KR20220127502A - 인증 서비스 제공 방법 및 시스템 - Google Patents

인증 서비스 제공 방법 및 시스템 Download PDF

Info

Publication number
KR20220127502A
KR20220127502A KR1020210031850A KR20210031850A KR20220127502A KR 20220127502 A KR20220127502 A KR 20220127502A KR 1020210031850 A KR1020210031850 A KR 1020210031850A KR 20210031850 A KR20210031850 A KR 20210031850A KR 20220127502 A KR20220127502 A KR 20220127502A
Authority
KR
South Korea
Prior art keywords
user terminal
certificate
user
authentication
information
Prior art date
Application number
KR1020210031850A
Other languages
English (en)
Other versions
KR102498688B1 (ko
Inventor
고재연
김성중
김근옥
이수장
백경훈
박태원
박상옥
김병국
Original Assignee
사단법인 금융결제원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 사단법인 금융결제원 filed Critical 사단법인 금융결제원
Priority to KR1020210031850A priority Critical patent/KR102498688B1/ko
Publication of KR20220127502A publication Critical patent/KR20220127502A/ko
Application granted granted Critical
Publication of KR102498688B1 publication Critical patent/KR102498688B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명의 실시예에 따르면, 발급기관 서버가, 인증 서비스를 제공하기 위한 방법으로서, (a) 사용자 단말기로부터 인증서 발급 요청을 수신하는 단계; (b) 상기 사용자 단말기로부터 인증 수단 정보를 포함하는 사용자 정보를 수신하는 단계; (c) 상기 인증 수단 정보를 통해 식별되는 인증 수단을 이용하여 인증을 완료한 후, 상기 사용자 단말기에 대한 기기 정보를 저장하고, 사용자 단말기로부터의 저장소 접속을 허용하는 단계; 및 (d) 상기 사용자 단말기로부터 인증서 비밀번호를 수신하고, 발급된 인증서를 저장소에 저장하는 단계를 포함하는, 인증 서비스 제공 방법이 제공된다.

