KR20220112013A - 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법 - Google Patents

인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법 Download PDF

Info

Publication number
KR20220112013A
KR20220112013A KR1020210015481A KR20210015481A KR20220112013A KR 20220112013 A KR20220112013 A KR 20220112013A KR 1020210015481 A KR1020210015481 A KR 1020210015481A KR 20210015481 A KR20210015481 A KR 20210015481A KR 20220112013 A KR20220112013 A KR 20220112013A
Authority
KR
South Korea
Prior art keywords
certificate
authority server
issuing authority
verifiable
user terminal
Prior art date
Application number
KR1020210015481A
Other languages
English (en)
Other versions
KR102484533B1 (ko
Inventor
김대현
양준선
최정우
김찬성
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020210015481A priority Critical patent/KR102484533B1/ko
Publication of KR20220112013A publication Critical patent/KR20220112013A/ko
Application granted granted Critical
Publication of KR102484533B1 publication Critical patent/KR102484533B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법에 대한 것으로서, 탈중앙화 신원 증명을 위한 검증 가능 자격 증명(verifiable credentials) 발행 기관 서버와, 사용자 단말기와, 탈중앙화 신원 증명 처리 모듈을 포함하는 환경에서 수행되며, 사용자 단말기가, 발행 기관 서버에 인증서 발급 요청을 전송하는 제1 단계와; 발행 기관 서버가, 인증서를 포함하는 제2 검증 가능 자격 증명을 생성하는 제2 단계와; 발행 기관 서버가, 인증서 발급 정보와, 인증서와, 전자 서명값을 처리 모듈로 전송하는 제3 단계와; 탈중앙화 신원 증명 처리 모듈이 인증서의 유효성을 검증할 수 있는 정보를 게시하는 제4 단계와; 발행 기관 서버가, 제2 검증 가능 자격 증명을 사용자 단말기로 전송하는 제5 단계를 포함한다.

