 URL을 파싱(parsing)하여 브라우저(browser)로 웹 URL과 연동된 웹 사이트를 자동으로 실행한다(예: 도 2의 220). 구체적으로, 사용자 단말(140)의 유심이 수신한 심툴킷 명령어에 의해 브라우저로 웹 URL과 연동된 웹 사이트가 실행된다.The SIM of the user terminal 140 parses the URL and automatically executes the web site linked to the web URL with a browser (eg, 220 in FIG. 2 ). Specifically, the web site linked to the web URL is executed by the browser by the SIM toolkit command received by the SIM of the user terminal 140 .

540은 심툴킷 명령어로 웹사이트가 실행되기 전 사용자 확인을 위해 사용자 입력을 위한 팝업(pop-up) 창(550)이 실행된 화면을 도시한다. 대응하는 사용자 입력, 예를 들어 확인 버튼(560)의 입력이 있을 때 웹 사이트가 실행될 수 있다. 일 실시예에 따르면 웹 URL에는 time-out 정보가 포함될 수 있고, 일정 시간(예를 들어, 3분) 내에 사용자 입력이 없으면 웹 URL이 유효하지 않을 수 있다. Reference numeral 540 shows a screen on which a pop-up window 550 for user input is executed for user confirmation before the website is executed with the sim toolkit command. Upon receipt of a corresponding user input, for example an input of the confirm button 560 , the web site may be launched. According to an embodiment, the web URL may include time-out information, and if there is no user input within a predetermined time (eg, 3 minutes), the web URL may be invalid.

570은 웹 사이트 실행 후 사용자의 생체 정보 입력을 요구하는 사용자 단말 화면을 도시한다. 540 이후 570을 거쳐 580 인증완료 화면이 나타날 때까지 FIDO2 인증이 진행되며, 도 3 및 도 4에서 설명한 바와 동일한 과정이 진행될 수 있다. 570 shows a user terminal screen that requests the user to input biometric information after the website is executed. After 540, through 570, FIDO2 authentication proceeds until the 580 authentication completion screen appears, and the same process as described with reference to FIGS. 3 and 4 may be performed.

예를 들어, 사용자가 해당 서비스와 관련하여 FIDO2 인증을 등록받은 적이 없다면 도 3과 같이 등록 과정이 진행될 수 있다. 사용자 단말(140)로부터 FIDO2 서버(160)로 등록 요청이 전송되고(예: 도 3의 340), FIDO2 서버(160)는 사용자 단말(140)로 인증정보를 요청하고, 정책을 전송한다(예: 도 3의 345). FIDO2 서버(160)에서 인증정보 요청이 전송된 후 사용자 단말(140)은 570을 나타낼 수 있다. 570에서 사용자가 생체정보를 입력하면(예: 도 3의 350), 사용자 단말(140)로부터 FIDO2 인증자(170)로 생체 정보가 전송된다. FIDO2 인증자(170)는 도 1에서 설명한 바와 같이 사용자 단말(140)에 내장될 수 있고, 외부 인증장치에 탑재되어 있을 수 있다. FIDO2 인증자(170)는 수신한 생체 정보에 기초하여 개인키 및 공개키 쌍(pair)을 생성하고, 개인키를 FIDO2 인증자(170)에 저장한다(예: 도 3의 355). 공개키는 추후 인증 시 FIDO2 서버(160)에서의 검증을 위해 FIDO2 서버(160)에 저장한다(예: 도 3의 360).For example, if the user has never been registered for FIDO2 authentication in relation to the corresponding service, the registration process may proceed as shown in FIG. 3 . A registration request is transmitted from the user terminal 140 to the FIDO2 server 160 (eg, 340 in FIG. 3 ), and the FIDO2 server 160 requests authentication information to the user terminal 140 and transmits a policy (eg, : 345 in FIG. 3). After the authentication information request is transmitted from the FIDO2 server 160 , the user terminal 140 may indicate 570 . When the user inputs biometric information in step 570 (eg, 350 in FIG. 3 ), the biometric information is transmitted from the user terminal 140 to the FIDO2 authenticator 170 . The FIDO2 authenticator 170 may be embedded in the user terminal 140 as described with reference to FIG. 1 or may be mounted in an external authentication device. The FIDO2 authenticator 170 generates a private key and a public key pair based on the received biometric information, and stores the private key in the FIDO2 authenticator 170 (eg, 355 in FIG. 3 ). The public key is stored in the FIDO2 server 160 for verification in the FIDO2 server 160 during authentication later (eg, 360 in FIG. 3 ).

