KR20180002370A - Method for Carrying Out Confirming Identity and Preventing Denial When Using Online Service by User Terminal Comprising Key Storage/Authentication Module - Google Patents
Method for Carrying Out Confirming Identity and Preventing Denial When Using Online Service by User Terminal Comprising Key Storage/Authentication Module Download PDFInfo
- Publication number
- KR20180002370A KR20180002370A KR1020160081810A KR20160081810A KR20180002370A KR 20180002370 A KR20180002370 A KR 20180002370A KR 1020160081810 A KR1020160081810 A KR 1020160081810A KR 20160081810 A KR20160081810 A KR 20160081810A KR 20180002370 A KR20180002370 A KR 20180002370A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- server
- user
- certificate
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명은 키 저장 및 인증 모듈을 포함하는 사용자 단말기에서 본인 확인 및 부인 방지 기능을 수행하여 온라인 서비스를 이용하는 방법에 관한 것이다.The present invention relates to a method for using an online service by performing a user identification and non-repudiation function in a user terminal including a key storage and authentication module.
온라인상에서 금융거래 또는 물품 구매 등의 서비스를 이용할 때에 신원을 확인하고 서비스 이용의 진정성을 확인하며, 사용자가 이용한 서비스 내역의 부인을 방지하기 위해 공인인증서가 널리 사용되고 있다. 공인인증서는 인감 증명서 역할을 수행하며, 공인인증서와 쌍으로 제공되는 개인키는 인감도장의 역할을 수행한다. 사용자가 온라인상의 서비스를 이용할 때에 개인키로 전자서명을 수행하면, 해당 개인키와 쌍으로 존재하는 공인인증서내의 공개키로 검증함으로써 개인키를 가진 소유주가 해당 전자서명을 정당하게 한 사실을 증명할 수 있다.When using services such as financial transactions or purchasing goods online, authorized certificates are widely used in order to check identity, verify the authenticity of service use, and prevent the denial of service details used by users. The official certificate serves as the seal certificate, and the private key provided in the pair with the official certificate serves as the seal stamp. When a user performs an electronic signature using a private key when using a service on-line, the owner with the private key can verify that the corresponding digital signature is legitimate by verifying with the public key in the public certificate existing in a pair with the corresponding private key.
공인인증서가 이러한 장점을 가지고 있지만 최근에는 액티브엑스의 설치, 공인인증서와 개인키의 유출 등이 문제도 대두되고 있다.Certified certificates have these advantages, but in recent years, problems such as the installation of ActiveX and the leakage of public certificates and private keys have also been raised.
이러한 문제를 해결하기 위한 최근의 움직임으로는, 인증에 사용되는 키(공개키와 개인키)를 하드웨어적으로 안전한 저장소 예를 들어 SE(Secure Element), TrustZone 등에 저장하는 모듈을 지원하는 플랫폼이 증가하고 있다. 그러한 예로서, FIDO 표준 등이 있다.In recent years, there has been an increase in the number of platforms supporting modules for storing keys (public keys and private keys) used for authentication in a hardware secure storage, for example, Secure Elements (SE), TrustZone, . An example of this is the FIDO standard.
이처럼 하드웨어적으로 키를 안전하게 저장하고 인증하는 모듈은 키를 파일로 저장하는 것이 아니라 하드웨어적으로 격리되어 있는 저장소에 저장하고, 연산 역시 저장소 내부에서 수행되기 때문에 외부로의 유출이 원천적으로 차단되는 장점이 있다.In this way, the module that securely stores and authenticates the key is not stored in a file but stores it in a hardware-isolated storage. Since the operation is also performed in the storage, .
본 명세서에서는 이러한 기능을 수행하는 모듈을 "키 저장/인증 모듈"로 지칭한다.In this specification, a module that performs such a function is referred to as a "key storage / authentication module ".
이와 같은 키 저장/인증 모듈은 공개키와 개인키를 생성하고 인증을 수행하는데 개인키 사용 권한을 얻기 위해 예를 들어 생체 인증 과정과 같은 사용자 인증 과정을 거친다. 사용자 인증 과정을 거쳐서 개인키 사용 권한을 얻으면 그 개인키로 서버가 전송한 랜덤한 챌린지값을 전자서명해서 서버로 보낸다. 서버는 수신한 전자서명값을 키 저장/인증 모듈의 공개키로 검증함으로써 사용자 로그인 등을 처리한다. 그러나 이와 같은 종래의 키 저장/인증 모듈은 소유자 증명을 하지 못하는 익명 인증에 불과하며, 본인 확인이나 부인방지 기능을 수행할 수 없다.Such a key storage / authentication module generates a public key and a private key, and performs a user authentication process, such as a biometric authentication process, in order to obtain a right to use a private key in performing authentication. After obtaining the authority to use the private key through the user authentication process, the random challenge value transmitted by the server with the private key is electronically signed and sent to the server. The server processes the user login by verifying the received digital signature value with the public key of the key storage / authentication module. However, such a conventional key storage / authentication module is merely an anonymous authentication which can not perform the owner authentication, and can not perform the identity verification or the non-repudiation prevention function.