Description

인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법{Method for Issuing Verifiable Credential Including Digital Certificate and Authenticating Method Using the Same}
본 발명은 검증 가능 자격 증명을 발행하는 방법 및 그 검증 가능 자격 증명을 이용하여 인증하는 방법에 대한 것으로서 좀 더 자세하게는 인증서를 포함하는 검증 가능 자격 증명을 발행하고, 그것을 이용하여 인증을 할 뿐만 아니라 인증서에 의한 전자 서명 검증도 수행할 수 있게 하는 방법에 대한 것이다.
블록 체인에 기반한 탈중앙화 신원증명(DID; Decentralized Identity)을 이용하여 인증하는 인증 방식이 제안된 바 있으며 그 사용처가 점점 증가하고 있는 상황이다.
탈중앙화 신원증명이란 개인 정보를 사용자의 단말기에 저장하고 블록 체인에는 분산 저장한 후, 개인정보 인증이 필요할 때에 필요한 정보만 골라서 사용자가 검증자(Verifier)에 제출하고, 검증자는 블록체인에 분산 저장되어 있는 개인 정보를 기초로 하여 개인정보 인증을 할 수 있는 기술을 의미한다.
탈중앙화 신원증명 기술을 사용하면 개인 정보의 주권이 중앙 기관이나 특정 기업이 아니라 개인에게 넘어와서 여러모로 유리한 측면이 있으며, 그로 인해 개인 정보 보호가 중요시되는 시대적 요구에 따라서 널리 보급되고 있다.
그런데 기존에 인증서 기반의 서비스를 제공하던 다수의 금융기관이나 공공기관이 인증 방식을 탈중앙화 신원증명으로 전환하면 인프라 변경 부담이 가중되며 특히 탈중앙화 신원 증명의 특성상 전자서명의 안정성을 보장하기 어려운 한계가 있다.
한국특허 제10-2149706호 (2020년 8월 31일 등록공고)
본 발명은 탈중앙화 신원 증명 기술을 이용하되, 기존의 인증서 기반 전자 서명도 기존의 플랫폼에서 검증할 수 있도록 하는, 검증 가능 자격 증명 발행 방법 및 그 검증 가능 자격 증명을 이용하여 인증하는 방법을 제공하는 것을 목적으로 한다.
본 발명은 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법에 대한 것으로서, 탈중앙화 신원 증명을 위한 검증 가능 자격 증명(verifiable credentials) 발행 기관 서버와, 사용자 단말기와, 탈중앙화 신원 증명 처리 모듈을 포함하는 환경에서 수행되며, 사용자 단말기가, 발행 기관 서버에 인증서 발급 요청을 전송하는 제1 단계와; 발행 기관 서버가, 인증서를 포함하는 제2 검증 가능 자격 증명을 생성하는 제2 단계와; 발행 기관 서버가, 인증서 발급 정보와, 인증서와, 전자 서명값을 처리 모듈로 전송하는 제3 단계와; 탈중앙화 신원 증명 처리 모듈이 인증서의 유효성을 검증할 수 있는 정보를 게시하는 제4 단계와; 발행 기관 서버가, 제2 검증 가능 자격 증명을 사용자 단말기로 전송하는 제5 단계를 포함한다.
본 발명에 의한 검증 가능 자격 증명을 발행하는 방법은, 제1 단계 이전에 수행되는 단계로서, 사용자 단말기가, 제1 검증 가능 자격 증명에 기초한 프리젠테이션을 발행 기관 서버로 전송하여 탈중앙화 신원 증명을 요청하는 제0-1 단계와; 발행 기관 서버가, 제1 단계에서 수신한 프리젠테이션을 탈중앙화 신원 증명 처리 모듈에 전송하여 탈중앙화 신원 증명의 유효성 검증을 위한 정보를 요청하고 수신하는 제0-2 단계와; 발행 기관 서버가, 탈중앙화 신원 증명의 유효성 검증 결과를 사용자 단말기로 전송하는 제0-3 단계를 더 포함할 수 있다.
본 발명에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법은, 사용자 단말기가, 인증서에 기반한 전자서명값을 생성하는 제6 단계와; 사용자 단말기가, 인증서 클레임과, 제1 검증 가능 자격 증명 또는 추가적인 개인 정보에 기초한 신원 증명 클레임을 포함하는 프리젠테이션과, 전자서명값을 검증자(verifier) 서버로 전송하는 제7 단계를 포함한다.