사용자가 해당 서비스에서 FIDO2 인증을 받은 바 있다면, 도 4와 같이 인증 과정이 진행될 수 있다. 사용자 단말(140)로부터 FIDO2 서버(160)로 인증 요청이 전송되고(예: 도 4의 440), FIDO2 서버(160)는 사용자 단말(140)로 인증시도(challenge)를 전송한다(예: 도 4의 445). FIDO2 서버(160)에서 인증시도가 전송된 후 사용자 단말(140)은 570을 나타낼 수 있다. 570에서 사용자가 생체정보를 입력하면, 사용자 단말(140)는 FIDO2 인증자(170)로 생체정보 및 인증시도를 전송한다(예: 도 4의 450). FIDO2 인증자(170)는 수신한 생체 정보에 기초하여 개인키를 추출하고, 개인키를 이용하여 FIDO2 서버(160)로부터 전송받은 인증시도를 전자서명한다(예: 도 4의 455). FIDO2 인증자(170)는 개인키로 암호화한 전자서명을 FIDO2 서버(160)에 전달하고(예: 도 4의 460), FIDO2 서버(160)는 공개키를 이용하여 전달받은 내용의 위변조 여부를 검증할 수 있다(예: 도 4의 470).If the user has received FIDO2 authentication in the corresponding service, the authentication process may proceed as shown in FIG. 4 . An authentication request is transmitted from the user terminal 140 to the FIDO2 server 160 (eg, 440 in FIG. 4 ), and the FIDO2 server 160 transmits an authentication challenge to the user terminal 140 (eg, in FIG. 4 ). 4 of 445). After the authentication attempt is transmitted from the FIDO2 server 160 , the user terminal 140 may indicate 570 . When the user inputs biometric information in step 570 , the user terminal 140 transmits biometric information and an authentication attempt to the FIDO2 authenticator 170 (eg, 450 in FIG. 4 ). The FIDO2 authenticator 170 extracts a private key based on the received biometric information, and digitally signs the authentication attempt received from the FIDO2 server 160 using the private key (eg, 455 in FIG. 4 ). The FIDO2 authenticator 170 transmits the digital signature encrypted with the private key to the FIDO2 server 160 (eg, 460 in FIG. 4 ), and the FIDO2 server 160 verifies whether the received content is forged or falsified using the public key. You can (eg, 470 in FIG. 4 ).

FIDO2 서버(160)는 전자서명을 공개키로 검증하고, 인증 결과값을 FIDO2 인증 중개 서버(100)로 전송한다(예: 도 2의 280). FIDO2 인증 중개 서버(100)는 인증 결과값에 대응하는 인증 완료 값을 대행사 서버(150)로 전송한다(예: 도 2의 290). 대행사 서버(150)가 인증 완료 값을 수신하면, 사용자 단말(140)에는 인증이 완료되었다는 팝업창(590)과 함께 580의 화면이 나타날 수 있다.The FIDO2 server 160 verifies the digital signature with the public key, and transmits the authentication result value to the FIDO2 authentication mediation server 100 (eg, 280 in FIG. 2 ). The FIDO2 authentication mediation server 100 transmits an authentication completion value corresponding to the authentication result value to the agency server 150 (eg, 290 in FIG. 2 ). When the agency server 150 receives the authentication completion value, a screen 580 may appear on the user terminal 140 along with a pop-up window 590 indicating that authentication is complete.

<FIDO2 인증 중개 서버의 동작 방법><How the FIDO2 authentication mediation server works>

도 6은 일 예에 따른 FIDO2 인증 중개 서버의 동작 방법의 흐름도이다.6 is a flowchart of a method of operating a FIDO2 authentication mediation server according to an example.

도 6을 참조하면, 단계 610에서 FIDO2 인증 중개 서버(100)는 사용자 단말(140)로부터 전송된, 사용자 정보를 포함하는 본인확인 요청을 대행사 서버(150)로부터 수신한다. 사용자 정보는 이름, 생년월일 등을 포함할 수 있다.Referring to FIG. 6 , in step 610 , the FIDO2 authentication mediation server 100 receives an identity verification request including user information, transmitted from the user terminal 140 , from the agency server 150 . The user information may include a name, date of birth, and the like.