본 발명은 전술한 종래 기술의 문제점을 해결하여, 키 저장/인증 모듈의 변경없이도 본인 확인 및 부인 방지 기능을 제공하는 온라인 서비스 제공 방법을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide an online service providing method that solves the above problems of the prior art and provides the identity verification and non-repudiation functions without changing the key storage / authentication module.
본 발명에 의한 사용자 등록 방법은, 키 저장/인증 모듈을 포함하는 사용자 단말기와, 인증 중개 서버와, 인증 서버와, 인증서 발급 기관 서버를 포함하는 환경에서 수행되며, (1) 인증 중개 서버가 사용자 단말기로부터 전달받은 정보를 기초로 사전 인증을 수행하는 제1 단계와; (2) 키 저장/인증 모듈에 의한 인증이 성공하여 키 저장/인증 모듈이 생성한 공개키 및 부가 정보를 사용자 단말기로부터 인증 중개 서버가 전송받는 제2 단계와; (3) 인증 중개 서버가 사용자 고유 정보 및 공개키를 인증 서버에 전송하는 제3 단계와; (4) 인증 서버가 사용자 고유 정보와 공개키를 인증서 발급 서버로 전송하는 제4 단계와; (5) 인증 서버가 인증서 발급 서버로부터 사용자 고유 정보 및 공개키가 포함된 인증서를 수신하는 제5 단계와; (6) 인증 서버가 인증서를 사용자 고유 정보와 결합하여 저장하되 사용자 단말기로는 전송하지 않는 제6 단계를 포함한다.A user registration method according to the present invention is performed in an environment including a user terminal including a key storage / authentication module, an authentication mediation server, an authentication server, and a certificate issuing authority server, wherein (1) A first step of performing pre-authentication based on information received from a terminal; (2) a second step of authenticating the key storage / authentication module and receiving the public key and the additional information generated by the key storage / authentication module from the user terminal; (3) a third step of the authentication mediating server transmitting the user specific information and the public key to the authentication server; (4) a fourth step of the authentication server transmitting the user-specific information and the public key to the certificate issuing server; (5) a fifth step in which the authentication server receives a certificate including user-specific information and a public key from a certificate issuing server; (6) The authentication server includes a sixth step of storing the certificate in combination with the user-specific information and not transmitting it to the user terminal.
부가 정보는 적어도 키 저장/인증 모듈 정보 및 키 식별정보를 포함할 수 있다.The additional information may include at least key storage / authentication module information and key identification information.
본 발명에 의한 사용자의 로그인 방법은, (1) 인증 중개 서버가 사용자 단말기로부터 사용자 식별 정보를 수신하고 확인하는 제1 단계와; (2) 인증 중개 서버가 사용자 단말기로 랜덤 챌린지값과 부가 정보를 전송하는 제2 단계와; (3) 키 저장/인증 모듈에 의한 인증과 부가 정보의 확인이 성공한 후 키 저장/인증 모듈이 랜덤 챌린지값과 부가 정보에 대해 생성한 전자 서명값을 인증 중개 서버가 수신하는 제3 단계와; (4) 인증 중개 서버가 사용자 고유 정보와, 랜덤 챌린지값과, 전자 서명값을 인증 서버로 전송하는 제4 단계와; (5) 인증 서버가 사용자 고유 정보에 대응하는 인증서를 로드하는 제5 단계와; (6) 인증 서버가 인증서로부터 추출된 공개키를 이용하여 전자서명값을 검증하고 검증에 성공하는 경우 로그인을 허용하는 제6 단계를 포함한다.A user login method according to the present invention includes: (1) a first step of an authentication mediation server receiving and confirming user identification information from a user terminal; (2) a second step of the authentication mediation server transmitting a random challenge value and additional information to the user terminal; (3) a third step of the authentication mediation server receiving the digital signature value generated by the key storage / authentication module for the random challenge value and the additional information after authentication by the key storage / authentication module and verification of the additional information succeeds; (4) a fourth step of the authentication mediating server transmitting the user unique information, the random challenge value, and the digital signature value to the authentication server; (5) a fifth step of the authentication server loading a certificate corresponding to the user-specific information; (6) The authentication server verifies the digital signature value using the public key extracted from the certificate, and if the verification succeeds, the login step is permitted.
본 발명에 의한 로그인 방법은 인증 서버가 인증서의 식별 정보를 인증서 발급 서버로 전송하여 인증서 유효 여부를 질의하고 그 결과를 수신하는 제5-1 단계를 더 포함할 수 있다.The login method according to the present invention may further include a step 5-1 in which the authentication server transmits the identification information of the certificate to the certificate issuance server, inquires about the validity of the certificate, and receives the result.