Description

인증 서비스 제공 방법 및 시스템{METHOD AND SYSTEM FOR PROVIDING AUTHENTICATION SERVICE}
본 발명은 인증 서비스 제공 방법 및 시스템에 관한 것으로, 보다 상세하게는, 저장소에 저장된 인증서에 기반하여 기 등록한 기기로 언제 어디서나 편리하게 인증을 수행할 수 있도록 하는 방법 및 시스템에 관한 것이다.
이동통신기술 및 정보통신기술의 발달로, 인터넷을 통한 쇼핑, 금융거래, 비밀 정보의 액세스 등 보안이 필요한 서비스가 대중화됨에 따라 웹사이트에서의 보안은 매우 중요한 이슈가 되고 있다.
기존의 웹사이트에서 보안을 확보하기 위한 방법 중 하나로, 서비스 제공업체 혹은 보안 서비스 제공업체에서 웹사이트 사용자의 모바일 단말로 인증번호가 포함된 문자메시지를 전송하면, 사용자가 서비스 인증을 위한 입력창에 해당 비밀번호를 입력함으로써 정당한 사용자 여부를 확인하는 방법이 있다.
그러나, 이 방법에서는 컴퓨터 바이러스를 사용하여 문자메시지를 다른 장치로 전달하도록 하는 프로그램을 모바일 단말에 불법적으로 심어놓고 인증을 위한 문자메시지를 지정된 단말기로 전달하도록 하면 보안을 깰 수 있다는 문제가 있다. 또한, 모바일 단말기를 분실한 경우에도 보안을 더 이상 유지할 수 없다.
한편, 높은 수준의 인증을 필요로 하는 서비스, 예를 들면, 금융 서비스에 있어서는, 공인 인증 기관에 의해 발급된 공인인증서를 일반적으로 사용하였었다. 구체적으로, 은행과 같은 금융거래를 위한 웹사이트, 국세청, 국민건강관리공단과 같은 관공서에서 제공하는 서비스를 이용하기 위해서, 공인인증서를 이용한 로그인 인증이 필수로 요구되었다. 이를 위해서, 사용자는 사용자가 사용하는 모든 PC, 스마트폰과 같은 모바일 단말 또는 휴대용 저장 매체에 공인인증서를 저장하고 휴대하여야 했다. 예를 들어, 제1 PC에만 공인인증서가 설치되어 있고, 제2 PC에는 설치되어 있지 않은 경우, 제2 PC로 공인인증서를 이용한 접속을 하려는 경우, 사용자는 공인인증서를 새로 다운로드하고, 다른 웹사이트에 새로운 공인인증서를 등록하여야 하는 번거로움이 있었다.
또한, 모바일 단말이 바이러스에 감염되거나 해킹된 경우에도, 모바일 단말에 설치된 공인인증서 역시 보안에 취약하다는 문제가 있었다.
최근에는 인증 서비스에 대한 규제를 완화하는 개정 전자서명법이 시행됨에 따라 인증서비스의 개선이 가능해졌다.
따라서, 상기의 공인인증서를 대체하거나 보다 간편한 방식으로 높은 수준의 인증을 가능하게 하는 기술이 필요하다.
본 발명은 전술한 종래기술의 문제점을 해결하기 위한 것이다.
본 발명의 목적은, 인증서를 서버의 저장소에 보관하여 인증서의 이동, 복사에 대한 불편함을 해소하고, 분실의 위험성을 원천 차단하기 위한 것이다.
본 발명의 다른 목적은 등록된 기기에서만 인증이 가능하도록 함으로써 안전한 인증 서비스를 제공하기 위한 것이다.
본 발명의 또 다른 목적은 인증을 위한 별도의 애플리케이션 또는 프로그램의 설치를 불필요하게 하며, 고객으로 하여금 현재 이용 중인 서비스 채널을 벗어나지 않고 인증 서비스를 제공받을 수 있도록 하는 것이다.
본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 명확하게 이해될 수 있을 것이다.
상술한 목적을 달성하기 위한 본 발명의 일 실시예에 따르면, 발급기관 서버가, 인증 서비스를 제공하기 위한 방법으로서, (a) 사용자 단말기로부터 인증서 발급 요청을 수신하는 단계; (b) 상기 사용자 단말기로부터 인증 수단 정보를 포함하는 사용자 정보를 수신하는 단계; (c) 상기 인증 수단 정보를 통해 식별되는 인증 수단을 이용하여 인증을 완료한 후, 상기 사용자 단말기에 대한 기기 정보를 저장하고, 사용자 단말기로부터의 저장소 접속을 허용하는 단계; 및 (d) 상기 사용자 단말기로부터 인증서 비밀번호를 수신하고, 발급된 인증서를 저장소에 저장하는 단계를 포함하는, 인증 서비스 제공 방법이 제공된다.
상기 인증 서비스 제공 방법은, 상기 (a) 단계 이전에, 상기 사용자 단말기로부터 인증서 발급 요청을 수신한 발급 중개 서버로부터 사용자 등록 요청을 수신한 후, 해당 사용자에 대한 임시 아이디 및 비밀번호를 부여하는 단계를 더 포함할 수 있다.
상기 (b) 단계는, 상기 사용자 정보에 대한 입력을 가능하게 하는 인터페이스를 상기 발급 중개 서버에 의해 제공되는 웹페이지 상에 표시하는 단계를 포함할 수 있다.
상기 (c) 단계는, 상기 사용자 단말기에 제1 인증 정보를 전송하는 단계; 및 상기 인증 수단으로부터 전송되는 제2 인증 정보와 상기 제1 인증 정보를 비교하여 인증을 수행하는 단계를 포함할 수 있다.
본 발명의 다른 실시예에 따르면, (a) 사용자 단말기로부터 인증서 요청을 수신하는 단계; (b) 상기 사용자 단말기에 대한 기기 등록 여부를 확인하는 단계; (c) 상기 사용자 단말기가 기 등록된 기기인 것으로 확인되는 경우, 상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 사용자에 의해 입력되는 비밀번호를 수신하는 단계; 및 (d) 선택된 인증서에 대한 상기 비밀번호 검증 과정을 수행한 후, 저장소에 저장된 인증서를 상기 사용자 단말기에 전송하여, 상기 사용자 단말기에 의해 전자서명이 생성되도록 하는 단계를 포함하는, 인증 서비스 제공 방법이 제공된다.