단계 620에서, FIDO2 인증 중개 서버(100)는 데이터 저장소(130)를 참조하여 사용자 정보가 유효한지 판단한다. 데이터 저장소(130)는 FIDO2 인증 중개 서버(100)의 구성 요소일 수 있고, 또는 FIDO2 인증 중개 서버(100)가 아닌 외부 서버에 포함될 수 있다.In step 620 , the FIDO2 authentication mediation server 100 determines whether the user information is valid with reference to the data store 130 . The data storage 130 may be a component of the FIDO2 authentication mediation server 100 , or may be included in an external server other than the FIDO2 authentication mediation server 100 .

단계 630에서, 사용자 정보가 유효하면 FIDO2 인증 중개 서버(100)는 FIDO2 인증을 위한 웹URL을 생성한다. 웹 URL은 CTN 및 UICCID를 조합하여, HSM(hardware security module)에 저장된 마스터키로 변형되어 생성될 수 있다. 웹 URL에는 time-out 정보가 포함되어 웹 URL은 전송되고 일정 시간(예를 들어, 3분)만 유효할 수 있다.In step 630, if the user information is valid, the FIDO2 authentication mediation server 100 generates a web URL for FIDO2 authentication. The web URL may be generated by combining the CTN and UICCID and transforming it into a master key stored in a hardware security module (HSM). Since the web URL includes time-out information, the web URL is transmitted and may be valid only for a certain period of time (eg, 3 minutes).

단계 640에서, FIDO2 인증 중개 서버(100)는 웹 URL을 사용자 단말(140)로 전송한다. FIDO2 인증 중개 서버(100)는 웹 URL을 OTA를 통해 사용자 단말(140) 내 유심에 심툴킷(SIM Toolkit) 명령어(Command)로 암호화하여 전송할 수 있다. 이 때 심툴킷 명령어로 런치브라우저(Launch browser)가 사용될 수 있고, FIDO2 인증 중개 서버(100)는 웹 URL을 SMS-PP(short message service - point to point) 규격으로 유심에 전송할 수 있다.In step 640 , the FIDO2 authentication mediation server 100 transmits a web URL to the user terminal 140 . The FIDO2 authentication mediation server 100 may encrypt and transmit the web URL as a SIM Toolkit command to the SIM in the user terminal 140 through OTA. In this case, a launch browser may be used as the SIM Toolkit command, and the FIDO2 authentication mediation server 100 may transmit a web URL to the SIM in a short message service-point to point (SMS-PP) standard.

사용자 단말(140)의 유심은 FIDO2 인증 중개 서버(100)로부터 웹 URL을 수신하고, 웹 URL을 파싱(parsing)하여 브라우저(browser)로 웹 URL과 연동된 웹 사이트를 자동으로 실행할 수 있다. 구체적으로, 사용자 단말(140)의 유심이 수신한 심툴킷 명령어에 의해 브라우저로 웹 URL과 연동된 웹 사이트가 실행된다. 다만 사용자 확인을 위해, 웹 사이트 실행 전 사용자 입력을 위한 팝업(pop-up) 창이 실행되고 대응하는 사용자 입력이 있을 때 웹 사이트가 실행될 수 있다(예: 도 5의 550).The SIM of the user terminal 140 may receive a web URL from the FIDO2 authentication mediation server 100, parse the web URL, and automatically execute a web site linked to the web URL with a browser. Specifically, the web site linked to the web URL is executed by the browser by the SIM toolkit command received by the SIM of the user terminal 140 . However, for user confirmation, a pop-up window for user input is executed before executing the website, and the website may be executed when there is a corresponding user input (eg, 550 in FIG. 5 ).

사용자 단말(140)에서 FIDO2 인증이 수행되는 과정은 도 3 내지 도 5에서 설명한 바와 같이 해당 서비스에서 최초로 FIDO2 인증을 수행하는 경우에는 등록 과정이 진행될 수 있고, 최초가 아닌 경우에는 인증 과정이 진행될 수 있다. FIDO2 인증자(170)에서 생체정보에 기초하여 개인키를 추출하고, FIDO2 서버(160)에서 공개키로 검증하여 FIDO2 인증이 완료된다. In the process of performing FIDO2 authentication in the user terminal 140, as described with reference to FIGS. 3 to 5, when FIDO2 authentication is performed for the first time in a corresponding service, a registration process may proceed, and if it is not the first time, an authentication process may proceed. have. The FIDO2 authenticator 170 extracts the private key based on the biometric information, and the FIDO2 server 160 verifies the public key with the public key to complete the FIDO2 authentication.