전술한 방법에 의해 로그인된 사용자가 이용하는 온라인 서비스에 대한 부인 방지 서비스 방법은, (1) 인증 중개 서버가 사용자 단말기로부터 서비스 관련 정보를 수신하는 제1 단계와; (2) 인증 중개 서버가 부가 정보와, 랜덤 챌린지값과, 서비스 관련 정보를 사용자 단말기로 전송하는 제2 단계와; (3) 키 저장/인증 모듈에 의한 인증과 부가 정보 및 서비스 관련 정보의 확인이 성공한 후 키 저장/인증 모듈이 랜덤 챌린지값과 부가 정보 및 서비스 관련 정보에 대해 생성한 전자 서명값을 인증 중개 서버가 수신하는 제3 단계와; (4) 인증 중개 서버가 사용자 고유 정보와, 랜덤 챌린지값과, 서비스 관련 정보 및 전자 서명값을 인증 서버로 전송하는 제4 단계와; (5) 인증 서버가 사용자 고유 정보에 대응하는 인증서를 로드하는 제5 단계와; (6) 인증 서버가 인증서로부터 추출된 공개키를 이용하여 전자서명값을 검증하고 검증에 성공하는 경우 서비스 관련 정보 및 전자서명값을 저장하는 제6 단계를 포함한다.A non-repudiation service method for an on-line service used by a logged-in user by the above-mentioned method includes: (1) a first step of an authentication mediation server receiving service related information from a user terminal; (2) a second step of the authentication mediating server transmitting the additional information, the random challenge value, and the service related information to the user terminal; (3) After the authentication by the key storage / authentication module and the verification of the additional information and the service related information are successful, the key storage / authentication module transmits the random challenge value, the additional information and the digital signature value generated by the service related information to the authentication mediation server A third step of receiving the first signal; (4) a fourth step of the authentication mediating server transmitting the user's unique information, the random challenge value, the service related information and the digital signature value to the authentication server; (5) a fifth step of the authentication server loading a certificate corresponding to the user-specific information; (6) The authentication server verifies the digital signature value using the public key extracted from the certificate, and if the verification succeeds, the service-related information and the digital signature value are stored.
본 발명에 의한 부인 방지 방법은, 인증 서버가 인증서의 식별 정보를 인증서 발급 서버로 전송하여 인증서 유효 여부를 질의하고 그 결과를 수신하는 제5-1 단계를 더 포함할 수 있다.The non-repudiation method according to the present invention may further include a fifth step of the authentication server transmitting the identification information of the certificate to the certificate issuing server to inquire about the validity of the certificate and receiving the result.
본 발명에 의하면, 변경할 수 없는 키 저장/인증 모듈이 탑재된 사용자 단말기를 이용하는 경우에도 본인 확인 및 부인 방지 기능을 수행할 수 있기 때문에 사용자 단말기에 공인인증서 등을 저장하지 않더라도 전자서명법이 규정하는 요건을 충족시킬 수 있는 작용효과가 제공된다.According to the present invention, even when a user terminal equipped with a key storage / authentication module that can not be changed is used, the identity verification and the non-repudiation prevention functions can be performed. Therefore, even if a user certificate is not stored in the user terminal, Can be satisfied.
도 1은 본 발명에 의한 사용자 등록 과정을 도시한 도면.
도 2는 도 1에 의해 등록한 사용자가 로그인하는 과정을 도시한 도면.
도 3은 도 2에 의해 로그인한 사용자가 온라인 서비스를 이용할 때 수행되는 부인 방지 과정을 도시한 도면.1 is a diagram illustrating a user registration process according to the present invention.
FIG. 2 is a diagram showing a process in which a user registered by FIG. 1 logs in; FIG.
FIG. 3 illustrates a non-repudiation process performed when a user who is logged in by using FIG. 2 uses an online service. FIG.
이하에서는 첨부 도면을 참조하여 본 발명에 대해서 자세하게 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.
본 명세서에서 수행되는 정보(데이터) 전송 과정은 필요에 따라서 암호화/복호화가 적용될 수 있으며, 본 명세서 및 특허청구범위에서 정보(데이터) 전송 과정을 설명하는 표현은 별도로 언급되지 않더라도 모두 암호화/복호화하는 경우도 포함하는 것으로 해석되어야 한다. 본 명세서에서 "A로부터 B로 전송(전달)" 또는 "A가 B로부터 수신"과 같은 형태의 표현은 중간에 다른 매개체가 포함되어 전송(전달) 또는 수신되는 것도 포함하며, A로부터 B까지 직접 전송(전달) 또는 수신되는 것만을 표현하는 것은 아니다. 본 발명의 설명에 있어서 각 단계의 순서는 선행 단계가 논리적 및 시간적으로 반드시 후행 단계에 앞서서 수행되어야 하는 경우가 아니라면 각 단계의 순서는 비제한적으로 이해되어야 한다. 즉 위와 같은 예외적인 경우를 제외하고는 후행 단계로 설명된 과정이 선행 단계로 설명된 과정보다 앞서서 수행되더라도 발명의 본질에는 영향이 없으며 권리범위 역시 단계의 순서에 관계없이 정의되어야 한다. 그리고 본 명세서에서 “A 또는 B”은 A와 B 중 어느 하나를 선택적으로 가리키는 것 뿐만 아니라 A와 B 모두를 포함하는 것도 의미하는 것으로 정의된다. 또한, 본 명세서에서 "포함"이라는 용어는 포함하는 것으로 나열된 요소 이외에 추가로 다른 구성요소를 더 포함하는 것도 포괄하는 의미를 가진다.Encryption / decryption may be applied to the information (data) transmission process performed in the present specification, and the description describing the process of transmitting information (data) in the present specification and claims is not limited to encryption / decryption Should be construed as including. Expressions of the form "transfer from A to B" or "receive from A" in this specification include transmission (transfer) or reception of another medium in between, It does not just represent transmission (forwarding) or receiving. In the description of the present invention, the order of each step should be understood to be non-limiting, unless the preceding step must be performed logically and temporally before the next step. That is to say, except for the exceptional cases mentioned above, even if the process described in the following stage is performed before the process described in the preceding stage, it does not affect the essence of the invention and the scope of the right should be defined regardless of the order of the stages. &Quot; A " or " B " is defined herein to mean not only selectively pointing to either A or B, but also including both A and B. It is also to be understood that the term "comprising " is intended to encompass further including other elements in addition to the elements listed as being included.