상기 사용자 단말기에 전송된 인증서는, 상기 전자서명 생성 후 삭제될 수 있다.
상기 (c) 단계는, 상기 사용자 단말기에 상기 인증서가 저장된 저장소의 접속을 허용하는 단계를 포함할 수 있다.
본 발명의 또 다른 실시예에 따르면, 사용자 단말기로부터 인증 수단 정보를 포함하는 사용자 정보를 수신하고, 상기 인증 수단 정보를 통해 식별되는 인증 수단을 이용하여 인증을 완료한 후, 상기 사용자 단말기에 대한 기기 정보를 저장하고, 사용자 단말기로부터의 저장소 접속을 허용하는 기기 등록부; 상기 사용자 단말기로부터 인증서 비밀번호를 수신하고, 발급된 인증서를 저장소에 저장하는 인증서 발급부; 상기 사용자 단말기로부터 인증서 요청을 수신한 후, 상기 사용자 단말기에 대한 기기 등록 여부를 확인하는 기기 등록 확인부; 및 상기 사용자 단말기가 기 등록된 기기인 것으로 확인되는 경우, 상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 사용자에 의해 입력되는 비밀번호를 수신하고, 선택된 인증서에 대한 상기 비밀번호 검증 과정을 수행한 후, 상기 저장소에 저장된 인증서를 상기 사용자 단말기에 전송하여, 상기 사용자 단말기에 의해 전자서명이 생성되도록 하는 인증서 제공부를 포함하는, 인증 서비스 제공 시스템이 제공된다.
본 발명의 실시예에 따르면, 인증서가 서버의 저장소에 보관되기 때문에 인증서의 이동, 복사에 대한 불편함이 해소되고, 분실의 위험성이 원천 차단될 수 있다.
본 발명의 실시예에 따르면, 등록된 기기에서만 인증이 가능하기 때문에 안전한 인증 서비스 제공이 가능해진다.
본 발명의 실시예에 따르면, 인증을 위한 별도의 애플리케이션 또는 프로그램이 불필요해지고, 고객 입장에서는 현재 이용 중인 서비스 채널을 벗어나지 않고 인증 서비스를 제공받을 수 있게 된다.
도 1은 본 발명의 일 실시예에 따른 인증 서비스 제공 시스템의 개략적인 구성을 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 인증서 발급 과정을 설명하기 위한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 인증 절차를 설명하기 위한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 발급기관 서버의 상세 구성을 나타내는 블록도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
본 명세서에서, “저장소”는 서버 내에 자체적으로 장착되는 데이터베이스, 상기 서버에 의해 운영 및 관리되는 클라우드, 상기 서버와 연계하는 별도의 서버에 존재하는 데이터베이스를 모두 포함하는 개념으로 이해되어야 한다.
도 1은 본 발명의 일 실시예에 따른 인증 서비스 제공 시스템의 개략적인 구성을 나타내는 도면이다.
도 1을 참조하면, 일 실시예에 따른 시스템은, 사용자 단말기(100, 200), 발급 중개 서버(300), 이용기관 서버(400), 발급기관 서버(500)를 포함하여 구성될 수 있다.
사용자 단말기(100, 200), 발급 중개 서버(300), 이용기관 서버(400), 발급기관 서버(500)는 통신망, 예를 들면, 이동통신망, 근거리 통신망(LAN: Local Area Network), 도시권 통신망(MAN: Metropolitan Area Network), 광역 통신망(WAN: Wide Area Network), 월드와이드웹(WWW: World Wide Web), 무선통신망(WiFi: Wireless Fidelity)을 통해 상호 통신할 수 있다.
사용자 단말기(100, 200)는 연산 기능을 갖추고 있으며, 외부와 통신할 수 있는 기기라면 어떠한 형태로 구현되어도 무방하다. 사용자 단말기(100, 200)는 예를 들면 스마트폰, 태블릿 PC, 데스크톱, 랩탑 노트북, PDA 등으로 구현될 수 있으나, 이에 제한되는 것은 아니다.
제1 사용자 단말기(100)는 발급 중개 서버(300)에 접속하여 인증서 발급 요청을 전송하고, 발급기관 서버(500)와 연동하여 기기 등록을 수행하며, 인증서 비밀번호 저장의 과정을 수행한다. 또한, 향후 인증 시 인증서를 다운로드한 후 전자서명을 생성하는 기능을 수행한다.
제2 사용자 단말기(200)는 제1 사용자 단말기(100)의 기기 등록 시 인증 수단이 되는 단말기이다.
즉, 제1 사용자 단말기(100)는 인증서 발급 요청 및 인증 요청을 위한 단말기이고, 제2 사용자 단말기(200)는 인증의 수단이 되는 기기이다.
제1 사용자 단말기(100)와 제2 사용자 단말기(200)는 동일한 하나의 기기로 구현될 수도 있으나, 이하에서는, 설명의 편의를 위해 제1 사용자 단말기(100) 및 제2 사용자 단말기(200)가 별도로 구비되는 경우로 예시하도록 한다.
