WO2016068570A1 - Method and system for user authentication, using se of mobile terminal - Google Patents

Method and system for user authentication, using se of mobile terminal Download PDF

Info

Publication number
WO2016068570A1
WO2016068570A1 PCT/KR2015/011365 KR2015011365W WO2016068570A1 WO 2016068570 A1 WO2016068570 A1 WO 2016068570A1 KR 2015011365 W KR2015011365 W KR 2015011365W WO 2016068570 A1 WO2016068570 A1 WO 2016068570A1
Authority
WO
WIPO (PCT)
Prior art keywords
user
authentication
information
mobile terminal
input
Prior art date
Application number
PCT/KR2015/011365
Other languages
French (fr)
Korean (ko)
Inventor
전미숙
Original Assignee
에스케이 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 주식회사 filed Critical 에스케이 주식회사
Publication of WO2016068570A1 publication Critical patent/WO2016068570A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Definitions

  • the present invention relates to user authentication, and more particularly, to a method and system for performing user authentication in the process of providing a service through a user terminal such as a personal computer (PC).
  • a user terminal such as a personal computer (PC).
  • PC personal computer
  • OTP is only generated by the USIM card alone, and there is no interaction between the server side and the USIM card for user authentication, so there is no doubt that the security is weak.
  • the present invention has been made to solve the above problems, an object of the present invention, after displaying the authentication information generated by the SE (Secure Element) of the mobile terminal to the user terminal, the user inputs through the mobile terminal It is to provide a method and system for performing user authentication.
  • a user authentication method for achieving the above object, the step of requesting authentication information to the SE (Secure Element) of the mobile terminal; Receiving the authentication information from the SE; Transmitting display information based on the authentication information to a user terminal; And performing an authentication procedure for the user based on the input information input by the user to the mobile terminal with reference to the display information displayed on the user terminal.
  • SE Secure Element
  • the display information is the same as the authentication information, and the mobile terminal may transmit the input information input by the user to the SE.
  • the requesting step may be performed when authentication of the user is required while providing a service through the user terminal.
  • the user may be authenticated as a legitimate user.
  • the authentication information is generated by the SE, and whether the input information and the authentication information is the same, the SE determines, and the user authentication method according to an embodiment of the present invention, the user authentication from the SE Receiving a result; may further include.
  • the SE may request the mobile terminal to receive the display information from the user.
  • the display information may be authentication information reproduced from the authentication information.
  • the performing of the authentication procedure may include: receiving the input information of the user; And authenticating the user as a legitimate user if the input information and the regenerated authentication information are the same.
  • the server the communication unit for communicating with the SE and the user terminal of the mobile terminal; And requesting and receiving authentication information from the SE through the communication unit, and transmitting display information based on the authentication information to the user terminal, and inputting the user to the mobile terminal with reference to the display information displayed on the user terminal.
  • It includes; an authentication processing unit for performing an authentication procedure for the user based on the input information.
  • the SE of the mobile terminal generating the authentication information; Transmitting, by the SE, the generated authentication information to a server; Receiving, by the SE, the input information input by the user to the mobile terminal from the mobile terminal; And performing, by the SE, an authentication procedure for the user based on the input information, wherein the input information includes the display displayed on a user terminal receiving display information based on the authentication information from the server.
  • the information may be information input by the user to the mobile terminal.
  • the SE an interface for communicating with the mobile terminal; And generating authentication information and transmitting the authentication information to a server through the mobile terminal, receiving input information input by the user through the interface through the interface, and authenticating the user based on the authentication information and the input information.
  • a processor configured to perform the operation, wherein the input information may be information input by the user to the mobile terminal with reference to the display information displayed on the user terminal receiving display information based on the authentication information from the server.
  • the user after displaying the authentication information generated by the SE of the mobile terminal on the user terminal, the user can be input through the mobile terminal, so that user authentication can be performed. . Since user authentication is performed based on information generated by SE, the world's most secure medium, user authentication is highly reliable.
  • the user authentication for the service provided through the user terminal such as a PC is performed using the mobile terminal provided with the SE
  • the authentication process is performed by the interaction between the SE and the server. The credibility of the authentication becomes higher.
  • FIG. 3 is a flowchart provided to explain a user authentication method according to an embodiment of the present invention.
  • FIG. 4 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention.
  • FIG. 5 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention.
  • FIG. 6 is a block diagram of a server
  • FIG. 7 is a block diagram of a USIM card.
  • FIG. 1 and 2 are diagrams provided for illustrating a concept of embodiments of the present invention.
  • the server 100 provides a service through the personal computer (PC) 200 of the user, as shown in FIG. 2.
  • the user authentication procedure is performed using the 200 and the mobile terminal 300.
  • the user authentication performed in FIG. 2 may be one time password (OTP) authentication.
  • OTP one time password
  • the user authentication performed in FIG. 2 may be additional user authentication (for example, authentication such as an assured click) in the online payment process.
  • the user authentication procedure performed in FIG. 2 is performed by displaying an authentication number on the user's PC 200 and inputting the authentication number displayed on the PC 200 to the user's mobile terminal 300.
  • the authentication number displayed on the PC 200 is transmitted by the server 100. That is, the PC 200 displays the authentication number received from the server 100 as it is on the monitor screen.
  • the authentication number is generated by the Universal Subscriber Identity Module (USIM) card 400 mounted on the mobile terminal 300. That is, the server 100 transmits the authentication number generated by the USIM card 400 to the PC 200.
  • USIM Universal Subscriber Identity Module
  • the USIM card 400 compares the authentication number generated by the user with the authentication number input by the user through the mobile terminal 300 to perform user authentication, and transmits the authentication result to the server 100.
  • the server 100 and the PC 200, as well as the communication connection, as well as the server 100 and the USIM card 400 should be connected by communication, the connection method is different from each other.
  • the connection between the server 100 and the PC 200 is by wired / wireless Internet communication, but the connection between the server 100 and the USIM card 400 is by OTA (Over The Air) communication.
  • the USIM card 400 strictly communicates with the server 100 through the mobile terminal 300 to which the USIM card 400 is mounted, the mobile terminal 300 merely functions as a communication medium and the communication subject is the USIM card 400. to be. Therefore, for convenience of understanding and description, in the present specification, the USIM card 400 will be described as directly communicating with the server 100, but it should be noted that the communication is substantially performed through the medium of the mobile terminal 300. do.
  • FIG. 3 is a flowchart provided to explain a user authentication method according to an embodiment of the present invention.
  • the user in order to perform user authentication accompanying the service providing process, the user is required to subscribe to the service through the PC 200 as well as to subscribe to the user authentication service (S505 and S510).
  • the server 100 issues a user authentication applet 450 to the USIM card 400 (S515), and the USIM card 400 installs it (S520).
  • the user authentication applet 450 is an applet that generates the aforementioned authentication number and includes a random number generator.
  • the server 100 may issue a user authentication applet 450 to the corresponding USIM card 400 through the entered phone number.
  • Steps S505 to S520 are preliminary procedures for performing user authentication in a service providing process.
  • the user may receive a service from the server 100 through the PC 200 (S525).
  • the service provided in step S525 refers to the aforementioned internet banking, internet shopping, and the like.
  • step S530 If user authentication is required while providing a service (S530), the server 100 requests an authentication number from the user authentication applet 450 issued / installed on the USIM card 400 (S535).
  • User authentication in step S530 is an additional authentication procedure.
  • step S525 password input and public certificate authentication are included in the service range of step S525, and OTP authentication corresponds to user authentication required in step S530.
  • the card number, expiration date and CVC number input are included in the service range of step S525, and additional authentication by additional authentication numbers such as secure click corresponds to user authentication required in step S530. .
  • the user authentication applet 450 that has received the authentication number generates an authentication number (S540).
  • an authentication number S540
  • a random number generator included in the user authentication applet 450 is used.
  • the random number generator generates a random number based on a key shared with the server 100, and the generated random number becomes an authentication number.
  • the user authentication applet 450 transmits the authentication number generated in step S540 to the server 100 (S545). Then, the server 100 transmits the authentication number received in step S545 to the PC 200 (S550), and the PC 200 displays the authentication number received in step S550 on the monitor screen (S555).
  • the user authentication applet 450 which transmits the authentication number to the server 100 in step S545 requests the display of the authentication number input window from the mobile terminal 300 (S560).
  • the authentication number input window is a window displayed on the screen of the mobile terminal 300 to input the authentication number displayed on the PC 200 as shown in FIG.
  • the mobile terminal 300 In response to the request in step S560, the mobile terminal 300 displays the authentication number input window (S565). Then, when the user enters the authentication number displayed on the PC 200 in step S555 through the authentication number input window (S570), the mobile terminal 300 transmits the authentication number entered by the user to the user authentication applet 450. (S575).
  • the user authentication applet 450 compares the authentication number input by the user received in step S575 and the authentication number generated in step S540, and authenticates whether the user is a legitimate user (S580).
  • the two authentication numbers turn out to be legitimate users if they match, but are not legitimate users if they do not match.
  • the user authentication applet 450 transmits the authentication result in step S580 to the server 100 (S585). Then, the server 100 provides subsequent services based on the authentication result received in step S585 (S590).
  • FIG. 4 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention.
  • the user authentication method illustrated in FIG. 4 is a method of strengthening the security of the authentication number transmitted from the server 100 to the PC 200 in the user authentication method of FIG. 3.
  • the server 100 does not transmit the authentication number received through the step S545 to the PC 200 as it is, but encrypts the user's personal information (S547), the encrypted authentication number To transmit to the PC 200 (S550).
  • the PC 200 decrypts the encrypted authentication number received in step S550 into user's personal information (S553), and displays the decrypted personal information on the monitor screen (S555).
  • the user ID set by the user and the user PW can be used.
  • the server 100 encrypts the authentication number with the user PW, the user must additionally input the user PW to the PC 200 for decryption in step S553.
  • the server 100 encrypts the authentication number with the user ID
  • the user does not need to additionally input the user ID through the PC 200 for decryption in step S553. This is because the user ID is stored in the storage area of the PC 200 during the service (that is, the PC 200 knows the user ID).
  • FIG. 5 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention.
  • the user authentication method illustrated in FIG. 5 is different from the user authentication method illustrated in FIG. 3 in which the USIM card 400 determines the validity of the user in that the server 100 determines the validity of the user.
  • steps S605 to S645 of FIG. 5 are the same as steps S505 to S545 of FIG. 3, detailed description thereof will be omitted and will be described from step S650.
  • the server 100 regenerates the authentication number from the received authentication number (S650), and transmits the regenerated authentication number to the display number to be displayed on the user's PC 200. (S655).
  • the server 100 since the server 100 uses the authentication number regenerated from the authentication number received from the user authentication applet 450 as the display number of the PC 200, the user authentication applet 450 generates the user authentication applet 450.
  • the authentication number and the display number of the PC 200 are not the same.
  • the authentication number generated by the user authentication applet 450 and the display number of the PC 200 are different from the embodiment shown in FIG. 3.
  • the server 100 transmits the authentication number received from the user authentication applet 450 to the display number to be displayed on the user's PC 200 without change.
  • step S650 there is no restriction on the regeneration scheme of the authentication number.
  • the authentication number can be regenerated by calculating the hash value of the authentication number, as well as generating a new random number using the authentication number as a seed value and regenerating the authentication number.
  • the PC 200 displays the regenerated authentication number received in step S655 on the monitor screen (S660).
  • the mobile terminal 300 displays the authentication number input window at the request of the user authentication applet 450 (S665 and S670).
  • the mobile terminal 300 transmits the authentication number input by the user through the authentication number input window to the user authentication applet 450 (S675 and S680).
  • the user authentication applet 450 transmits the input authentication number received in step S680 to the server 100 (S685).
  • the mobile terminal 300 has been described as transmitting the input authentication number to the server 100 through the user authentication applet 450, the mobile terminal 300 directly inputs the authentication number to the server 100. Of course, it can also transmit.
  • the server 100 compares the authentication number input by the user received in step S685 with the authentication number regenerated in step S650, and authenticates whether the user is a legitimate user (S690).
  • the two authentication numbers turn out to be legitimate users if they match, but are not legitimate users if they do not match.
  • the server 100 provides subsequent services based on the authentication result in step S690 (S695).
  • the server 100 includes a communication unit 110, a service processing unit 120, an authentication processing unit 130, and a storage unit 140.
  • the communication unit 110 establishes and maintains a communication connection with the PC 200, the mobile terminal 300, and the USIM card 400, thereby providing a communication interface between the server 100 and the server 100.
  • the service processor 120 performs processes necessary for providing a service to the user through the PC 200, and the authentication processor 130 performs a user authentication procedure required in the service providing process.
  • the authentication processing unit 130 issues a user authentication applet 450 to the USIM card 400, requests the authentication number to the issued user authentication applet 450 and transmits it to the PC 200. If necessary, the authentication processing unit 130 may encrypt or regenerate authentication information delivered to the PC 200, and in the latter case may directly determine the legitimacy of the user.
  • the storage unit 140 is a storage medium that stores programs and data necessary for service provision by the service processor 120 and user authentication by the authentication processor 130.
  • FIG. 7 is a block diagram of the USIM card 400 shown in FIGS. 1 to 5.
  • the USIM card 400 includes a terminal interface 410, a USIM processor 430, a user authentication applet 450, and a UISM memory 470.
  • the terminal interface 410 is a means for communication connection between the USIM card 400 and the mobile terminal 300. Ultimately, the USIM card 400 may communicate with the server 100 via the mobile terminal 300. Make sure
  • the USIM processor 430 controls the overall operation of the USIM card 400.
  • the USIM processor 430 executes the user authentication applet 450, and processes necessary for the user authentication method shown in FIGS. 3 to 5 (authentication number generation / transmission, authentication number input window display request, user justification determination). Etc.).
  • the UISM memory 470 is a storage medium that stores programs and data necessary for the operation of the USIM card 400.
  • the PC 200 is a kind of user terminal, and of course, may be replaced with another type of user terminal.
  • This also applies to the USIM card 400.
  • the USIM card 400 may also be replaced with another type of SE, such as an embedded Secure Element (SE) or Secure Digital (SD) card.
  • SE embedded Secure Element
  • SD Secure Digital
  • the request for displaying the authentication number input window to the mobile terminal 300 is performed by the USIM card 400, but may be implemented by the server 100.
  • the authentication number may be replaced with authentication information including at least one of numbers, letters, and symbols, and in this case, the technical spirit of the present invention may be applied as it is.
  • the mobile terminal 300 and the USIM card 400 intervene to perform a user authentication procedure.
  • situations that require user authentication can be extended to other situations. That is, the user authentication method presented through the embodiments of the present invention may also be applied to user authentication (eg, a login process) during a service start process that is not being provided.
  • the technical idea of the present invention can be applied to a computer-readable recording medium containing a computer program for performing the functions of the apparatus and method according to the present embodiment.
  • the technical idea according to various embodiments of the present disclosure may be implemented in the form of computer readable codes recorded on a computer readable recording medium.
  • the computer-readable recording medium can be any data storage device that can be read by a computer and can store data.
  • the computer-readable recording medium may be a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, an optical disk, a hard disk drive, or the like.
  • the computer-readable code or program stored in the computer-readable recording medium may be transmitted through a network connected between the computers.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephone Function (AREA)
  • Telephonic Communication Services (AREA)

Abstract

Provided are a method and a system for user authentication, using an SE of a mobile terminal. The method for user authentication, according to one embodiment of the present invention, requests and receives authentication information by the SE of the mobile terminal, transmits authentication information-based display information to a user terminal, and refers to the display information displayed on a user terminal so as to perform an authentication procedure for a user on the basis of input information inputted into the mobile terminal by the user. Therefore, the user authentication is performed by using the mobile terminal having the SE, with respect to the service provided through the user terminal, wherein the reliability of the user authentication using a multi-channel is further increased since the authentication procedure is performed by an interaction between the SE and a server.

Description

모바일 단말의 SE를 이용한 사용자 인증 방법 및 시스템User authentication method and system using SE of mobile terminal
본 발명은 사용자 인증에 관한 것으로, 더욱 상세하게는 PC(Personal Computer)와 같은 사용자 단말을 통해 서비스가 제공되는 과정에서 사용자 인증을 수행하는 방법 및 시스템에 관한 것이다.The present invention relates to user authentication, and more particularly, to a method and system for performing user authentication in the process of providing a service through a user terminal such as a personal computer (PC).
인터넷을 통해 PC로 서비스를 제공함에 있어, 사용자 인증이 요구되는 경우는 매우 많으며, 그에 따른 인증 방식도 매우 다양하다. 과거에는, 패스워드를 이용하는 인증 방식이 주류를 이루고 있었다.In providing a service to a PC via the Internet, user authentication is often required, and the authentication methods are very diverse. In the past, authentication schemes using passwords have become mainstream.
하지만, 모바일 단말의 보급 확대는 모바일 단말을 이용한 2 채널 인증 방식을 등장하게 하였으며, 현재 모바일 단말에 장착된 USIM(Universal Subscriber Identity Module) 카드를 OTP(One Time Password) 단말로 활용하고자 하는 시도도 있다.However, the expansion of mobile terminals has led to the introduction of two-channel authentication method using mobile terminals, and there are also attempts to utilize USIM (Universal Subscriber Identity Module) cards installed in mobile terminals as one time password (OTP) terminals. .
이는, PC를 이용한 인터넷 뱅킹에서, OTP 단말이 아닌 USIM 카드로 OTP를 생성하는 것이며, 사용자는 OTP 단말을 휴대하지 않아도 안전한 인터넷 뱅킹이 가능해진다는 점에서, 진일보 하다는 평가를 받는다.This is to generate OTP by USIM card, not OTP terminal in Internet banking using PC, and the user is evaluated to be advanced in that secure internet banking is possible without carrying OTP terminal.
하지만, OTP는 USIM 카드가 단독으로 생성하는 것에 불과하며, 사용자 인증을 위해 서버 측과 USIM 카드 간의 인터랙션은 전혀 없다는 점에서, 보안이 취약한 것이 아니냐는 의구심을 버릴 수 없다.However, OTP is only generated by the USIM card alone, and there is no interaction between the server side and the USIM card for user authentication, so there is no doubt that the security is weak.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 모바일 단말의 SE(Secure Element)가 생성한 인증 정보를 사용자 단말에 표시한 후, 사용자로 하여금 모바일 단말을 통해 입력하도록 하여, 사용자 인증을 수행하는 방법 및 시스템을 제공함에 있다.The present invention has been made to solve the above problems, an object of the present invention, after displaying the authentication information generated by the SE (Secure Element) of the mobile terminal to the user terminal, the user inputs through the mobile terminal It is to provide a method and system for performing user authentication.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, 사용자 인증 방법은, 모바일 단말의 SE(Secure Element)에 인증 정보를 요청하는 단계; 상기 SE로부터 상기 인증 정보를 수신하는 단계; 상기 인증 정보에 기초한 표시 정보를 사용자 단말에 전송하는 단계; 및 상기 사용자 단말에 표시된 상기 표시 정보를 참조하여 사용자가 상기 모바일 단말에 입력한 입력 정보를 기초로, 상기 사용자에 대한 인증 절차를 수행하는 단계;를 포함한다.A user authentication method according to an embodiment of the present invention for achieving the above object, the step of requesting authentication information to the SE (Secure Element) of the mobile terminal; Receiving the authentication information from the SE; Transmitting display information based on the authentication information to a user terminal; And performing an authentication procedure for the user based on the input information input by the user to the mobile terminal with reference to the display information displayed on the user terminal.
그리고, 상기 표시 정보는, 상기 인증 정보와 동일하며, 상기 모바일 단말은, 사용자에 의해 입력된 상기 입력 정보를 상기 SE로 전달할 수 있다.The display information is the same as the authentication information, and the mobile terminal may transmit the input information input by the user to the SE.
또한, 상기 요청단계는, 상기 사용자 단말을 통한 서비스 제공 중에, 상기 사용자에 대한 인증이 필요하게 된 경우에 수행할 수 있다.The requesting step may be performed when authentication of the user is required while providing a service through the user terminal.
그리고, 상기 인증 절차 수행단계는, 상기 사용자의 상기 입력 정보와 상기 인증 정보가 동일하면, 상기 사용자를 정당한 사용자로 인증할 수 있다.In the performing of the authentication procedure, if the input information of the user and the authentication information are the same, the user may be authenticated as a legitimate user.
또한, 상기 인증 정보는, 상기 SE가 생성하고, 상기 입력 정보와 상기 인증 정보의 동일 여부는, 상기 SE가 판단하며, 본 발명의 일 실시예에 따른 사용자 인증 방법은, 상기 SE로부터 상기 사용자 인증 결과를 수신하는 단계;를 더 포함할 수 있다.In addition, the authentication information is generated by the SE, and whether the input information and the authentication information is the same, the SE determines, and the user authentication method according to an embodiment of the present invention, the user authentication from the SE Receiving a result; may further include.
그리고, 상기 SE는, 상기 인증 정보를 전송한 후에, 상기 모바일 단말에 상기 사용자로부터 상기 표시 정보를 입력받을 것을 요청할 수 있다.After the SE transmits the authentication information, the SE may request the mobile terminal to receive the display information from the user.
또한, 상기 표시 정보는, 상기 인증 정보로부터 재생성된 인증 정보일 수 있다.The display information may be authentication information reproduced from the authentication information.
그리고, 상기 인증 절차 수행단계는, 상기 사용자의 상기 입력 정보를 전달받는 단계; 및 상기 입력 정보와 상기 재생성된 인증 정보가 동일하면, 상기 사용자를 정당한 사용자로 인증하는 단계;를 포함할 수 있다.The performing of the authentication procedure may include: receiving the input information of the user; And authenticating the user as a legitimate user if the input information and the regenerated authentication information are the same.
한편, 본 발명의 다른 실시예에 따른, 서버는, 모바일 단말의 SE 및 사용자 단말과 통신 연결하는 통신부; 및 상기 통신부를 통해, 상기 SE에 인증 정보를 요청하여 수신하고 상기 인증 정보에 기초한 표시 정보를 상기 사용자 단말에 전송하며, 상기 사용자 단말에 표시된 상기 표시 정보를 참조하여 사용자가 상기 모바일 단말에 입력한 입력 정보를 기초로 상기 사용자에 대한 인증 절차를 수행하는 인증 처리부;를 포함한다.On the other hand, according to another embodiment of the present invention, the server, the communication unit for communicating with the SE and the user terminal of the mobile terminal; And requesting and receiving authentication information from the SE through the communication unit, and transmitting display information based on the authentication information to the user terminal, and inputting the user to the mobile terminal with reference to the display information displayed on the user terminal. It includes; an authentication processing unit for performing an authentication procedure for the user based on the input information.
한편, 본 발명의 다른 실시예에 따른, 사용자 인증 방법은, 모바일 단말의 SE가, 인증 정보를 생성하는 단계; 상기 SE가, 생성된 인증 정보를 서버에 전송하는 단계; 사용자가 상기 모바일 단말에 입력한 입력 정보를, 상기 SE가 상기 모바일 단말로부터 수신하는 단계; 및 상기 입력 정보를 기초로, 상기 SE가 상기 사용자에 대한 인증 절차를 수행하는 단계;를 포함하고, 상기 입력 정보는, 상기 인증 정보에 기초한 표시 정보를 상기 서버로부터 수신한 사용자 단말에 표시된 상기 표시 정보를 참조하여 상기 사용자가 상기 모바일 단말에 입력한 정보일 수 있다.On the other hand, user authentication method according to another embodiment of the present invention, the SE of the mobile terminal, generating the authentication information; Transmitting, by the SE, the generated authentication information to a server; Receiving, by the SE, the input information input by the user to the mobile terminal from the mobile terminal; And performing, by the SE, an authentication procedure for the user based on the input information, wherein the input information includes the display displayed on a user terminal receiving display information based on the authentication information from the server. The information may be information input by the user to the mobile terminal.
한편, 본 발명의 다른 실시예에 따른, SE는, 모바일 단말과 통신 연결하는 인터페이스; 및 인증 정보를 생성하여 상기 모바일 단말을 통해 서버에 전송하고, 사용자가 상기 모바일 단말에 입력한 입력 정보를 상기 인터페이스를 통해 수신하고, 상기 인증 정보와 상기 입력 정보를 기반으로 상기 사용자에 대한 인증 절차를 수행하는 프로세서;를 포함하고, 상기 입력 정보는, 상기 인증 정보에 기초한 표시 정보를 상기 서버로부터 수신한 사용자 단말에 표시된 상기 표시 정보를 참조하여 상기 사용자가 상기 모바일 단말에 입력한 정보일 수 있다.On the other hand, according to another embodiment of the present invention, the SE, an interface for communicating with the mobile terminal; And generating authentication information and transmitting the authentication information to a server through the mobile terminal, receiving input information input by the user through the interface through the interface, and authenticating the user based on the authentication information and the input information. And a processor configured to perform the operation, wherein the input information may be information input by the user to the mobile terminal with reference to the display information displayed on the user terminal receiving display information based on the authentication information from the server. .
이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, 모바일 단말의 SE가 생성한 인증 정보를 사용자 단말에 표시한 후, 사용자로 하여금 모바일 단말을 통해 입력하도록 하여, 사용자 인증을 수행할 수 있게 된다. 세상에서 가장 안전한 매체인 SE에서 생성한 정보에 기반한 사용자 인증을 수행하므로, 사용자 인증의 신뢰도가 매우 높다.As described above, according to the embodiments of the present invention, after displaying the authentication information generated by the SE of the mobile terminal on the user terminal, the user can be input through the mobile terminal, so that user authentication can be performed. . Since user authentication is performed based on information generated by SE, the world's most secure medium, user authentication is highly reliable.
아울러, PC와 같은 사용자 단말을 통해 제공되는 서비스에 대해, SE가 마련되어 있는 모바일 단말을 이용하여 사용자 인증을 수행하되, SE와 서버의 인터랙션에 의해 인증 절차가 수행된다는 점에서, 다채널에 의한 사용자 인증의 신뢰도가 더욱 높아지게 된다.In addition, although the user authentication for the service provided through the user terminal such as a PC is performed using the mobile terminal provided with the SE, the authentication process is performed by the interaction between the SE and the server. The credibility of the authentication becomes higher.
뿐만 아니라, 서버로부터 사용자 단말로 전달되는 인증 정보에 대해서도 보안을 강화하여, 전체적인 보안성이 매우 우수하다는 장점이 있다.In addition, by strengthening the security of the authentication information transmitted from the server to the user terminal, there is an advantage that the overall security is very excellent.
도 1 및 도 2는 본 발명의 실시예들에 대한 개념 설명에 제공되는 도면들,1 and 2 are views provided in a conceptual description of embodiments of the present invention,
도 3은 본 발명의 일 실시예에 따른 사용자 인증 방법의 설명에 제공되는 순서도,3 is a flowchart provided to explain a user authentication method according to an embodiment of the present invention;
도 4는 본 발명의 다른 실시예에 따른 사용자 인증 방법의 설명에 제공되는 순서도,4 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention;
도 5는 본 발명의 또 다른 실시예에 따른 사용자 인증 방법의 설명에 제공되는 순서도,5 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention;
도 6은 서버의 블럭도, 그리고,6 is a block diagram of a server, and
도 7은 USIM 카드의 블럭도이다.7 is a block diagram of a USIM card.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.Hereinafter, with reference to the drawings will be described the present invention in more detail.
1. 사용자 인증 시스템1. User Authentication System
도 1 및 도 2는 본 발명의 실시예들에 대한 개념 설명에 제공되는 도면들이다. 본 발명의 실시예들에서는, 도 1에 도시된 바와 같이 서버(100)가 사용자의 PC(Personal Computer)(200)를 통해 서비스를 제공하는 과정에서, 도 2에 도시된 바와 같이 사용자의 PC(200)와 모바일 단말(300)을 이용하여 사용자 인증 절차를 수행한다.1 and 2 are diagrams provided for illustrating a concept of embodiments of the present invention. In the embodiments of the present invention, as shown in FIG. 1, the server 100 provides a service through the personal computer (PC) 200 of the user, as shown in FIG. 2. The user authentication procedure is performed using the 200 and the mobile terminal 300.
도 1에서 제공하는 서비스가 인터넷 뱅킹 서비스인 경우, 도 2에서 수행하는 사용자 인증은 OTP(One Time Password) 인증일 수 있다. 나아가, 도 1에서 제공하는 서비스가 인터넷 쇼핑인 경우, 도 2에서 수행하는 사용자 인증은 온라인 결제 과정에서의 부가적인 사용자 인증(예를 들면, 안심 클릭과 같은 인증)일 수 있다.When the service provided in FIG. 1 is an internet banking service, the user authentication performed in FIG. 2 may be one time password (OTP) authentication. In addition, when the service provided in FIG. 1 is internet shopping, the user authentication performed in FIG. 2 may be additional user authentication (for example, authentication such as an assured click) in the online payment process.
하지만, 도 1에서 제공하는 서비스의 종류와 도 2에서 수행하는 사용자 인증의 종류에 대해서는 제한이 없으며, 예시한 서비스/인증 이외의 다른 서비스/인증에 대해서도, 본 발명의 기술적 사상이 적용될 수 있다.However, there is no limitation on the type of service provided in FIG. 1 and the type of user authentication performed in FIG. 2, and the technical spirit of the present invention may be applied to other services / authentications other than the illustrated service / authentication.
도 2에서 수행되는 사용자 인증 절차는, 사용자의 PC(200)에 인증 번호를 표시하고, 사용자가 PC(200)에 표시된 인증 번호를 사용자의 모바일 단말(300)에 입력하는 과정으로 수행된다.The user authentication procedure performed in FIG. 2 is performed by displaying an authentication number on the user's PC 200 and inputting the authentication number displayed on the PC 200 to the user's mobile terminal 300.
PC(200)에 표시되는 인증 번호는 서버(100)가 전송한 것이다. 즉, PC(200)는 서버(100)로부터 수신한 인증 번호를 모니터 화면에 그대로 표시한다.The authentication number displayed on the PC 200 is transmitted by the server 100. That is, the PC 200 displays the authentication number received from the server 100 as it is on the monitor screen.
한편, 인증 번호는 모바일 단말(300)에 장착된 USIM(Universal Subscriber Identity Module) 카드(400)가 생성한 것이다. 즉, 서버(100)는 USIM 카드(400)가 생성한 인증 번호를 PC(200)에 전송하는 것이다.On the other hand, the authentication number is generated by the Universal Subscriber Identity Module (USIM) card 400 mounted on the mobile terminal 300. That is, the server 100 transmits the authentication number generated by the USIM card 400 to the PC 200.
USIM 카드(400)는 자신이 생성한 인증 번호와 모바일 단말(300)을 통해 사용자가 입력한 인증 번호를 비교하여 사용자 인증을 수행하며, 인증 결과를 서버(100)에 전송한다.The USIM card 400 compares the authentication number generated by the user with the authentication number input by the user through the mobile terminal 300 to perform user authentication, and transmits the authentication result to the server 100.
본 발명의 실시예를 위해서는, 서버(100)와 PC(200)가 통신 연결되어야 함은 물론, 서버(100)와 USIM 카드(400)가 통신 연결되어야 하는데, 연결 방식은 서로 상이하다. 서버(100)와 PC(200)의 연결은 유/무선 인터넷 통신에 의하지만, 서버(100)와 USIM 카드(400)의 연결은 OTA(Over The Air) 통신에 의한다.For the embodiment of the present invention, the server 100 and the PC 200, as well as the communication connection, as well as the server 100 and the USIM card 400 should be connected by communication, the connection method is different from each other. The connection between the server 100 and the PC 200 is by wired / wireless Internet communication, but the connection between the server 100 and the USIM card 400 is by OTA (Over The Air) communication.
엄밀하게 USIM 카드(400)는 자신이 장착된 모바일 단말(300)을 통해 서버(100)와 통신하는 것이지만, 모바일 단말(300)은 단지 통신 매개로서만 기능할 뿐이며 통신 주체는 USIM 카드(400)이다. 따라서, 이해와 기재의 편의를 위해, 본 명세서에서는 USIM 카드(400)가 서버(100)와 직접 통신하는 것으로 표기할 것인데, 실질적으로는 모바일 단말(300)의 매개로 통신이 이루어지는 것임에 유념하여야 한다.While the USIM card 400 strictly communicates with the server 100 through the mobile terminal 300 to which the USIM card 400 is mounted, the mobile terminal 300 merely functions as a communication medium and the communication subject is the USIM card 400. to be. Therefore, for convenience of understanding and description, in the present specification, the USIM card 400 will be described as directly communicating with the server 100, but it should be noted that the communication is substantially performed through the medium of the mobile terminal 300. do.
2. USIM 카드 측에 의한 사용자 인증 절차2. User Authentication Process by USIM Card
이하에서, 도 1 및 도 2에 도시된 서비스 제공 중에 사용자 인증 절차가 수행되는 과정에 대해, 도 3을 참조하여 상세히 설명한다. 도 3은 본 발명의 일 실시예에 따른 사용자 인증 방법의 설명에 제공되는 순서도이다.Hereinafter, a process of performing a user authentication procedure while providing the service illustrated in FIGS. 1 and 2 will be described in detail with reference to FIG. 3. 3 is a flowchart provided to explain a user authentication method according to an embodiment of the present invention.
도 3에 도시된 바와 같이, 서비스 제공 과정에 부대하는 사용자 인증 수행을 위해, 사용자는 PC(200)를 통한 서비스 가입은 물론 사용자 인증 서비스 가입이 요구된다(S505 및 S510).As shown in FIG. 3, in order to perform user authentication accompanying the service providing process, the user is required to subscribe to the service through the PC 200 as well as to subscribe to the user authentication service (S505 and S510).
사용자 인증 서비스 가입에 의해, 서버(100)는 USIM 카드(400)에 사용자 인증 애플릿(450)을 발급하고(S515), USIM 카드(400)는 이를 설치한다(S520). 사용자 인증 애플릿(450)은 전술한 인증 번호를 생성하는 애플릿으로, 난수 발생기를 포함하고 있다.By subscribing to the user authentication service, the server 100 issues a user authentication applet 450 to the USIM card 400 (S515), and the USIM card 400 installs it (S520). The user authentication applet 450 is an applet that generates the aforementioned authentication number and includes a random number generator.
사용자 인증 서비스 가입 시에는 전화 번호 기입이 요구되며, 기입된 전화번호를 통해 서버(100)는 해당 USIM 카드(400)에 사용자 인증 애플릿(450)을 발급할 수 있다.When subscribing to the user authentication service, phone number entry is required, and the server 100 may issue a user authentication applet 450 to the corresponding USIM card 400 through the entered phone number.
S505단계 내지 S520단계는, 서비스 제공 과정에서 사용자 인증 수행에 필요한 사전 절차들이다. S505단계 내지 S520단계 이후에, 사용자는 PC(200)를 통해 서버(100)로부터 서비스를 제공받을 수 있다(S525). S525단계에서 제공되는 서비스는 전술한 인터넷 뱅킹, 인터넷 쇼핑 등을 의미한다.Steps S505 to S520 are preliminary procedures for performing user authentication in a service providing process. After step S505 to step S520, the user may receive a service from the server 100 through the PC 200 (S525). The service provided in step S525 refers to the aforementioned internet banking, internet shopping, and the like.
서비스 제공 중에 사용자 인증이 필요하게 되면(S530), 서버(100)는 USIM 카드(400)에 발급/설치된 사용자 인증 애플릿(450)에 인증 번호를 요청한다(S535). S530단계에서의 사용자 인증은 부가적인 인증 절차이다.If user authentication is required while providing a service (S530), the server 100 requests an authentication number from the user authentication applet 450 issued / installed on the USIM card 400 (S535). User authentication in step S530 is an additional authentication procedure.
즉, 인터넷 뱅킹의 경우, 비밀번호 입력과 공인인증서 인증은 S525단계의 서비스 범위에 포함되고, OTP 인증은 S530단계에서 필요하게 된 사용자 인증에 해당한다. 마찬가지로, 인터넷 쇼핑의 경우, 카드 번호, 유효 기간 및 CVC 번호 입력은 S525단계의 서비스 범위에 포함되고, 안심 클릭과 같이 추가적인 인증 번호에 의한 부수적인 인증이 S530단계에서 필요하게 된 사용자 인증에 해당한다.That is, in the case of Internet banking, password input and public certificate authentication are included in the service range of step S525, and OTP authentication corresponds to user authentication required in step S530. Similarly, in the case of Internet shopping, the card number, expiration date and CVC number input are included in the service range of step S525, and additional authentication by additional authentication numbers such as secure click corresponds to user authentication required in step S530. .
S535단계에서 인증 번호를 요청받은 사용자 인증 애플릿(450)은 인증 번호를 생성한다(S540). S540단계에서의 인증 번호 생성에는, 사용자 인증 애플릿(450)에 포함된 난수 발생기가 이용된다. 난수 발생기는 서버(100)와 공유하고 있는 키를 기반으로 난수를 생성하는데, 생성된 난수가 인증 번호가 된다.In operation S535, the user authentication applet 450 that has received the authentication number generates an authentication number (S540). In generating the authentication number in step S540, a random number generator included in the user authentication applet 450 is used. The random number generator generates a random number based on a key shared with the server 100, and the generated random number becomes an authentication number.
사용자 인증 애플릿(450)은 S540단계에서 생성된 인증 번호를 서버(100)에 전송한다(S545). 그러면, 서버(100)는 S545단계를 통해 수신한 인증 번호를 PC(200)에 전송하고(S550), PC(200)는 S550단계에서 수신한 인증 번호를 모니터 화면에 표시한다(S555).The user authentication applet 450 transmits the authentication number generated in step S540 to the server 100 (S545). Then, the server 100 transmits the authentication number received in step S545 to the PC 200 (S550), and the PC 200 displays the authentication number received in step S550 on the monitor screen (S555).
한편, S545단계에서 인증 번호를 서버(100)에 전송한 사용자 인증 애플릿(450)은, 모바일 단말(300)에 인증 번호 입력창 표시를 요청한다(S560). 인증 번호 입력창은, 도 2에 도시된 바와 같이 PC(200)에 표시된 인증 번호를 입력하기 위해 모바일 단말(300)의 화면에 표시되는 창이다.Meanwhile, the user authentication applet 450 which transmits the authentication number to the server 100 in step S545 requests the display of the authentication number input window from the mobile terminal 300 (S560). The authentication number input window is a window displayed on the screen of the mobile terminal 300 to input the authentication number displayed on the PC 200 as shown in FIG.
S560단계의 요청에 따라, 모바일 단말(300)은 인증 번호 입력창을 표시한다(S565). 이후, 인증 번호 입력창을 통해 사용자가 S555단계에서 PC(200)에 표시된 인증 번호를 입력하면(S570), 모바일 단말(300)은 사용자가 입력한 인증 번호를 사용자 인증 애플릿(450)에 전달한다(S575).In response to the request in step S560, the mobile terminal 300 displays the authentication number input window (S565). Then, when the user enters the authentication number displayed on the PC 200 in step S555 through the authentication number input window (S570), the mobile terminal 300 transmits the authentication number entered by the user to the user authentication applet 450. (S575).
그러면, 사용자 인증 애플릿(450)은 S575단계에서 전달받은 사용자가 입력한 인증 번호와 S540단계에서 생성하였던 인증 번호를 비교하여, 사용자가 정당한 사용자인지 인증한다(S580). 2개의 인증번호들이, 일치하면 정당한 사용자로 판명하지만, 일치하지 않으면 정당한 사용자가 아닌 것으로 판명한다.Then, the user authentication applet 450 compares the authentication number input by the user received in step S575 and the authentication number generated in step S540, and authenticates whether the user is a legitimate user (S580). The two authentication numbers turn out to be legitimate users if they match, but are not legitimate users if they do not match.
이후, 사용자 인증 애플릿(450)은 S580단계에서의 인증 결과를 서버(100)에 전송한다(S585). 그러면, 서버(100)는 S585단계에서 수신한 인증 결과를 기반으로, 후속 서비스를 제공한다(S590).Thereafter, the user authentication applet 450 transmits the authentication result in step S580 to the server 100 (S585). Then, the server 100 provides subsequent services based on the authentication result received in step S585 (S590).
3. 인증 정보 보안이 강화된 사용자 인증 절차3. User authentication procedure with enhanced security of authentication information
도 4는 본 발명의 다른 실시예에 따른 사용자 인증 방법의 설명에 제공되는 순서도이다. 도 4에 도시된 사용자 인증 방법은, 도 3에 사용자 인증 방법에서 서버(100)로부터 PC(200)로 전송되는 인증 번호의 보안을 강화한 방법이다.4 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention. The user authentication method illustrated in FIG. 4 is a method of strengthening the security of the authentication number transmitted from the server 100 to the PC 200 in the user authentication method of FIG. 3.
구체적으로, 본 발명의 실시예에서, 서버(100)는 S545단계를 통해 수신한 인증 번호를 PC(200)에 그대로 전송하는 것이 아니라, 사용자의 개인 정보로 암호화하고(S547), 암호화된 인증 번호를 PC(200)에 전송한다(S550).Specifically, in the embodiment of the present invention, the server 100 does not transmit the authentication number received through the step S545 to the PC 200 as it is, but encrypts the user's personal information (S547), the encrypted authentication number To transmit to the PC 200 (S550).
이에, PC(200)는, S550단계에서 수신한 암호화된 인증 번호를 사용자의 개인 정보로 복호화하고(S553), 복호화된 개인 정보를 모니터 화면에 표시한다(S555).Accordingly, the PC 200 decrypts the encrypted authentication number received in step S550 into user's personal information (S553), and displays the decrypted personal information on the monitor screen (S555).
개인 정보로 서비스 가입시에 사용자가 설정한 사용자 ID와 사용자 PW(PassWord)를 이용할 수 있다. 서버(100)가 인증 번호를 사용자 PW로 암호화한 경우, S553단계에서의 복호화를 위해서는 사용자가 PC(200)에 사용자 PW를 추가로 입력하여야 한다.With the personal information, the user ID set by the user and the user PW (PassWord) can be used. When the server 100 encrypts the authentication number with the user PW, the user must additionally input the user PW to the PC 200 for decryption in step S553.
하지만, 서버(100)가 인증 번호를 사용자 ID로 암호화한 경우, S553단계에서의 복호화를 위해 사용자가 PC(200)를 통해 사용자 ID를 추가로 입력하지 않아도 된다. 서비스 중에는 사용자 ID가 PC(200)의 저장 영역에 저장되어 있기 때문(즉, PC(200)는 사용자 ID를 알고 있기 때문)이다.However, when the server 100 encrypts the authentication number with the user ID, the user does not need to additionally input the user ID through the PC 200 for decryption in step S553. This is because the user ID is stored in the storage area of the PC 200 during the service (that is, the PC 200 knows the user ID).
4. 서버 측에 의한 사용자 인증 절차4. User Authentication Process by Server Side
도 5는 본 발명의 또 다른 실시예에 따른 사용자 인증 방법의 설명에 제공되는 순서도이다. 도 5에 도시된 사용자 인증 방법은 서버(100)가 사용자의 정당성을 판단한다는 점에서, USIM 카드(400)가 사용자의 정당성을 판단하는 도 3에 도시된 사용자 인증 방법과 차이가 있다.5 is a flowchart provided to explain a user authentication method according to another embodiment of the present invention. The user authentication method illustrated in FIG. 5 is different from the user authentication method illustrated in FIG. 3 in which the USIM card 400 determines the validity of the user in that the server 100 determines the validity of the user.
도 5의 S605단계 내지 S645단계는, 도 3의 S505단계 내지 S545단계와 동일하므로, 이들에 대한 상세한 설명은 생략하고, S650단계부터 설명한다.Since steps S605 to S645 of FIG. 5 are the same as steps S505 to S545 of FIG. 3, detailed description thereof will be omitted and will be described from step S650.
사용자 인증 애플릿(450)으로부터 인증 번호를 수신한 서버(100)는 수신한 인증 번호로부터 인증 번호를 재생성하고(S650), 재생성된 인증 번호를 사용자의 PC(200)에 표시할 표시 번호로 전송한다(S655).Receiving the authentication number from the user authentication applet 450, the server 100 regenerates the authentication number from the received authentication number (S650), and transmits the regenerated authentication number to the display number to be displayed on the user's PC 200. (S655).
본 발명의 실시예에서는, 서버(100)가 사용자 인증 애플릿(450)으로부터 수신한 인증 번호로부터 재생성한 인증 번호를 PC(200)의 표시 번호로 사용하기 때문에, 사용자 인증 애플릿(450)이 생성한 인증 번호와 PC(200)의 표시 번호가 동일하지 않다.In the embodiment of the present invention, since the server 100 uses the authentication number regenerated from the authentication number received from the user authentication applet 450 as the display number of the PC 200, the user authentication applet 450 generates the user authentication applet 450. The authentication number and the display number of the PC 200 are not the same.
이 점에서, 사용자 인증 애플릿(450)이 생성한 인증 번호와 PC(200)의 표시 번호가 동일한, 도 3에서 제시한 실시예와 차이가 있다. 도 3의 실시예에서는, 서버(100)가 사용자 인증 애플릿(450)으로부터 수신한 인증 번호를 변경 없이 그대로 사용자의 PC(200)에 표시할 표시 번호로 전송한 바 있다.In this respect, the authentication number generated by the user authentication applet 450 and the display number of the PC 200 are different from the embodiment shown in FIG. 3. In the embodiment of FIG. 3, the server 100 transmits the authentication number received from the user authentication applet 450 to the display number to be displayed on the user's PC 200 without change.
한편, S650단계에서, 인증 번호의 재생성 기법에 대한 제한은 없다. 간단하게는, 인증 번호의 해쉬값을 계산하여 인증 번호를 재생성할 수 있음은 물론, 인증 번호를 시드값으로 하여 새로운 난수를 생성하여 인증 번호를 재생성하는 것도 가능하다.On the other hand, in step S650, there is no restriction on the regeneration scheme of the authentication number. In addition, the authentication number can be regenerated by calculating the hash value of the authentication number, as well as generating a new random number using the authentication number as a seed value and regenerating the authentication number.
PC(200)는 S655단계에서 수신한 재생성된 인증 번호를 모니터 화면에 표시한다(S660). 한편, 전술한 실시예와 마찬가지로, 사용자 인증 애플릿(450)의 요청에 의해 모바일 단말(300)은 인증 번호 입력창을 표시한다(S665 및 S670). 그리고, 모바일 단말(300)은 인증 번호 입력창을 통해 사용자에 의해 입력된 인증 번호를 사용자 인증 애플릿(450)에 전달한다(S675 및 S680).The PC 200 displays the regenerated authentication number received in step S655 on the monitor screen (S660). On the other hand, as in the above-described embodiment, the mobile terminal 300 displays the authentication number input window at the request of the user authentication applet 450 (S665 and S670). The mobile terminal 300 transmits the authentication number input by the user through the authentication number input window to the user authentication applet 450 (S675 and S680).
사용자 인증 애플릿(450)은 S680단계에서 전달받은 입력된 인증 번호를 서버(100)에 전송한다(S685).The user authentication applet 450 transmits the input authentication number received in step S680 to the server 100 (S685).
한편, 모바일 단말(300)은 입력된 인증 번호를 사용자 인증 애플릿(450)을 통해 서버(100)에 전송하는 것으로 설명하였으나, 이외에 모바일 단말(300)이 입력된 인증 번호를 직접 서버(100)에 전송할 수도 있음은 물론이다.Meanwhile, although the mobile terminal 300 has been described as transmitting the input authentication number to the server 100 through the user authentication applet 450, the mobile terminal 300 directly inputs the authentication number to the server 100. Of course, it can also transmit.
그러면, 서버(100)는 S685단계에서 수신한 사용자가 입력한 인증 번호와 S650단계에서 재생성하였던 인증 번호를 비교하여, 사용자가 정당한 사용자인지 인증한다(S690). 2개의 인증번호들이, 일치하면 정당한 사용자로 판명하지만, 일치하지 않으면 정당한 사용자가 아닌 것으로 판명한다.Then, the server 100 compares the authentication number input by the user received in step S685 with the authentication number regenerated in step S650, and authenticates whether the user is a legitimate user (S690). The two authentication numbers turn out to be legitimate users if they match, but are not legitimate users if they do not match.
이후, 서버(100)는 S690단계에서 인증 결과를 기반으로, 후속 서비스를 제공한다(S695).Thereafter, the server 100 provides subsequent services based on the authentication result in step S690 (S695).
5. 서버5. Server
도 6은, 도 1 내지 도 5에 도시된 서버(100)의 블럭도이다. 도 6에 도시된 바와 같이, 서버(100)는 통신부(110), 서비스 처리부(120), 인증 처리부(130) 및 저장부(140)를 포함한다.6 is a block diagram of the server 100 shown in FIGS. 1 to 5. As shown in FIG. 6, the server 100 includes a communication unit 110, a service processing unit 120, an authentication processing unit 130, and a storage unit 140.
통신부(110)는 PC(200), 모바일 단말(300) 및 USIM 카드(400)와 통신 연결을 설정하고 유지하여, 서버(100)와 이들 간의 통신 인터페이스를 제공한다.The communication unit 110 establishes and maintains a communication connection with the PC 200, the mobile terminal 300, and the USIM card 400, thereby providing a communication interface between the server 100 and the server 100.
서비스 처리부(120)는 PC(200)를 통해 사용자에게 서비스를 제공함에 있어 필요한 프로세스들을 수행하고, 인증 처리부(130)는 서비스 제공 과정에서 필요한 사용자 인증 절차를 수행한다.The service processor 120 performs processes necessary for providing a service to the user through the PC 200, and the authentication processor 130 performs a user authentication procedure required in the service providing process.
사용자 인증 과정을 위해, 인증 처리부(130)는 USIM 카드(400)에 사용자 인증 애플릿(450)을 발급하고, 발급한 사용자 인증 애플릿(450)에 인증 번호를 요청하여 PC(200)로 전달한다. 필요한 경우, 인증 처리부(130)는 PC(200)로 전달하는 인증 정보를 암호화하거나 재생성할 수도 있으며, 후자의 경우 사용자의 정당성을 직접 판단할 수도 있다.For the user authentication process, the authentication processing unit 130 issues a user authentication applet 450 to the USIM card 400, requests the authentication number to the issued user authentication applet 450 and transmits it to the PC 200. If necessary, the authentication processing unit 130 may encrypt or regenerate authentication information delivered to the PC 200, and in the latter case may directly determine the legitimacy of the user.
저장부(140)는, 서비스 처리부(120)에 의한 서비스 제공과 인증 처리부(130)에 의한 사용자 인증에 필요한 프로그램과 데이터가 저장되어 있는 저장매체이다.The storage unit 140 is a storage medium that stores programs and data necessary for service provision by the service processor 120 and user authentication by the authentication processor 130.
6. USIM 카드6. USIM card
도 7은, 도 1 내지 도 5에 도시된 USIM 카드(400)의 블럭도이다. 도 7에 도시된 바와 같이, USIM 카드(400)는 단말 인터페이스(410), USIM 프로세서(430), 사용자 인증 애플릿(450) 및 UISM 메모리(470)를 포함한다.FIG. 7 is a block diagram of the USIM card 400 shown in FIGS. 1 to 5. As shown in FIG. 7, the USIM card 400 includes a terminal interface 410, a USIM processor 430, a user authentication applet 450, and a UISM memory 470.
단말 인터페이스(410)는 USIM 카드(400)와 모바일 단말(300) 간의 통신 연결을 위한 수단으로, 궁극적으로는 USIM 카드(400)가 모바일 단말(300)을 매개로 서버(100)와 통신할 수 있도록 한다.The terminal interface 410 is a means for communication connection between the USIM card 400 and the mobile terminal 300. Ultimately, the USIM card 400 may communicate with the server 100 via the mobile terminal 300. Make sure
USIM 프로세서(430)는 USIM 카드(400)의 전반적인 동작을 제어한다. 특히, USIM 프로세서(430)는 사용자 인증 애플릿(450)을 실행하여, 도 3 내지 도 5에 도시된 사용자 인증 방법에 필요한 절차들(인증 번호 생성/전송, 인증 번호 입력창 표시 요청, 사용자 정당성 판단 등)을 수행한다.The USIM processor 430 controls the overall operation of the USIM card 400. In particular, the USIM processor 430 executes the user authentication applet 450, and processes necessary for the user authentication method shown in FIGS. 3 to 5 (authentication number generation / transmission, authentication number input window display request, user justification determination). Etc.).
UISM 메모리(470)는 USIM 카드(400)의 동작에 필요한 프로그램과 데이터가 저장되어 있는 저장매체이다.The UISM memory 470 is a storage medium that stores programs and data necessary for the operation of the USIM card 400.
7. 변형예7. Modifications
지금까지, 모바일 단말의 SE가 생성한 인증 정보를 사용자 단말에 표시한 후, 사용자로 하여금 모바일 단말을 통해 입력하도록 하여, 사용자 인증을 수행하는 방법 및 시스템에 대해 바람직한 실시예를 들어 상세히 설명하였다.Up to now, the present invention has been described in detail with reference to a preferred embodiment of a method and system for performing user authentication by displaying authentication information generated by the SE of the mobile terminal on the user terminal and then allowing the user to input the information through the mobile terminal.
위 실시예에서, PC(200)는 사용자 단말의 일종으로, 다른 종류의 사용자 단말로 대체될 수 있음은 물론이다. 이는, USIM 카드(400)의 경우도 마찬가지이다. USIM 카드(400)도 embedded SE(Secure Element), SD(Secure Digital) 카드 등과 같은 다른 종류의 SE로 대체될 수 있다.In the above embodiment, the PC 200 is a kind of user terminal, and of course, may be replaced with another type of user terminal. This also applies to the USIM card 400. The USIM card 400 may also be replaced with another type of SE, such as an embedded Secure Element (SE) or Secure Digital (SD) card.
또한, 위 실시예들에서 모바일 단말(300)에 인증 번호 입력창 표시 요청은 USIM 카드(400)가 수행하는 것을 상정하였는데, 서버(100)에 의해 수행하는 것으로 구현하여도 무방하다.In addition, in the above embodiments, it is assumed that the request for displaying the authentication number input window to the mobile terminal 300 is performed by the USIM card 400, but may be implemented by the server 100.
아울러, 인증 번호는 숫자, 문자, 기호 중 적어도 하나를 포함하는 인증 정보로 대체될 수 있으며, 이 경우에도 본 발명의 기술적 사상이 그대로 적용될 수 있다.In addition, the authentication number may be replaced with authentication information including at least one of numbers, letters, and symbols, and in this case, the technical spirit of the present invention may be applied as it is.
또한, 위 실시예들에서는, PC(200)를 통한 서비스 제공 과정에서 부가적인 사용자 인증이 필요한 경우에, 모바일 단말(300)과 USIM 카드(400)가 개입하여 사용자 인증 절차를 수행하는 것을 상정하였는데, 사용자 인증이 필요한 상황은 다른 상황으로 확장할 수 있다. 즉, 서비스 제공 중이 아닌 서비스 개시 과정에서의 사용자 인증(예를 들면, 로그인 과정)에서도, 본 발명의 실시예들을 통해 제시된 사용자 인증 방법이 적용될 수 있다.In addition, in the above embodiments, it is assumed that when additional user authentication is required in the service providing process through the PC 200, the mobile terminal 300 and the USIM card 400 intervene to perform a user authentication procedure. For example, situations that require user authentication can be extended to other situations. That is, the user authentication method presented through the embodiments of the present invention may also be applied to user authentication (eg, a login process) during a service start process that is not being provided.
한편, 본 실시예에 따른 장치와 방법의 기능을 수행하게 하는 컴퓨터 프로그램을 수록한 컴퓨터로 읽을 수 있는 기록매체에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. 또한, 본 발명의 다양한 실시예에 따른 기술적 사상은 컴퓨터로 읽을 수 있는 기록매체에 기록된 컴퓨터로 읽을 수 있는 코드 형태로 구현될 수도 있다. 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터에 의해 읽을 수 있고 데이터를 저장할 수 있는 어떤 데이터 저장 장치이더라도 가능하다. 예를 들어, 컴퓨터로 읽을 수 있는 기록매체는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광디스크, 하드 디스크 드라이브, 등이 될 수 있음은 물론이다. 또한, 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터로 읽을 수 있는 코드 또는 프로그램은 컴퓨터간에 연결된 네트워크를 통해 전송될 수도 있다.On the other hand, the technical idea of the present invention can be applied to a computer-readable recording medium containing a computer program for performing the functions of the apparatus and method according to the present embodiment. In addition, the technical idea according to various embodiments of the present disclosure may be implemented in the form of computer readable codes recorded on a computer readable recording medium. The computer-readable recording medium can be any data storage device that can be read by a computer and can store data. For example, the computer-readable recording medium may be a ROM, a RAM, a CD-ROM, a magnetic tape, a floppy disk, an optical disk, a hard disk drive, or the like. In addition, the computer-readable code or program stored in the computer-readable recording medium may be transmitted through a network connected between the computers.
또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.In addition, although the preferred embodiment of the present invention has been shown and described above, the present invention is not limited to the specific embodiments described above, but the technical field to which the invention belongs without departing from the spirit of the invention claimed in the claims. Of course, various modifications can be made by those skilled in the art, and these modifications should not be individually understood from the technical spirit or the prospect of the present invention.

Claims (11)

  1. 모바일 단말의 SE(Secure Element)에 인증 정보를 요청하는 단계;Requesting authentication information from a secure element (SE) of the mobile terminal;
    상기 SE로부터 상기 인증 정보를 수신하는 단계;Receiving the authentication information from the SE;
    상기 인증 정보에 기초한 표시 정보를 사용자 단말에 전송하는 단계; 및Transmitting display information based on the authentication information to a user terminal; And
    상기 사용자 단말에 표시된 상기 표시 정보를 참조하여 사용자가 상기 모바일 단말에 입력한 입력 정보를 기초로, 상기 사용자에 대한 인증 절차를 수행하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.And performing an authentication procedure for the user based on the input information input by the user to the mobile terminal with reference to the display information displayed on the user terminal.
  2. 청구항 1에 있어서,The method according to claim 1,
    상기 표시 정보는, 상기 인증 정보와 동일하며,The display information is the same as the authentication information,
    상기 모바일 단말은, 상기 사용자에 의해 입력된 상기 입력 정보를 상기 SE로 전달하는 것을 특징으로 하는 사용자 인증 방법.The mobile terminal, the user authentication method, characterized in that for transmitting the input information input by the user to the SE.
  3. 청구항 1에 있어서,The method according to claim 1,
    상기 요청단계는,The requesting step,
    상기 사용자 단말을 통한 서비스 제공 중에, 상기 사용자에 대한 인증이 필요하게 된 경우에 수행하는 것을 특징으로 하는 사용자 인증 방법.A method of authenticating a user, characterized in that when the authentication of the user is required while providing a service through the user terminal.
  4. 청구항 1에 있어서,The method according to claim 1,
    상기 인증 절차 수행단계는,The performing of the authentication procedure,
    상기 사용자의 상기 입력 정보와 상기 인증 정보가 동일하면, 상기 사용자를 정당한 사용자로 인증하는 것을 특징으로 하는 사용자 인증 방법.And if the input information and the authentication information of the user are the same, authenticating the user as a legitimate user.
  5. 청구항 4에 있어서,The method according to claim 4,
    상기 인증 정보는, 상기 SE가 생성하고,The authentication information is generated by the SE,
    상기 입력 정보와 상기 인증 정보의 동일 여부는, 상기 SE가 판단하며,The SE determines whether the input information is the same as the authentication information,
    상기 SE로부터 상기 사용자 인증 결과를 수신하는 단계;를 더 포함하는 것을 특징으로 하는 사용자 인증 방법.And receiving the user authentication result from the SE.
  6. 청구항 1에 있어서,The method according to claim 1,
    상기 SE는, 상기 인증 정보를 전송한 후에, 상기 모바일 단말에 상기 사용자로부터 상기 표시 정보를 입력받을 것을 요청하는 것을 특징으로 하는 사용자 인증 방법.The SE, after transmitting the authentication information, the user authentication method, characterized in that to request the mobile terminal to receive the display information from the user.
  7. 청구항 1에 있어서.The method according to claim 1.
    상기 표시 정보는, 상기 인증 정보로부터 재생성된 인증 정보인 것을 특징으로 하는 사용자 인증 방법.And the display information is authentication information reproduced from the authentication information.
  8. 청구항 7에 있어서,The method according to claim 7,
    상기 인증 절차 수행단계는,The performing of the authentication procedure,
    상기 사용자의 상기 입력 정보를 전달받는 단계;Receiving the input information of the user;
    상기 입력 정보와 상기 재생성된 인증 정보가 동일하면, 상기 사용자를 정당한 사용자로 인증하는 단계;를 포함하는 것을 특징으로 하는 사용자 인증 방법.And authenticating the user as a legitimate user if the input information and the regenerated authentication information are the same.
  9. 모바일 단말의 SE(Secure Element) 및 사용자 단말과 통신 연결하는 통신부; 및A communication unit communicating with a secure element (SE) and a user terminal of the mobile terminal; And
    상기 통신부를 통해, 상기 SE에 인증 정보를 요청하여 수신하고 상기 인증 정보에 기초한 표시 정보를 상기 사용자 단말에 전송하며, 상기 사용자 단말에 표시된 상기 표시 정보를 참조하여 사용자가 상기 모바일 단말에 입력한 입력 정보를 기초로 상기 사용자에 대한 인증 절차를 수행하는 인증 처리부;를 포함하는 것을 특징으로 하는 서버.An input that the user inputs to the mobile terminal by requesting and receiving authentication information from the SE, transmitting the display information based on the authentication information to the user terminal, and referring to the display information displayed on the user terminal through the communication unit; And an authentication processing unit for performing an authentication procedure for the user based on the information.
  10. 모바일 단말의 SE(Secure Element)가, 인증 정보를 생성하는 단계;Generating, by the Secure Element (SE) of the mobile terminal, authentication information;
    상기 SE가, 생성된 인증 정보를 서버에 전송하는 단계;Transmitting, by the SE, the generated authentication information to a server;
    사용자가 상기 모바일 단말에 입력한 입력 정보를, 상기 SE가 상기 모바일 단말로부터 수신하는 단계; 및Receiving, by the SE, the input information input by the user to the mobile terminal from the mobile terminal; And
    상기 입력 정보를 기초로, 상기 SE가 상기 사용자에 대한 인증 절차를 수행하는 단계;를 포함하고,Based on the input information, the SE performing an authentication procedure for the user;
    상기 입력 정보는,The input information is,
    상기 인증 정보에 기초한 표시 정보를 상기 서버로부터 수신한 사용자 단말에 표시된 상기 표시 정보를 참조하여 상기 사용자가 상기 모바일 단말에 입력한 정보인 것을 특징으로 하는 사용자 인증 방법.And the user inputs the display information based on the authentication information to the mobile terminal with reference to the display information displayed on the user terminal received from the server.
  11. 모바일 단말과 통신 연결하는 인터페이스; 및An interface in communication with the mobile terminal; And
    인증 정보를 생성하여 상기 모바일 단말을 통해 서버에 전송하고, 사용자가 상기 모바일 단말에 입력한 입력 정보를 상기 인터페이스를 통해 수신하고, 상기 인증 정보와 상기 입력 정보를 기반으로 상기 사용자에 대한 인증 절차를 수행하는 프로세서;를 포함하고,Generate and transmit authentication information to a server through the mobile terminal, receive input information input by the user through the mobile terminal through the interface, and perform an authentication procedure for the user based on the authentication information and the input information. A processor to perform;
    상기 입력 정보는,The input information is,
    상기 인증 정보에 기초한 표시 정보를 상기 서버로부터 수신한 사용자 단말에 표시된 상기 표시 정보를 참조하여 상기 사용자가 상기 모바일 단말에 입력한 정보인 것을 특징으로 하는 SE(Secure Element).Secure element (SE) characterized in that the user inputs to the mobile terminal with reference to the display information displayed on the user terminal received the display information based on the authentication information from the server.
PCT/KR2015/011365 2014-10-31 2015-10-27 Method and system for user authentication, using se of mobile terminal WO2016068570A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020140150077A KR20160050914A (en) 2014-10-31 2014-10-31 User Authentication Method and System using SE of Mobile terminal
KR10-2014-0150077 2014-10-31

Publications (1)

Publication Number Publication Date
WO2016068570A1 true WO2016068570A1 (en) 2016-05-06

Family

ID=55857820

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2015/011365 WO2016068570A1 (en) 2014-10-31 2015-10-27 Method and system for user authentication, using se of mobile terminal

Country Status (2)

Country Link
KR (1) KR20160050914A (en)
WO (1) WO2016068570A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120037330A (en) * 2010-10-11 2012-04-19 (주) 나무인터넷 Log-in method and system using image objects
KR20130045473A (en) * 2011-10-26 2013-05-06 에스케이씨앤씨 주식회사 Method and system for network control using se mounted mobile terminal
KR101350438B1 (en) * 2013-04-18 2014-01-16 주식회사 티모넷 Digital signature system for using se(secure element) inside mobile unit and method therefor
KR20140081929A (en) * 2012-12-14 2014-07-02 에스케이씨앤씨 주식회사 System and Method for Online/Offline Hybrid Mobile Game

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120037330A (en) * 2010-10-11 2012-04-19 (주) 나무인터넷 Log-in method and system using image objects
KR20130045473A (en) * 2011-10-26 2013-05-06 에스케이씨앤씨 주식회사 Method and system for network control using se mounted mobile terminal
KR20140081929A (en) * 2012-12-14 2014-07-02 에스케이씨앤씨 주식회사 System and Method for Online/Offline Hybrid Mobile Game
KR101350438B1 (en) * 2013-04-18 2014-01-16 주식회사 티모넷 Digital signature system for using se(secure element) inside mobile unit and method therefor

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
"Handbook of Applied Cryptography", CRC PRESS, article ALFRED J. MENEZES ET AL.: "Chapter 10" *

Also Published As

Publication number Publication date
KR20160050914A (en) 2016-05-11

Similar Documents

Publication Publication Date Title
WO2017111383A1 (en) Biometric data-based authentication device, control server linked to same, and biometric data-based login method for same
WO2018124857A1 (en) Blockchain database-based method and terminal for authenticating user non-face-to-face by utilizing mobile id, and server utilizing method and terminal
KR101759193B1 (en) Network authentication method for secure electronic transactions
WO2017057899A1 (en) Integrated authentication system for authentication using single-use random numbers
WO2013176491A1 (en) Method for authenticating web service user
WO2015147547A1 (en) Method and apparatus for supporting login through user terminal
US20090158033A1 (en) Method and apparatus for performing secure communication using one time password
WO2018124856A1 (en) Method and terminal for authenticating user by utilizing mobile id by means of blockchain database, and server utilizing method and terminal
WO2014185594A1 (en) Single sign-on system and method in vdi environment
WO2018151480A1 (en) Authentication management method and system
WO2015069018A1 (en) System for secure login, and method and apparatus for same
WO2021150032A1 (en) Method for providing authentication service by using decentralized identity and server using the same
WO2018021708A1 (en) Public key-based service authentication method and system
WO2014003362A1 (en) Otp-based authentication system and method
WO2016064041A1 (en) User terminal using hash value to detect whether application program has been tampered and method for tamper detection using the user terminal
WO2017043717A1 (en) Biometric user authentication method
WO2018216988A1 (en) Security authentication system and security authentication method for creating security key by combining authentication factors of multiple users
WO2018040760A1 (en) Server, terminal, and verification method for authorization code thereof
WO2020034527A1 (en) User personal information encryption and authorisation method, apparatus, and device, and readable storage medium
KR20180087543A (en) Key management method and fido authenticator software authenticator
WO2012074275A2 (en) User authentication apparatus for internet security, user authentication method for internet security, and recorded medium recording same
WO2015178597A1 (en) System and method for updating secret key using puf
WO2010068057A1 (en) Apparatus for managing identity data and method thereof
WO2016064040A1 (en) User terminal using signature information to detect whether application program has been tampered and method for tamper detection using the user terminal
WO2019017525A1 (en) User authentication server and system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 15855316

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 15855316

Country of ref document: EP

Kind code of ref document: A1