도 1에는 본 발명에 의한 온라인 서비스를 이용하기 위해 사용자를 등록하는 과정이 도시되어 있다.FIG. 1 shows a process of registering a user to use an online service according to the present invention.
본 발명은 키 저장/인증 모듈(15)을 포함하는 사용자 단말기(10)와, 인증 중개 서버(22)와, 인증 서버(24)와, 인증서 발급 서버(30)를 포함하는 환경에서 수행된다. 인증 중개 서버(22)와 인증 서버(24)는 인증 서비스 기관(20)에서 제어하며, 데이터베이스(25)가 연동되어 있다. 사용자 단말기(10)는 스마트폰, PC, 태블릿 PC 등 전자적 연산이 가능하고, 데이터 통신이 가능한 전자 장치라면 그 종류에 관계없이 사용할 수 있다. 사용자 단말기(10)는 웹 브라우저 또는 모바일 앱을 이용하여 키 저장/인증 모듈이 제공하는 인증 기능을 이용할 수 있다. 기능적으로 구분하기 위해서 인증 중개 서버(22)와 인증 서버(24)가 분리되어 있는 것으로 도시하고 설명하지만, 인증 중개 서버(22)와 인증 서버(24)는 하나의 물리적 서버로 구현할 수도 있고, 서로 물리적으로 분리된 서버로 구현할 수도 있다. 인증서 발급 서버(30)는 금융결제원과 같은 인증서 발급 기관(CA)에 의해 제어된다.The present invention is performed in an environment including a
사용자는 인증 서비스 기관(20)에 의해서 요구되는 절차에 따라서 신원 확인을 거친다. 예를 들어, 금융기관을 방문하여 대면 신원 확인을 하거나 또는 법이 정하는 비대면 신원확인을 통해서 사전에 미리 신원확인 절차를 거치고 소정의 정보(사용자 고유 정보 등 기관에서 요구하는 사전 정보)를 제출하고 사용자 식별 정보 및 패스워드 등록을 한다. 본 명세서에서 사용자 식별 정보는 사용자가 타 사용자와 중복되지 않도록 선택한 정보로서 인증 서비스 기관에 대해서 고유한 예를 들어 아이디(ID)가 될 수 있다. 반면에, 사용자 고유 정보는 사용자의 주민등록번호 또는 핸드폰 번호와 같이 인증 서비스 기관 이외에 대해서도 고유하게 사용할 수 있는 정보를 의미하는 것으로 정의된다.The user is authenticated according to the procedure required by the authentication service organization (20). For example, by visiting a financial institution and confirming a face-to-face identity, or through a non-face-to-face identification determined by the law, an identification process is performed in advance and predetermined information (pre- User identification information and password registration. In this specification, the user identification information may be an ID unique to the authentication service institution as the information selected by the user so as not to be duplicated with other users. On the other hand, the user-specific information is defined as meaning information that can be used uniquely for other than the authentication service organization such as a resident registration number or a mobile phone number of the user.
사용자는 ID/PW와 같이 사전에 등록한 정보를 입력하여 인증 중개 서버(22)가 사전 인증을 요청한다(100). 인증 중개 서버(22)는 데이터베이스(25)에 사용자 확인을 하고(105) 사전 인증에 성공하면 해당 내용을 사용자 단말기(10)로 전달한다.The user inputs pre-registered information such as ID / PW and the
사전 인증에 성공하면 키 저장/인증 모듈(15)이 호출되며 키 저장/인증 모듈에 탑재되어 있는 사용자 인증 과정 예를 들어 지문 인증과 같은 생체 인증이 수행된다(110). 사용자 인증에 성공하면 공개키와 개인키가 생성되며(115), 생성된 개인키는 키 저장/인증 모듈의 하드웨어적으로 격리된 저장소(예를 들어, USIM, SE 등)에 저장되며, 공개키는 인증 중개 서버(22)로 전송된다(120). 공개키와 함께 부가 정보도 전송되는 것이 바람직한데 부가 정보는 키 저장/인증 모듈 정보와, 키 식별정보(KeyID) 등이 될 수 있다.If the pre-authentication is successful, the key storage /
인증 중개 서버(22)는 사용자 고유 정보와 공개키를 인증 서버(24)로 전송한다(125). 인증 서버(24)는 인증서 발급 서버(30)에 대해 서비스 기관 인증(130)을 받고(130), 인증에 성공하면 사용자 고유 정보와 공개키를 인증서 발급 서버(30)로 전송한다(135). 인증서 발급 서버(30)는 사용자 고유 정보와 공개키가 포함되어 있는 사용자의 인증서를 발행하고(140), 발행된 인증서를 인증 서버(24)로 전송한다. 인증 서버(24)는 사용자 정보에 인증서를 결합해서 데이터베이스(25)에 저장한다(150).The
도 2에는 전술한 사용자 등록과정을 거친 후에, 사용자가 인증 서비스 기관의 인증을 통해 로그인하는 과정이 도시되어 있다.FIG. 2 illustrates a process in which a user logs in through authentication of an authentication service organization after the user registration process described above.