발급 중개 서버(300)는 제1 사용자 단말기(100)로부터 인증서 발급 요청을 수신한 후, 사용자의 신원 확인을 수행하고, 발급기관 서버(500)에 사용자 등록 요청을 전송하는 기능을 수행한다. 이러한 발급 중개 서버(300)는 금융사, 예를 들면, 은행 등이 운영 및 관리하는 서버로 구현될 수 있다.
이용기관 서버(400)는 제1 사용자 단말기(100)에게 소정의 서비스를 제공하고, 이러한 서비스 이용을 위해 제1 사용자 단말기(100)로부터 인증 요청을 수신하는 서버이다. 이용기관 서버(400)는 인증이 필요한 서비스를 제공하는 기관, 예를 들면, 국세청 등의 관공서 등에 의해 운영 및 관리되는 서버일 수 있다.
발급 중개 서버(300)와 이용기관 서버(400)는 동일한 업체에 의해 운영되는 서버일 수도 있고, 하나의 서버일 수도 있다. 이하에서는, 설명의 편의를 위해 발급 중개 서버(300)와 이용기관 서버(400)가 별개의 서버로 구현되는 경우를 예로 들어 설명하기로 한다.
발급기관 서버(500)는 사용자 등록 요청을 수신한 후, 제1 사용자 단말기(100)에 대한 기기 등록 절차를 수행하고, 인증서를 발급하여 저장하는 기능을 수행한다. 또한, 인증 시 제1 사용자 단말기(100)가 등록된 기기임을 확인한 후 이와 연동하여 전자서명을 생성하는 기능을 수행한다. 발급기관 서버(500)는 인증 서비스를 제공하는 업체, 예를 들면, 금융결제원 등에 의해 운영 및 관리되는 서버일 수 있다.
도 2는 본 발명의 일 실시예에 따른 인증서 발급 과정을 설명하기 위한 흐름도이다.
도 2를 참조하면, 먼저, 사용자는 제1 사용자 단말기(100)를 통해 발급 중개 서버(300)에 접속하여 인증서 발급 요청을 전송한다(S201). 발급 중개 서버(300)는 이에 대해 사용자의 신원 확인 절차를 진행한다(S202). 신원 확인 절차는 사용자의 식별 정보(ID, 이름, 주민등록번호 등)를 확인하는 방식, 또는 이동통신사를 통해 사용자의 보유 이동 통신 기기를 인증하는 방식, ARS 인증 방식 등으로 구현될 수 있으나, 이에 제한되지는 않는다.
신원 확인이 완료되면, 발급 중개 서버(300)는 해당 사용자에 대한 사용자 등록 요청을 발급기관 서버(500)로 전송한다. 발급기관 서버(500)는 사용자 등록 요청에 포함된 사용자 정보를 이용하여 해당 사용자에게 인증서에 대한 발급이 가능한지 여부를 확인한다(S204).
인증서가 발급 가능한 사용자인 것으로 확인된 경우, 발급기관 서버(500)는 발급 중개 서버(300)를 통해 제1 사용자 단말기(100)에 임시 아이디 및 비밀번호를 부여한다(S205). 임시 아이디 및 비밀번호는 해당 사용자에게 고유하게 발급되는 것으로서, 발급 중개 서버(300)를 통해 사용자 등록을 했는지 여부를 확인하는 데에 사용될 수 있다. 상기 임시 아이디 및 비밀번호는 인증서가 발급되면 삭제된다.
사용자 등록 및 인증서 발급 이력이 있는 사용자인 경우, 상기 단계 S204에서 인증서 발급이 불가능한 사용자인 것으로 확인될 수도 있다. 상기 임시 아이디 및 비밀번호는 해당 사용자에 대한 정보와 함께 발급기관 서버(500)에 저장될 수 있다.
제1 사용자 단말기(100)는 발급기관 서버(500)에 인증서 발급 요청을 전송하고(S206), 발급기관 서버(500)는 해당 기기, 즉, 제1 사용자 단말기(100)가 기 등록된 기기인지 여부를 확인한다(S207). 확인 방법은 제1 사용자 단말기(100)에 대한 식별 정보, 예를 들면, 제1 사용자 단말기(100)에서 사용되는 브라우저 정보, 맥 어드레스 정보, 핸드폰 번호 등이 기 등록되었는지 여부를 확인함으로써 이루어질 수 있다. 이하의 절차는, 제1 사용자 단말기(100)가 기 등록된 기기가 아닌 경우에 진행된다.
발급기관 서버(500)는 제1 사용자 단말기(100)에 인터페이스를 제공하는데, 사용자는 해당 인터페이스를 통해 기기 등록 절차를 일회성으로 진행할 지, 또는 해당 기기에 대한 등록 효력을 지속적으로 유지할지 여부를 선택할 수 있다(S208). 이러한 선택 정보는 발급기관 서버(500)로 전송된다.
한편, 사용자는 상기 인터페이스를 통해 본인의 사용자 정보, 예를 들면, 이름, 생년월일, 휴대폰 번호를 입력하고, 제1 사용자 단말기(100)는 입력된 정보를 발급기관 서버(500)에 전송한다(S209). 상기 사용자 정보에는 인증 수단 정보, 예를 들면, 제2 사용자 단말기(200)에 대한 정보가 포함될 수 있다.
상기 발급기관 서버(500)에 의해 제공되는 인터페이스는, 제1 사용자 단말기(100)에 발급 중개 서버(300)에 의해 제공되는 웹페이지가 표시된 상태에서 그대로 표시된다. 이에 따라, 이하의 인증서 발급 절차가 완료된 후, 제1 사용자 단말기(100)에는 발급 중개 서버(300)에 의해 제공되는 웹페이지 표시가 지속될 수 있고, 사용자는 다시 발급 중개 서버(300)의 웹페이지로 이동하여야 하는 불편함을 겪지 않게 된다.
발급기관 서버(500)는 제1 사용자 단말기(100)에 인증 정보, 예를 들면, 2자리 숫자를 전송한다(S210).