단계 650에서, FIDO2 인증 중개 서버(100)는 FIDO2 서버(160)로부터 인증 결과값을 수신한다.In step 650 , the FIDO2 authentication mediation server 100 receives an authentication result value from the FIDO2 server 160 .

단계 660에서, FIDO2 인증 중개 서버(100)는 인증 결과값에 대응하는 인증완료 값을 대행사 서버(150)로 전송한다.In step 660 , the FIDO2 authentication mediation server 100 transmits an authentication completion value corresponding to the authentication result value to the agency server 150 .

이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 컨트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The embodiments described above may be implemented by a hardware component, a software component, and/or a combination of a hardware component and a software component. For example, the apparatus, methods and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate (FPGA). array), a programmable logic unit (PLU), a microprocessor, or any other device capable of executing and responding to instructions, may be implemented using a general purpose computer or special purpose computer. The processing device may execute an operating system (OS) and a software application running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For convenience of understanding, although one processing device is sometimes described as being used, one of ordinary skill in the art will recognize that the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that may include For example, the processing device may include a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as parallel processors.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.Software may comprise a computer program, code, instructions, or a combination of one or more thereof, which configures a processing device to operate as desired or is independently or collectively processed You can command the device. The software and/or data may be any kind of machine, component, physical device, virtual equipment, computer storage medium or device, to be interpreted by or to provide instructions or data to the processing device. , or may be permanently or temporarily embody in a transmitted signal wave. The software may be distributed over networked computer systems and stored or executed in a distributed manner. Software and data may be stored in a computer-readable recording medium.

실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있으며 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. The method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded in a computer-readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination, and the program instructions recorded on the medium are specially designed and configured for the embodiment, or are known and available to those skilled in the art of computer software. may be Examples of the computer-readable recording medium include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic such as floppy disks. - includes magneto-optical media, and hardware devices specially configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.

위에서 설명한 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 또는 복수의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The hardware devices described above may be configured to operate as one or a plurality of software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 이를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.As described above, although the embodiments have been described with reference to the limited drawings, a person skilled in the art may apply various technical modifications and variations based thereon. For example, the described techniques are performed in a different order than the described method, and/or the described components of the system, structure, apparatus, circuit, etc. are combined or combined in a different form than the described method, or other components Or substituted or substituted by equivalents may achieve an appropriate result.

그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments, and equivalents to the claims are also within the scope of the following claims.

Claims (11)