사용자는 사용자 단말기(10)를 통해 사용자 식별 정보 즉 ID를 인증 중개 서버(22)로 전달한다(200). 인증 중개 서버(22)는 데이터베이스(25)를 참조하여 사용자 확인을 하고(205), 성공하면 인증 정책 및 랜덤 챌린지값을 사용자 단말기(10)로 전송한다(210). 인증 정책에는 부가 정보로서 전달받은 키 저장/인증 모듈 정보와 키 식별정보 등이 포함된다.The user transmits the user identification information or ID to the
키 저장/인증 모듈(15)이 호출되어 사전에 등록되어 있는 사용자 인증(지문 인식과 같은 생체 인증 등)이 수행되고(215), 인증에 성공하면 인증 정책을 확인하고 맞으면 개인키를 로드해서 랜덤 챌린지값과 부가 정보에 대해 전자 서명을 수행한다(220). 생성된 전자 서명값은 인증 중개 서버(22)로 전송되며(225), 인증 중개 서버(22)는 사용자 고유 정보와, 랜덤 챌린지값과, 전자 서명값을 인증 서버(24)로 전송한다(230). 인증 서버(24)는 사용자 고유 정보에 기초하여 데이터베이스(25)로부터 인증서를 로드한다(235). 인증서에 포함되어 있는 공개키를 추출해서, 추출된 공개키로 전자 서명값을 검증한다(240).The key storage /
인증 서버(24)는 인증서 식별 정보를 인증서 발급 서버(30)로 보내서(245), 인증서 발급 서버(30)가 해당 인증서의 유효성을 검증할 수 있다(250). 편의상 인증서 발급 서버(30)가 인증서의 유효성을 검증하는 것으로 도시하였지만 실제로는 인증서 유효성 검증을 수행하는 별도의 서버가 제공되는 것이 바람직하다.The
인증서 유효성 검증 결과는 인증 서버(24)로 전송되며(255), 유효한 인증서로 검증되었다면 인증 서버(24)가 로그인 절차를 완료한다(260).The certificate validation result is transmitted to the authentication server 24 (255). If the validation result is verified as a valid certificate, the
도 3에는 도 2와 같은 과정을 거쳐서 로그인한 사용자가 온라인 서비스를 이용함에 있어서 본 발명에 의한 부인 방지 방법이 수행되는 과정이 도시되어 있다. 실제로 온라인 서비스를 제공하는 서버는 본 발명의 내용과 관계가 없기 때문에 별도로 도시하지는 않는다.FIG. 3 shows a process in which a non-repudiation method according to the present invention is performed when a user who has logged in through the process shown in FIG. 2 uses an online service. Actually, a server that provides an online service is not shown separately because it is not related to the content of the present invention.
도 2와 같은 과정을 거쳐서 로그인한 사용자가 온라인 서비스를 이용할 때에는 해당 서비스 관련 정보를 인증 중개 서버(22)로 전송한다(300). 온라인 서비스가 금융 거래인 경우에는 금융 거래 정보(예를 들어, 이체인 경우에는 이체 금액, 이체계좌, 받는 계좌 정보 등)가 서비스 관련 정보가 될 수 있고, 온라인 쇼핑몰에서 물품을 구매하는 경우에는 구매 상품 정보, 구매 금액, 결제 정보 등이 서비스 관련 정보가 될 수 있다.2, when a user who is logged in uses the online service, the service related information is transmitted to the authentication mediation server 22 (300). When the online service is a financial transaction, the service related information may be financial transaction information (for example, a transfer amount, a transfer account, receiving account information in the case of a transfer), and in the case of purchasing an item at an online shopping mall, Product information, purchase amount, payment information, and the like may be service-related information.