사용자는 해당 인증 정보를 확인한 후, 상기 입력한 사용자 정보에 포함된 인증 수단 정보로 식별되는 제2 사용자 단말기(200)를 통해 인증 정보를 전송한다(S211).
일 실시예에 따르면, 상기 단계 S211 이전에, 제2 사용자 단말기(200)로 SMS 메시지가 전송될 수 있고, 사용자는 해당 SMS 메시지에 대한 회신 메시지로 제2 사용자 단말기(200)를 통해 상기 인증 정보를 전송할 수 있다. 전송된 메시지는 발급기관 서버(500)에 의해 확인되며, 발급기관 서버(500)는 상기 제1 사용자 단말기(100)에 전송한 인증 정보와 제2 사용자 단말기(200)를 통해 수신한 인증 정보의 일치 여부를 확인함으로써 인증 절차를 진행한다(S212).
발급기관 서버(500)는 상기 인증 정보의 일치 여부를 확인한 후, 일치한다면, 제1 사용자 단말기(100)의 정보, 예를 들면, 브라우저 정보, 맥 어드레스 정보 또는 핸드폰 번호 등을 저장하고, 저장소에 대한 접속을 허용한다(S213).
단계 S208 내지 S213의 과정을 통해 제1 사용자 단말기(100)의 기기 등록 절차가 완료될 수 있다.
사용자는 제1 사용자 단말기(100)를 통해 발급기관 서버(500)의 저장소, 발급기관 서버(500)에 의해 운영 및 관리되는 별도의 저장소, 또는 발급기관 서버(500)와 연계된 별도의 서버의 저장소에 접속할 수 있는데, 발급기관 서버(500)에 의해 제공되는 인터페이스를 통해 인증서 비밀번호를 설정할 수 있다(S214). 구체적으로, 발급기관 서버(500)로부터 제1 사용자 단말기(100)로 난수값이 전송될 수 있고, 사용자가 상기 인터페이스를 통해 입력한 인증서 비밀번호는 상기 난수값에 의해 암호화될 수 있으며, 이러한 방식으로 암호화된 결과가 발급기관 서버(500)로 전송될 수 있다. 발급기관 서버(500)는 해당 정보를 수신한 후, 이를 복호화하여 사용자가 설정한 비밀번호를 확인할 수 있고, 당해 발급된 인증서의 비밀번호로 설정할 수 있다.
비밀번호 설정 과정이 완료되면, 발급기관 서버(500)는 해당 사용자에 대해 제1 사용자 단말기(100)에 한해 사용할 수 있는 인증서를 저장소에 저장하는 과정을 수행한다(S215).
사용자 입장에서는 발급 중개 서버(300), 예를 들면, 은행 서버에 의해 제공되는 웹페이지 상에서 발급기관 서버(500)로부터 기기 등록 및 인증서 발급을 위한 인터페이스를 제공받을 수 있고, 간편한 인증 절차를 통해 제1 사용자 단말기(100)에 대하여 기기 등록 및 인증서 발급 절차를 진행할 수 있게 되며, 인증서 발급을 위한 추가 애플리케이션 또는 프로그램 설치가 불필요하게 된다. 또한, 인증서 발급 절차가 완료된 후, 그대로 발급 중개 서버(300)에 접속된 상태로 발급 중개 서버(300)에 의해 제공되는 서비스를 이용할 수 있게 된다.
도 3은 본 발명의 일 실시예에 따른 인증 절차를 설명하기 위한 흐름도이다.
도 3을 참조하면, 사용자는 제1 사용자 단말기(100)를 통해 이용기관 서버(400)에 접속하여 인증이 필요한 서비스를 제공받을 수 있다. 인증이 필요한 서비스를 제공받기 위해 제1 사용자 단말기(100)는 이용기관 서버(400)에 인증 요청을 전송할 수 있다(S301). 인증 요청을 수신한 이용기관 서버(400)는 제1 사용자 단말기(100)에 전자서명을 요청한다(S302).
제1 사용자 단말기(100)는 발급기관 서버(500)에 인증서를 요청할 수 있고(S303), 발급기관 서버(500)는 제1 사용자 단말기(100)가 기 등록된 기기인지 여부를 확인한다(S304). 이를 위해, 상기 단계 S303에서는 제1 사용자 단말기(100)에 대한 정보, 예를 들면, 브라우저 정보, 맥 어드레스 정보 또는 핸드폰 번호 정보가 함께 전송될 수 있다. 기 등록된 기기인지 여부에 대한 확인은, 기기 등록 절차에서 저장된 기기 정보를 활용하여 이루어질 수 있다.
기 등록된 기기가 아닌 경우에는 도 2의 단계 S208 내지 S213을 참조하여 설명한 기기 등록 절차가 진행되고, 기 등록된 기기로 확인되는 경우에는 이하의 절차가 진행된다.
기 등록된 기기로 확인되는 경우, 제1 사용자 단말기(100)에는 발급기관 서버(500)로부터 제공되는 인터페이스가 표시되고, 사용자는 해당 인터페이스를 통해 기 발급된 인증서에 대한 선택 및 본인이 설정한 비밀번호를 입력할 수 있다(S305). 인증서에 대한 선택 및 비밀번호 입력은 제1 사용자 단말기(100)가 인증서가 저장된 저장소에 접속한 상태로 이루어질 수 있다.
사용자가 입력한 비밀번호는 발급기관 서버(500)로부터 제1 사용자 단말기(100)로 전송되는 난수값에 의해 암호화된 후, 발급기관 서버(500)로 전송될 수 있다.
선택된 인증서에 대해, 사용자가 입력한 비밀번호에 대한 검증은 발급기관 서버(500)에 의해 이루어지고, 비밀번호 검증이 성공한 경우, 발급기관 서버(500)는 상기 선택된 인증서를 제1 사용자 단말기(100)로 전송한다(S306).
제1 사용자 단말기(100)는 수신된 인증서에 기반하여 전자서명을 생성한다(S307).