본 발명에 의한 인증 방법은, 검증자 서버가, PKI 체계에 기반하여 전자서명값과 인증서 유효성을 검증하는 제8 단계를 더 포함할 수 있다.
본 발명에 의한 인증 방법은, 검증자 서버가, 제7 단계에서 수신한 프리젠테이션을 처리 모듈로 전송하여 탈중앙화 신원 증명의 유효성 검증에 필요한 정보를 요청하고 수신하는 제9 단계와; 검증자 서버가, 제9 단계에서 수신한 정보에 기초하여 탈중앙화 신원증명의 유효성을 검증하는 제10 단계를 더 포함할 수 있다.
본 발명의 다른 형태에 의한 검증 가능 자격 증명을 발행하는 방법은, 사용자 단말기가, 발행 기관 서버에 인증서를 제출하는 제1 단계와; 발행 기관 서버가, 인증서를 포함하는 제2 검증 가능 자격 증명을 생성하는 제2 단계와; 발행 기관 서버가, 인증서 발급 정보와, 인증서와, 전자 서명값을 처리 모듈로 전송하는 제3 단계와; 탈중앙화 신원 증명 처리 모듈이 인증서의 유효성을 검증할 수 있는 정보를 게시하는 제4 단계와; 발행 기관 서버가, 제2 검증 가능 자격 증명을 사용자 단말기로 전송하는 제5 단계를 포함한다.
본 발명에 의한 방법은, 컴퓨터 판독 가능 기록 매체에 기록된 컴퓨터 프로그램에 의해서 실행될 수 있다.
본 발명에 의하면 탈중앙화 신원 증명에 의한 인증도 이용할 수 있으면서 추가로 기존의 인프라에 기초하여 전자서명도 검증할 수 있는 검증 가능 자격 증명 발행 방법 및 그 검증 가능 자격 증명을 이용한 인증 방법이 제공된다.
도 1은 본 발명이 실행되는 환경의 일례.
도 2는 본 발명에 의한 검증 가능 자격 증명을 발행하는 방법의 흐름도.
도 3은 본 발명에 의한 검증 가능 자격 증명을 받은 사용자가 인증하는 방법의 흐름도.
이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명한다.
본 명세서에서 수행되는 정보(데이터) 전송/수신 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것 만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.
본 명세서에서 "모듈" 또는 “유니트” 또는 “~부”는 범용적인 하드웨어와 그 기능을 수행하는 소프트웨어의 논리적 결합을 의미한다.
본 명세서에서는 본 발명의 설명에 필요한 최소한의 구성요소만을 설명하며, 본 발명의 본질과 관계가 없는 구성요소는 언급하지 아니한다. 그리고 언급되는 구성요소만을 포함하는 배타적인 의미로 해석되어서는 아니되며 언급되지 않은 다른 구성요소도 포함할 수 있는 비배타적인 의미로 해석되어야 한다.
본 발명에 의한 방법은 컴퓨터, 태블릿 PC, 모바일폰, 휴대용 연산 장치, 고정식 연산 장치 등의 전자적 연산 장치에 의해서 실행될 수 있다. 또한, 본 발명의 하나 또는 그 이상의 방법 또는 형태가 적어도 하나의 프로세서에 의해 실행될 수 있다는 점이 이해되어야 한다. 프로세서는, 컴퓨터, 태블릿PC, 모바일 장치, 휴대용 연산 장치 등에 설치될 수 있다. 컴퓨터 프로그램 명령을 저장하도록 되어 있는 메모리가 그러한 장치에 설치되어서 프로그램이 저장된 프로그램 명령을 프로세서가 실행하도록 특별히 프로그램되어 하나 또는 그 이상의, 본 명세서에 기재된 기재된 바와 같은 프로세스를 실행할 수 있다. 또한, 본 명세서에 기재된 정보 및 방법 등은, 하나 또는 그 이상의 추가적인 구성요소와 프로세서를 포함하는 컴퓨터, 태블릿PC, 모바일 장치, 휴대용 연산 장치 등에 의해서 실행될 수 있다는 점이 이해되어야 한다. 또한, 제어 로직은, 프로세서, 제어부/제어 유니트 등에 의해 실행가능한 프로그램 명령을 포함하는 비휘발성 컴퓨터 판독 가능 매체로 구현될 수 있다. 컴퓨터 판독 가능 매체의 예로는, ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 플래시 드라이브, 스마트 카드, 광학 데이터 저장 장치 등이 있지만 그에 제한되는 것은 아니다. 또한, 컴퓨터 판독 가능 기록 매체는 네트워크로 연결된 컴퓨터에 분산되어, 컴퓨터 판독 가능 매체가 분산된 방식 예를 들어 원격 서버 또는 CAN(Controller Area Network)에 의해 분산된 방식으로 저장되고 실행될 수도 있다.
도 1에는 본 발명에 의한 검증 가능 자격 증명을 발행하는 방법이 실행되는 환경의 일례가 도시되어 있다.
본 발명이 실행되는 환경은, 사용자 단말기(10)와, 발행기관 서버(20)와, 처리 모듈(30)과, 검증자 서버(40)와, 이들이 서로 데이터 통신할 수 있도록 하는 통신망(50)을 포함한다. 처리 모듈(30)은, 블록 체인에 제공되는 스마트 컨트랙트 모듈이 될 수 있지만, 반드시 그것에 제한되는 것은 아니다. 블록 체인에 제공되는 스마트 컨트랙트 모듈을 사용하면 위변조 가능성을 해소할 수 있다는 장점이 제공된다.
사용자 단말기(10)에는 탈중앙화 신원 증명을 위한 검증 가능 자격 증명(Verifiable Credentials (VC) for DID)이 저장되어 있다. 발행기관 서버(20)는 검증 가능 자격 증명(VC)을 사용자 단말기(10)에 발행하는 주체로서, 후술하는 바와 같이 인증서도 발급할 수 있는 주체이다. 검증자 서버(40)는, 본 발명에 의한 인증 방법을 이용하여 사용자 인증을 수행하고, 전자서명을 검증하는 주체의 서버로서 예를 들어, 인터넷 금융 서비스 등과 같이 온라인으로 전자적 서비스를 제공하는 주체가 운용하는 서버가 될 수 있다.
처리 모듈(30)은 본 발명에 의한 탈중앙화 신원증명의 유효성을 검증할 수 있는 정보를 게시하고 업데이트 사항을 관리하는 기능을 수행한다.
도 2에는 본 발명에 의한 검증 가능 자격 증명을 발행하는 방법의 흐름도가 도시되어 있다.
사용자 단말기(10)는 먼저 발행기관 서버(20)에 탈중앙화 신원 증명을 요청한다(단계 200). 이 단계에서는 미리 소유하고 있는 제1 검증 가능 자격 증명에 기초하여 생성된 프리젠테이션(presentation)을 전송하여 DID 인증 요청을 할 수 있다. "제1 검증 가능 자격 증명"이라 함은 인증서를 포함하지 않는, 공지되어 있는 방식으로 발행된 검증 가능 자격 증명을 의미한다.
발행 기관 서버(20)는, 처리 모듈(30)에 탈중앙화 신원 증명의 유효성을 검증할 수 있는 정보를 요청한다(단계 205). 처리 모듈(30)은 요청받은 정보를 발행기관 서버로 전송한다(단계 215). 발행 기관 서버(20)는 수신한 정보에 기초하여 탈중앙화 신원증명의 유효성을 검증하고(단계 217), 검증 결과를 사용자 단말기(10)로 전송한다(단계 220). 단계(200) 내지 단계(220)의 과정은 공지되어 있는 탈중앙화 신원 증명 검증 과정과 대동소이한 과정이다.
탈중앙화 신원 증명이 유효한 것으로 검증되면 사용자 단말기(10)는 공개키/개인키를 생성한다(단계 225). 그리고 인증서 발급을 위한 데이터인 CSR(Certificate Signing Request)을 생성한다(단계 230).
단계(235)에서 사용자 단말기(10)는 발행기관 서버(20)에 인증서 발급 요청을 한다. 본 발명에 의하면, 인증서 발행 기관 서버(20)와 검증 가능 자격 증명(Verifiable Credentials)의 발행 기관은 동일할 수 있다. 인증서 발급 요청시에는 단계(230)에서 생성한 CSR과 사전 인증을 위한 기타 정보가 함께 전송된다. 발행 기관 서버(20)는 사전 인증 정보를 검증하고(단계 240), 검증에 성공하면 수신한 CSR에 기초하여 인증서를 생성한다(단계 242). 인증서는 전자서명법 개정 전의 기존의 공인인증서 뿐만 아니라 공동인증서 등의 사설 인증서도 포함한다.