인증 중개 서버(22)는 인증 정책과, 랜덤 챌린지값과, 서비스 관련 정보를 사용자 단말기(10)로 전송한다(305). 키 저장/인증 모듈(15)이 호출되어 사전에 등록된 사용자 인증(예를 들어 지문 인식과 같은 생체 인증 등)을 수행한다(310).The
키 저장/인증 모듈(15)은 서비스 관련 정보를 사용자 단말기(10)를 통해 사용자에게 확인시키고, 사용자가 확인하면 인증 정책에 포함되어 있는 부가 정보(키 저장/인증 모듈 정보와 키 식별정보 등)를 확인한 후 개인키 로드 및 개인키로 챌린지값과, 서비스 관련 정보와, 부가 정보에 대한 전자 서명을 수행한다(315). 전자서명값은 인증 중개 서버(22)로 전송된다(320). 인증 중개 서버(22)는 사용자 고유 정보와, 랜덤 챌린지값과, 서비스 관련 정보와, 전자서명값을 인증 서버(24)로 전송한다(325).The key storage /
인증 서버(24)는 사용자 고유 정보에 기초하여 데이터베이스(25)로부터 인증서를 로드하고(330), 인증서에서 추출된 공개키를 이용하여 전자서명값을 검증한다(335).The
인증 서버(24)는 인증서 식별 정보를 인증서 발급 서버(30)로 전송하고(340), 인증서 발급 서버(30)는 인증서의 유효성 여부를 검증한다(345). 도 2와 관련해서 설명한 바와 같이 편의상 인증서 발급 서버(30)가 인증서의 유효성을 검증하는 것으로 도시하였지만 실제로는 인증서 유효성 검증을 수행하는 별도의 서버가 제공되는 것이 바람직하다. 인증서 발급 서버(30)는 유효성 검증 결과를 인증 서버(24)로 전송하며(350), 인증 서버(24)는 서비스 관련 정보 및 전자서명값을 데이터베이스(25)에 기록한다(355). 이와 같은 본 발명의 방법에 의하면 키 저장/인증 모듈(15)을 변경하지 않고도 사용자가 이용한 서비스 관련 정보에 대해서 부인 방지 기능을 제공할 수 있다.The
본 발명에 의하면, 변경할 수 없는 키 저장/인증 모듈이 탑재된 사용자 단말기를 이용하는 경우에도 본인 확인 및 부인 방지 기능을 수행할 수 있기 때문에 사용자 단말기에 공인인증서 등을 저장하지 않더라도 전자서명법이 규정하는 요건을 충족시킬 수 있는 작용효과가 제공된다.According to the present invention, even when a user terminal equipped with a key storage / authentication module that can not be changed is used, the identity verification and the non-repudiation prevention functions can be performed. Therefore, even if a user certificate is not stored in the user terminal, Can be satisfied.
이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.While the present invention has been described with reference to the accompanying drawings, it is to be understood that the scope of the present invention is defined by the claims that follow, and should not be construed as limited to the above-described embodiments and / or drawings. It is to be expressly understood that improvements, changes and modifications that are obvious to those skilled in the art are also within the scope of the present invention as set forth in the claims.
10: 사용자 단말기
15: 키 저장/인증 모듈
22: 인증 중개 서버
24: 인증 서버
30: 인증서 발급 서버10: User terminal
15: Key storage / authentication module
22: Authentication mediation server
24: Authentication server
30: Certificate issuing server
Claims (6)
인증 중개 서버가 사용자 단말기로부터 전달받은 정보를 기초로 사전 인증을 수행하는 제1 단계와,
키 저장/인증 모듈에 의한 인증이 성공하여 키 저장/인증 모듈이 생성한 공개키 및 부가 정보를 사용자 단말기로부터 인증 중개 서버가 전송받는 제2 단계와,
인증 중개 서버가 사용자 고유 정보 및 공개키를 인증 서버에 전송하는 제3 단계와,
인증 서버가 사용자 고유 정보와 공개키를 인증서 발급 서버로 전송하는 제4 단계와,
인증 서버가 인증서 발급 서버로부터 사용자 고유 정보 및 공개키가 포함된 인증서를 수신하는 제5 단계와,
인증 서버가 인증서를 사용자 고유 정보와 결합하여 저장하되 사용자 단말기로는 전송하지 않는 제6 단계를 포함하는,
사용자 등록 방법.
A user registration method performed in an environment including a user terminal including a key storage / authentication module, an authentication mediation server, an authentication server, and a certificate issuing authority server,
A first step in which the authentication mediation server performs pre-authentication based on information received from the user terminal;
A second step of authenticating the key storage / authentication module and receiving the public key and the additional information generated by the key storage / authentication module from the user terminal;
A third step of the authentication mediating server transmitting the user specific information and the public key to the authentication server;
A fourth step of the authentication server transmitting the user specific information and the public key to the certificate issuing server;
A fifth step of the authentication server receiving the certificate including the user-specific information and the public key from the certificate issuing server;
And a sixth step of the authentication server storing the certificate in combination with the user-specific information but not transmitting it to the user terminal.
How to register users.
부가 정보는 적어도 키 저장/인증 모듈 정보 및 키 식별정보를 포함하는,
사용자 등록 방법.
The method according to claim 1,
The additional information includes at least key storage / authentication module information and key identification information.
How to register users.
인증 중개 서버가 사용자 단말기로부터 사용자 식별 정보를 수신하고 확인하는 제1 단계와,
인증 중개 서버가 사용자 단말기로 랜덤 챌린지값과 부가 정보를 전송하는 제2 단계와,
키 저장/인증 모듈에 의한 인증과 부가 정보의 확인이 성공한 후 키 저장/인증 모듈이 랜덤 챌린지값과 부가 정보에 대해 생성한 전자 서명값을 인증 중개 서버가 수신하는 제3 단계와,
인증 중개 서버가 사용자 고유 정보와, 랜덤 챌린지값과, 전자 서명값을 인증 서버로 전송하는 제4 단계와,
인증 서버가 사용자 고유 정보에 대응하는 인증서를 로드하는 제5 단계와,
인증 서버가 인증서로부터 추출된 공개키를 이용하여 전자서명값을 검증하고 검증에 성공하는 경우 로그인을 허용하는 제6 단계를 포함하는,
사용자의 로그인 방법.
In the login method of a user registered according to claim 1,
A first step of the authentication mediation server receiving and verifying user identification information from the user terminal;
A second step in which the authentication mediation server transmits a random challenge value and additional information to the user terminal;
A third step of the authentication mediation server receiving the digital signature value generated by the key storage / authentication module for the random challenge value and the additional information after authentication by the key storage / authentication module and verification of the additional information succeed;
A fourth step of the authentication mediating server transmitting the user specific information, the random challenge value, and the electronic signature value to the authentication server;
A fifth step of the authentication server loading a certificate corresponding to the user-specific information,
And a sixth step of the authentication server verifying the digital signature value using the public key extracted from the certificate and allowing the login if the verification is successful.
How users log in.
인증 서버가 인증서의 식별 정보를 인증서 발급 서버로 전송하여 인증서 유효 여부를 질의하고 그 결과를 수신하는 제5-1 단계를 더 포함하는,
사용자의 로그인 방법.
The method of claim 3,
Further comprising a fifth step of the authentication server transmitting the identification information of the certificate to the certificate issuing server to inquire whether the certificate is valid and receiving the result,
How users log in.
인증 중개 서버가 사용자 단말기로부터 서비스 관련 정보를 수신하는 제1 단계와,
인증 중개 서버가 부가 정보와, 랜덤 챌린지값과, 서비스 관련 정보를 사용자 단말기로 전송하는 제2 단계와,
키 저장/인증 모듈에 의한 인증과 부가 정보 및 서비스 관련 정보의 확인이 성공한 후 키 저장/인증 모듈이 랜덤 챌린지값과 부가 정보 및 서비스 관련 정보에 대해 생성한 전자 서명값을 인증 중개 서버가 수신하는 제3 단계와,
인증 중개 서버가 사용자 고유 정보와, 랜덤 챌린지값과, 서비스 관련 정보 및 전자 서명값을 인증 서버로 전송하는 제4 단계와,
인증 서버가 사용자 고유 정보에 대응하는 인증서를 로드하는 제5 단계와,
인증 서버가 인증서로부터 추출된 공개키를 이용하여 전자서명값을 검증하고 검증에 성공하는 경우 서비스 관련 정보 및 전자서명값을 저장하는 제6 단계를 포함하는,
부인 방지 방법.
A non-repudiation service method for an online service used by a user logged in according to claim 3,
A first step of an authentication mediation server receiving service related information from a user terminal;
A second step of the authentication mediation server transmitting the additional information, the random challenge value, and the service related information to the user terminal;
After the authentication by the key storage / authentication module and the confirmation of the additional information and the service related information are successful, the authentication / mediation server receives the digital signature value generated by the key storage / authentication module for the random challenge value, A third step,
A fourth step of the authentication mediating server transmitting the user specific information, the random challenge value, the service related information and the digital signature value to the authentication server,
A fifth step of the authentication server loading a certificate corresponding to the user-specific information,
And a sixth step of verifying the digital signature value using the public key extracted from the certificate and storing the service related information and the digital signature value when the authentication server succeeds in verification.
Non - repudiation measures.
인증 서버가 인증서의 식별 정보를 인증서 발급 서버로 전송하여 인증서 유효 여부를 질의하고 그 결과를 수신하는 제5-1 단계를 더 포함하는,
부인 방지 방법.
The method of claim 5,
Further comprising a fifth step of the authentication server transmitting the identification information of the certificate to the certificate issuing server to inquire whether the certificate is valid and receiving the result,
Non - repudiation measures.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160081810A KR20180002370A (en) | 2016-06-29 | 2016-06-29 | Method for Carrying Out Confirming Identity and Preventing Denial When Using Online Service by User Terminal Comprising Key Storage/Authentication Module |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160081810A KR20180002370A (en) | 2016-06-29 | 2016-06-29 | Method for Carrying Out Confirming Identity and Preventing Denial When Using Online Service by User Terminal Comprising Key Storage/Authentication Module |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20180002370A true KR20180002370A (en) | 2018-01-08 |
Family
ID=61003644
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160081810A KR20180002370A (en) | 2016-06-29 | 2016-06-29 | Method for Carrying Out Confirming Identity and Preventing Denial When Using Online Service by User Terminal Comprising Key Storage/Authentication Module |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20180002370A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039731A (en) * | 2020-07-20 | 2022-02-11 | 富士通株式会社 | Storage medium, relay device, and communication method |
KR20230017998A (en) * | 2021-07-29 | 2023-02-07 | 이현수 | System and method for providing portal-site relay service |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030032423A (en) * | 2001-10-18 | 2003-04-26 | 한국전자통신연구원 | Method for issuing a certificate of authentication using information of a bio metrics in a pki infrastructure |
KR20050101500A (en) * | 2004-04-19 | 2005-10-24 | 한국신용평가정보주식회사 | Method for issuing the certificate contained the link information of one's credit information and record media recorded the certificate issued by the above method |
KR20070075179A (en) * | 2006-01-12 | 2007-07-18 | 에스케이 텔레콤주식회사 | Apdu delivery host authentication method and system based on pki |
KR20070098222A (en) * | 2006-03-31 | 2007-10-05 | 한국정보인증주식회사 | Onpass service system and the method which use the certification |
KR101371054B1 (en) * | 2013-07-31 | 2014-03-07 | 이니텍(주) | Method for digital signature and authenticating the same based on asymmetric-key generated by one-time_password and signature password |
-
2016
- 2016-06-29 KR KR1020160081810A patent/KR20180002370A/en not_active IP Right Cessation
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030032423A (en) * | 2001-10-18 | 2003-04-26 | 한국전자통신연구원 | Method for issuing a certificate of authentication using information of a bio metrics in a pki infrastructure |
KR20050101500A (en) * | 2004-04-19 | 2005-10-24 | 한국신용평가정보주식회사 | Method for issuing the certificate contained the link information of one's credit information and record media recorded the certificate issued by the above method |
KR20070075179A (en) * | 2006-01-12 | 2007-07-18 | 에스케이 텔레콤주식회사 | Apdu delivery host authentication method and system based on pki |
KR20070098222A (en) * | 2006-03-31 | 2007-10-05 | 한국정보인증주식회사 | Onpass service system and the method which use the certification |
KR101371054B1 (en) * | 2013-07-31 | 2014-03-07 | 이니텍(주) | Method for digital signature and authenticating the same based on asymmetric-key generated by one-time_password and signature password |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114039731A (en) * | 2020-07-20 | 2022-02-11 | 富士通株式会社 | Storage medium, relay device, and communication method |
CN114039731B (en) * | 2020-07-20 | 2024-02-23 | 富士通株式会社 | Storage medium, relay device, and communication method |
KR20230017998A (en) * | 2021-07-29 | 2023-02-07 | 이현수 | System and method for providing portal-site relay service |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11706212B2 (en) | Method for securing electronic transactions | |
US10829088B2 (en) | Identity management for implementing vehicle access and operation management | |
CA3009659C (en) | Systems and methods for device push provisioning | |
US7552333B2 (en) | Trusted authentication digital signature (tads) system | |
CA2417770C (en) | Trusted authentication digital signature (tads) system | |
US7444676B1 (en) | Direct authentication and authorization system and method for trusted network of financial institutions | |
US11108558B2 (en) | Authentication and fraud prevention architecture | |
US20130219481A1 (en) | Cyberspace Trusted Identity (CTI) Module | |
US20150302409A1 (en) | System and method for location-based financial transaction authentication | |
US20090293111A1 (en) | Third party system for biometric authentication | |
US11348093B2 (en) | System and method for merchant and personal transactions using mobile identification credential | |
US20130226813A1 (en) | Cyberspace Identification Trust Authority (CITA) System and Method | |
US20110088087A1 (en) | Method for authentication | |
US20200366484A1 (en) | A system and method for authenticating a user | |
TWM623435U (en) | System for verifying client identity and transaction services using multiple security levels | |
WO2010140876A1 (en) | Method, system and secure server for multi-factor transaction authentication | |
US11392949B2 (en) | Use of mobile identification credential in know your customer assessment | |
US20160012216A1 (en) | System for policy-managed secure authentication and secure authorization | |
KR101176023B1 (en) | Repudiation Checking System for e-Commerce | |
KR20180002370A (en) | Method for Carrying Out Confirming Identity and Preventing Denial When Using Online Service by User Terminal Comprising Key Storage/Authentication Module | |
CN103929310A (en) | Mobile phone client side password unified authentication method and system | |
CN117396866A (en) | Authorized transaction escrow service | |
KR20070029537A (en) | Authentication system and method using individual unique code linked with wireless terminal | |
TWI828001B (en) | System for using multiple security levels to verify customer identity and transaction services and method thereof | |
KR101538364B1 (en) | Internet Banking Login Service System by Using Key-Lock Card with Security Card and Internet Banking Login Method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application | ||
J201 | Request for trial against refusal decision | ||
J301 | Trial decision |
Free format text: TRIAL NUMBER: 2016101006704; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20161128 Effective date: 20180620 |
|
S901 | Examination by remand of revocation | ||
E902 | Notification of reason for refusal | ||
S601 | Decision to reject again after remand of revocation | ||
J201 | Request for trial against refusal decision | ||
J301 | Trial decision |
Free format text: TRIAL NUMBER: 2019101000472; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20190211 Effective date: 20190604 |