WO2013141632A1 - 인증 방법 및 그 시스템 - Google Patents

Abstract

본 발명은 인증 방법 및 시스템에 관한 것이다. 본 발명은, 클라이언트 단말기로부터 인증 요청을 수신하는 단계, 상기 인증 요청에 대응하여 상기 클라이언트 단말기로 인증키를 전송하는 단계, 인증용 단말기로부터 인증 확인키를 수신하는 단계, 상기 인증키 및 상기 인증 확인키에 기초하여 인증을 수행하는 단계 및 상기 인증 수행 결과에 따른 인증 승인 정보를 서비스 제공 서버로 전송하는 단계를 포함한다.

Description

인증 방법 및 그 시스템

본 발명은 인증 방법 및 인증 시스템에 관한 것으로, 보다 상세하게는 인증 시스템과 연결된 전자단말기에 사용자를 인증하는 방법 및 이를 위한 시스템에 관한 것이다.

일반적으로 온라인에서의 사용자 인증은 사용자 단말기에 아이디와 패스워드를 입력함으로 이루어진다. 사용자 단말기에 입력된 아이디와 패스워드는 인증 시스템에 전달되고, 인증 시스템은 입력된 아이디와 패스워드가 데이터베이스에 저장된 아이디 및 패스워드와 일치하는지 여부를 판단하여 사용자를 인증한다. 이러한 아이디-패스워드 인증방법은 인증 절차가 간단하다는 장점 때문에 대부분의 온라인 사이트에서 사용하고 있다.

그러나 이러한 아이디-패스워드 인증 방법은 사용자 단말기의 해킹에 취약하다는 단점이 있다. 예를 들어, 해커는 사용자 단말기에 침입하여 사용자 단말기의 키보드 입력을 가로챔으로써 사용자의 아이디와 패스워드를 알아챌 수 있다. 게다가, 많은 사용자들이 아이디와 패스워드를 주기적으로 변경하지 않을뿐더러, 대다수의 온라인 사이트에 동일한 아이디와 패스워드를 사용하기 때문에, 하나의 온라인 사이트에 대한 아이디와 패스워드가 노출되는 경우 다른 온라인 사이트에 관한 아이디와 패스워드가 노출되는 추가 피해가 발생하게 된다.

이러한 아이디-패스워드 입력 방식의 인증 방법의 위험성은 각종 피해 사례를 통하여 널리 알려져 있다. 이에 따라, 아이디-패스워드의 노출에 매우 민감한 은행, 카드사 등의 금융거래사이트에서는 키보드 후킹 방지 프로그램의 설치를 필수적으로 요구하고 있고, 이에 추가적으로 공인인증서, OTP(One time password)의 사용을 권장하고 있다. 그러나, 공인인증서 및 OTP를 이용한 인증방법을 사용하기 위해서 사용자는 공인인증서 및 OTP 발생기를 휴대하고 있어야 하므로 사용이 번거롭다.

또한, 공인인증서 및 OTP 발생기의 사용의 경우에도 키보드 후킹을 근본적으로 봉쇄한 것이 아니므로 해킹의 가능성은 여전히 남아있다.

이와 관련하여, 한국등록특허 10-1087698는 인증 과정에서 보안을 강화하기 위하여, 얼굴 인증용 어플리케이션과 카메라를 이용하여 사용자 얼굴이미지의 특징을 분석하고, 이를 인증시 활용하는 방법에 대해 개시하고 있다.

본 발명의 목적은 아이디와 패스워드를 입력할 필요가 없어 키보드 후킹으로부터 안전한 인증 방법 및 인증 시스템을 제공하는 것이다.

본 발명의 다른 목적은 인증 서버가 적어도 둘 이상의 서비스 제공 서버에 대하여 각 사용자단말기 사용자의 인증을 제공하도록 하여 각 서비스 제공 서버는 인증 오류의 위험으로부터 자유로울 수 있는 인증 방법 및 인증 시스템을 제공하는 것이다.

본 발명의 또 다른 목적은 서비스 제공 서버와 인증 서버의 역할을 명확히 분리하여 서비스 제공 서버에서의 인증을 위한 리소스를 최소화할 수 있는 인증 방법 및 인증 시스템을 제공하는 것이다.

본 발명의 또 다른 목적은 서비스 제공 서버에 대하여 인증을 제공하는 인증 서버를 독립적인 웹 서비스로 제공하여 어떠한 종류 또는 형태의 서비스 제공 서버에 대하여도 쉽게 연동 가능한 인증 방법 및 인증 시스템을 제공하는 것이다.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제1측면에 따른 인증 방법은, 클라이언트 단말기로부터 인증 요청을 수신하는 단계, 상기 인증 요청에 대응하여 상기 클라이언트 단말기로 인증키를 전송하는 단계, 인증용 단말기로부터 인증 확인키를 수신하는 단계, 상기 인증키 및 상기 인증 확인키에 기초하여 인증을 수행하는 단계 및 상기 인증 수행 결과에 따른 인증 승인 정보를 서비스 제공 서버로 전송하는 단계를 포함한다.

본 발명의 제2측면에 따른 인증 방법은, 서비스 제공 서버가 인증 코드를 클라이언트 단말기에 제공하는 단계, 상기 클라이언트 단말기가 상기 인증 코드에 기초하여 인증 서버로 인증키를 요청하는 단계, 상기 클라이언트 단말기가 상기 인증 서버로부터 상기 인증키를 수신하는 단계, 상기 클라이언트 단말기가 상기 인증키를 표시하는 단계, 인증용 단말기가 상기 인증키에 기초한 인증 확인키를 상기 인증 서버로 전송하는 단계, 상기 인증 서버가 상기 인증키 및 상기 인증 확인키에 기초하여 인증을 수행하는 단계 및 상기 인증 서버가 인증 수행 결과에 따라 인증 승인 정보를 상기 서비스 제공 서버로 전송하는 단계를 포함한다.