한편, 제1 사용자 단말기(100)에 다운로드된 인증서는 상기 전자서명 생성 과정이 완료된 후, 즉시 삭제된다(S308). 삭제는 제1 사용자 단말기(100)에 의해 자체적으로 수행될 수도 있고, 발급기관 서버(500)와 연동하여 수행될 수도 있다.
단계 S307에서 생성된 전자서명은 제1 사용자 단말기(100)로부터 이용기관 서버(400)로 전송되고(S309), 이용기관은 해당 전자서명을 검증한 후(S310), 관련 서비스를 제공할 수 있다(S311).
사용자 입장에서는 서비스 이용을 위한 인증 시, 별도의 애플리케이션 또는 프로그램에 대한 설치 없이도 간편한 방법으로 인증 절차를 수행할 수 있게 되며, 전자서명 생성을 위해 다운로드된 인증서는 즉시 삭제되기 때문에, 보안성이 보장될 수 있게 된다.
도 4는 본 발명의 일 실시예에 따른 발급기관 서버의 상세 구성을 나타내는 블록도이다.
도 4를 참조하면, 발급기관 서버(500)는 사용자 정보 관리부(510), 기기 등록부(520), 인증서 발급부(530), 기기 등록 확인부(540), 인증서 제공부(550)를 포함하여 구성될 수 있다.
사용자 정보 관리부(510), 기기 등록부(520), 인증서 발급부(530), 기기 등록 확인부(540), 인증서 제공부(550)는 외부 장치와 통신할 수 있는 프로그램 모듈 또는 하드웨어들일 수 있다. 이러한 프로그램 모듈 또는 하드웨어는 운영 시스템, 응용 프로그램 모듈 및 기타 프로그램 모듈의 형태로 발급기관 서버(500) 또는 이와 통신 가능한 다른 장치에 포함될 수 있으며, 물리적으로는 여러 가지 공지의 기억 장치 상에 저장될 수 있다. 한편, 이러한 프로그램 모듈 또는 하드웨어들은 본 발명에 따라 후술할 특정 업무를 수행하거나 특정 추상 데이터 유형을 실행하는 루틴, 서브루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포괄하지만, 이에 제한되지는 않는다.
일 실시예에 따른 사용자 정보 관리부(510)는 사용자 등록 요청을 수신할 시, 해당 사용자에 대한 인증서 발급 가능 여부를 확인하고, 해당 사용자의 식별을 위한 임시 아이디 및 비밀번호를 발급한 후, 이를 저장한다. 이후 상기 임시 아이디 및 비밀번호를 포함하는 인증서 발급 요청을 수신할 시, 발급 중개 서버(300)를 통해 사용자 등록을 했는지 여부를 확인한다. 해당 사용자가 인증서 발급을 완료하면 임시 아이디 및 비밀번호를 삭제한다. 만약, 사용자 등록 및 인증서 발급 이력이 있는 경우에는, 해당 사용자에 대해 인증서 발급이 불가능한 것으로 판단될 수 있다.
일 실시예에 따른 기기 등록부(520)는 인증서 발급 과정에서의 기기 등록 절차를 수행하는 기능을 수행한다. 전술한 바와 같이, 기기 등록 절차를 위해 제1 사용자 단말기(100)에 기기 등록 효력 유지 여부를 선택할 수 있도록 하는 인터페이스, 인증 수단 정보를 포함하는 사용자 정보를 입력할 수 있도록 하는 인터페이스를 제공한다. 또한, 제1 사용자 단말기(100)에 인증 정보를 제공하고, 사용자에 의해 입력된 인증 수단 정보를 통해 식별되는 인증 수단으로부터 수신되는 인증 정보를 상기 제공한 인증 정보와 비교하는 검증 절차를 수행한다. 검증 절차가 완료되면, 제1 사용자 단말기(100)에 대한 정보를 저장하고, 저장소로의 접속을 허용한다.
일 실시예에 따른 인증서 발급부(530)는 제1 사용자 단말기(100)와 저장소 간의 접속을 가능하게 하고, 해당 사용자에 인증서를 발급하는 기능을 수행한다. 또한, 제1 사용자 단말기(100)에 인증서 비밀번호를 입력할 수 있도록 하는 인터페이스를 제공하고, 사용자에 의해 입력된 비밀번호를 수신한 후, 당해 발급된 인증서에 대한 비밀번호로 설정한다.
일 실시예에 따른 기기 등록 확인부(540)는 제1 사용자 단말기(100)로부터 인증이 요청되는 경우, 해당 기기가 기 등록된 기기인지 여부를 확인한다. 이는, 당해 인증 요청을 전송한 제1 사용자 단말기(100)의 정보가 기기 등록부(520)에 의해 저장된 기기 정보에 존재하는지 여부를 확인함으로써 이루어질 수 있다. 등록 이력이 없는 기기인 경우, 해당 정보를 기기 등록부(520)에 전송하여, 기기 등록 절차가 이루어질 수 있도록 할 수 있다.
일 실시예에 따른 인증서 제공부(550)는 제1 사용자 단말기(100)에 인증서 선택 및 비밀번호 입력을 가능하게 하는 인터페이스를 제공하고, 사용자에 의해 입력되는 정보를 수신한 후, 이에 대응되는 인증서를 제1 사용자 단말기(100)에 전송하는 기능을 수행한다. 제1 사용자 단말기(100) 내에서 상기 인증서를 통해 전자서명을 생성하고, 이를 이용기관 서버(400)에 전송하여 서비스를 제공받는 과정은 전술한 바와 같다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 제1 사용자 단말기
200: 제2 사용자 단말기
300: 발급 중개 서버
400: 이용기관 서버
500: 발급기관 서버
510: 사용자 정보 관리부
520: 기기 등록부
530: 인증서 발급부
540: 기기 등록 확인부
550: 인증서 제공부

Claims (8)

  1. 발급기관 서버가, 인증 서비스를 제공하기 위한 방법으로서,
    (a) 사용자 단말기로부터 인증서 발급 요청을 수신하는 단계;
    (b) 상기 사용자 단말기로부터 인증 수단 정보를 포함하는 사용자 정보를 수신하는 단계;
    (c) 상기 인증 수단 정보를 통해 식별되는 인증 수단을 이용하여 인증을 완료한 후, 상기 사용자 단말기에 대한 기기 정보를 저장하고, 사용자 단말기로부터의 저장소 접속을 허용하는 단계; 및
    (d) 상기 사용자 단말기로부터 인증서 비밀번호를 수신하고, 발급된 인증서를 저장소에 저장하는 단계를 포함하는, 인증 서비스 제공 방법.
  2. 제1항에 있어서,
    상기 (a) 단계 이전에,
    상기 사용자 단말기로부터 인증서 발급 요청을 수신한 발급 중개 서버로부터 사용자 등록 요청을 수신한 후, 해당 사용자에 대한 임시 아이디 및 비밀번호를 부여하는 단계를 더 포함하는, 인증 서비스 제공 방법.
  3. 제2항에 있어서,
    상기 (b) 단계는,
    상기 사용자 정보에 대한 입력을 가능하게 하는 인터페이스를 상기 발급 중개 서버에 의해 제공되는 웹페이지 상에 표시하는 단계를 포함하는, 인증 서비스 제공 방법.
  4. 제1항에 있어서,
    상기 (c) 단계는,
    상기 사용자 단말기에 제1 인증 정보를 전송하는 단계; 및
    상기 인증 수단으로부터 전송되는 제2 인증 정보와 상기 제1 인증 정보를 비교하여 인증을 수행하는 단계를 포함하는, 인증 서비스 제공 방법.
  5. (a) 사용자 단말기로부터 인증서 요청을 수신하는 단계;
    (b) 상기 사용자 단말기에 대한 기기 등록 여부를 확인하는 단계;
    (c) 상기 사용자 단말기가 기 등록된 기기인 것으로 확인되는 경우, 상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 사용자에 의해 입력되는 비밀번호를 수신하는 단계; 및
    (d) 선택된 인증서에 대한 상기 비밀번호 검증 과정을 수행한 후, 저장소에 저장된 인증서를 상기 사용자 단말기에 전송하여, 상기 사용자 단말기에 의해 전자서명이 생성되도록 하는 단계를 포함하는, 인증 서비스 제공 방법.
  6. 제5항에 있어서,
    상기 사용자 단말기에 전송된 인증서는, 상기 전자서명 생성 후 삭제되는, 인증 서비스 제공 방법.
  7. 제5항에 있어서,
    상기 (c) 단계는,
    상기 사용자 단말기에 상기 인증서가 저장된 저장소의 접속을 허용하는 단계를 포함하는, 인증 서비스 제공 방법.
  8. 사용자 단말기로부터 인증 수단 정보를 포함하는 사용자 정보를 수신하고, 상기 인증 수단 정보를 통해 식별되는 인증 수단을 이용하여 인증을 완료한 후, 상기 사용자 단말기에 대한 기기 정보를 저장하고, 사용자 단말기로부터의 저장소 접속을 허용하는 기기 등록부;
    상기 사용자 단말기로부터 인증서 비밀번호를 수신하고, 발급된 인증서를 저장소에 저장하는 인증서 발급부;
    상기 사용자 단말기로부터 인증서 요청을 수신한 후, 상기 사용자 단말기에 대한 기기 등록 여부를 확인하는 기기 등록 확인부; 및
    상기 사용자 단말기가 기 등록된 기기인 것으로 확인되는 경우, 상기 사용자 단말기로부터 인증서에 대한 선택 정보 및 사용자에 의해 입력되는 비밀번호를 수신하고, 선택된 인증서에 대한 상기 비밀번호 검증 과정을 수행한 후, 상기 저장소에 저장된 인증서를 상기 사용자 단말기에 전송하여, 상기 사용자 단말기에 의해 전자서명이 생성되도록 하는 인증서 제공부를 포함하는, 인증 서비스 제공 시스템.
KR1020210031850A 2021-03-11 2021-03-11 인증 서비스 제공 방법 및 시스템 KR102498688B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210031850A KR102498688B1 (ko) 2021-03-11 2021-03-11 인증 서비스 제공 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210031850A KR102498688B1 (ko) 2021-03-11 2021-03-11 인증 서비스 제공 방법 및 시스템

Publications (2)

Publication Number Publication Date
KR20220127502A true KR20220127502A (ko) 2022-09-20
KR102498688B1 KR102498688B1 (ko) 2023-02-09

Family

ID=83446248

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210031850A KR102498688B1 (ko) 2021-03-11 2021-03-11 인증 서비스 제공 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR102498688B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070092840A (ko) * 2006-03-09 2007-09-14 주식회사 비즈모델라인 고속 무선 인터넷 망을 이용한 금융거래 처리방법 및시스템
KR20120007591A (ko) * 2010-07-15 2012-01-25 사단법인 금융결제원 다중매체를 이용한 금융거래 서비스 제공방법 및 시스템과 이를 위한 기록매체
KR20150083179A (ko) * 2014-01-08 2015-07-17 주식회사 비즈모델라인 인증서 관리 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070092840A (ko) * 2006-03-09 2007-09-14 주식회사 비즈모델라인 고속 무선 인터넷 망을 이용한 금융거래 처리방법 및시스템
KR20120007591A (ko) * 2010-07-15 2012-01-25 사단법인 금융결제원 다중매체를 이용한 금융거래 서비스 제공방법 및 시스템과 이를 위한 기록매체
KR20150083179A (ko) * 2014-01-08 2015-07-17 주식회사 비즈모델라인 인증서 관리 방법

Also Published As

Publication number Publication date
KR102498688B1 (ko) 2023-02-09

Similar Documents

Publication Publication Date Title
US11870769B2 (en) System and method for identifying a browser instance in a browser session with a server
US20230275762A1 (en) Did system using browser-based security pin authentication, and control method thereof
KR102116235B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
WO2020236870A1 (en) Systems and methods for maintaining decentralized digital identities
KR102118962B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
US20100042847A1 (en) Method for authentication using one-time identification information and system
US20200322151A1 (en) Apparatus and methods for secure access to remote content
KR102190192B1 (ko) 오픈뱅킹 환경에서의 개방형 인증 중개 서비스 제공 방법, 시스템 및 애플리케이션
CA3051066A1 (en) Dynamic implementation and management of hash-based consent and permissioning protocols
US11757877B1 (en) Decentralized application authentication
CN110535807B (zh) 一种业务鉴权方法、装置和介质
JP6118479B1 (ja) サーバ装置、サービス方法、プログラム、ならびに、非一時的なコンピュータ読取可能な情報記録媒体
KR102248249B1 (ko) 복수의 브라우저를 이용한 did 시스템 및 그것의 제어방법
JP5193787B2 (ja) 情報処理方法、中継サーバおよびネットワークシステム
KR102118935B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
KR101719511B1 (ko) 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 서버 및 컴퓨터 판독 가능한 기록 매체
KR101722031B1 (ko) 네트워크를 사용하여 게이트에 대한 액세스 허용 여부를 결정하는 방법, 권한자 단말 및 컴퓨터 판독 가능한 기록 매체
KR102118947B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말
US10108937B2 (en) Method of registering a membership for an electronic payment, system for same, and apparatus and terminal thereof
CN111178896B (zh) 乘车支付方法、装置及存储介质
US20230222242A1 (en) Travel identity tokening
KR20190003146A (ko) 단말기의 인증을 통한 자동로그인 시스템 및 관리방법
KR102498688B1 (ko) 인증 서비스 제공 방법 및 시스템
KR20030035025A (ko) 공개키 기반구조의 공인 인증서를 이용한 신원확인 서비스제공 시스템 및 그 방법
KR102118921B1 (ko) 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant