[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR101680525B1 - 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 - Google Patents

앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 Download PDF

Info

Publication number
KR101680525B1
KR101680525B1 KR1020160088062A KR20160088062A KR101680525B1 KR 101680525 B1 KR101680525 B1 KR 101680525B1 KR 1020160088062 A KR1020160088062 A KR 1020160088062A KR 20160088062 A KR20160088062 A KR 20160088062A KR 101680525 B1 KR101680525 B1 KR 101680525B1
Authority
KR
South Korea
Prior art keywords
authentication
application
data
app
user
Prior art date
Application number
KR1020160088062A
Other languages
English (en)
Inventor
김주한
Original Assignee
김주한
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김주한 filed Critical 김주한
Priority to KR1020160088062A priority Critical patent/KR101680525B1/ko
Application granted granted Critical
Publication of KR101680525B1 publication Critical patent/KR101680525B1/ko
Priority to EP17827821.4A priority patent/EP3487119B1/en
Priority to JP2018548880A priority patent/JP6725679B2/ja
Priority to CA3029516A priority patent/CA3029516C/en
Priority to AU2017295345A priority patent/AU2017295345B2/en
Priority to PCT/KR2017/006406 priority patent/WO2018012747A1/ko
Priority to ES17827821T priority patent/ES2961812T3/es
Priority to CN201780011374.5A priority patent/CN108604991B/zh
Priority to US16/076,699 priority patent/US10305902B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3215Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2129Authenticate client device independently of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은, 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법에 관한 것으로서, 휴대단말에 설치된 인증앱의 위변조를 탐지하는 방법과, 사용자가 N(N≥1)개의 사이트에 개별 인증을 하지 않고, 인증 대행 서버에서 휴대단말을 이용하여 인증을 하고, 그 결과를 인증하려는 사이트에 중계하고, 중계 기록을 남겨 부인방지 가능한 인증 대행 시스템을 제공하려는 관한 것이다.
본 발명의 일면에 따른, 일회용 앱ID가 부여되어 있는 인증앱(110)을 구비하고 있는 휴대단말(100)로부터 인증요청에 대해, 인증 대행 서버(200)는 접속한 휴대단말에 대한 단말기 인증단계(S201); 인증된 휴대단말의 인증앱(110)에 부여된 앱ID로 암호화된 인증요청 데이터를 복호화하여 앱의 재설치(리패키징) 여부와 앱 버전을 확인하는 는 1차 복호 및 앱 인증단계(S202); 1차 복호 데이터 중 암호화된 데이터를 휴대단말(100) 사용자의 앱 패스워드로 복호화하여, 패스워드 일치 여부와 사용자의 제한연령 체크 및 등록된 사이트인지 확인하는 2차 복호 및 인증대행단계(S203); 인증된 유저ID와 토큰을 서비스 서버(300)에 중계하는 토큰 중계단계(S204); 과정을 기록하여 인증결과에 대해 부인방지하는 토큰 중계 로그 기록단계(S205); 인증요청한 휴대단말(100)에 설치된 인증앱(110)의 신규 앱ID를 발행하고 갱신하는 일회용 앱ID 갱신단계(S206); 인증성공결과를 휴대단말(100)에 송신하는 인증성공 응답 송신단계(S207); 인증과정에서 NG 발생시, 인증실패결과를 휴대단말(100)에 송신하는 인증실패 응답 송신단계(S208); 를 포함하는 것을 특징으로 한다.

Description

앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 {app forgery detection, 2-channel certification agency system and method thereof}
본 발명은, 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법에 관한 것으로서, 휴대단말을 인증용 도구로서 사용한다.
좀 더 상세하게는 인증용 도구로 사용하는 휴대단말에 설치된 특정 애플리케이션의 위변조를 탐지하는 방법과, N(N≥1)개의 사이트에 대해 사이트별로 개별 인증을 하지 않고, 신뢰할 인증 대행 서버에서 휴대단말을 이용하여 인증을 하고 그 결과를 인증이 필요한 등록된 사이트에 중계하므로 인증을 대행하는 시스템 및 그 방법에 관한 것이다.
스마트폰의 보급으로 스마트폰에 쉽게 애플리케이션(이하 앱)을 설치할 수 있다, 앱을 설치한 스마트폰의 휴대단말 디바이스 정보를 통해 스마트폰의 소유주를 특정할 수 있다. 이로써 ID/패스워드를 입력하지 않고, 디바이스 인증만으로도 사용자를 특정하는 인증이 가능하다.
그러나 앱 개발 소스를 취득한 후, 위변조하여 재설치(리패키징)가 가능하다. 앱 위변조를 방지하기 위해, 앱 스토어(APP Store)에서 개발자들에게 앱 배포 전 소스 난독화를 권장하고 있다.
또한 모바일 뱅킹 앱이 널리 보급되고 있으며, 뱅킹의 인증 정보와 같은 각종 중요 정보가 위변조 앱 실행에 의해 유출될 수 있어, 앱을 실행하면, 위변조 탐지 서버와 연동하여 앱의 무결성을 검증하는 기술도 사용되고 있다.
한편, 이동통신 단말기를 이용하여 인증, 회원가입, 결제 서비스를 위한 애플리케이션에 관한 기술로서 공개번호 10-2013-0112786 "이동통신 단말기를 이용한 인증, 회원등록 그리고 결제 서비스를 위한 애플리케이션(김주한)" (문헌 1)에는 휴대단말기에 설치된 앱으로 QR코드 또는 NFC를 통해 데이터를 취득하고, 약정된 포맷의 데이터이면, 인증 앱을 기동하여 약정된 포맷의 데이터를 전달하거나, 휴대단말의 모바일 웹 브라우져에서 인증 앱을 기동하여 약정된 포맷의 데이터[도 7 참조]를 전달하여, 클라이언트 단말에서 아이디와 패스워드를 입력하지 않고서도 인증, 회원가입 및 결제할 수 있는 기술이 개시된다.
그러나, 스마트폰에 설치된 앱은 역공학(디컴파일)을 통해 분석한 뒤, 소스코드를 추출할 수 있다. 소스코드를 난독화한다고 해도 난독화 기술이 항상 완전하다 보장할 수 없고, 내부 개발자에 의해 소스코드가 유출될 가능성도 있다. 소스코드를 분석하면 인증 대행 서버에 전달하는 파라미터 종류와 암호 알고리즘을 알 수 있어 파리미터에 가짜 데이터를 셋팅하고 암호화하여 인증 대행 서버에 전송하는 것이 가능하다.
또한 일부 모바일 OS에서는 앱을 통하여 앱 사용자의 디바이스 정보를 수집하는 것이 가능하다.
악의적인 목적의 공격자는 공격 대상자의 패스워드와 디바이스 정보를 확보한 후, 공격자의 스마트폰에 파라미터 변조가 가능한 위변조된 앱을 설치하여 수집한 디바이스 정보를 파라미터에 셋팅하여 인증을 시도함으로 인증 대행 서버에서는 셋팅된 디바이스 정보로서 인증이 될 수도 있다.
상기 모바일 뱅킹 앱의 경우, 앱 실행 직후, 위변조 탐지 서버와 연동하여 앱의 무결성을 확인해야 함으로, 별도의 위변조 탐지 시스템이 필요하나, 별도의 위변조 탐지 시스템 없이 앱의 위변조 탐지가 가능하다면 좋을 것이다.
[문헌 1] 한국공개특허 10-2013-0112786(공개일자 2013년10월14일, 김주한)
본 발명의 목적은, 악의적인 목적의 공격자가 앱 소스를 획득하여 파라미터 변조 가능한 가짜 앱을 만들어 설치하고, 인증에 필요한 디바이스 정보와 인증 정보를 획득하여 인증을 시도할지라도 디바이스 인증과 디바이스에 설치된 앱의 진위를 파악함으로 악의적인 목적의 인증 시도를 차단하는 모바일 앱 위변조 탐지 방법을 제공하는 것이다.
본 발명의 목적은, 악의적인 목적의 공격자가 육안으로는 진위파악이 어려운 정교한 웹페이지를 작성한 후 접속을 유도하는 피싱/파밍 사이트에 대해, 등록되지 않은 사이트에 사용자의 접속을 차단함으로 그 피해를 방지하는 인증 대행 시스템을 제공하는 것이다.
본 발명의 목적은, 연령에 따라 접속을 제한하는 연령제한 사이트에 대해, 휴대단말 사용자의 생년월일을 기준 하여 연령이 미달되는 경우, 사이트에 회원가입 또는 로그인(인증)을 원천적으로 차단하는 인증 대행 시스템을 제공하는 것이다.
본 발명의 목적은, 제3의 신뢰할 기관에서 인증을 대행하고, 인증 기록을 보존하여 인증관련 분쟁 발생시, 데이터 추적 가능하여 인증요청을 수행하는 자가 인증요청이 자신에 의한 것이 아니라고 부인할 수 없고, 네트워크상에서 중간자 공격 및 재전송 공격을 방지함으로서 부인방지 가능한 인증 대행 시스템을 제공한다.
전술한 과제를 해결하기 위하여, 본 발명은 일면에 휴대단말을 이용한 인증 대행 시스템은, 본인 확인된 휴대단말(100)의 디바이스 및 인증앱 등록에 있어서, 휴대단말(100)의 전화번호와 확인용 앱 패스워드를 키 입력받아 인증앱(110) 사용 신청을 하는 인증 대행 서버(200)의 클라이언트 단말(10); 클라이언트 단말(10)로부터 인증앱(110) 사용 신청에 대해 휴대단말(100)의 전화번호와 앱 패스워드를 단말정보테이블(291)에 등록하는 인증앱 사용 접수부(205); 휴대단말(100)로부터의 접속으로 단말정보와 확인용 앱 패스워드를 수신하면, 일회용 앱ID를 발급하여 단말정보를 등록하는 단말정보 등록부(206); 를 포함하는 인증 대행 서버(200); 최초 인증앱(110)이 기동되어, 사용동의 후, 단말정보를 취득하고, 확인용 앱 패스워드를 입력받아 단말등록을 요청하고, 응답으로 인증 대행 서버(200)로부터 일회용 앱ID와 1차 복호 확인코드, 2차 복호 확인코드를 수신하여 사설영역(111)에 저장하는 인증앱(110)을 구비한 휴대단말(100); 를 포함하는 것을 특징으로 한다.
상기 단말정보 등록부(206)는, 상기 단말정보는 단말식별번호와 휴대단말(100)의 전호번호를 포함하고, 수신한 전화번호와 상기 앱 패스워드로 단말정보테이블(291)을 참조하여 인증앱(110) 사용 신청 여부를 확인하고, 신청이 유효하면, 최초의 일회용 앱ID를 발행하고, 수신한 전화번호로 사용자정보테이블(293)을 참조하여 유저ID를 취득하고, 단말식별번호, 유저ID, 일회용 앱ID를 단말정보테이블(291)에 갱신하여 단말을 등록하는 수단; 단말정보 등록 후, 상기 일회용 앱ID와, 1,2차 복호 확인코드(202)의 내용을 단말등록을 요청한 휴대단말(100)에 응답하는 수단; 을 더 포함하는 것을 특징으로 한다.
상기 사설영역(111)은, 인증앱(110)에만 읽기, 쓰기 권한이 부여된 전용영역으로 적어도 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드가 저장되고, 앱이 삭제되거나, 재설치(리패키징) 되면, 사설영역(111)에 저장된 데이터는 삭제되는 것을 특징으로 한다.
휴대단말(100)에 설치된 인증앱(110)은, 앱이 기동되며 헤더부와 데이터부로 구성된 파라미터를 수신하고 파라미터의 정합성 여부를 확인하는 네트키 수신부(112); 인증요청 데이터를 작성하고 암호화하여 인증을 요청하는 암호화 및 인증요청부(113); 적어도 결과코드, 유저명, 사이트명칭, 암호화된 신규 앱ID를 수신하는 인증결과 수신부(114); 암호화된 신규 앱ID를 복호하여 사설영역(111)에 갱신하는 일회용 앱ID 갱신부(115); 결과코드에 따라 유저명과 사이트명칭이 포함된 메세지를 작성하여 표시하는 인증결과 표시부(116); 로 구성되는 인증앱(110); 휴대단말(100)로부터 인증요청에 대해 암호화된 인증요청 데이터를 복호하고, 인증을 대행하는 복호화 및 인증 대행부(210); 적어도 유저ID와 토큰을 서비스 서버(300)에 중계하고 결과코드를 수신하는 토큰 중계부(220); 부인방지를 위해 중계한 토큰의 내역을 기록하는 중계 로그 기록부(230); 신규 일회용 앱ID를 발행하고 갱신하는 일회용 앱ID 발행부(240); 인증결과 데이터를 작성하여 인증요청에 대해서 응답하는 인증결과 송신부(250);로 구성되는 인증 대행 서버(200)를 포함하는 것을 특징으로 한다.
상기 암호화 및 인증요청부(113)는, 단말식별번호를 취득하고, 사설영역(111)에서 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드를 취득하고, 인증앱(110)의 앱 버전을 취득하고 앱 패스워드를 키 입력받는 정보취득수단; 상기 파라미터의 데이터부에 2차 복호 확인코드를 붙여서 상기 앱 패스워드를 암호키로 사용하여 암호화하는 1차 암호화수단; 1차 암호화 데이터에 1차 복호 확인코드와 앱 버전을 붙여서, 상기 일회용 앱ID를 암호키로 사용하여 암호화하는 2차 암호화수단; 2차 암호화한 데이터에 단말식별번호를 붙여서 인증요청 데이터를 작성하는 데이터 작성수단;을 더 포함하고, 작성한 인증요청 데이터를 인증 대행 서버(200)에 인증을 요청하는 것을 특징으로 한다.
상기 복호화 및 인증 대행부(210)는, 수신한 인증요청 데이터에서 단말식별번호와 암호화 데이터를 추출하고, 단말식별번호를 키로 하여 단말정보테이블(291)을 참조하여, 유저ID, 일회용 앱ID, 앱 패스워드를 취득하는 휴대단말(100)의 디바이스 인증수단; 상기 일회용 앱ID를 복호키로 하여 상기 암호화 데이터를 1차 복호를 하고, 1차 복호화 데이터에서 1차 복호 확인코드를 추출하고, 메모리의 1차 복호 확인코드와 일치 여부를 확인하여 앱의 위변조 후, 재설치(리패키징)를 탐지하는 하는 앱 인증수단; 1차 복호화 데이터에서 앱 버전을 추출하고, 메모리의 앱 버전과 일치 여부를 확인하는 앱 버전 확인수단; 1차 복호 데이터 중 암호화 데이터를 추출하여 상기 앱 패스워드를 복호키로 하여 2차 복호를 실시하고, 2차 복호화 데이터에서 2차 복호 확인코드를 추출하고, 메모리의 2차 복호 확인코드와 일치 여부로 패스워드 일치를 확인하는 앱 패스워드 인증수단; 2차 복호화 데이터에서 가맹점ID를 추출하고, 추출한 가맹점ID를 키로 하여 가맹점정보테이블(292)을 참조하여, 서비스 서버(300)의 URL과 가맹점 명칭, 접속제한연령, 접속 암호키를 취득하는 사이트 인증수단; 2차 복호화 데이터에서 제한연령을 추출하고, 상기 유저ID로 사용자정보테이블 (293)을 참조하여, 유저명과 생년월일을 취득하고, 시스템의 날짜와 생년월일을 비교하여 휴대단말(100) 사용자의 연령을 계산하고, 연령이 상기 제한연령 또는 상기 접속제한연령 미만의 경우는 사이트의 접속을 제한하는 제한연령 인증수단; 을 더 포함하는 것을 특징으로 한다.
상기 중계 로그 기록부(230)는, 중계 로그테이블(294)에 토큰 발행자 ID에는 상기 토큰을 발행한 서비스 서버(300)를 특정하는 가맹점ID를 설정하고, 처리된 토큰에는 상기 토큰을 설정하고, 인증결과에는 서비스 서버(300)에서 수신한 상기 결과코드를 설정하고, 유저ID에는 휴대단말(100)의 유저ID를 설정하고, 토큰처리 타임 스템프에는 인증 대행 서버(200)의 시스템 타임을 설정하여 등록함으로 인증관련 분쟁 발생시, 데이터 추적 가능하여 인증 결과에 대한 부인방지 가능한 것을 특징으로 한다.
2채널 인증 대행 시스템에서 구현되는 인증 방법 있어서, 인증앱(110)은, 헤더부와 데이터부로 구성되는 파라미터의 각 항목의 존재 여부 및 정합성을 체크하는 파라미터 체크단계(S100); 헤더부의 식별코드와 관련 있는 인증 대행 서버(200)의 접속 URL을 취득하는 단계(S102); 일회용 앱ID를 포함한 인증요청에 필요한 데이터를 수집하는 정보취득단계(S103); 암호키로 사용할 앱 패스워드를 키 입력받는 단계(S104); 인증 대행 서버(200)에 송신할 인증요청 데이터를 작성하고 암호화하는 데이터 작성 및 암호화단계(S105); 취득한 상기 URL로 접속하여 인증요청 데이터를 송신하고, 인증결과 데이터를 수신하는 인증요청단계(S106); 상기 인증결과 데이터에서 암호화 데이터를 추출하고 상기 일회용 앱ID로 복호화한 데이터를 새로운 앱ID로서 사설영역(111)에 갱신하는 단계(S107); 인증결과 데이터에서 결과코드, 유저명, 사이트 명칭을 추출하고, 결과코드에 따라 유저명 과 사이트 명칭이 포함되는 메세지를 작성하여 표시하는 인증성공 표시단계(S108); 앱 실행중 에러가 발생하면, 실패 메세지를 표시하는 인증 실패 표시단계(S109); 를 포함하는 것을 특징으로 한다.
상기 정보취득단계(S103)는, 단말정보(단말식별번호, 전화번호 )와 앱 버전을 취득하고, 사설영역(111)에서 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드를 취득하고, 앱ID 취득에 실패하면, 인증앱(110)의 재설치(리패키징)로 판정하여, 에러를 표시하는 것을 특징으로 한다.
상기 데이터 작성 및 암호화단계(S105)는, 상기 파라미터의 데이터부에 2차 복호 확인코드를 붙이고 상기 앱 패스워드를 암호키로 하여 암호화하는 1차 암호화단계;
1차 암호화 데이터에 1차 복호 확인코드와 앱 버전을 붙이고, 상기 일회용 앱ID를 암호키로 하여 암호화하는 2차 암호화단계; 2차 암호화한 데이터에 단말식별번호를 붙여서 인증요청 데이터를 작성하는 단계;를 더 포함하고, 앱ID와 앱 패스워드를 대칭키 암호화 방식의 암호화키로 사용하여 간접적으로 앱ID와 앱 패스워드를 송신하는 것을 특징으로 한다.
상기 인증결과 데이터는, 적어도 인증 결과코드, 휴대단말(100) 사용자의 유저명, 인증 대행 서버(200)에 등록된 서버스 서버(300)의 사이트 명칭, 상기 일회용 앱ID를 암호키로 사용하여 암호화한 신규 앱ID를 포함하는 것을 특징으로 한다.
2채널 인증 대행 시스템에서 구현되는 인증 방법 있어서, 인증 대행 서버(200)는 인증앱(110)의 최신 버젼 정보, 1,2차 복호 확인코드 정보가 시스템 기동과 함께 메모리에 상주되고, 휴대단말(100)의 접속으로 인증요청 데이터를 수신하는 인증요청 수신단계(S200); 상기 인증요청 데이터에서 단말식별번호와 암호화 데이터를 추출하고, 단말식별번호를 키로 하여 단말정보테이블(291)을 참조하여 유저ID, 일회용 앱 ID, 앱 패스워드를 취득하는 휴대단말(100)의 단말기 인증단계(S201); 1차 복호화 데이터를 취득하고, 앱 인증하는 1차 복호 및 앱 인증단계(S202); 2차 복호화 데이터를 취득하고, 인증대행하는 2차 복호 및 인증대행단계(S203); 적어도 인증된 유저ID와 토큰을 접속 암호키로 암호화하여 서비스 서버(300)에 중계하고, 인증 결과코드를 포함하는 중계결과를 수신하는 토큰중계단계(S204); 부인방지를 위해 중계한 토큰 내역을 기록하는 토큰 중계 로그 기록단계(S205); 인증앱(110)에 대한 신규 앱ID를 발행하고, 상기 단말식별번호를 키로 하여 단말정보테이블(291)에 신규 앱ID를 갱신하는 일회용 앱ID 갱신단계(S206); 인증결과 데이터를 작성하고 응답하는 인증성공 응답 송신단계(S207); 인증 처리중 에러가 발생하면, 인증 실패 응답 송신단계(S208); 를 포함하는 것을 특징으로 한다.
상기 1차 복호 및 앱 인증단계(S202)는, 상기 일회용 앱ID를 복호키로 하여 상기 암호화 데이터를 1차 복호를 하고, 1차 복호화 데이터에서 1차 복호 확인코드를 추출하고, 메모리의 1차 복호 확인코드와 일치 여부로 휴대단말(100)에 설치된 인증앱(110)의 위변조 후, 재설치(리패키징)를 탐지하는 앱 인증단계; 1차 복호화 데이터에서 앱 버전을 추출하고, 메모리의 앱 버전과 일치 여부로 인증앱(110)의 최신 버전을 확인하는 단계; 를 더 포함하는 것을 특징으로 한다.
상기 2차 복호 및 인증대행단계(S203)는, 상기 1차 복호화 데이터 중 암호화 데이터를 추출하고, 상기 앱 패스워드를 복호키로 하여 2차 복호를 실시하고, 2차 복호화 데이터에서 2차 복호 확인코드를 추출하고, 메모리의 2차 복호 확인코드와 일치 여부로 패스워드 일치를 확인하는 앱 패스워드 인증단계; 인증 대행 서비스 계약을 체결한 사이트인지 판정하는 사이트 인증단계; 휴대단말(100) 사용자의 연령은 서비스 서버(300)의 제한연령에 적합한지 판정하는 연령인증단계;를 더 포함하는 것을 특징으로 한다.
상기 사이트 인증단계는 상기 2차 복호화 데이터에서 가맹점ID를 추출하고, 추출한 가맹점ID를 키로 하여 가맹점정보테이블(292)을 참조하여, URL과 가맹점 명칭, 접속제한연령, 접속 암호키를 취득하는 것으로 인증 대행 서비스 계약을 체결한 사이트인지 판정하는 것을 특징으로 한다.
상기 연령인증단계는 상기 2차 복호화 데이터에서 제한연령을 추출하고, 상기 유저ID로 사용자정보테이블 (293)을 참조하여, 유저명과 생년월일을 취득하는 단계; 시스템의 날짜와 생년월일을 비교하여 휴대단말(100) 사용자의 연령을 계산하는 단계; 계산한 연령이 상기 제한연령 또는 접속제한연령 미만의 경우는 연령인증 실패로 판정하는 단계; 를 더 포함하는 것을 특징으로 한다.
상기 토큰 중계 로그 기록단계(S205)는, 토큰 발행자 ID에는 상기 2차 복호화 데이터의 가맹점ID를 설정하고, 처리된 토큰에는 2차 복호화 데이터의 토큰을 설정하고, 인증결과에는 토큰 중계 결과로 서비스 서버(300)에서 수신한 인증 결과코드를 설정하고, 유저ID에는 휴대단말(100)의 상기 유저ID를 토큰처리 타임 스템프에는 인증 대행 서버(200)의 시스템 타임을 설정하여 중계 로그테이블(294)에 등록하는 것으로 인증관련 분쟁 발생시, 데이터 추적 가능하여 인증 결과에 대한 부인방지 가능한 것을 특징으로 한다.
상기 인증 성공 응답단계(S207)는, 상기 신규 앱ID에 상기 앱ID를 암호키로 하여 암호화하고, 서비스 서버(300)에서 수신한 인증 결과코드, 유저명, 가맹점 명칭, 암호화한 신규 앱ID를 적어도 포함하는 인증결과 데이터를 작성하여 휴대단말(100)에 응답하는 것을 특징으로 한다.
휴대단말(100)에서 앱 위변조 탐지 가능한 2채널 인증 대행 방법을 수행하기 위한 프로그램이 휴대단말(100)의 제어부가 읽을 수 있도록 기록된 기록매체.
본 발명의 효과는, 악의적인 목적의 공격자가 앱 소스와 인증에 필요한 디바이스 정보 및 인증 정보 수집에 성공하였다 하여도 그 수집한 정보로 인증에 사용할 수 없게 함으로 사용자의 부주의로 발생 될 수 있는 피해를 원천적으로 방지하고 악의적인 목적으로 제작된 악성 앱 배포 시도를 억제할 수 있는 효과가 있다.
본 발명의 효과는, 휴대단말을 이용한 2채널 인증으로 키보드 해킹. 화면 해킹을 원천적으로 차단하며, 사이트 인증을 통하여 사용자의 부주의로 발생할 수 있는 파밍/피싱에 의한 가짜 사이트로의 접속으로 인한 피해도 방지할 수 있다.
또한, 본 발명 적용시, 연령을 제한하는 사이트에 대해 연령에 미치지 못하는 사용자가 사이트에 회원가입 및 로그인(인증)하는 것을 원천적으로 차단하는 효과도 있다.
또한, 제3의 신뢰할 기관에서 인증을 대행하고, 인증 기록을 보존하고, 인증을 보장함으서 공인인증서를 대체하는 효과도 있다.
도 1은, 본 발명의 실시 예에 2채널 인증 대행 시스템을 도시한 도면.
도 2는, 본 발명의 실시 예에 따른 휴대단말(100)의 디바이스와 인증앱(110)을 인증 대행 서버(200)에 등록하는 절차를 도시한 블럭도 이다.
도 3은, 본 발명의 실시 예의 앱 위변조 탐지 가능한 인증 대행 시스템의 구성을 도시한 블럭도.
도 4는, 로그인 인증을 위한 인증 대행 처리의 과정을 도시한 시퀀스도
도 5는, 휴대단말(100)의 인증앱(110)의 처리 흐름도
도 6은, 인증 대행 서버에서의 인증 대행 처리의 과정을 도시한 흐름도
도 7은, 휴대단말(100)의 인증앱(110)이 기동될 때 수신하는 파라미터의 포맷
도 8은, 휴대단말(100)에서 인증 대행 서버(200)에 접속하며 인증요청하는 데이터 포맷.
도 9는, 인증 대행 서버(200)에서 휴대단말(100)에 응답하는 인증결과 데이터 포맷.
도 10은, 인증결과를 표시한 휴대단말(100)의 화면.
도 11은, 단말정보(291)의 예시 데이터
도 12는, 가맹점정보(292)의 예시 데이터
도 13은, 사용자정보(293)의 예시 데이터
도 14는, 부인방지용 중계로그(294)의 예시 데이터
본 발명의 목적 및 효과, 그리고 그것들을 달성하기 위한 기술적 구성들은 첨부되는 도면과 함께 상세하게 후술 되어 있는 실시 예들을 참조하면 명확해질 것이다.
본 발명을 설명함에 있어 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다.
그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있다. 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될
뿐이다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
본 발명의 기술 요지는 인증 대행 서버(200)에 인증용 휴대단말(100)을 등록하고, 등록된 휴대단말(100)에 설치된 앱(110)에 일회용 앱 ID를 부여함으로, 최초 휴대단말 등록 이후에 발생할 수 있는 휴대단말의 디바이스 복제 또는 앱 위변조 후, 재설치(리패키징)를 탐지하고, 휴대단말 사용자에 대한 연령 체크로 미성년자 유해 사이트 접속을 차단하고, 사이트 인증을 통해 피싱/파밍 피해를 방지할 수 있도록 하는 것이다. 본 발명의 실시의 형태를, 이하 도면을 참조하여 설명한다.
도 1은 본 발명의 실시 예에 따른 2채널 인증 대행 시스템을 나타내는 구성도이다.
도 1에 도시된 바와 같이, 2채널 인증 대행 시스템은 클라이언트 단말(10), 휴대단말(100), 인증 대행 서버(200) 및 서비스 서버(300) 등을 포함할 수 있다.
클라이언트 단말(10)은 주지의 PC, 태블릿 PC, 스마트TV(양방향 통신이 가능한 디지털 TV)가 될 수 있으며, POS 단말기, ATM 등의 결제 및 금융단말기가 될 수도 있다.또한 자동판매기, 택시 결제기 등 통신망(900)을 통하여 유무선으로 서비스 서버(300)와 통신하여 네트키를 수신할 수 있는 단말이 될 수 있고, 본 실시 예의 인증 대행 서버의 온ㆍ오프라인 창구 단말이 될 수도 있다.
휴대단말(100)에서 서비스 서버(300)의 모바일 웹페이지에 접속하는 경우 휴대단말(100)은 서비스 서버(300)의 클라이언트 단말에 해당될 수 있다.
휴대단말(100)은 주지의 휴대전화, 스마트폰으로서, 휴대단말(100)에는 네트키를 인증 대행 서버(200)에 전달하는 앱(110)이 구비되어 있고, 카메라가 부착되어 QR코드(2차원 코드)를 스캔하여 네트키를 수신하거나, NFC기능을 갖추어 NFC태그 또는 NFC로 데이터를 전송하는 단말에 접근함으로 네트키를 수신하는 네트키 수신 앱이 구비되어 있다.
휴대단말(100)은 상기 네트키 수신 앱과 네트키 전달 앱(이하 인증앱 110)을 애플의 앱 스토어 또는 구글의 플레이 스토어 및 그 외 앱을 등록관리 하는 스토어에서 다운로드 하여 탑재할 수 있다. 또는 상기 휴대단말(100)은 단말기 제조사에 의해 네트키 수신 앱과 인증앱(110)이 탑재된 상태로 출시될 수 있으며, 이에 의해 본 발명이 한정되지 아니한다.
일 실시 예로 휴대단말(100)은 모바일 웹브라우저를 기동하고, 통신망(900)을 통해 서비스 서버(300)의 모바일 웹페이지에 접속하여, 네트키를 포함하는 데이터을 수신하고, 인증앱(110)을 호출하여 기동하고, 네트키를 포함한 인증요청 데이터를 인증 대행 서버(200)로 전달할 수 있다.
다른 실시 예로 휴대단말(100)은 네트키 수신 앱을 기동하여, 클라이언트 단말에 표시된 QR코드의 이미지를 스캔하여 네트키를 포함한 데이터를 수신하고, 인증앱(110)을 호출하여 기동하고, 네트키를 포함한 인증요청 데이터를 인증 대행 서버(200)로 전달할 수 있다.
다른 실시 예로 휴대단말(100)은 네트키 수신 앱을 기동하여, NFC태크 또는 NFC로 데이터를 전송하는 단말에 접근하여 네트키를 포함한 데이터를 수신하고, 인증앱(110)을 호출하여 기동하고, 네트키를 포함한 인증요청 데이터를 인증 대행 서버(200)로 전달할 수 있다.
상기 인증앱(110)은 네트키 수신 앱 또는 모바일 웹브라우저 앱에 의해서 기동되며, 수신하는 파라미터 데이터는 네트키를 포함하는 약정된 포맷[도 7 참조]의 데이터로 헤더부와 데이터부가 있다.
상기 인증앱(110)은 헤더부의 식별코드와 관련되는 인증 대행 서버(200)의 URL을 앱에 부속되어 있는 URL 리스트 (파일, DB, 고정된 URL의 형태)로부터 취득하여, 단말식별번호와 네트키를 포함하는 인증요청 데이터를 작성하여 인증 대행 서버(200)에 전달한다.
휴대단말(100)에 생체인증(지문, 정맥, 홍채 등) 수단이 구비되어 있는 경우, 휴대단말(100) 사용자의 생체정보를 취득하여, 생체정보의 일부, 또는 전부 데이터를 일률적으로 변화하여 변환된 생체정보를 패스워드 대신 사용할 수도 있다.
휴대단말(100)은 주지의 저장장치를 포함하고, 저장장치는 ROM(Read Only Memory), USIM(Universal Subscriber Identity Module), 비휘발성 모바일 메모리가 될 수 있으며, 휴대단말의 운영체제를 비롯하여 본 발명의 실시 예인 앱을 비롯하여 각종 앱과 앱에 부속된 파일들과 DB 및 앱 전용의 사설영역이 저장되어 있는 기록매체이다.
상기 단말식별번호란 휴대단말(100)을 유일하게 식별해주는 번호로 IMEI (International Mobile Equipment Identity), MSISDN (Mobile Subscriber International ISDN Number), 전화번호 등이 될 수 있다. 또한 단말식별정보를 취득할 수 없는 모바일 OS에 대해서는 최초 단말 등록시 입력받은 전화번호와 UUID (Universally Unique IDentifie)를 발행해서 키체인에 저장하고, 이 정보를 취득하여 단말식별을 대신하는 정보로 사용할 수도 있다.
인증 대행 서버(200)는, 휴대단말의 가입자 정보와 과금 결제정보를 보존하고 있는 이동통신사와 연계되는 서버가 될 수 있고, 본인확인 후, 계좌를 개설하여 개인정보를 보유한 금융사와 연계되는 서버가 될 수 있고, 본인확인 후, 개인정보를 보유하고 있는 기관과 연계되는 서버가 될 수 있다. 본 발명의 실시 예는 이동통신사와 연계되는 서버이나 여기에 한정되는 것은 아니다.
인증 대행 서버(200)는, 휴대단말(100)을 가입한 N(N≥1)명의 가입자 정보와, 인증 대행 서비스 계약을 체결한 N(N≥1)개의 서비스 서버(300)에 대한 가맹점 정보를 보유하고 있거나, 이 정보와 연계할 수 있다.
인증 대행 서버(200)는, 통신망(900)을 통하여 접속하는 휴대단말(100)의 가입자정보와 단말정보를 이용하여 개인을 특정하여, 인증을 대행하고, N(N≥1)개의 서비스 서버중 관련되는 서비스 서버(300)에 적어도 토큰과 인증된 유저ID를 중계함으로 사용자는 서비스 서버에 각각의 인증정보 (ID/패스워드)를 제공할 필요가 없다.
서비스 서버(300)는 인증 대행 서버(200)에서 생성한 유저ID로 네트키를 이용하여 회원가입한 회원정보를 구비하고 있어, 인증 대행 서버(200)에서 인증하고, 토큰과 함께 중계하는 인증된 유저ID로 서비스 서버(300)에서 인증 가능하다. 또한 인증 대행 서비스 계약을 체결한 N(N≥1)개의 인증 대행 서버에 대한 서버ID, 접속 IP, 복호키 등의 정보를 구비하고 있다.
서비스 서버(300)는 클라이언트 단말로부터의 요청에 의해 토큰을 발행하고 등록하는 토큰 발행부, 휴대단말(100)과 인증 대행 서버(200)를 연계하여, 토큰을 회수하고 처리하는 토큰회수 및 처리부, 토큰을 처리를 감시하여 처리되면 클라이언트 단말에 비동기로 통지하는 토큰처리 감시부를 적어도 포함하고, 최초 토큰을 발행시, 토큰정보에는 유니크한 토큰을 키로 토큰발행시각과, 토큰의 용도(회원가입, 로그인, 결제)를 저장할 수 있다. 토큰을 회수하여 처리하면, 토큰을 처리한 유저ID와 토큰처리시각을 경신하고, 클라이언트 단말로부터 처리된 토큰을 파라미터로 하는 자동 화면전환요청시, 토큰을 처리한 유저ID로 인증하여 클라이언트 단말의 화면을 자동 전환하고, 토큰정보에는 화면 전환한 시각을 갱신하여, 다른 단말에서 동일한 토큰을 전송하여 부정 인증을 시도하려는 재전송 공격을 방지한다.
서비스 서버(300)는 클라이언트 단말(10) 또는 휴대단말(100)로부터 통신망(900)을 통하여 유무선으로 접속하여 네트키 요청시, 토큰을 발행하여 네트키 요청에 응답하고, 휴대단말(100)과 인증 대행 서버(200)를 연계하여, 토큰을 회수하면, 토큰을 중계한 인증 대행 서버(200)의 접속 경로를 확인하고, 암호 데이터를 복호하고, 토큰에 대한 유효성을 체크하고, 발행한 토큰의 목적에 맞게 토큰의 회수처리를 한다.
통신망(900)은 유무선 통신망으로 IP망, 3G, 4G, 또는 향후 차세대 이동통신에서의 데이터의 송수신 가능한 네트워크를 의미하고, 기존의 IP망에 전용선 및 VPN 회선을 포함하는 광범위한 개념이다.
도 2는, 본 발명의 실시 예에 따른 휴대단말(100)의 디바이스와 인증앱(110)을 인증 대행 서버(200)에 등록하는 절차를 도시한 블럭도 이다.
도 2에서, 인증 대행 서버(200)는 휴대단말 가입자의 정보가 등록된 사용자정보테이블(293)을 구비하고 있고, 휴대단말(100)을 구비하고 있는 사용자는 인증앱(110)을 사용하기 위해 인증 대행 서버(200)의 온라인 또는 오프라인 창구에서 본인확인 절차를 거친 후, 창구의 클라이언트 단말(10)에서 휴대단말(100)의 전화번호와 확인용 앱 패스워드를 키 입력하여 인증앱(110) 사용 신청할 수 있다.
인증 대행 서버(200)의 인증앱 사용 접수부(205)는 수신한 휴대단말(100)의 전화번호와 앱 패스워드를 단말정보테이블(291)에 저장할 수 있다.
휴대단말(100)에 설치된 인증앱(110)은 사용자에 의해 구동되고, 최초 한번은 사용 동의를 하고, 앱 사용 신청시 등록한 앱 패스워드를 키 입력받고. 단말정보(적어도 단말식별번호, 전화번호)를 취득하여 인증 대행 서버(200)에 송신하여 단말등록을 요청할 수 있다.
휴대단말(100)에 생체인증(지문, 정맥, 홍채 등) 수단이 구비되어 있는 경우, 휴대단말(100) 사용자의 생체정보를 취득하여, 생체정보의 일부, 또는 전부 데이터를 일률적으로 변화하여 변환된 생체정보를 앱 패스워드 대신 등록하여 사용할 수도 있다.
단말정보를 취득할 수 없는 모바일 OS에 대해서는 전화번호를 키 입력받고, UUID (Universally Unique IDentifier)를 발행해서 키체인에 저장하여 단말정보로 사용할 수도 있다.
단말등록 요청을 수신한 인증 대행 서버(200)는 단말정보등록부(206)에서 수신한 전화번호와 앱 패스워드로 단말정보테이블(291)을 참조하여 인증앱(110) 사용 신청 여부를 확인하고, 신청이 유효하면, 최초의 일회용 앱ID를 발행하고, 수신한 전화번호로 사용자정보테이블(293)을 참조하여 유저ID를 취득하고, 단말식별번호, 유저ID, 일회용 앱ID를 단말정보테이블(291)에 갱신하여 단말을 등록한다.
단말정보등록 후, 일회용 앱ID와, (1차, 2차)복호 확인코드(202)의 내용을 단말등록을 요청한 휴대단말(100)에 응답할 수 있다.
휴대단말(100)에 설치된 인증앱(110)에서는 단말등록 요청에 대한 응답으로 일회용 앱ID와, 1차 복호 확인코드, 2차 복호 확인코드를 수신하여, 인증앱(110)에서만 읽기,쓰기 권한이 있는 사설영역(111)에 저장할 수 있다.
도 3은, 본 발명의 실시 예의 앱 위변조 탐지 가능한 인증 대행 시스템의 구성을 도시한 블럭도 이다.
휴대단말(100)의 인증앱(110)은 네트키 수신 앱 또는 모바일 웹브라우저 앱에 의해서 기동되며, 인증앱(110)에서만 접근 가능한 사설영역(111)과 네트키 수신부(112) , 암호화 및 인증요청부(113), 인증결과 수신부(114), 일회용 앱ID 갱신부(115), 인증결과 표시부(116)로 구성될 수 있다.
사설영역(111)은, 인증앱(110)의 사용 신청 및 등록으로 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드가 저장되어 있다. 사설영역(111)에 저장된 데이터는 앱이 삭제되거나 앱의 위변조 후, 재설치(리패키징)되면, 삭제되므로 일회용 앱ID를 관리하는 인증 대행 서버(200)에서 인증앱(110)의 위변조를 탐지할 수 있다.
네트키 수신부(112)는 인증앱(110)이 기동되며 수신하는 파라미터 데이터를 [도 7]의 포맷과 비교하여 헤더부와 데이터부의 각 항목의 존재 여부 및 크기 등 형식을 체크 하고, 헤더부의 식별코드와 관련 있는 인증 대행 서버(200)의 URL을 취득하고, 앱 패스워드를 키 입력받는다.
암호화 인증요청부(113)는, 단말식별번호를 취득하고, 사설영역(111)에서 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드를 취득하고, 인증앱(110)의 앱 버전을 취득하고, 상기 파라미터의 데이터부에 2차 복호 확인코드를 붙여서 상기 앱 패스워드를 암호키로 사용하여 대칭키 방식으로 1차 암호화하고, 1차 암호화 데이터에 1차 복호 확인코드와 앱 버전을 붙여서, 상기 일회용 앱ID를 암호키로 사용하여 대칭키 방식으로 2차 암호화하고, 2차 암호화한 데이터에 단말식별번호를 붙여서 인증요청 데이터[도 8 참조]를 생성하고, 인증 대행 서버(200)에 인증을 요청한다.
인증결과 수신부(114)는 인증 요청의 응답으로 인증 대행 서버(200)로부터 인증결과 데이터[도 9 참조]를 수신한다.
일회용 앱ID 갱신부(115)는 상기 인증결과 데이터 중 대칭키 암호화 데이터를 상기 일회용 앱ID를 복호키로 하여 복호화하고, 복호 데이터를 신규 앱ID로 사설영역(111)에 갱신한다.
인증결과 표시부(116)은 인증결과 데이터중 결과코드에 따라 유저명과 사이트명칭이 포함된 메세지를 작성하여 휴대단말(100)에 표시한다[도 10 참조].
인증 대행 서버(200)는, 앱 버전 정보(201)에 인증앱(110)의 최신 버전 정보를 보존하고 있고, 1,2차 복호 확인코드(202)에는 암호 데이터의 복호가 정상인지 확인하기 위한 복호 확인코드가 보존되어 있다. 앱 버전과 복호 확인코드는 인증 대행 서버(200)가 기동 되면, 프로그램과 함께 메모리(RAM)에 로드된다.
인증 대행 서버(200)는 복호화 및 인증 대행부(210), 토큰 중계부(220), 중계 로그 기록부(230), 일회용 앱ID 발행부(240), 인증결과 송신부(250)로 구성되고, 데이터 베이스(290)은 적어도 단말정보테이블(291), 가맹점정보테이블 (292), 사용자정보테이블(293), 중계로그테이블(294)로 구성되고, 데이터 베이스 서버는 별도의 서버로 구성될 수도 있다.
복호화 및 인증 대행부(210)는, 수신한 인증요청 데이터에서 단말식별번호와 암호화 데이터를 추출하고, 단말식별번호를 키로 하여 단말정보테이블(291)을 참조하여, 유저ID, 일회용 앱ID, 앱 패스워드를 취득하는 휴대단말(100)의 디바이스 인증 수단;
상기 일회용 앱ID를 복호키로 하여 암호화 데이터를 1차 복호를 하고,
1차 복호화 데이터에서 1차 복호 확인코드를 추출하고, 메모리의 1차 복호 확인코드와 일치 여부를 확인하여 앱의 위변조 후, 재설치(리패키징)를 탐지하는 하는 앱 인증 수단;
1차 복호화 데이터에서 앱 버전을 추출하고, 메모리의 앱 버전과 일치 여부를 확인하는 앱 버전 인증 수단;
1차 복호 데이터 중 암호화 데이터를 추출하여 상기 앱 패스워드를 복호키로 하여 2차 복호를 실시하고, 2차 복호화 데이터에서 2차 복호 확인코드를 추출하고, 메모리의 2차 복호 확인코드와 일치 여부로 패스워드 일치를 확인하는 앱 패스워드 인증 수단;
2차 복호화 데이터에서 가맹점ID를 추출하고, 추출한 가맹점ID를 키로 하여 가맹점정보테이블(292)을 참조하여, URL과 가맹점 명칭, 접속제한연령, 접속 암호키를 취득하는 사이트 인증 수단;
2차 복호화 데이터에서 제한연령을 추출하고, 상기 유저ID로 사용자정보테이블 (293)을 참조하여, 유저명과 생년월일을 취득하고, 시스템의 날짜와 생년월일을 비교하여 휴대단말(100) 사용자의 연령을 계산하고, 연령이 상기 제한연령 또는 상기 접속제한연령 미만의 경우는 사이트의 접속을 제하는 제한연령 인증수단; 을 포함한다.
토큰 중계부(220)는, 2차 복호화 데이터에서 토큰을 추출하고, 적어도 추출한 토큰과 인증된 휴대단말(100)의 상기 유저ID를 포함하는 데이터를 상기 접속 암호키로 암호화하고, 서비스 서버(300)의 상기 URL에 암호화 데이터를 파라미터로 하여 토큰을 중계하고, 인증 결과코드가 포함된 인증결과를 수신할 수 있다.
중계 로그 기록부(230)는, 인증관련 분쟁 발생시, 데이터 추적 가능하여 인증요청을 수행하는 자가 인증요청이 자신에 의한 것이 아니라고 부인할 수 없도록 하기 위한 것으로 제3의 신뢰할 기관에서 인증을 대행하고, 인증 기록을 보존하고, 인증을 보장함으써 공인인증서를 대체할 수 있다.
기록 내용으로는 토큰 발행자 ID는 상기 2차 복호화 데이터의 가맹점ID, 처리된 토큰에는 2차 복호화 데이터 중 토큰을, 인증결과에는 토큰 중계 결과로 서비스 서버(300)에서 수신한 인증 결과코드를, 유저ID는 휴대단말(100)의 유저ID를 토큰처리 타임 스템프에는 인증 대행 서버(200)의 시스템 타임을 설정하여 부인방지용 중계 로그테이블(294)에 등록함으로 인증결과에 대한 부인방지가 가능하다.
일회용 앱ID 발행부(240)는, 휴대단말(100)의 인증앱(110)에 대한 신규 앱ID를 발행하고, 상기 단말식별번호를 키로 하여 단말정보테이블(291)에 신규 앱ID를 갱신한다.
인증결과 송신부(250)는, 상기 앱ID를 암호키로 하여 상기 신규 앱ID를 암호화하고, 서비스 서버(300)에서 수신한 결과코드, 상기 유저명, 상기 가맹점 명칭으로 하는 인증결과 데이터[도 9 참조]를 작성하여 휴대단말(100)에 인증요청의 응답으로서 송신한다.
단말정보테이블(291)[도 11 참조]은 휴대단말(100)의 정보로 단말식별번호, 전화번호, 유저ID, 일회용 앱ID, 앱 패스워드를 적어도 포함할 수 있다.
가맹점정보테이블(292)[도 12 참조]은 서비스 서버(300)의 사업자와 인증 대행 서버의 사업자가 인증 대행 서비스 계약을 체결하고, 서비스 서버(300)의 사업자로부터 제공되는 정보로 등록한다. 가맹점ID, 가맹점명, 가맹점 URL, 접속제한연령, 접속 암호키를 적어도 포함한다. 가맹점ID는 유니크한 사업자 번호가 될 수 있고, 접속제한연령은 지정된 이하의 연령은 회원가입 및 로그인을 차단한다. 접속 암호키는 인증 대행 서버(200)와 서비스 서버(300)간의 데이터 송수신시 데이터를 암호화하는 대칭키 암호키로 서비스 서버(200)에 의해서 주기적으로 임으로 변경 가능하다.
사용자정보테이블(293)[도 13 참조]은 유저ID, 유저명, 생년월일, 전화번호를 적어도 포함하고, 유저ID는 인증 대행 서버(200)와 서비스 서버(300)에서 휴대단말의 사용자를 특정하기 위한 ID로 유니크하게 발행되는 ID이다.
부인방지용 중계 로그테이블(294)[도 14 참조]은 토큰 발행자 ID, 처리된 토큰, 인증결과, 유저ID, 토큰처리 타임 스템프를 적어도 포함한다.
도 4는 로그인 인증을 위한 인증 대행 처리의 과정을 도시한 시퀀스도이다.
도 4를 참조하면, 사용자는 휴대단말(100)에서 모바일 웹 브라우저를 기동하여, 서비스 서버(300)의 웹 사이트에 접속하여, 로그인을 위해 네트키를 요청하는 스텝 S1, 로그인용 네트키를 요청받은 서비스 서버(300)는 유니크한 토큰을 발행해서 등록하고, 약정된 포맷[도 7 참조]의 데이터를 작성하여 응답하는 토큰발행 스텝 S2, 네트키를 수신한 휴대단말[100]은 인증앱(110)을 호출하여 패스워드를 키 입력받고, 인증요청 데이터[도 8 참조]를 작성하여 인증 대행 서버(200)에 인증요청하는 스텝 S3, 휴대단말(100)으로부터 접속과 인증 요청에 대해, 인증 대행 서버(200)는 접속한 휴대단말과 사용자에 대해 인증을 대행하고 서비스 서버(300)에 인증된 유저ID와 토큰을 중계하는 스텝 S4, 토큰을 회수한 서비스 서버(300)는 토큰을 중계한 인증 대행 서버(200)의 접속 경로를 확인하고, 암호화 데이터를 복호하고, 토큰의 유효성을 확인하고, 수신한 유저ID로 로그인 처리를 하고 인증결과를 응답하는 토큰회수처리 스텝 S5, 인증결과를 수신한 인증 대행 서버(200)는 토큰 중계 로그를 기록하고, 신규 앱ID를 발급하여 갱신하고, 인증결과 데이터[도 9 참조]를 작성하여 휴대단말(100)의 인증요청에 응답하는 스텝 S6, 인증결과를 응답받은 휴대단말(100)은 인증앱(110)의 신규 앱ID를 갱신하고, 인증결과를 표시하고[도 10 참고], 사용자가 인증앱(110)을 종료하면, 인증앱(110)을 기동한 웹 브라우저로 복귀하여 로그인 결과화면을 요청하는 스텝 S7, 수신한 토큰의 처리결과를 확인하고, 인증이 성공했음을 확인하고, 로그인 결과화면을 응답하는 스텝 S8를 포함한다.
도 5는 휴대단말(100)의 인증앱(110)의 처리 흐름도이다.
인증앱(110)이 기동되며 수신하는 파라미터를 [도 7]의 포맷과 비교하여 헤더부와 데이터부의 각 항목의 존재 여부 및 크기 등 형식을 체크하는 파라미터 체크단계(S100); 체크 결과가 NG이면, S109 스텝에서 에러 화면을 표시하고, 정상이면, 헤더부의 식별코드와 관련 있는 인증 대행 서버(200)의 접속 URL을 취득하는 단계(S102); 단말정보(단말식별번호, 전화번호), 앱 버전을 취득하고, 사설영역(111)에 저장된 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드를 취득하는 정보취득단계(S103); 정상적으로 정보를 취득하면, 앱 패스워드를 키 입력받는 단계(S104); 상기 파라미터의 데이터부에 2차 복호 확인코드를 붙여서 상기 앱 패스워드를 암호키로 하여 대칭키 방식으로 1차 암호화하고, 1차 암호화 데이터에 1차 복호 확인코드와 앱 버전을 붙여서, 상기 일회용 앱ID를 암호키로 하여 대칭키 방식으로 2차 암호화하고, 2차 암호화한 데이터에 단말식별번호를 붙여서 인증요청 데이터[도 8 참조]를 작성하는 단계(S105); 인증 대행 서버(200)에 인증요청 데이터를 송신하여 인증을 요청하고, 인증결과 데이터[도 9 참조]를 수신하는 인증요청단계(S106); 인증결과가 실패이면, 인증 실패를 표시하는 단계(S109), 인증이 성공이면, 인증결과 데이터에서 암호화 데이터를 추출하여 상기 일회용 앱ID를 복호키로 하여 복호하고, 새로운 앱ID로서 사설영역(111)에 갱신하는 단계(S107); 인증결과 데이터에서 결과코드, 유저명, 사이트 명칭을 추출하고, 결과코드에 따라 유저명 과 사이트 명칭이 포함되는 메세지를 작성하여 표시하는[도 10 참고] 인증성공 표시단계(S108); 를 포함한다.
도 6은 인증 대행 서버에서의 인증 대행 처리의 과정을 도시한 흐름도이다.
도 6을 참조하면, 휴대단말(100)로부터 접속으로 인증요청 데이터를 수신하는 단계(S200), 인증요청 데이터에서 단말식별번호와 암호화 데이터를 추출하고, 단말식별번호를 키로 하여 단말정보테이블(291)을 참조하여, 유저ID, 일회용 앱ID, 앱 패스워드를 취득하는 것으로 단말기 인증하는 단계(S201);
단말기 인증에 실패하면 스텝 S208을 처리하고, 단말기 인증에 성공하면, 취득한 일회용 앱ID를 복호키로 하여 암호화 데이터를 1차 복호를 하는 단계; 1차 복호화 데이터에서 1차 복호 확인코드를 추출하고, 메모리의 1차 복호 확인코드와 일치 여부로 휴대단말(100)에 설치된 인증앱(110)의 위변조 후, 재설치(리패키징)를 탐지하는 앱 인증 단계;
1차 복호화 데이터에서 앱 버전을 추출하고, 메모리의 앱 버전과 일치 여부로 인증앱(110)의 최신 버전을 확인하는 단계를 포함하는 스텝 S202;
앱 인증이 실패하면, 스텝 S208를 처리하고, 성공하면 1차 복호 데이터 중 암호화 데이터를 추출하여 상기 앱 패스워드를 복호키로 하여 2차 복호를 실시하는 단계; 2차 복호화 데이터에서 2차 복호 확인코드를 추출하고, 메모리의 2차 복호 확인코드와 일치 여부로 패스워드 일치를 확인하는 앱 패스워드 인증 단계; 2차 복호화 데이터에서 가맹점ID를 추출하고, 추출한 가맹점ID를 키로 하여 가맹점정보테이블(292)을 참조하여, URL과 가맹점 명칭, 접속제한연령, 접속 암호키를 취득하는 것으로 사이트 등록 여부를 확인하는 사이트 인증 단계;
2차 복호화 데이터에서 제한연령을 추출하고, 상기 유저ID로 사용자정보테이블 (293)을 참조하여, 유저명과 생년월일을 취득하고, 시스템의 날짜와 생년월일을 비교하여 휴대단말(100) 사용자의 연령을 계산하고, 연령이 상기 제한연령 또는 상기 접속제한연령 미만의 경우는 사이트의 인증을 제한하는 제한연령 인증을 실시하는 단계를 포함하는 스텝 S203;
인증결과가 실패이면 S208를 처리하고, 성공이면 2차 복호화 데이터에서 토큰을 추출하고, 적어도 상기 유저ID와 토큰을 포함하는 토큰중계 데이터를 작성하여 접속 암호키로 암호화하여 서비스 서버(300)의 상기 URL로 토큰을 중계하고 중계 결과를 수신하는 단계(S204);
중계 결과가 인증 실패이면 S208을 처리하고, 인증 성공이면, 토큰 발행자 ID는 상기 2차 복호화 데이터의 가맹점ID, 처리된 토큰에는 2차 복호화 데이터의 토큰을, 인증결과에는 토큰 중계 결과로 서비스 서버(300)에서 수신한 인증 결과코드를, 유저ID는 휴대단말(100)의 유저ID를 토큰처리 타임 스템프에는 인증 대행 서버(200)의 시스템 타임을 설정하여 부인방지용 중계 로그테이블(294)에 등록하는 단계(S205);
휴대단말(100)의 인증앱(110)에 대한 신규 앱ID를 발행하고, 상기 단말식별번호를 키로 하여 단말정보테이블(291)에 신규 앱ID를 갱신하는 단계(S206);
상기 신규 앱ID에 상기 앱ID를 암호키로 하여 암호화하고, 서비스 서버(300)에서 수신한 인증 결과코드, 상기 유저명, 상기 가맹점 명칭으로 인증결과 데이터[도 9 참조]를 작성하여 휴대단말(100)에 인증성공을 응답하는 단계(S207);
각 단계에서 NG가 발생하면 NG 원인과 함께 인증실패를 응답하는 단계(S208); 를 포함한다.
도 7은 휴대단말(100)의 인증앱(110)이 기동될 때 수신하는 파라미터의 포맷이다.
도 7을 참조하면, 헤더부에는 접속할 사이트와 관련 있는 식별코드를 데이터부에는 토큰과 토큰을 발행한 발행자 정보로 구성된 네트키와, 처리구분(회원가입, 인증, 결제, 이체 및 장래 추가된 항목 중의 1개와 관련된 코드정보)과, 처리에 관련된 데이터로 처리구분이 회원가입 및 인증의 경우 제한연령을, 결제 및 이체의 겨우 금액정보를 포함할 수 있다.
상기 발행자 정보는 적어도 가맹점 ID를 포함하고, 해외 사이트에 대한 인증을 대응하기 위해, 서비스 서버(300)을 운영하는 사업자가 소속하는 국가코드와, 해당 국가에서 인증을 대행하는 인증 대행 서버의 서버ID를 더 포함할 수 있다.
도 8은 휴대단말(100)에서 인증 대행 서버(200)에 접속하며 인증요청하는 데이터 포맷이다.
도 8을 참조하면, 앱ID와 앱 패스워드를 인증요청 데이터에 직접 포함하지 않고, 암호키로 사용하여 암호화하고, 정상적인 복호 여부로 앱ID와 앱 패스워드의 일치 여부를 확인하는 간접 전달방식을 사용한다.
도 9는 인증 대행 서버(200)에서 휴대단말(100)에 응답하는 인증결과 데이터 포맷이다.
도 10은, 인증결과를 표시한 휴대단말의 화면이다.
도 10을 참조하면, 표시화면에는 휴대단말 사용자의 이름과 인증에 성공한 사이트의 명칭이 표시되어, 2채널로 사이트 명칭을 확인 가능하여, 원치않는 사이트의 접속을 중단할 수 있다.
도 11 데 내지 도 14는 본 발명의명하기 위한 인증 대행 서버(200)의 데이터 베이스(290)의 테이블 구조 실시 예를 설및 샘플이터로 여기에 한정하는 것은 아니다.
이상에서 설명한 실시예는 사용자의 부주의로 유출되어 부정 사용될 수 있는 ID, 패스워드 , 보안카드, OTP(One Time Password)의 입력 없이 간편하고 안전하게 인증 대행 서버를 통해 인증하고 각 사이트에 회원가입 하고 로그인할 수 있다.
이상에서 설명한 실시 예에 대하여, 도시한 구성은 단순한 일례이며, 본 발명은 그 구성으로 한정되는 것은 아니다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록매체를 통해 구현될 수도 있으며,이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리법위는 이에 한정되는 것은 아니고 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
본 발명을 구현하는 상기 서비스 서버(300)와 인증 대행 서버(200)는 저장부, 입력부, 제어부, 통신부를 포함하는 통상의 서버 장치이고, 웹 서버와 데이터 베이스 서버를 구비하고 데이터 베이스 서버는 동일의 서버 장치에 설치될 수도 있고, 별도의 서버 장치에 설치될 수도 있다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
상기 토큰이란, 서비스 서버에서 발행하며, 서비스 서버에서 유일한 식별자로 유효시간을 설정할 수 있다. 토큰은 설정한 유효시간 내에 토큰을 발행한 서비스 서버에서 첫 번째로 회수되어 처리될 때 유효한 것으로, 네트워크에서 중간자 공격 및 재전송 공격을 원천적으로 차단하는 특징이 있다.
상기 네트키란, 적어도 일회성 토큰과 토큰을 발행한 발행자 식별정보(가맹점ID)를 포함한다.
상기 토큰,상기 네트키,상기 인증 대행 서버 같은 용어는 본 발명의 기능을 고려하여 정의된 용어로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 한다.
본 발명은, 위변조된 인증앱이 재설치(리패키징)되는 경우, 앱 위변조 탐지가 가능한 2채널 인증 대행 시스템을 제공한다.
10 클라이언트 단말 100 휴대단말
110 인증앱 111 인증앱의 사설영역
112 네트키 수신부 113 암호화 및 인증요청부
114 인증결과 수신부 115 일회용 앱ID 갱신부
116 인증결과 표시부 200 인증 대행 서버
201 앱 버전 정보 202 1,2차 복호 확인코드
205 인증앱 사용 접수부 206 단말정보 등록부
210 복호화 및 인증대행부 220 토큰 중계부
230 중계 로그 기록부 240 일회용 앱ID 발행부
250 인증결과 송신부 290 데이터 베이스
291 단말정보테이블 292 가맹점정보테이블
293 사용자정보테이블 294 중계로그테이블
300 서비스 서버 900 통신망

Claims (21)

  1. 클라이언트 단말(10)과 휴대단말(100)은 통신망(900)을 경위하여 인증 대행 서버(200)와 서로 통신하고, 클라이언트 단말(10)과 휴대단말(100)과 인증 대행 서버(200)는 통신망(900)을 경위하여 서비스 서버(300)와 서로 통신 가능하게 구성되는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템에 있어서,
    본인 확인된 휴대단말(100)의 디바이스 및 인증앱(110)을 인증 대행 서버(200)에 등록하기 위해서,
    휴대단말(100)의 전화번호와 확인용 앱 패스워드를 키 입력받아 인증앱(110) 사용 신청을 하는 인증 대행 서버(200)의 클라이언트 단말(10);
    인증 대행 서버(200)는 클라이언트 단말(10)로부터 인증앱(110) 사용 신청에 대해 휴대단말(100)의 전화번호와 앱 패스워드를 적어도 포함하는 정보를 단말정보테이블(291)에 등록하는 인증앱 사용 접수부(205);
    휴대단말(100)로부터의 접속으로 단말정보와 확인용 앱 패스워드를 수신하면, 일회용 앱ID를 발급하여 단말정보를 등록하는 단말정보 등록부(206); 를
    포함하는 인증 대행 서버(200);
    최초 인증앱(110)이 기동되어, 사용동의 후, 단말정보를 취득하고, 확인용 앱 패스워드를 입력받아 단말등록을 요청하고, 응답으로 인증 대행 서버(200)로부터 일회용 앱ID와 1차 복호 확인코드, 2차 복호 확인코드를 수신하여 사설영역(111)에 저장하는 인증앱(110)을 구비한 휴대단말(100); 로
    구성되는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  2. 제 1 항에 있어서,
    상기 단말정보 등록부(206)는, 상기 단말정보는 단말식별번호와 휴대단말(100)의 전호번호를 적어도 포함하고, 수신한 전화번호와 상기 앱 패스워드로 단말정보테이블(291)을 참조하여 인증앱(110) 사용 신청 여부를 확인하고, 신청이 유효하면, 최초의 일회용 앱ID를 발행하고, 수신한 전화번호로 사용자정보테이블(293)을 참조하여 유저ID를 취득하고, 단말식별번호, 유저ID, 일회용 앱ID를 단말정보테이블(291)에 갱신하여 단말을 등록하는 수단;
    단말정보 등록 후, 상기 일회용 앱ID와, 1,2차 복호 확인코드(202)의 내용을 단말등록을 요청한 휴대단말(100)에 응답하는 수단; 을
    더 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  3. 제 1 항에 있어서,
    상기 사설영역(111)은, 인증앱(110)에서만 읽기, 쓰기 권한이 부여된 전용영역으로 적어도 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드가 저장되고, 인증앱이 삭제되거나 재설치 되면, 사설영역(111)에 저장된 데이터는 삭제되는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  4. 제 1 항에 있어서,
    상기 인증앱(110)은,
    앱이 기동되며 헤더부와 데이터부로 구성된 파라미터를 수신하고, 파라미터의 정합성 여부를 확인하는 네트키 수신부(112);
    인증요청 데이터를 작성하고 암호화하여 인증을 요청하는 암호화 및 인증요청부(113);
    적어도 결과코드, 유저명, 사이트명칭, 암호화된 신규 일회용 앱ID를 수신하는 인증결과 수신부(114);
    암호화된 신규 일회용 앱ID를 복호하여 사설영역(111)에 갱신하는 일회용 앱ID 갱신부(115);
    결과코드에 따라 유저명과 사이트명칭이 포함된 메세지를 작성하여 표시하는 인증결과 표시부(116); 를
    포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  5. 제 1 항에 있어서,
    상기 인증 대행 서버(200)는, 인증앱(110)의 최신 버전 정보와 1,2차 복호 확인코드 정보가 시스템 기동과 함께 메모리에 상주되고,
    휴대단말(100)로부터 인증요청에 대해
    암호화된 인증요청 데이터를 복호하고, 인증을 대행하는 복호화 및 인증 대행부(210);
    적어도 유저ID와 토큰을 서비스 서버(300)에 중계하고 결과코드를 수신하는 토큰 중계부(220);
    부인방지를 위해 중계한 토큰의 내역을 기록하는 중계 로그 기록부(230);
    신규 일회용 앱ID를 발행하고 갱신하는 일회용 앱ID 발행부(240);
    인증결과 데이터를 작성하여 인증요청에 대해서 응답하는 인증결과 송신부(250);를 더 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  6. 제 4 항에 있어서,
    상기 암호화 및 인증요청부(113)는, 단말식별번호를 취득하고, 사설영역(111)에서 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드를 취득하고, 인증앱(110)의 앱 버전을 취득하고 앱 패스워드를 키 입력받는 정보취득수단;
    상기 파라미터의 데이터부에 2차 복호 확인코드를 붙여서 상기 앱 패스워드를 암호키로 사용하여 암호화하는 1차 암호화수단;
    1차 암호화 데이터에 1차 복호 확인코드와 앱 버전을 붙여서, 상기 일회용 앱ID를 암호키로 사용하여 암호화하는 2차 암호화수단;
    2차 암호화한 데이터에 단말식별번호를 붙여서 인증요청 데이터를 작성하는 데이터 작성수단;을
    더 포함하고, 작성한 인증요청 데이터를 인증 대행 서버(200)에 인증을 요청하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  7. 제 5 항에 있어서,
    상기 복호화 및 인증 대행부(210)는, 수신한 인증요청 데이터에서 단말식별번호와 암호화 데이터를 추출하고, 단말식별번호를 키로 하여 단말정보테이블(291)을 참조하여, 유저ID, 일회용 앱ID, 앱 패스워드를 취득하는 휴대단말(100)의 디바이스 인증수단;
    상기 일회용 앱ID를 복호키로 하여 상기 암호화 데이터를 1차 복호를 하고,
    1차 복호화 데이터에서 1차 복호 확인코드를 추출하고, 메모리의 1차 복호 확인코드와 일치 여부를 확인하여, 위변조한 앱의 재설치 여부를 탐지하는 하는 앱 인증수단;
    1차 복호화 데이터에서 앱 버전을 추출하고, 메모리의 앱 버전과 일치 여부를 확인하는 앱 버전 확인수단;
    1차 복호 데이터 중 암호화 데이터를 추출하여 상기 앱 패스워드를 복호키로 하여 2차 복호를 실시하고, 2차 복호화 데이터에서 2차 복호 확인코드를 추출하고, 메모리의 2차 복호 확인코드와 일치 여부로 패스워드 일치를 확인하는 앱 패스워드 인증수단;
    2차 복호화 데이터에서 가맹점ID를 추출하고, 추출한 가맹점ID를 키로 하여 가맹점정보테이블(292)을 참조하여, 서비스 서버(300)의 URL과 가맹점 명칭, 접속제한연령, 접속 암호키를 취득하는 사이트 인증수단;
    2차 복호화 데이터에서 제한연령을 추출하고, 상기 유저ID로 사용자정보테이블 (293)을 참조하여, 유저명과 생년월일을 취득하고, 시스템의 날짜와 생년월일을 비교하여 휴대단말(100) 사용자의 연령을 계산하고, 연령이 상기 제한연령 또는 상기 접속제한연령 미만의 경우는 사이트의 접속을 제한하는 제한연령 인증수단; 을
    더 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  8. 제 5 항에 있어서,
    상기 중계 로그 기록부(230)는, 중계 로그테이블(294)에 토큰 발행자 ID의 필드에는 상기 토큰을 발행한 서비스 서버(300)를 특정하는 가맹점ID를 설정하고, 처리된 토큰의 필드에는 상기 토큰을 설정하고, 인증결과의 필드에는 서비스 서버(300)에서 수신한 상기 결과코드를 설정하고, 유저ID의 필드에는 휴대단말(100)의 유저ID를 설정하고, 토큰처리 타임 스템프의 필드에는 인증 대행 서버(200)의 시스템 타임을 설정하여 등록함으로 인증관련 분쟁 발생시, 데이터 추적 가능하여 인증 결과에 대한 부인방지 가능한 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 시스템.
  9. 인증 대행 서버(200)와 휴대단말(100)은 통신망을 통하여 서로 통신하며, 인증 대행 서버(200)에 본인 확인된 휴대단말(100)의 디바이스와 휴대단말(100)에 설치된 인증앱(110)을 등록한 후, 앱 위변조 탐지 가능한 2채널 인증 대행 방법에 있어서,
    상기 인증앱(110)은,
    앱이 기동되며 헤더부와 데이터부로 구성된 파라미터를 수신하고, 파라미터 각 항목의 존재 여부 및 정합성을 체크하는 파라미터 체크단계(S100);
    헤더부의 식별코드와 관련 있는 인증 대행 서버(200)의 접속 URL을 취득하는 단계(S102);
    일회용 앱ID를 포함한 인증요청에 필요한 데이터를 수집하는 정보취득단계(S103);
    암호키로 사용할 앱 패스워드를 키 입력받는 단계(S104);
    인증 대행 서버(200)에 송신할 인증요청 데이터를 작성하고 암호화하는 데이터 작성 및 암호화단계(S105);
    취득한 상기 URL로 접속하여 인증요청 데이터를 송신하고, 인증결과 데이터를 수신하는 인증요청단계(S106);
    상기 인증결과 데이터에서 암호화 데이터를 추출하고 상기 일회용 앱ID로 복호화한 데이터를 신규 일회용 앱ID로서 사설영역(111)에 갱신하는 단계(S107);
    인증결과 데이터에서 결과코드, 유저명, 사이트 명칭을 추출하고, 결과코드에 따라 유저명 과 사이트 명칭이 포함되는 메세지를 작성하여 표시하는 인증성공 표시단계(S108);
    앱 실행중 에러가 발생하면, 실패 메세지를 표시하는 인증 실패 표시단계(S109); 를 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  10. 제 9항에 있어서,
    상기 정보취득단계(S103)는,
    단말정보와 앱 버전을 취득하고,
    사설영역(111)에서 일회용 앱ID, 1차 복호 확인코드, 2차 복호 확인코드를 취득하고, 일회용 앱ID 취득에 실패하면, 인증앱(110)이 재설치된 것으로 판정하여, 에러를 표시하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  11. 제 9항에 있어서,
    상기 데이터 작성 및 암호화단계(S105)는, 상기 파라미터의 데이터부에 2차 복호 확인코드를 붙이고 상기 앱 패스워드를 암호키로 하여 암호화하는 1차 암호화단계;
    1차 암호화 데이터에 1차 복호 확인코드와 앱 버전을 붙이고, 상기 일회용 앱ID를 암호키로 하여 암호화하는 2차 암호화단계;
    2차 암호화한 데이터에 단말식별번호를 붙여서 인증요청 데이터를 작성하는 단계;를 더 포함하고, 일회용 앱ID와 앱 패스워드를 대칭키 암호화 방식의 암호화키로 사용하여 간접적으로 일회용 앱ID와 앱 패스워드를 송신하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  12. 제 9항에 있어서,
    상기 인증결과 데이터는, 적어도 인증 결과코드, 휴대단말(100) 사용자의 유저명, 인증 대행 서버(200)에 등록된 서버스 서버(300)의 사이트 명칭, 상기 일회용 앱ID를 암호키로 사용하여 암호화한 신규 일회용 앱ID를 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  13. 제 1항 내지 제 8항 중 어느 한 항의 2채널 인증 대행 시스템에서 구현되는 앱 위변조 탐지 가능한 2채널 인증 대행 방법에 있어서,
    인증 대행 서버(200)는 인증앱(110)의 최신 버전 정보, 1,2차 복호 확인코드 정보가 시스템 기동과 함께 메모리에 상주되고,
    휴대단말(100)의 접속으로 인증요청 데이터를 수신하는 인증요청 수신단계(S200);
    상기 인증요청 데이터에서 단말식별번호와 암호화 데이터를 추출하고, 단말식별번호를 키로 하여 단말정보테이블(291)을 참조하여 유저ID, 일회용 앱 ID, 앱 패스워드를 취득하는 휴대단말(100)의 단말기 인증단계(S201);
    1차 복호화 데이터를 취득하고, 앱 인증하는 1차 복호 및 앱 인증단계(S202);
    2차 복호화 데이터를 취득하고, 인증대행하는 2차 복호 및 인증대행단계(S203);
    적어도 인증된 유저ID와 토큰을 접속 암호키로 암호화하여 서비스 서버(300)에 중계하고, 인증 결과코드를 포함하는 중계결과를 수신하는 토큰중계단계(S204);
    부인방지를 위해 중계한 토큰 내역을 기록하는 토큰 중계 로그 기록단계(S205);
    인증앱(110)에 대한 신규 일회용 앱ID를 발행하고, 상기 단말식별번호를 키로 하여 단말정보테이블(291)에 신규 일회용 앱ID를 갱신하는 일회용 앱ID 갱신단계(S206);
    인증결과 데이터를 작성하고 응답하는 인증성공 응답 송신단계(S207);
    인증 처리중 에러가 발생하면, 인증 실패 응답 송신단계(S208); 를
    포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  14. 제 13항에 있어서,
    상기 1차 복호 및 앱 인증단계(S202)는,
    상기 일회용 앱ID를 복호키로 하여 상기 암호화 데이터를 1차 복호를 하고, 1차 복호화 데이터에서 1차 복호 확인코드를 추출하고, 메모리의 1차 복호 확인코드와 일치 여부로 휴대단말(100)에 설치된 인증앱(110)이 위변조된 후 재설치 되었는지를 탐지하는 앱 인증단계;
    1차 복호화 데이터에서 앱 버전을 추출하고, 메모리의 앱 버전과 일치 여부로 인증앱(110)의 최신 버전을 확인하는 단계; 를
    더 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  15. 제 13항에 있어서,
    상기 2차 복호 및 인증대행단계(S203)는,
    상기 1차 복호화 데이터 중 암호화 데이터를 추출하고, 상기 앱 패스워드를 복호키로 하여 2차 복호를 실시하고, 2차 복호화 데이터에서 2차 복호 확인코드를 추출하고, 메모리의 2차 복호 확인코드와 일치 여부로 패스워드 일치를 확인하는 앱 패스워드 인증단계;
    인증 대행 서비스 계약을 체결한 사이트인지 판정하는 사이트 인증단계;
    휴대단말(100) 사용자의 연령을 확인하여 서비스 서버(300)에의 접속가능 여부를 판정하는 연령인증단계;를
    더 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  16. 제 15항에 있어서,
    상기 사이트 인증단계는 상기 2차 복호화 데이터에서 가맹점ID를 추출하고, 추출한 가맹점ID를 키로 하여 가맹점정보테이블(292)을 참조하여, 서비스 서버(300)의 URL과 가맹점 명칭, 접속제한연령, 접속 암호키를 취득하여 인증 대행 서비스 계약을 체결한 사이트인지 판정하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  17. 제 15항에 있어서,
    상기 연령인증단계는 상기 2차 복호화 데이터에서 제한연령을 추출하고, 상기 유저ID로 사용자정보테이블 (293)을 참조하여, 유저명과 생년월일을 취득하는 단계;
    시스템의 날짜와 생년월일을 비교하여 휴대단말(100) 사용자의 연령을 계산하는 단계;
    계산한 연령이 상기 제한연령 또는 접속제한연령 미만의 경우는 연령인증 실패로 판정하는 단계; 를
    더 포함하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  18. 제 13항에 있어서,
    상기 토큰 중계 로그 기록단계(S205)는,
    토큰 발행자 ID 필드에는 상기 2차 복호화 데이터의 가맹점ID를 설정하고, 처리된 토큰 필드에는 2차 복호화 데이터의 토큰을 설정하고, 인증결과 필드에는 토큰 중계 결과로 서비스 서버(300)에서 수신한 인증 결과코드를 설정하고, 유저ID 필드에는 휴대단말(100)의 상기 유저ID를 설정하고, 토큰처리 타임 스템프 필드에는 인증 대행 서버(200)의 시스템 타임을 설정하여 중계 로그테이블(294)에 등록하는 것으로 인증관련 분쟁 발생시, 데이터 추적 가능하여 인증 결과에 대해 부인방지 가능한 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  19. 제 13항에 있어서,
    상기 인증성공 응답 송신단계(S207)는,
    상기 신규 일회용 앱ID에 상기 일회용 앱ID를 암호키로 하여 암호화하고, 서비스 서버(300)에서 수신한 인증 결과코드와 유저명, 가맹점 명칭, 암호화한 신규 일회용 앱ID를 적어도 포함하는 인증결과 데이터를 작성하여 휴대단말(100)에 응답하는 것을 특징으로 하는 앱 위변조 탐지 가능한 2채널 인증 대행 방법.
  20. 제 9항 내지 제 12항 중 어느 한 항의 방법의 각 단계를 수행하기 위한 애플리케이션이 휴대단말(100)의 컴퓨터 시스템이 읽을 수 있도록 기록된 기록매체.
  21. 제 9항 내지 제 12항 중 어느 한 항의 방법의 각 단계를 수행하기 위한 절차를 기록한 프로그램 코드가 스마트폰의 컴퓨터 시스템에 로드되어 실행될 수 있도록 스마트폰의 기록매체에 저장된 애플리케이션.
KR1020160088062A 2016-07-12 2016-07-12 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법 KR101680525B1 (ko)

Priority Applications (9)

Application Number Priority Date Filing Date Title
KR1020160088062A KR101680525B1 (ko) 2016-07-12 2016-07-12 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법
EP17827821.4A EP3487119B1 (en) 2016-07-12 2017-06-19 Two-channel authentication proxy system capable of detecting application tampering, and method therefor
JP2018548880A JP6725679B2 (ja) 2016-07-12 2017-06-19 アプリの偽変造が探知可能な2チャンネル認証代行システム及びその方法
CA3029516A CA3029516C (en) 2016-07-12 2017-06-19 Two-channel authentication proxy system capable of detecting application tampering and method therefor
AU2017295345A AU2017295345B2 (en) 2016-07-12 2017-06-19 Two-channel authentication proxy system capable of detecting application tampering, and method therefor
PCT/KR2017/006406 WO2018012747A1 (ko) 2016-07-12 2017-06-19 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법
ES17827821T ES2961812T3 (es) 2016-07-12 2017-06-19 Sistema proxy de autenticación de dos canales capaz de detectar la manipulación de una aplicación y el método para ello
CN201780011374.5A CN108604991B (zh) 2016-07-12 2017-06-19 能够检测应用程序篡改的双通道认证代理系统及其方法
US16/076,699 US10305902B2 (en) 2016-07-12 2017-06-19 Two-channel authentication proxy system capable of detecting application tampering and method therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160088062A KR101680525B1 (ko) 2016-07-12 2016-07-12 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR101680525B1 true KR101680525B1 (ko) 2016-12-06

Family

ID=57576384

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160088062A KR101680525B1 (ko) 2016-07-12 2016-07-12 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법

Country Status (9)

Country Link
US (1) US10305902B2 (ko)
EP (1) EP3487119B1 (ko)
JP (1) JP6725679B2 (ko)
KR (1) KR101680525B1 (ko)
CN (1) CN108604991B (ko)
AU (1) AU2017295345B2 (ko)
CA (1) CA3029516C (ko)
ES (1) ES2961812T3 (ko)
WO (1) WO2018012747A1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180135222A (ko) * 2017-06-12 2018-12-20 주식회사 엔터소프트 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말
KR20190047924A (ko) * 2017-10-30 2019-05-09 (주) 빌트온 모바일용 애플리케이션과 애플리케이션 서버 사이에서 송수신되는 데이터를 중계하고 추출하는 프록시 서버 및 이를 포함하는 빅데이터 추출 시스템 및 방법
WO2021096206A1 (ko) * 2019-11-12 2021-05-20 김금철 개인url매체나 비밀정보나 기타들로 사용자를 확인해서 otp서비스를 지원할 수 있는 방법
KR20230095741A (ko) 2021-12-22 2023-06-29 김주한 2채널 문자 인증 시스템 및 그 방법

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11966907B2 (en) * 2014-10-25 2024-04-23 Yoongnet Inc. System and method for mobile cross-authentication
WO2017039702A1 (en) * 2015-09-04 2017-03-09 Hewlett Packard Enterprise Development Lp Secure login information
US11570209B2 (en) * 2015-10-28 2023-01-31 Qomplx, Inc. Detecting and mitigating attacks using forged authentication objects within a domain
US11552968B2 (en) * 2015-10-28 2023-01-10 Qomplx, Inc. System and methods for detecting and mitigating golden SAML attacks against federated services
US20220014555A1 (en) 2015-10-28 2022-01-13 Qomplx, Inc. Distributed automated planning and execution platform for designing and running complex processes
US10911452B2 (en) * 2016-11-22 2021-02-02 Synergex Group (corp.) Systems, methods, and media for determining access privileges
US10635792B2 (en) * 2017-08-31 2020-04-28 Sybase 365, Inc. Multi-factor authentication with URL validation
US10637858B2 (en) 2018-02-23 2020-04-28 T-Mobile Usa, Inc. Key-derivation verification in telecommunications network
US11265699B2 (en) * 2018-02-23 2022-03-01 T-Mobile Usa, Inc. Identifier-based access control in mobile networks
US11785013B2 (en) * 2018-05-18 2023-10-10 Telefonaktiebolaget Lm Ericsson (Publ) Application program access control
US11178148B2 (en) * 2018-08-21 2021-11-16 HYPR Corp. Out-of-band authentication to access web-service with indication of physical access to client device
US11477190B2 (en) * 2019-05-01 2022-10-18 Salesforce, Inc. Dynamic user ID
US11218486B2 (en) * 2019-05-20 2022-01-04 At&T Intellectual Property I, L.P. Edge-node authentication for functions as a service
CA3147120A1 (en) * 2019-07-16 2021-01-21 Linkme Technologies Inc. Method and apparatus for sharing content data between networked devices
US11562351B2 (en) * 2019-08-09 2023-01-24 Its, Inc. Interoperable mobile-initiated transactions with dynamic authentication
EP3863316A1 (en) * 2020-02-07 2021-08-11 Continental Teves AG & Co. OHG Authentication method
US11410982B2 (en) 2020-03-30 2022-08-09 Taiwan Semiconductor Manufacturing Co., Ltd. Semiconductor devices and methods of manufacturing
CN113093678B (zh) * 2021-04-07 2022-12-20 国能(泉州)热电有限公司 一种电厂dcs系统数据处理方法
CN113423100B (zh) * 2021-06-23 2024-03-29 宁夏新立电子有限公司 一种基于aes加密的nb仪表检验方法、系统及设备
CN113609463B (zh) * 2021-10-08 2022-01-04 湖南宸瀚信息科技有限责任公司 一种基于区块链身份管理的物联网系统
CN114444525B (zh) * 2022-01-11 2023-07-21 芯电智联(北京)科技有限公司 一种预防nfc标签丢失的方法及系统
CN114967504B (zh) * 2022-07-07 2023-02-17 广东长天思源环保科技股份有限公司 一种基于标识解析的环境监测运维平台
CN116708039B (zh) * 2023-08-07 2023-11-21 深圳竹云科技股份有限公司 基于零信任单包认证的访问方法、装置及系统
CN118018333B (zh) * 2024-04-10 2024-06-25 国网浙江省电力有限公司杭州市富阳区供电公司 一种网口锁解锁控制方法、系统、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009043042A (ja) * 2007-08-09 2009-02-26 Nec Corp 認証システムおよび認証方法
KR101294805B1 (ko) * 2012-12-21 2013-08-08 (주)씽크에이티 2-채널 앱인증 방법 및 시스템
KR20130112786A (ko) 2012-04-04 2013-10-14 김주한 이동통신 단말기를 이용한 인증, 회원등록 그리고 결제 서비스를 위한 애플리케이션
KR20150053663A (ko) * 2013-11-08 2015-05-18 김주한 이동통신단말기를 이용한 다채널 인증과 금융 이체 방법 및 시스템

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1039001A (en) * 1912-05-01 1912-09-17 Joseph F Winkler Animal-trap.
JP4475449B2 (ja) * 2001-07-18 2010-06-09 ソフトバンクモバイル株式会社 復号化装置および電子機器
JP4186512B2 (ja) * 2002-05-20 2008-11-26 ソニー株式会社 サービス提供システム、機器端末およびその処理方法、認証装置および方法、サービス提供装置および方法、並びにプログラム
JP2007264835A (ja) * 2006-03-27 2007-10-11 Nec Corp 認証方法およびシステム
KR101012872B1 (ko) * 2009-09-16 2011-02-08 주식회사 팬택 플랫폼 보안 장치 및 방법
US20100185868A1 (en) * 2010-03-21 2010-07-22 William Grecia Personilized digital media access system
JP2011238036A (ja) * 2010-05-11 2011-11-24 Ikutoku Gakuen 認証システム、シングルサインオンシステム、サーバ装置およびプログラム
JP5386458B2 (ja) * 2010-09-30 2014-01-15 ヤフー株式会社 認証システム、認証データ生成装置及び認証方法
US8843750B1 (en) * 2011-01-28 2014-09-23 Symantec Corporation Monitoring content transmitted through secured communication channels
US8943320B2 (en) * 2011-10-31 2015-01-27 Novell, Inc. Techniques for authentication via a mobile device
EP2701415A1 (en) * 2012-08-24 2014-02-26 Raja Kuppuswamy Mobile electronic device and use thereof for electronic transactions
CN102891843B (zh) * 2012-09-18 2015-04-29 北京深思洛克软件技术股份有限公司 本地服务单元认证安卓客户端应用程序的方法
EP2936406A1 (de) * 2012-12-19 2015-10-28 Deutsche Telekom AG Verfahren und system zur endgerätebasierten kommunikation zwischen fremdanwendungen und einem elektronischen wallet
US8595810B1 (en) * 2013-01-13 2013-11-26 Mourad Ben Ayed Method for automatically updating application access security
KR101513694B1 (ko) * 2013-02-26 2015-04-22 (주)이스톰 Otp 인증 시스템 및 방법
WO2015042349A1 (en) * 2013-09-20 2015-03-26 Oracle International Corporation Multiple resource servers with single, flexible, pluggable oauth server and oauth-protected restful oauth consent management service, and mobile application single sign on oauth service
CN103763428B (zh) * 2013-12-12 2017-11-07 北京宝利明威软件股份有限公司 一种移动终端上的应用管理系统和方法
US9792458B2 (en) * 2014-05-05 2017-10-17 Ims Health Incorporated Platform to build secure mobile collaborative applications using dynamic presentation and data configurations
US9836594B2 (en) * 2014-05-19 2017-12-05 Bank Of America Corporation Service channel authentication token
CN105323291A (zh) * 2014-08-04 2016-02-10 中兴通讯股份有限公司 移动应用统一登录处理方法及装置
US9961048B2 (en) * 2014-09-07 2018-05-01 Definitive Data Security, Inc. System and associated software for providing advanced data protections in a defense-in-depth system by integrating multi-factor authentication with cryptographic offloading
US9906525B1 (en) * 2014-11-11 2018-02-27 HYPR Corp. Systems and methods for facilitating secure authentication of third-party applications and/or websites using a biometric-enabled transitory password authentication device
CN104486343B (zh) * 2014-12-18 2018-06-19 广东粤铁科技有限公司 一种双因子双向认证的方法及系统
CN104539634B (zh) * 2015-01-22 2017-08-29 北京成众志科技有限公司 一种移动应用安全增强授权与认证的方法
WO2016123109A1 (en) * 2015-01-26 2016-08-04 Mobile Iron, Inc. Identity proxy to provide access control and single sign on
CN104751049B (zh) * 2015-03-09 2018-09-04 广东欧珀移动通信有限公司 一种应用程序安装方法及移动终端
CN104980338A (zh) * 2015-05-12 2015-10-14 上海斐讯数据通信技术有限公司 基于移动智能终端的企业即时通讯安全应用系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009043042A (ja) * 2007-08-09 2009-02-26 Nec Corp 認証システムおよび認証方法
KR20130112786A (ko) 2012-04-04 2013-10-14 김주한 이동통신 단말기를 이용한 인증, 회원등록 그리고 결제 서비스를 위한 애플리케이션
KR101294805B1 (ko) * 2012-12-21 2013-08-08 (주)씽크에이티 2-채널 앱인증 방법 및 시스템
KR20150053663A (ko) * 2013-11-08 2015-05-18 김주한 이동통신단말기를 이용한 다채널 인증과 금융 이체 방법 및 시스템

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180135222A (ko) * 2017-06-12 2018-12-20 주식회사 엔터소프트 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말
KR101955950B1 (ko) * 2017-06-12 2019-06-24 주식회사 엔터소프트 다채널 인증 방법, 이를 위한 인증 서버와 인증 단말
KR20190047924A (ko) * 2017-10-30 2019-05-09 (주) 빌트온 모바일용 애플리케이션과 애플리케이션 서버 사이에서 송수신되는 데이터를 중계하고 추출하는 프록시 서버 및 이를 포함하는 빅데이터 추출 시스템 및 방법
KR102026533B1 (ko) 2017-10-30 2019-09-27 (주) 빌트온 모바일용 애플리케이션과 애플리케이션 서버 사이에서 송수신되는 데이터를 중계하고 추출하는 프록시 서버 및 이를 포함하는 빅데이터 추출 시스템 및 방법
WO2021096206A1 (ko) * 2019-11-12 2021-05-20 김금철 개인url매체나 비밀정보나 기타들로 사용자를 확인해서 otp서비스를 지원할 수 있는 방법
KR20210057677A (ko) * 2019-11-12 2021-05-21 김금철 개인url매체나 비밀정보나 기타들로 사용자를 확인해서 otp서비스를 지원할 수 있는 방법
KR102513774B1 (ko) * 2019-11-12 2023-03-23 김금철 개인url매체나 비밀정보나 기타들로 사용자를 확인해서 otp서비스를 지원할 수 있는 방법
KR20230095741A (ko) 2021-12-22 2023-06-29 김주한 2채널 문자 인증 시스템 및 그 방법

Also Published As

Publication number Publication date
CA3029516A1 (en) 2018-01-18
US10305902B2 (en) 2019-05-28
US20190044943A1 (en) 2019-02-07
EP3487119B1 (en) 2023-08-09
JP2019519827A (ja) 2019-07-11
WO2018012747A1 (ko) 2018-01-18
AU2017295345B2 (en) 2020-08-13
JP6725679B2 (ja) 2020-07-22
EP3487119A1 (en) 2019-05-22
CA3029516C (en) 2024-01-23
EP3487119C0 (en) 2023-08-09
AU2017295345A1 (en) 2019-01-24
CN108604991A (zh) 2018-09-28
EP3487119A4 (en) 2020-03-04
CN108604991B (zh) 2021-06-15
ES2961812T3 (es) 2024-03-14

Similar Documents

Publication Publication Date Title
KR101680525B1 (ko) 앱 위변조 탐지 가능한 2채널 인증 대행 시스템 및 그 방법
US12022282B2 (en) Anonymous authentication and remote wireless token access
US20230245092A1 (en) Terminal for conducting electronic transactions
US11917074B2 (en) Electronic signature authentication system based on biometric information and electronic signature authentication method
US20080059797A1 (en) Data Communication System, Agent System Server, Computer Program, and Data Communication Method
KR101724401B1 (ko) 생체 정보 인식과 키 분할 방식을 이용한 공인인증 시스템 및 그 방법, 그 방법을 수행하는 프로그램이 기록된 기록매체
CN110612698B (zh) 通过组合多用户的认证因素生成安全密钥的安全认证系统及安全认证方法
KR20190111006A (ko) 인증 서버, 인증 시스템 및 방법
KR101659847B1 (ko) 모바일 단말을 이용한 2채널 사용자 인증 방법
CN110582986B (zh) 通过组合多用户的认证因素生成安全密钥的安全认证方法
KR20170042137A (ko) 인증 서버 및 방법
KR101681457B1 (ko) 금융 이체를 위한 2채널 인증 시스템 및 그 방법
KR101285362B1 (ko) 전자서명 인증 시스템
KR102481213B1 (ko) 로그인 인증 처리를 위한 시스템 및 방법
JP5489913B2 (ja) 携帯型情報装置及び暗号化通信プログラム
JP4578352B2 (ja) 通信媒介装置、データ提供装置およびデータ提供システム
CN115189876A (zh) 证书的展期方法、装置和服务器
KR101592475B1 (ko) 회원제 인터넷 사이트 불법 이용 방지 시스템
CN118827198A (zh) 一种日志的访问方法、系统、计算机设备及存储介质
CN116070273A (zh) 个人数据跨网络应用程序流转方法及系统
JP2014045233A (ja) 電子証明書発行方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190909

Year of fee payment: 4