본 발명의 제 3 측면에 따른 인증 시스템은, 클라이언트 단말기로부터 인증 요청을 수신하는 인증 요청 수신부, 인증키를 생성하는 인증키 생성부, 상기 인증 요청에 대응하여 상기 클라이언트 단말기로 상기 인증키를 전송하는 인증키 전송부, 인증용 단말기로부터 인증 확인키를 수신하는 인증 확인키 수신부, 상기 인증키 및 상기 인증 확인키에 기초하여 인증을 수행하는 인증 수행부 및 상기 인증 수행 결과에 따른 인증 승인 정보를 서비스 제공 서버로 전송하는 인증 승인 처리부를 포함한다.

위와 같은 구성을 갖는 본 발명의 일실시예에 따르면, 아이디와 패스워드를 입력할 필요가 없어 키보드 후킹으로부터 안전한 인증 방법 및 인증 시스템을 제공할 수 있다.

또한 본 발명의 다른 실시예에 따르면, 인증 서버가 적어도 둘 이상의 서비스 제공 서버에 대하여 각 사용자단말기 사용자의 인증을 제공하도록 하여 각 서비스 제공 서버는 인증 오류의 위험으로부터 자유로울 수 있는 인증 방법 및 인증 시스템을 제공할 수 있다.

또한 본 발명의 다른 실시예에 따르면, 서비스 제공 서버와 인증 서버의 역할을 명확히 분리하여 서비스 제공 서버는 인증을 위한 리소스를 최소화할 수 있는 인증 방법 및 인증 시스템을 제공할 수 있다.

또한 본 발명의 다른 실시예에 따르면, 서비스 제공 서버에 대하여 인증을 제공하는 인증 서버를 독립적인 웹서비스로 제공하여 어떠한 종류 또는 형태의 서비스 제공 서버에 대하여도 쉽게 연동 가능한 인증 방법 및 인증 시스템을 제공할 수 있다.

도 1은 본 발명의 일실시예에 따른 인증 시스템을 설명하기 위한 구성도이다.

도 2는 본 발명의 일실시예에 따른 인증 시스템에 있어서, 인증 서버의 구성을 도시한 블록도이다.

도 3은 본 발명의 일실시예에 따른 인증 방법을 설명하기 위한 순서도이다.

도 4, 도 5, 도 6 및 도 7은 본 발명의 일실시예에 따른 인증 방법의 예시를 도시한 도면이다.

도 8은 본 발명의 일실시예에 따른 인증 방법에서 인증페이지를 나타낸 도면이다.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.

이하 첨부된 도면을 참고하여 본 발명을 상세히 설명하기로 한다.

도 1은 본 발명의 일실시예에 따른 인증 시스템을 설명하기 위한 구성도이다.

본 발명의 일실시예에 따른 인증 시스템은 네트워크에 연결된 클라이언트 단말기(100), 인증용 단말기(200), 인증 서버(300), 서비스 제공 서버(400)를 포함할 수 있다.

네트워크는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN), 부가가치 통신망(Value Added Network; VAN), 개인 근거리 무선통신(Personal Area Network; PAN), 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 유무선 네트워크로 구현될 수 있다.

클라이언트 단말기(100) 및 인증용 단말기(200)는 네트워크를 통해 원격지의 서버에 접속하거나, 타 단말 및 서버와 연결 가능한 컴퓨터, 휴대용 단말기 및 텔레비전 등으로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop) 등을 포함하고, 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, PCS(Personal Communication System), GSM(Global System for Mobile communications), PDC(Personal Digital Cellular), PHS(Personal Handyphone System), PDA(Personal Digital Assistant), IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet) 단말, 스마트폰(Smart Phone) 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다. 또한, 텔레비전은 IPTV(Internet Protocol Television), 인터넷 TV(Internet Television), 지상파 TV, 케이블 TV 등을 포함할 수 있다.

클라이언트 단말기(100)는 인증 서버(300)와의 네트워크 연결을 통해 서비스 제공 서버(400)가 제공하는 서비스에 대한 인증을 수행하고, 서비스 제공 서버(400)와의 네트워크 연결을 통해 서비스 제공 서버가 제공하는 서비스를 제공받을 수 있다.

인증용 단말기(200)는 클라이언트 단말기(100)와 함께 인증을 수행하는 단말로서, 예를 들어, 클라이언트 단말기(100) 상에 표시되는 소정의 인증 정보를 입력 받을 수 있는 스마트폰일 수 있다. 다만, 인증용 단말기(200)는 스마트폰에 한정되는 것은 아니며, 핸드폰, PDA, 노트북컴퓨터, PC 등 인증 서버(300)와 데이터 송수신을 할 수 있는 모든 형태의 단말기를 포함할 수 있다.

인증 서버(300)는 클라이언트 단말기(100), 인증용 단말기(200) 및 서비스 제공 서버(400)와 네트워크로 연결되어 데이터의 송수신이 가능하고, 인증키를 생성하여 클라이언트 단말기(100)로 송신하며, 인증용 단말로부터 인증 확인키를 수신하여 인증을 수행할 수 있다. 또한, 인증 서버(300)는 인증 수행 결과에 따른 인증 승인 정보를 서비스 제공 서버(400)에 제공한다.

서비스 제공 서버(400)는 클라이언트 단말기(100)에 서비스를 제공하는 서버로서, 클라이언트 단말기(100)의 인증 요청에 따라 클라이언트 단말기(100)와 서비스제공세션을 형성할 수 있다. 서비스 제공 서버(400)는 예를 들어, 게임 서버, 온라인뱅킹서버, 온라인쇼핑폴서버, 포털서비스 제공 서버 등 사용자의 인증이 필요한 서비스를 제공하는 모든 종류의 서버를 포함할 수 있다.

본 발명의 일실시예에 따르면, 서비스 제공 서버(400)는 인증 서버(300)로부터 클라이언트 단말기(100)에 대한 인증 승인 정보를 수신하고, 해당 클라이언트 단말기(100)에 대한 서비스제공세션을 형성하여 서비스를 제공할 수 있다.

도 2는 본 발명의 일실시예에 따른 인증 시스템에 있어서, 인증 서버의 구성을 도시한 블록도이다.

본 발명의 일실시예에 따르면, 인증 서버(300)는 인증 요청 수신부(310), 인증키 생성부(320), 인증키 전송부(330), 인증 확인키 수신부(340), 인증 수행부(350) 및 인증 승인 처리부(360)를 포함할 수 있다.

인증 요청 수신부(310)는 클라이언트 단말기(100)로부터 인증 요청을 수신한다.

인증 요청은 서비스 식별자, 클라이언트 식별자 및 사용자 식별자 중 하나 이상을 포함할 수 있다.

서비스 식별자는 서비스 제공 서버(400)와 타 서비스 제공 서버(400)를 식별할 수 있는 식별 정보를 의미하며, 예를 들어, 호스트 주소, 일련번호, URI(Uniform Resource Identifier) 등을 포함할 수 있다.

서비스 식별자는 클라이언트 단말기(100)의 인증 요청에 포함되어, 인증 수행 결과에 따라 클라이언트 단말기(100)와 서비스제공세션이 형성되어야 하는 대상을 식별할 수 있다. 예를 들어, 사용자가 인증 서버(300)에서 인증을 수행하여 예를 들어, 네이버에 로그인을 해야 하는 경우, 인증 서버(300)는 네이버의 서비스를 제공하는 서비스 제공 서버(400)의 식별자를 필요로 할 것이다.

클라이언트 식별자는 인증 요청을 송신하는 클라이언트 단말기(100)와 타 클라이언트 단말기를 식별할 수 있는 식별 정보를 의미하며, 예를 들어, IP 주소, 시리얼넘버(SN: Serial Number), 맥어드레스(Mac Address) 등을 포함할 수 있다. 하지만, 클라이언트 식별자는 이에 한정되는 것은 아니며, 클라이언트 단말기를 타 클라이언트 단말기와 식별할 수 있는 식별 정보를 모두 포함할 수 있다.

사용자 식별자는 타 사용자로부터 개개인을 구별할 수 있게 하는 식별자를 의미하며, 예를 들어 주민등록번호, 아이핀(i-PIN, Internet Personal Identification Number), 또는 개인 아이디(ID)일 수 있다.

인증키 생성부(320)는 클라이언트 단말기(100)로부터 수신한 인증 요청에 대응하여 인증키를 생성한다.

인증키는 예를 들어, 1차원바코드, QR코드, 컬러바코드, 텍스트, 이미지 및 스마트태그 중 하나 이상을 포함할 수 있다. 인증키는 랜덤하게 생성되는 임의의 코드일 수 있고, 예를 들어, 체크섬과 같은 코드의 유효성을 판단할 수 있는 유효성체크코드를 더 포함할 수 있다. 또한, 인증키는 인증 요청한 클라이언트 단말기(100)의 클라이언트 식별자 또는 서비스 식별자를 포함할 수 있다.

인증키 생성부(320)는 인증 요청으로부터 예를 들어, 서비스 식별자, 클라이언트 식별자 및 사용자 식별자 중 하나 이상을 추출하여 인증키 생성에 활용할 수 있다.

인증키 생성부(320)는 생성된 인증키를 인증키 저장소(미도시)에 저장할 수 있다. 또한, 인증키 생성부(320)는 인증키 이외에 서비스 식별자, 클라이언트 식별자 및 사용자 식별자 등을 함께 저장할 수도 있다. 인증키에 포함된 서비스 식별자 또는 클라이언트 식별자는 인증키로부터 다시 추출할 수 있으며 예를 들어, 후술할 인증 수행부(350)는 인증키로부터 서비스 식별자, 클라이언트 식별자 등을 추출하여 인증 수행 과정에서 활용할 수 있다.

인증키 전송부(330)는 클라이언트 단말기(100)로 인증키를 전송한다.

인증키 전송부(330)에 의하여 클라이언트 단말기(100)로 전송된 인증키는 클라이언트 단말기(100) 상에 표시되며, 클라이언트 단말기(100)는 수신된 인증키 예를 들어, QR 코드를 클라이언트 단말기(100) 상에 표시할 수 있다. 만약, 수신된 인증키가 QR 코드 형태가 아닌 경우 인증키를 QR 코드로 변환하여 표시할 수도 있다.

인증 확인키 수신부(340)는 인증용 단말기(200)로부터 인증 확인키를 수신한다.

본 발명의 일실시예에 따르면, 사용자는 클라이언트 단말기(100)에 표시된 인증키에 기초하여 인증 확인키를 인증용 단말기(200)에 입력함으로써 인증 절차를 진행할 수 있다.

인증 확인키는 클라이언트 단말기(100) 상에 표시된 인증키에 대응하는 키로서, 사용자가 인증키를 수신하였음을 인증 서버(300)에 알리기 위하여 인증용 단말기(200)에 입력하는 키이다.

인증 확인키는 인증 서버(300)가 생성한 인증키와 동일한 것일 수도 있고, 인증키를 일정한 규칙에 의하여 변형한 것일 수도 있다. 본 발명의 일실시예에 따르면, 인증용 단말기(200)는 클라이언트 단말기(100)의 화면상에 표시된 인증키 예를 들어, QR코드를 스캔(scan)함으로써, 인증 확인키를 입력받을 수 있다. 또한, 예를 들어, 인증 서버(300)가 생성한 인증키가 클라이언트 단말기(100) 상에서 QR 코드로 변환되어 표시되었다면, 인증용 단말기(200)가 QR 코드를 스캔하고, QR 코드를 역변환하여 인증 확인키로 활용할 수 있다. 이 경우, 인증 확인키 수신부(340)는 인증키와 동일한 인증 확인키를 수신할 수 있다.

상술한 예는 인증키가 QR코드로 표시되는 것을 예로 들었으나, 이에 한정되는 것은 아니다. 인증키는 텍스트의 형태로 표시될 수도 있고, 1차원바코드, 컬러바코드, 스마트태그 등 데이터를 포함하는 이미지의 형태로 표시될 수도 있다. 또는, 사용자가 인증키 코드를 해독하기 어렵게 하기 위하여, 그림상의 특정한 위치에 암호화된 코드를 숨겨놓는 방법으로 이미지를 생성하여 화면상에 표시할 수 있다. 또한, 인증키의 표시방법은 화면상의 시각적 표시로 한정되는 것은 아니다. 인증키는 클라이언트 단말기(100)의 출력 장치 예를 들어, 스피커를 통해 소리의 형태로 출력될 수도 있고, 정보를 전달할 수 있는 어떠한 방법을 통하여 표시되어도 무방하다.

클라이언트 단말기(100) 상에 표시된 인증키가 텍스트인 경우에는 인증 용단말기(200)는 키보드 또는 터치패드를 이용하여 인증 확인키를 입력받을 수 있고, 클라이언트 단말기(100)가 표시한 인증키가 이미지인 경우에는 인증용 단말기(200)는 인증용 단말기(200)에 포함된 카메라를 통하여 인증 확인키를 입력받을 수 있다. 클라이언트 단말기(100)가 표시한 인증키가 소리의 형태인 경우에는 인증용 단말기(200)에 포함된 마이크로폰을 통하여 인증 확인키를 입력받을 수도 있다. 또한, 클라이언트 단말기(100) 상에 표시된 인증키가 텍스트 또는 이미지에 인식 가능한 텍스트가 포함된 경우, 음성 입력을 통해 인증 확인키를 수신할 수도 있다.

인증 확인키 수신부(340)는 인증용 단말기(200)로부터 인증 확인키와 인증용 단말기 식별자를 함께 수신할 수 있다. 여기서, 인증용 단말기 식별자는 인증용 단말기(200)를 타 인증용 단말기(200)와 식별할 수 있는 식별 정보를 의미하며, 후술할 인증 수행부(350)에서 인증용 단말기(200)와 매칭되는 복수의 사용자 중 인증 대상이 되는 사용자를 선택하는 등의 작업에서 활용될 수 있다.

한편, 인증용 단말기 식별자는 인증 확인키와 동시에 인증 서버(300)로 전송될 수도 있으나, 반드시 이에 한정되는 것은 아니다. 예를 들어, 인증용 단말기(200)가 인증 확인키를 전송하기 전에 인증 서버(300)에 로그인을 함으로써 미리 인증 서버(300)와 세션을 형성하고 인증 서버(300)에 인증용 단말기 식별자를 전송해 놓을 수도 있다.

인증 수행부(350)는 클라이언트 단말기(100)로 전송한 인증키 및 인증용 단말기(200)로부터 수신한 인증 확인키에 기초하여 인증을 수행한다.

인증 수행부(350)는 인증용 단말기(200)로부터 수신한 인증 확인키가 클라이언트 단말기(100)로 전송한 인증키와 동일하거나, 소정의 규칙에 의하여 변환된 것이면 인증 확인키가 인증키와 대응하는 것으로 판단할 수 있다.

인증 서버(300)가 인증키를 클라이언트 단말기(100)에 전송하기 이전에 인증키 저장소(미도시)에 인증키를 저장한 경우, 인증 수행부(350)는 인증 확인키와 대응하는 인증키를 인증키 저장소로부터 검색하여 인증키의 존재 여부에 따라 인증을 수행할 수도 있다. 즉, 인증키 저장소에 인증 확인키와 대응하는 인증키가 저장되어 있지 않는 경우에는 인증키의 발급이 이루어지지 않은 것으로 판단할 수 있다. 따라서, 인증 요청은 거부되고 인증 절차는 종료될 수 있다.

인증 수행부(350)는 인증 수행 이전에, 인증 확인키의 유효성을 판단할 수 있다. 예를 들어, 인증키가 유효성확인코드를 포함하는 경우, 인증 수행부(350)는 인증 확인키에 포함된 유효성확인코드가 예를 들어 체크섬 규칙과 같은 기설정된 규칙에 부합하는지 여부를 판단하여 인증 확인키의 유효여부를 판단할 수 있다.

인증 수행부(350)는 인증용 단말기 식별자에 기초하여 사용자 식별자를 사용자정보 데이터베이스(390)로부터 추출하여 인증 수행에 활용할 수 있다.

사용자정보 데이터베이스(390)에 인증용 단말기 식별자와 매칭되는 사용자 식별자가 존재하지 않는 경우에는, 인증용 단말기(200)는 인증 서버(300)에 등록되지 않은 것으로 판단될 수 있다. 따라서, 인증 요청은 거부되고 인증 절차가 종료될 수 있다.

인증 승인 처리부(360)는 인증 수행 결과에 따른 인증 승인 정보를 서비스 제공 서버(400)로 전송한다.

인증 승인 정보는 인증이 승인되었다는 결과 또는 인증이 실패하였다는 결과를 나타내는 결과 코드를 포함할 수 있다. 또한, 인증 승인 정보는 클라이언트 식별자 및 사용자 식별자 중 하나 이상을 포함할 수 있다. 여기서, 사용자 식별자는 인증 수행부(350)에 의하여 인증 대상으로 선택된 사용자 식별자일 수 있다.

인증 승인 처리부(360)는 인증 요청에 포함된 서비스 제공 서버(400)의 식별자에 기초하여 인증 승인 정보의 전송 대상이 되는 서비스 제공 서버(400)를 결정할 수 있다.

본 발명의 일실시예에 따르면, 서비스 제공 서버(400)는 동일한 서비스를 제공하는 복수의 서버의 집합일 수 있으며, 이 경우 인증 승인 처리부(360)는 복수의 서버 모두에 인증 승인 정보를 제공할 수 있으며, 또는 복수의 서버 중 어느 하나의 서버에만 인증 승인 정보를 제공하고, 인증 승인 정보를 제공 받은 서버가 나머지 서버에 브로드캐스팅(broadcasting)을 함으로써 인증 승인 정보를 공유할 수도 있다.

본 발명의 일실시예에 따르면, 서비스 제공 서버(400)는 인증 서버(300)로부터 인증 승인 정보를 수신하고, 클라이언트 단말기(100)에 인증 세션을 형성하여 사용자가 서비스를 이용할 수 있게 한다. 이로써 사용자가 서비스 제공 서버(400)의 서비스를 이용하기 위한 인증 절차가 완료된다.

사용자정보 데이터베이스(390)는 사용자 식별자, 인증용 단말기 식별자를 포함하는 사용자 정보를 저장할 수 있다.

사용자 식별자 및 인증용 단말기 식별자는 사용자가 본 발명의 일실시예에 따른 인증시스템에 회원가입을 하는 때에 입력되어 저장될 수 있다. 인증용 단말기 식별자는 다른 인증용 단말기와 구별하기 위한 식별자를 말하고, 예를 들어 인증용 단말기의 시리얼넘버(SN, Serial Number), 맥어드레스(MAC Address)와 같은 단말기에 부여된 고유의 값일 수 있다. 그러나 반드시 이에 한정 되는 것은 아니며, 인증용 단말기 식별자는 단말기에 부여된 고유의 값이 아니더라도 다른 인증용 단말기와 구별할 수 있는 식별자이면 무방하다. 예를 들어, 핸드폰, 스마트폰의 경우에는 인증용 단말기 식별자는 USIM(Universal Subscriber Identity Module) 카드번호 또는 이동통신전화번호일 수 있고, 또는 인증용 단말기(200)가 인증 서버(300)에 접속하기 위해 필요한 아이디일 수도 있다. 또는, 인증용 단말기 식별자는 상기 나열한 시리얼넘버, 맥어드레스, USIM카드번호, 이동통신번호 및 아이디 중 적어도 어느 2개 이상의 조합일 수 있다. 예를 들어, 스마트폰의 시리얼넘버, USIM카드번호 및 이동통신번호를 조합하여 하나의 인증용 단말기 식별자를 생성하고, 이를 사용자정보 데이터베이스(390)에 저장할 수 있다. 복수의 식별자를 조합하여 인증용 단말기 식별자를 생성함으로써 타인에게 인증용 단말기(200)의 시리얼넘버, USIM카드번호, 이동통신번호 중 어느 하나가 노출되더라도 도용의 가능성을 줄일 수 있다. 또한, 인증용 단말기 식별자는 소프트키 등을 포함할 수 있다. 소프트키는 인증용 단말기(200)가 인증 서버(300) 또는 서비스 제공 서버(400)로부터 부여 받을 수도 있고, 인증용 단말기(200)가 인증 서버(300) 또는 서비스 제공 서버(400)와 사전에 공유한 알고리즘으로 생성하여 사용할 수도 있다.

사용자정보 데이터베이스(390)는 사용자 식별자 및 인증용 단말기 식별자를 서로 매칭하여 저장할 수 있으며, 따라서 사용자정보 데이터베이스(390)로부터 인증용 단말기 식별자와 매칭되는 사용자 식별자를 추출할 수 있다.

도 3은 본 발명의 일실시예에 따른 인증 방법을 설명하기 위한 순서도이다.

도 3에 도시된 실시예에 따른 인증 방법은 도 2에 도시된 인증 서버(300) 상에서 시계열적으로 처리되는 단계들을 포함하며, 클라이언트 단말기(100), 인증용 단말기(200) 및 서비스 제공 서버(400) 상에서 처리되는 단계를 포함할 수 있다. 따라서, 이하에서 인증 서버(300)와 연관하여 생략된 내용이라고 하더라도 도 2에 도시된 인증 서버(300)에 관하여 이상에서 기술한 내용은 도 3에 도시된 실시예에 따른 인증 방법에도 적용될 수 있다.

클라이언트 단말기(100)는 서비스 제공 서버(400)에 접속하여 서비스를 요청할 수 있다(S3100).

서비스 제공 서버(400)는 클라이언트 단말기(100)의 서비스 요청에 따라, 서비스를 제공하며, 서비스의 유형에 따라 인증이 필요한 경우, 클라이언트 단말기(100)에 인증 코드를 제공할 수 있다(S3200).

여기서, 인증 코드는 클라이언트 단말기(100)와 서비스 제공 서버(400) 간의 인증 수행과 관련하여, 서비스 제공 서버(400)가 클라이언트 단말기(100)에 제공하는 것으로서, 예를 들어, 후술할 인증스크립트, 링크수단으로의 하이퍼링크 정보 등을 포함할 수 있다.

클라이언트 단말기(100)는 인증 코드에 기초하여 인증 서버(300)로 인증 요청을 할 수 있다(S3300).

본 발명의 일실시예에 따르면, 서비스 제공 서버(400)는 웹서비스 또는 기타 어플리케이션에 의한 서비스를 제공할 수 있다.

예를 들어, 클라이언트 단말기(100)가 서비스 제공 서버(400)에 접속하여 서비스를 제공받는 중에 인증이 필요하면 인증 서버(300)에 인증을 요청할 수 있다. 인증을 제공하는 데 있어 인증 서버(300)와 서비스 제공 서버(400)의 역할을 명확히 분리하고, 서비스 제공 서버(400)에서 제공하는 서비스의 종류 또는 형태와 무관하게 하여, 인증 서버(300)의 범용성을 높이고 다양한 종류의 서비스 제공 서버(400)와 연동 가능하도록 하기 위해 본 발명의 일실시예에 따른 인증 서버(300)는 웹서비스의 형태로 구현될 수 있다. 이를 위해 단계 S3300은 다양한 실시예를 통해 구현될 수 있다.

제1실시예로서 상기 인증요청단계는 서비스 제공 서버(400)에서 클라이언트 단말기(100)에 전송된 서비스페이지(웹페이지)에 임베드된 스크립트의 실행으로써 구현될 수 있다.

도 4에 도시된 바와 같이, 서비스 제공 서버(400)에 의해 제공되는 서비스는 웹서비스이고, 상기 웹서비스를 제공하는 서비스페이지는 인증을 수행하는 인증스크립트를 포함할 수 있다. 여기서, 인증스크립트는 인증 서버에 의해 구동될 수 있다. 예를 들어, 서비스 제공 서버(400)의 호스트 주소가 “www.webservice.com”이고, 인증을 수행할 서비스페이지 URL이 “www.webservice.com/index.html”이라고 했을 때, index.html은 아래와 같은 스크립트를 포함할 수 있다.

<!-- 로그인 부분 QR코드가 표시되는 곳>

<script type="text/javascript"

src="http://www.easylogin.com/qr_request.php?serviceid=489084955"></script>

이 때, “www.easylogin.com”은 인증 서버(300)의 호스트주소이고, “qr_request.php”는 인증요청을 수신하는 인증 서버(300)의 페이지이다. 본 발명에서 인증 서버(300)의 역할을 명확히 분리하고, 범용성 및 연동유연성을 높이기 위해 인증 서버(300)는 인증을 제공할 서비스 제공 서버(400)를 식별할 필요가 있으므로 상기 스크립트는 서비스 식별자를 포함하고, 상기 서비스 식별자는 인증 서버(300)에 전달될 수 있다.

제2실시예로서 상기 인증요청단계는 서비스 제공 서버(400)와의 통신을 통해 서비스를 제공하는 서비스어플리케이션에 임베드된 스크립트의 실행으로써 구현될 수 있다.

도 5에 도시된 바와 같이, 서비스어플리케이션에 의해 제공되는 서비스가 예를 들어, 채팅서비스이고, 서비스어플리케이션을 통해 인증을 수행하여야 하는 경우 서비스어플리케이션은 상기와 같은 인증스크립트를 포함할 수 있으며, 상기 인증스크립트는 인증 서버(300)에 의해 구동될 수 있다.

이 때, 상기 서비스어플리케이션은 예를 들어, 인증스크립트를 구동할 웹컨테이너요소를 포함할 수 있고, 웹컨테이너요소에서 인증스크립트를 포함할 수 있다.

제3실시예로서 상기 인증요청단계는 사용자가 서비스페이지로부터 인증페이지로 하이퍼링크 되는 방식으로 구현될 수 있다.

도 6에 도시된 바와 같이, 서비스 제공 서버(400)에서는 웹서비스를 제공하고, 웹서비스를 제공하는 서비스페이지는 상기 인증페이지로의 링크수단을 제공할 수 있다. 실제로 본 발명에 의한 인증방법과 아이디와 패스워드를 이용하는 통상의 인증방법을 선택적으로 제공하는 경우, 서비스페이지에서 인증 서버(300)에 요청을 보내는 스크립트를 포함하면 인증 서버(300)에 필요 이상의 부하가 집중될 수 있다. 따라서, 본 발명에 의한 인증방법을 선택한 경우에 한해 인증 서버(300)에 대한 인증요청이 발생하도록 하기 위해, 서비스페이지에서는 인증페이지로의 링크수단을 제공하여 네트워크리소스 및 인증 서버(300)의 하드웨어리소스를 효율적으로 운용할 수 있게 된다. 이 경우에도 인증 서버(300)의 역할을 명확히 분리하고, 범용성 및 연동유연성을 높이기 위해 인증 서버(300)는 인증을 제공할 서비스 제공 서버(400)를 식별할 필요가 있으므로 인증페이지로의 링크수단은 서비스 식별자를 포함할 수 있다. 또는, 인증 서버(300)는 링크수단을 통해 클라이언트 단말기(100)로부터 수신되는 HTTP request를 분석하여 서비스페이지의 정보를 통해 서비스 식별자를 추출할 수 있다. 예를 들어, 인증 서버(300)는 HTTP 프로토콜에 정의된 레퍼러를 분석하여 인증페이지에 대한 트래픽을 발생시킨 서비스페이지 URL로부터 서비스 제공 서버(400)의 호스트주소를 확인할 수 있고, 이로써 서비스 식별자로 활용할 수도 있다.

제4실시예로서, 상기 인증요청단계는 도 7에 도시된 바와 같이, 서비스 제공 서버(400)와의 통신을 통해 서비스를 제공하는 서비스어플리케이션에서 인증페이지로 하이퍼링크 되는 방식으로 구현될 수 있다.

이 경우에도 인증 서버(300)의 역할을 명확히 분리하고, 범용성 및 연동유연성을 높이기 위해 인증 서버(300)는 인증을 제공할 서비스 제공 서버(400)를 식별할 수 있어야 하므로 인증페이지로 하이퍼링크 하는 링크수단은 서비스 식별자를 포함할 수 있다.

상술한 각각의 실시예에서 각각의 인증스크립트 또는 링크수단은 서비스 식별자 이외에도 인증을 제공받는 서비스 제공 서버(400)가 클라이언트 단말기(100)를 식별할 수 있는 클라이언트 식별자를 더 포함할 수도 있다. 또한, 서비스 식별자 또는 클라이언트 식별자는 클라이언트 단말기(100)의 인증요청에 따라 인증 서버(300)에 전달될 수 있다.

인증 서버(300)는 클라이언트 단말기(100)의 인증키 요청에 대응하여 인증키를 생성할 수 있다(S3400).

인증 서버(300)는 S3400 단계에서 생성한 인증키를 클라이언트 단말기(100)로 전송할 수 있다(S3500). 또한, 인증 서버(300)는 S3400 단계 이전에 기 생성한 인증키를 클라이언트 단말기(100)로 전송할 수도 있다. 즉, 인증 서버(300)는 인증키를 요청받아 인증키를 생성하는 것이 아니라, 소정의 규칙에 따라 이미 생성된 인증키 또는 랜덤하게 생성한 인증키를 클라이언트 단말기(100)의 요청에 대한 응답으로 제공할 수 있다.

클라이언트 단말기(100)는 인증 서버(300)로부터 수신한 인증키를 표시할 수 있다(S3600).

인증용 단말기(200)는 클라이언트 단말기(100) 상에 표시된 인증키에 기초한 인증 확인키를 인증 서버(300)로 전송할 수 있다(S3700).

인증 서버(300)는 클라이언트 단말기(100)로 전송한 인증키와 인증용 단말기(200)로부터 수신한 인증 확인키에 기초하여 인증을 수행할 수 있다(S3800).

인증 서버(300)는 인증 수행 결과에 따라 인증 승인 정보를 서비스 제공 서버(400)로 전송할 수 있다(S3900).

여기서, 단계 S3900은 인증 서버(300)가 인증 승인 정보를 직접적으로 서비스 제공 서버(400)로 전송하는 방식 이외에도 간접적으로 제공하는 방식을 포함할 수 있다.

예를 들어, 단계 S3900은 인증 서버(300)가 인증 승인 정보를 클라이언트 단말기(100)로 전송하는 단계, 클라이언트 단말기(100)가 인증 승인 정보에 기초하여 서비스 제공 서버(400)로 서비스 요청 또는 인증 확인 요청을 수행하는 단계, 서비스 제공 서버(400)가 인증 서버(300)로 해당 클라이언트 단말기(100)의 인증 여부에 대한 확인을 요청하는 단계, 인증 서버(300)가 서비스 제공 서버(400)로 해당 클라이언트 단말기(100)에 대한 인증 승인 정보를 전송하는 단계를 포함할 수 있다. 이와 같이, 인증 서버(300)가 서비스 제공 서버(400)로 인증 승인 정보를 간접적으로 전송함으로써, 예를 들어 클라이언트 단말기(100)가 거짓 인증 승인 정보에 기초하여 서비스 제공 서버(400)로부터 서비스를 제공받는 것을 방지할 수 있다. 또한, 예를 들어, 금융 서비스 등에서는 클라이언트 단말기(100)가 인증 서버(300)를 통해 인증 승인을 받은 후, 소정의 시간이 경과하면 보안상의 문제로 재 인증을 수행할 필요가 있으며, 이 경우에도 상술한 바와 같이 인증 승인 정보를 간접적으로 제공하는 방법을 활용할 수 있다. 즉, 인증 서버(300)가 인증 승인 정보를 클라이언트 단말기(100)로 전송한 시각과 서비스 제공 서버(400)가 해당 클라이언트 단말기(100)의 인증 수행 여부에 대하여 인증 서버(300)로 확인 요청을 한 시각의 시간 차가 기 설정된 시간 이내일 경우에만 정상적인 서비스를 제공할 수도 있을 것이다.

또한, 인증 서버(300)는 단계 S3900에서, 인증 승인 정보를 서비스 제공 서버(400)뿐 아니라, 클라이언트 단말기(100)에 함께 전송할 수도 있다.

인증 서버(300)는 클라이언트 단말기(100) 및 서비스 제공 서버(400) 모두에 인증 승인 정보를 제공할 수 있다. 이를 통해, 인증 시스템은 인증 오류의 위험을 감소시킬 수 있으며, 보안이 더욱 강화된 인증을 수행할 수 있다.

예를 들어, 클라이언트 단말기(100)가 인증 승인 정보에 기초하여 서비스 제공 서버(400)에 서비스를 요청할 때, 서비스 제공 서버(400)가 해당 클라이언트 단말기(100)의 인증 승인 여부를 미리 알고 있다면, 클라이언트 단말기(100)가 예를 들어, 거짓 인증 승인 정보에 기초하여 서비스를 요청하는 것을 제어할 수 있을 것이다.

본 발명의 일실시예에 따르면 인증 서버(300)는 인증 승인 정보를 클라이언트 단말기(100), 서비스 제공 서버(400) 이외에 인증용 단말기(200)에도 전송할 수 있다. 이를 통해, 인증용 단말기(200)는 인증 승인 정보에 기초하여, 클라이언트 단말기(100) 및 서비스 제공 서버(400) 중 하나 이상과 인증에 기초한 추가적인 작업을 수행할 수 있다. 예를 들어, 인증용 단말기(200)는 인증 승인 정보에 기초하여, 클라이언트 단말기(100)와 서비스 제공 서버(400)의 세션 해제 요청을 수행할 수 있다.

본 발명의 일실시예에 따른 인증 시스템은 상기 과정을 통해 클라이언트 단말기(100)의 서비스 제공 서버(400)에 대한 인증을 수행하고, 인증에 성공한 경우, 서비스 제공 서버(400)는 클라이언트 단말기(100)와 인증 세션을 형성할 수 있다.

예를 들어, 인증 서버(300)가 상기 S3900 단계에서 인증 승인 정보를 서비스 제공 서버(400)로 전송하면, 서비스 제공 서버(400)는 인증이 수행된 특정 클라이언트 단말기(100)와 인증 세션을 형성하기 위한 준비를 마치게 된다. 이 후, 클라이언트 단말기(100)가 서비스 제공 서버(400)로 서비스 요청 또는 인증 확인 요청을 할 경우, 서비스 제공 서버(400)는 해당 클라이언트 단말기(100)와 인증 세션을 형성할 수 있게 된다.

도 3을 통해 설명된 실시예에 따른 인증 방법은 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (12)

1. 인증 서버가, 인증을 수행하는 방법에 있어서,

   (a) 클라이언트 단말기로부터 인증 요청을 수신하는 단계;

   (b) 상기 인증 요청에 대응하여 상기 클라이언트 단말기로 인증키를 전송하는 단계;

   (c) 인증용 단말기로부터 인증 확인키를 수신하는 단계;

   (d) 상기 인증키 및 상기 인증 확인키에 기초하여 인증을 수행하는 단계; 및

   (e) 상기 인증 수행 결과에 따른 인증 승인 정보를 서비스 제공 서버로 전송하는 단계를 포함하며,

   상기 (c) 단계는,

   상기 인증용 단말기로부터 인증용 단말기 식별자를 수신하는 단계를 포함하고,

   상기 (d) 단계는,

   상기 인증용 단말기 식별자와 매칭되는 사용자 식별자를 사용자 정보 데이터베이스로부터 추출하는 단계를 포함하며,

   상기 인증 승인 정보는, 상기 사용자 식별자를 포함하는, 인증 방법.
2. 제 1 항에 있어서,

   상기 (e) 단계는,

   상기 인증 요청에 기초하여 상기 서비스 제공 서버를 결정하는 단계를 포함하는, 인증 방법.
3. 제 1 항 또는 제 2 항에 있어서,

   상기 인증 요청은, 서비스 식별자, 클라이언트 식별자 및 사용자 식별자 중 하나 이상을 포함하는, 인증 방법.
4. 제 1 항에 있어서,

   상기 인증 승인 정보는, 클라이언트 식별자를 더 포함하는, 인증 방법.
5. 제 1 항에 있어서,

   상기 인증키는,

   1차원 바코드, QR 코드, 컬러 바코드 및 스마트 태그 중 하나 이상을 포함하는, 인증 방법.
6. (a) 서비스 제공 서버가 인증 코드를 클라이언트 단말기에 제공하는 단계;

   (b) 상기 클라이언트 단말기가 상기 인증 코드에 기초하여 인증 서버로 인증키를 요청하는 단계;

   (c) 상기 클라이언트 단말기가 상기 인증 서버로부터 상기 인증키를 수신하는 단계;

   (d) 상기 클라이언트 단말기가 상기 인증키를 표시하는 단계;

   (e) 인증용 단말기가 상기 인증키에 기초한 인증 확인키를 상기 인증 서버로 전송하는 단계;

   (f) 상기 인증 서버가 상기 인증키 및 상기 인증 확인키에 기초하여 인증을 수행하는 단계; 및

   (g) 상기 인증 서버가 인증 수행 결과에 따라 인증 승인 정보를 상기 서비스 제공 서버로 전송하는 단계를 포함하는, 인증 방법.
7. 제 6 항에 있어서,

   상기 (a) 단계는,

   상기 서비스 제공 서버가 상기 인증 코드를 포함하는 서비스페이지를 상기 클라이언트 단말기로 전송하는 단계를 포함하는, 인증 방법.
8. 제 6 항에 있어서,

   상기 (a) 단계는,

   상기 서비스 제공 서버가 상기 인증 코드를 포함하는 서비스어플리케이션을 상기 클라이언트 단말기에 제공하는 단계를 포함하는, 인증 방법.
9. 제 7 항 또는 제 8 항에 있어서,

   상기 인증 코드는, 상기 인증 서버가 제공하는 인증 페이지로의 유알엘 링크를 포함하는, 인증 방법.
10. 클라이언트 단말기로부터 인증 요청을 수신하는 인증 요청 수신부;

    인증키를 생성하는 인증키 생성부;

    상기 인증 요청에 대응하여 상기 클라이언트 단말기로 상기 인증키를 전송하는 인증키 전송부;

    인증용 단말기로부터 인증 확인키를 수신하는 인증 확인키 수신부;

    상기 인증키 및 상기 인증 확인키에 기초하여 인증을 수행하는 인증 수행부; 및

    상기 인증 수행 결과에 따른 인증 승인 정보를 서비스 제공 서버로 전송하는 인증 승인 처리부를 포함하는 인증서버에 있어서,

    상기 인증 확인키 수신부는,

    상기 인증용 단말기로부터 인증용 단말기 식별자를 더 수신하고,

    상기 인증수행부는,

    상기 인증용 단말기 식별자와 매칭되는 사용자 식별자를 사용자 정보 데이터베이스로부터 추출하며,

    상기 인증 승인 정보는 상기 추출된 사용자 식별자를 포함하는, 인증 서버.
11. 제 10 항에 있어서,

    상기 인증 승인 처리부는,

    상기 인증 요청에 기초하여 상기 서비스 제공 서버를 결정하는, 인증 서버.
12. 제 10 항 또는 제 11항에 있어서,

    상기 인증 요청은, 서비스 식별자, 클라이언트 식별자 및 사용자 식별자 중 하나 이상을 포함하는, 인증 서버.

Images