발행기관 서버(20)는, 생성된 인증서를 포함하는 제2 검증 가능 자격 증명을 생성한다(단계 245). "제2 검증 가능 자격 증명"은 제1 검증 가능 자격 증명에 포함된 개인 정보 중 적어도 일부 또는 적어도 일부의 개인 정보에 다른 개인 정보와 인증서를 추가하여 새로 생성된 검증 가능 자격 증명을 의미한다.
본 발명의 다른 실시예에 의하면, 사용자가 보유하고 있는 인증서를 사용할 수 있다. 이 실시예에서는, 도 2의 인증서 발급 과정은 생략될 수 있으며, 사용자가 제출한 인증서가 유효한 것으로 검증되면 해당 인증서를 제2 검증 가능 자격 증명에 포함시킬 수 있다.
발행 기관 서버(20)는, 인증서 발급 정보와, 인증서와, 전자서명값을 처리 모듈(30)로 전송한다(단계 250). 처리 모듈(30)은 인증서의 유효성을 검증할 수 있는 정보를 처리 모듈(30)에 게시한다(단계 255). 인증서의 유효성을 검증할 수 있는 정보는 검증 가능 자격 증명의 유효성 정보와 함께 관리되며 처리 모듈(30)에 업데이트될 수 있다.
발행 기관 서버(20)는 생성된 제2 검증 가능 자격 증명을 사용자 단말기(10)로 전송하고, 사용자 단말기는 제2 검증 가능 자격 증명을 저장한다.
도 3에는 도 2의 방법에 의해서 발행된 제2 검증 가능 자격 증명을 이용하여 DID 유효성 및 전자서명 검증 과정의 흐름도가 도시되어 있다.
검증자가 제공하는 온라인 서비스(예를 들어 계좌 이체 등과 같은 금융 서비스)를 이용하는 사용자 단말기(10)는, 해당 서비스를 특정할 수 있는 전자적 데이터를 생성하고(예를 들어, 금융 거래 이체 내역 등), 그 전자적 데이터에 대한 전자서명을 실행한다. 본 발명에 의하면, 신원 확인은 DID 방식에 의해서 수행하며, 전자서명 검증은 기존의 PKI 인프라 체계를 이용할 수 있다.
사용자 단말기(10)는 서비스 이용에 필요한 전자데이터에 대해서 전자서명값을 생성한다(단계 300). 단계(310)에서는, 전자서명값과 프리젠테이션을 검증자 서버(40; Verifier Server)로 전송해서 DID 유효성 검증과 전자서명값 검증을 요청한다. 프리젠테이션과 함께 검증자 서버(40)가 제공하는 서비스의 이용을 위해 필요한 다른 데이터 예를 들어, 이체 내역에 대한 암호화된 정보도 함께 전송할 수 있다. 단계(310)에서 전송되는 프리젠테이션은, 인증서 클레임과 검증 가능 자격 증명 내의 다른 개인 정보의 클레임을 포함할 수 있다.
검증자 서버(40)는 프리젠테이션을 처리 모듈(30)로 전송하여 DID 유효성 검증에 필요한 정보를 요청하고(단계 320), 처리 모듈(30)은 요청받은 정보를 검증자 서버로 전송한다(단계 330).
검증자 서버(40)는 DID 유효성 검증(단계 340)과 인증서의 유효성 검증(342)과 전자서명값의 검증을 수행한다(단계350).
인증서 유효성 검증은 기존의 PKI 체계 인프라 자원(CRL, OCSP, RestAPI 등)을 통해서 검증할 수 있으며, 전자서명값 검증 역시 기존의 PKI 체계 인프라 자원을 이용해서 검증할 수 있으므로 추가적인 시스템 구축이 필요없다. 인증서 유효성 검증은, 단계(320)에서 인증서 클레임이 포함된 프리젠테이션을 처리 모듈(30)로 전송하고, 처리 모듈(30)에 게시된 인증서 유효성 검증 정보를 이용하여 실행될 수도 있다.
본 발명에 의하면, 검증 가능 자격 증명에 인증서를 포함시킴으로써, DID 방식의 신원 증명을 이용함과 동시에 전자서명값 검증은 기존의 PKI를 통해서 할 수 있게 함으로써 DID의 장점과 기존의 전자서명 검증의 장점을 함께 영위할 수 있는 작용효과가 제공된다.
이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
10: 사용자 단말기 20: 발행기관 서버
30: 처리 모듈 40: 검증자 서버