대행사 서버로부터, 사용자 단말로부터 전송된, 사용자 정보를 포함하는 본인확인 요청을 수신하는 단계;
데이터 저장소를 참조하여 상기 사용자 정보가 유효한지 판단하는 단계;
상기 사용자 정보가 유효한 경우, FIDO(Fast Identity Online)2 인증을 위한 웹 URL(Uniform Resource Locator)을 생성하는 단계;
상기 웹 URL을 상기 사용자 단말로 전송하는 단계;
상기 사용자 단말에서 상기 웹 URL과 연동된 웹 사이트를 통해 FIDO2 서버와 FIDO2 인증이 수행되는 것에 응답하여, 상기 FIDO2 서버로부터 FIDO2 인증 결과값을 수신하는 단계; 및
상기 대행사 서버로 상기 FIDO2 인증 결과값에 대응하는 인증완료 값을 전송하는 단계
를 포함하는,
FIDO2 인증 중개 서버의 동작방법.
Receiving, from an agency server, an identity verification request including user information, transmitted from a user terminal;
determining whether the user information is valid by referring to a data store;
generating a Web Uniform Resource Locator (URL) for Fast Identity Online (FIDO)2 authentication when the user information is valid;
transmitting the web URL to the user terminal;
receiving a FIDO2 authentication result value from the FIDO2 server in response to performing FIDO2 authentication with a FIDO2 server through a web site linked to the web URL in the user terminal; and
transmitting an authentication completion value corresponding to the FIDO2 authentication result value to the agency server
containing,
How the FIDO2 authentication mediation server works.
 제1항에 있어서,
상기 웹 URL은 CTN(Cellular Telephone Number) 및 UICCID(Universal Integrated Circuit Card Identifier)를 조합하여 생성되는,
FIDO2 인증 중개 서버의 동작방법.
According to claim 1,
The web URL is generated by combining CTN (Cellular Telephone Number) and UICCID (Universal Integrated Circuit Card Identifier),
How the FIDO2 authentication mediation server works.
 제1항에 있어서,
상기 웹 URL은 time-out 정보를 포함하는,
FIDO2 인증 중개 서버의 동작방법.
According to claim 1,
The web URL includes time-out information,
How the FIDO2 authentication mediation server works.
 제1항에 있어서,
상기 웹 URL은 OTA(Over The Air)를 통해 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 심툴킷(SIM Toolkit) 명령어(Command)로 암호화되어 전송되는,
FIDO2 인증 중개 서버의 동작방법.
According to claim 1,
The web URL is encrypted and transmitted as a SIM Toolkit command to a Universal Subscriber Identify Module (USIM) in the user terminal through OTA (Over The Air),
How the FIDO2 authentication mediation server works.
 제4항에 있어서,
상기 웹 URL은 SMS-PP(Short Message Service - Point to Point) 규격으로 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 전송되는,
FIDO2 인증 중개 서버의 동작방법.
5. The method of claim 4,
The web URL is transmitted to a Universal Subscriber Identify Module (USIM) in the user terminal in the SMS-PP (Short Message Service - Point to Point) standard.
How the FIDO2 authentication mediation server works.
 대행사 서버, 사용자 단말 및 FIDO2 서버와 통신하는 통신부; 및
컨트롤러를 포함하고,
상기 컨트롤러는,
대행사 서버로부터, 사용자 단말로부터 전송된, 사용자 정보를 포함하는 본인확인 요청을 수신하고, 데이터 저장소를 참조하여 상기 사용자 정보가 유효한지 판단하고, 상기 사용자 정보가 유효한 경우, FIDO(Fast Identity Online)2 인증을 위한 웹 URL(Uniform Resource Locator)을 생성하고, 상기 웹 URL을 상기 사용자 단말로 전송하고, 상기 사용자 단말에서 상기 웹 URL과 연동된 웹 사이트를 통해 FIDO2 서버와 FIDO2 인증이 수행되는 것에 응답하여, 상기 FIDO2 서버로부터 FIDO2 인증 결과값을 수신하고, 상기 대행사 서버로 상기 FIDO2 인증 결과값에 대응하는 인증완료 값을 전송하는,
FIDO2 인증 중개 서버.
a communication unit for communicating with the agency server, the user terminal and the FIDO2 server; and
including a controller;
The controller is
Receives an identity verification request including user information, sent from the user terminal, from the agency server, determines whether the user information is valid by referring to the data store, and if the user information is valid, FIDO (Fast Identity Online)2 In response to generating a web URL (Uniform Resource Locator) for authentication, transmitting the web URL to the user terminal, and performing FIDO2 authentication with the FIDO2 server through a website linked to the web URL in the user terminal , receiving a FIDO2 authentication result value from the FIDO2 server, and transmitting an authentication completion value corresponding to the FIDO2 authentication result value to the agency server,
FIDO2 certified intermediary server.
 제6항에 있어서,
상기 웹 URL은 CTN(Cellular Telephone Number) 및 UICCID(Universal Integrated Circuit Card Identifier)를 조합하여 생성되는,
FIDO2 인증 중개 서버.
7. The method of claim 6,
The web URL is generated by combining CTN (Cellular Telephone Number) and UICCID (Universal Integrated Circuit Card Identifier),
FIDO2 certified intermediary server.
 제6항에 있어서,
상기 웹 URL은 time-out 정보를 포함하는,
FIDO2 인증 중개 서버.
7. The method of claim 6,
The web URL includes time-out information,
FIDO2 certified intermediary server.
 제6항에 있어서,
상기 웹 URL은 OTA(Over The Air)를 통해 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 심툴킷(SIM Toolkit) 명령어(Command)로 암호화되어 전송되는,
FIDO2 인증 중개 서버.
7. The method of claim 6,
The web URL is encrypted and transmitted as a SIM Toolkit command to a Universal Subscriber Identify Module (USIM) in the user terminal through OTA (Over The Air),
FIDO2 certified intermediary server.
 제9항에 있어서,
상기 웹 URL은 SMS-PP(Short Message Service - Point to Point) 규격으로 상기 사용자 단말 내 유심(USIM; Universal Subscriber Identify Module)에 전송되는,
FIDO2 인증 중개 서버.
10. The method of claim 9,
The web URL is transmitted to a Universal Subscriber Identify Module (USIM) in the user terminal in the SMS-PP (Short Message Service - Point to Point) standard.
FIDO2 certified intermediary server.
 하드웨어와 결합되어 제1항 내지 제5항 중 어느 하나의 항의 방법을 실행시키기 위하여 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.A computer program stored in a computer-readable recording medium in combination with hardware to execute the method of any one of claims 1 to 5.
KR1020210014153A 2021-02-01 2021-02-01 Server for mediating fast identity online 2 authentication, and operating method thereof KR102484660B1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210014153A KR102484660B1 (en) 2021-02-01 2021-02-01 Server for mediating fast identity online 2 authentication, and operating method thereof
KR1020220189113A KR20230010610A (en) 2021-02-01 2022-12-29 Server for mediating fast identity online 2 authentication, and operating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210014153A KR102484660B1 (en) 2021-02-01 2021-02-01 Server for mediating fast identity online 2 authentication, and operating method thereof

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020220189113A Division KR20230010610A (en) 2021-02-01 2022-12-29 Server for mediating fast identity online 2 authentication, and operating method thereof

Publications (2)

Publication Number Publication Date
KR20220111027A true KR20220111027A (en) 2022-08-09
KR102484660B1 KR102484660B1 (en) 2023-01-04

Family

ID=82844476

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210014153A KR102484660B1 (en) 2021-02-01 2021-02-01 Server for mediating fast identity online 2 authentication, and operating method thereof
KR1020220189113A KR20230010610A (en) 2021-02-01 2022-12-29 Server for mediating fast identity online 2 authentication, and operating method thereof

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020220189113A KR20230010610A (en) 2021-02-01 2022-12-29 Server for mediating fast identity online 2 authentication, and operating method thereof

Country Status (1)

Country Link
KR (2) KR102484660B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006128873A (en) * 2004-10-27 2006-05-18 Matsushita Electric Ind Co Ltd Url authentication system and url authentication method
JP2008171087A (en) * 2007-01-09 2008-07-24 Taito Corp Authentication system, and authentication program
KR20190049177A (en) * 2017-11-01 2019-05-09 삼성카드 주식회사 Web browser based FIDO authentication method and apparatus

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006128873A (en) * 2004-10-27 2006-05-18 Matsushita Electric Ind Co Ltd Url authentication system and url authentication method
JP2008171087A (en) * 2007-01-09 2008-07-24 Taito Corp Authentication system, and authentication program
KR20190049177A (en) * 2017-11-01 2019-05-09 삼성카드 주식회사 Web browser based FIDO authentication method and apparatus

Also Published As

Publication number Publication date
KR102484660B1 (en) 2023-01-04
KR20230010610A (en) 2023-01-19

Similar Documents

Publication Publication Date Title
US10305902B2 (en) Two-channel authentication proxy system capable of detecting application tampering and method therefor
KR102242218B1 (en) User authentication method and apparatus, and wearable device registration method and apparatus
KR102358546B1 (en) System and method for authenticating a client to a device
KR102420969B1 (en) System and method for integrating an authentication service within a network architecture
EP3208732A1 (en) Method and system for authentication
US9378352B2 (en) Barcode authentication for resource requests
TWI598761B (en) Query system and method to determine authentication capabilities
US20170317999A1 (en) Security credential protection with cloud services
US20200196143A1 (en) Public key-based service authentication method and system
US9294474B1 (en) Verification based on input comprising captured images, captured audio and tracked eye movement
EP3662430B1 (en) System and method for authenticating a transaction
US9807075B2 (en) Methods for activation of an application on a user device
JP5952973B2 (en) Mutual authentication method between terminal and remote server via third-party portal
US9443069B1 (en) Verification platform having interface adapted for communication with verification agent
CN112912875A (en) Authentication system, authentication method, application providing device, authentication device, and authentication program
CN113726774A (en) Client login authentication method, system and computer equipment
KR20220167366A (en) Cross authentication method and system between online service server and client
US20230198751A1 (en) Authentication and validation procedure for improved security in communications systems
KR102484660B1 (en) Server for mediating fast identity online 2 authentication, and operating method thereof
KR102016976B1 (en) Unified login method and system based on single sign on service
EP3343494A1 (en) Electronic signature of transactions between users and remote providers by use of two-dimensional codes
CN113395249A (en) Client login authentication method, system and computer equipment
KR20170114713A (en) Method for authenticating user and apparatus for performing the method
KR20240075374A (en) System and method for financial transaction service based on authentication using portable device
KR20160061485A (en) Easy identification service method and system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right