Claims (8)

  1. 탈중앙화 신원 증명을 위한 검증 가능 자격 증명(verifiable credentials) 발행 기관 서버와, 사용자 단말기와, 탈중앙화 신원 증명 처리 모듈을 포함하는 환경에서 발행 기관 서버가 검증 가능 자격 증명을 발행하는 방법에 있어서,
    사용자 단말기가, 발행 기관 서버에 인증서 발급 요청을 전송하는 제1 단계와,
    발행 기관 서버가, 인증서를 포함하는 제2 검증 가능 자격 증명을 생성하는 제2 단계와,
    발행 기관 서버가, 인증서 발급 정보와, 인증서와, 전자 서명값을 처리 모듈로 전송하는 제3 단계와,
    탈중앙화 신원 증명 처리 모듈이 인증서의 유효성을 검증할 수 있는 정보를 게시하는 제4 단계와,
    발행 기관 서버가, 제2 검증 가능 자격 증명을 사용자 단말기로 전송하는 제5 단계를 포함하는,
    검증 가능 자격 증명을 발행하는 방법.
  2. 청구항 1에 있어서,
    제1 단계 이전에 수행되는 단계로서,
    사용자 단말기가, 제1 검증 가능 자격 증명에 기초한 프리젠테이션을 발행 기관 서버로 전송하여 탈중앙화 신원 증명을 요청하는 제0-1 단계와,
    발행 기관 서버가, 제1 단계에서 수신한 프리젠테이션을 탈중앙화 신원 증명 처리 모듈에 전송하여 탈중앙화 신원 증명의 유효성 검증을 위한 정보를 요청하고 수신하는 제0-2 단계와,
    발행 기관 서버가, 탈중앙화 신원 증명의 유효성 검증 결과를 사용자 단말기로 전송하는 제0-3 단계를 더 포함하는,
    검증 가능 자격 증명을 발행하는 방법.
  3. 청구항 2의 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법에 있어서,
    사용자 단말기가, 인증서에 기반한 전자서명값을 생성하는 제6 단계와,
    사용자 단말기가, 인증서 클레임과, 제1 검증 가능 자격 증명 또는 추가적인 개인 정보에 기초한 신원 증명 클레임을 포함하는 프리젠테이션과, 전자서명값을 검증자(verifier) 서버로 전송하는 제7 단계를 포함하는,
    검증 가능 자격 증명을 이용한 인증 방법.
  4. 청구항 3에 있어서,
    검증자 서버가, PKI 체계에 기반하여 전자서명값과 인증서 유효성을 검증하는 제8 단계를 더 포함하는,
    검증 가능 자격 증명을 이용한 인증 방법.
  5. 청구항 4에 있어서,
    검증자 서버가, 제7 단계에서 수신한 프리젠테이션을 처리 모듈로 전송하여 탈중앙화 신원 증명의 유효성 검증에 필요한 정보를 요청하고 수신하는 제9 단계와,
    검증자 서버가, 제9 단계에서 수신한 정보에 기초하여 탈중앙화 신원증명의 유효성을 검증하는 제10 단계를 더 포함하는,
    검증 가능 자격 증명을 이용한 인증 방법.
  6. 탈중앙화 신원 증명을 위한 검증 가능 자격 증명(verifiable credentials) 발행 기관 서버와, 사용자 단말기와, 탈중앙화 신원 증명 처리 모듈을 포함하는 환경에서 발행 기관 서버가 검증 가능 자격 증명을 발행하는 방법에 있어서,
    사용자 단말기가, 발행 기관 서버에 인증서를 제출하는 제1 단계와,
    발행 기관 서버가, 인증서를 포함하는 제2 검증 가능 자격 증명을 생성하는 제2 단계와,
    발행 기관 서버가, 인증서 발급 정보와, 인증서와, 전자 서명값을 처리 모듈로 전송하는 제3 단계와,
    탈중앙화 신원 증명 처리 모듈이 인증서의 유효성을 검증할 수 있는 정보를 게시하는 제4 단계와,
    발행 기관 서버가, 제2 검증 가능 자격 증명을 사용자 단말기로 전송하는 제5 단계를 포함하는,
    검증 가능 자격 증명을 발행하는 방법.
  7. 청구항 1 내지 청구항 6 중 어느 하나의 청구항의 방법의 단계를 실행하기 위한 컴퓨터 프로그램이 기록된 컴퓨터 판독 가능 기록 매체.
  8. 청구항 1 내지 청구항 6 중 어느 하나의 청구항의 방법의 단계를 실행하기 위해 컴퓨터 판독 가능 기록 매체에 기록된 컴퓨터 프로그램.
KR1020210015481A 2021-02-03 2021-02-03 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법 KR102484533B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210015481A KR102484533B1 (ko) 2021-02-03 2021-02-03 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210015481A KR102484533B1 (ko) 2021-02-03 2021-02-03 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법

Publications (2)

Publication Number Publication Date
KR20220112013A true KR20220112013A (ko) 2022-08-10
KR102484533B1 KR102484533B1 (ko) 2023-01-03

Family

ID=82846979

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210015481A KR102484533B1 (ko) 2021-02-03 2021-02-03 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법

Country Status (1)

Country Link
KR (1) KR102484533B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090071307A (ko) * 2007-12-26 2009-07-01 한국전자통신연구원 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말
KR20100064872A (ko) * 2008-12-05 2010-06-15 주식회사 훈솔루션 인증서유효목록 기반 검증 시스템 및 그 운영 방법
KR102149706B1 (ko) 2019-03-22 2020-08-31 현대페이(주) 블록체인을 이용한 전자 서명 기반의 사용자 인증 처리 장치 및 그 동작 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090071307A (ko) * 2007-12-26 2009-07-01 한국전자통신연구원 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말
KR20100064872A (ko) * 2008-12-05 2010-06-15 주식회사 훈솔루션 인증서유효목록 기반 검증 시스템 및 그 운영 방법
KR102149706B1 (ko) 2019-03-22 2020-08-31 현대페이(주) 블록체인을 이용한 전자 서명 기반의 사용자 인증 처리 장치 및 그 동작 방법

Also Published As

Publication number Publication date
KR102484533B1 (ko) 2023-01-03

Similar Documents

Publication Publication Date Title
US9992189B2 (en) Generation and validation of derived credentials
TWI697842B (zh) 二維條碼的處理方法、裝置及系統
CN108777684B (zh) 身份认证方法、系统及计算机可读存储介质
US10382427B2 (en) Single sign on with multiple authentication factors
US7689828B2 (en) System and method for implementing digital signature using one time private keys
US8245292B2 (en) Multi-factor authentication using a smartcard
JP2021516495A (ja) キー管理方法、装置、システム、コンピュータ機器及びコンピュータプログラム
US8549602B2 (en) System and method for handling permits for user authentication tokens
US20080235513A1 (en) Three Party Authentication
US12008145B2 (en) Method and server for certifying an electronic document
JP2016526810A (ja) 暗号化のためのシステムと方法
CN114008968A (zh) 用于计算环境中的许可授权的系统、方法和存储介质
US20240048395A1 (en) Method and system for authentication credential
KR101388930B1 (ko) 분리 서명 기반의 사용자 인증 장치 및 방법
CN117280346A (zh) 用于生成、提供和转发基于与用户相关的电子文件的可信电子数据集或证书的方法和装置
EP3485600B1 (en) Method for providing secure digital signatures
KR101446504B1 (ko) 웹 브라우저 모듈에 대해 독립적으로 동작하는 클라이언트 모듈에 의한 전자 서명 방법
KR101868564B1 (ko) 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법
KR102484533B1 (ko) 인증서를 포함하는 검증 가능 자격 증명을 발행하는 방법 및 그 방법에 의해 발행된 검증 가능 자격 증명을 이용한 인증 방법
KR20030035025A (ko) 공개키 기반구조의 공인 인증서를 이용한 신원확인 서비스제공 시스템 및 그 방법
TWI828001B (zh) 使用多安全層級驗證客戶身分與交易服務之系統及方法
KR102667307B1 (ko) 프라이버시 향상을 위한 익명 자격 증명 시스템 및 그 방법
US20240135380A1 (en) Identity conveyance systems
KR20230009535A (ko) 신원증명 인증 서비스공급자 단말 및 그 동작 방법
CN116800431A (zh) 基于数据运营的数据多方计算的认证方法及装置

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant