[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20180087543A - 키 관리 방법 및 fido 소프트웨어 인증장치 - Google Patents

키 관리 방법 및 fido 소프트웨어 인증장치 Download PDF

Info

Publication number
KR20180087543A
KR20180087543A KR1020170011291A KR20170011291A KR20180087543A KR 20180087543 A KR20180087543 A KR 20180087543A KR 1020170011291 A KR1020170011291 A KR 1020170011291A KR 20170011291 A KR20170011291 A KR 20170011291A KR 20180087543 A KR20180087543 A KR 20180087543A
Authority
KR
South Korea
Prior art keywords
fido
key
secure
user
authentication
Prior art date
Application number
KR1020170011291A
Other languages
English (en)
Other versions
KR102012262B1 (ko
Inventor
조상래
김석현
김수형
김승현
김영삼
노종혁
조영섭
조진만
진승헌
허세영
황정연
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170011291A priority Critical patent/KR102012262B1/ko
Publication of KR20180087543A publication Critical patent/KR20180087543A/ko
Application granted granted Critical
Publication of KR102012262B1 publication Critical patent/KR102012262B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

FIDO(Fast IDentity Online) 소프트웨어 인증장치는 인증장치 소프트웨어의 최초 호출 또는 실행 시, 보장 개인키와 보장 공개키의 키쌍을 생성하고, 상기 보장 개인키를 저장한 후, 상기 보장 공개키에 대한 인증서를 CA(certification authority)로부터 발급 받아 저장한다. 그리고 상기 보장 개인키는 응용 서비스 별로 상기 FIDO 소프트웨어 인증장치에서 생성하는 사용자 공개키쌍의 정당성을 확인하는데 사용된다.

Description

키 관리 방법 및 FIDO 소프트웨어 인증장치{KEY MANAGEMENT METHOD AND FIDO AUTHENTICATOR SOFTWARE AUTHENTICATOR}
본 발명은 키 관리 방법 및 FIDO(Fast IDentity Online) 소프트웨어 인증장치에 관한 것으로, 더욱 자세하게는 사용자 공개키쌍 생성의 정당성을 확인할 수 있는 보장 개인키의 외부 노출을 최소화할 수 있는 키 관리 방법 및 FIDO 소프트웨어 인증장치에 관한 것이다.
현재 대부분의 웹 서비스에서 패스워드를 이용하여 사용자를 인증하고 개인정보에 대한 접근을 허용하고 있다. 하지만 패스워드 기반의 사용자 인증은 보안에 취약한 문제가 있다.
이러한 패스워드 기반의 인증의 보안 취약성을 개선하기 위해 생체 인증을 사용하거나 다중 요소 인증 기술을 적용하려는 시도가 계속되고 있다. 하지만 기술에 따라 사용자의 편리성이 떨어지거나 광범위하게 설치하기에 비용 부담이 증가하여 응용서비스에 적용하기에는 무리가 있었다.
FIDO는 인증 프로토콜과 인증 수단을 분리하여 패스워드 없이 인증 강도를 높이면서 사용자의 편리성도 높일 수 있는 인증 기술로, 패스워드 기반 인증의 문제점을 극복하여 스마트 모바일 환경에 적합한 인증 기술로 활용될 수 있다.
FIDO의 경우, 사용자 기기에서 사용자를 인증하고 사용자 공개키쌍을 생성하며, 등록한 사용자 공개키로 FIDO 서버에서 요청하는 메시지를 전자 서명하는 기능을 제공하는 FIDO 인증장치가 필수적이다. FIDO 인증장치는 하드웨어/소프트웨어로 구현될 수 있지만 현재 다양한 생체 정보를 인증에 사용하는 소프트웨어 인증장치가 많이 확산된 상태이다. FIDO 소프트웨어 인증장치에서 사용자 공개키쌍 생성의 정당성을 확인할 수 있는 보장 개인키(Attestation Private Key)가 필수적으로 사용된다.
FIDO 소프트웨어 인증장치는 일반적으로 운용체제 상에서 동작하는 응용 프로그램으로 구현되며, 보장 개인키는 응용 프로그램 내에 설치되어 있기 때문에, 외부 노출 가능성이 크다. 따라서, FIDO 소프트웨어 인증장치에서 보장 개인키의 노출을 방지하여 보안성을 높일 수 있는 방법이 필요하다.
본 발명이 해결하려는 과제는 사용자 공개키쌍 생성의 정당성을 확인하기 위한 보장 개인키의 외부 노출을 최소화할 수 있는 키 관리 방법 및 FIDO 소프트웨어 인증장치를 제공하는 것이다.
본 발명의 한 실시 예에 따르면, 사용자 기기에 탑재된 FIDO(Fast IDentity Online) 소프트웨어 인증장치에서의 키 관리 방법이 제공된다. 키 관리 방법은 인증장치 소프트웨어의 최초 호출 또는 실행 시, 보장 개인키(attestation private key)와 보장 공개키의 키쌍을 생성하는 단계, 상기 보장 개인키를 저장하는 단계, 그리고 상기 보장 공개키에 대한 인증서를 CA(certification authority) 서버로부터 발급 받아 저장하는 단계를 포함하며, 상기 보장 개인키는 응용 서비스 별로 상기 FIDO 소프트웨어 인증장치에서 생성하는 사용자 공개키쌍의 정당성을 확인하는데 사용된다.
상기 인증서를 저장하는 단계는 상기 보장 공개키를 포함한 인증서 발급 요청을 상기 CA 서버로 전송하는 단계, 그리고 상기 CA 서버로부터 상기 보장 공개키에 인증서를 수신하는 단계를 포함할 수 있다.
상기 보장 개인키 및 상기 인증서는 사용자 기기 내 저장소에 저장되고, 상기 저장소는 USIM(Universal Subscriber Identity Module), TEE(Trusted Execution Environment) 및 스마트 카드(Smart Card) 중 적어도 하나를 포함할 수 있다.
상기 키 관리 방법은 상기 사용자 공개키쌍을 생성하는 단계, 상기 사용자 공개키쌍 중 사용자 개인키를 저장하는 단계, 상기 보장 개인키를 이용하여 상기 사용자 공개키의 입증 정보를 생성하는 단계, 그리고 상기 사용자 공개키와 상기 사용자 공개키의 입증 정보 및 상기 인증서를 서비스 기관의 FIDO 서버로 전달하여, 상기 FIDO 소프트웨어 인증장치를 등록하는 단계를 더 포함할 수 있다.
본 발명의 다른 한 실시 예에 따르면, 사용자 기기에 탑재된 FIDO(Fast IDentity Online) 소프트웨어 인증장치가 제공된다. FIDO 소프트웨어 인증장치는 보장키 관리 모듈, 그리고 인증키 관리 모듈을 포함할 수 있다. 상기 보장키 관리 모듈은 인증장치 소프트웨어의 최초 호출 또는 실행 시, 보장 개인키(attestation private key)와 보장 공개키의 키쌍을 생성하고, 보장 공개키에 대한 인증서를 CA(certification authority) 서버로부터 발급 받아 관리한다. 그리고 상기 인증키 관리 모듈은 응용 서비스에 따라 사용자 개인키와 사용자 공개키의 키쌍을 생성하고, 상기 보장 개인키를 이용하여 상기 사용자 공개키의 입증 정보를 생성한 후, 상기 사용자 공개키와 상기 사용자 공개키의 입증 정보를 상기 응용 서비스를 제공하는 서비스 기관의 FIDO 서버로 전송하여, 상기 응용 서비스의 인증 정책을 등록한다.
상기 보장키 관리 모듈은 상기 보장 공개키를 암호화하여 상기 CA 서버로 전송하여 인증서 발급을 요청하고, 상기 CA 서버로부터 상기 보장 공개키에 대한 인증서를 수신할 수 있다.
상기 FIDO 소프트웨어 인증장치는 상기 보장 개인키, 상기 사용자 개인키 및 사용자 개인키를 저장하는 저장소를 더 포함할 수 있다.
상기 인증키 관리 모듈은 상기 인증서를 상기 FIDO 서버로 전송하며, 상기 FIDO 서버는 상기 FIDO 소프트웨어 인증장치에 의해 상기 보장 개인키로 서명한 값을 검증하기 위해 상기 인증서를 사용할 수 있다.
본 발명의 실시 예에 의하면, 보장 개인키가 응용 프로그램에 미리 설치되어 있지 않고 응용 프로그램 설치 시에 보장 개인키와 보장 공개키의 키쌍이 생성되므로, 보장 개인키가 외부에 노출되는 위험을 최소화할 수 있다. 또한 운영체제의 안전한 저장소와 연동하여, 보장 개인키를 안전하게 저장하여 관리할 경우, 하드웨어 인증장치만큼 보안성을 제공할 수 있다.
도 1은 일반적인 FIDO 기반 인증 시스템을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 실시 예에 따른 FIDO 소프트웨어 인증장치의 보장 개인키 획득 방법을 개략적으로 나타낸 도면이다.
도 3은 본 발명의 실시 예에 따른 FIDO 소프트웨어 인증장치를 개략적으로 나타낸 도면이다.
도 4는 본 발명의 실시 예에 따른 인증서 발급 방법을 설명하는 도면이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
이제 본 발명의 실시 예에 따른 키 관리 방법 및 FIDO 소프트웨어 인증장치에 대하여 도면을 참고로 하여 상세하게 설명한다.
도 1은 일반적인 FIDO 기반 인증 시스템을 개략적으로 나타낸 도면이다.
도 1을 참고하면, FIDO 기반 인증 시스템은 크게 사용자 기기(100)와 사용자에게 서비스를 제공하는 웹 서버(200)로 구성된다.
사용자 기기(100)는 서비스를 제공하는 응용 앱(Relying-Party Application)(110)과 사용자 인증을 수행하기 위해 FIDO 클라이언트(120) 및 FIDO 인증장치(Authenticator)(130)로 구성되며, 웹 서버(200)는 사용자에게 서비스를 제공하기 위한 응용 서버(Relying-Party Server)(210)와 FIDO 서버(220)로 구성된다.
FIDO 인증장치(130)는 ASM(Authenticator Specific Module)(131) 및 FIDO 인증모듈(132)을 포함한다.
FIDO 클라이언트(120)는 서비스 응용의 인증정책에 부합하는 FIDO 인증장치(130)를 연결하고, FIDO 인증장치(130)의 ASM(131)은 소프트웨어 인터페이스를 제공하며, FIDO 클라이언트(120)가 FIDO 인증장치(130)를 사용할 수 있도록 지원하며, FIDO 인증모듈(132)은 사용자 인증 및 FIDO 프로토콜 수행에 필요한 보안 정보를 관리한다.
FIDO 서버(220)는 서비스 응용의 인증정책을 관리하여 해당 인증정책에 부합하는 FIDO 인증장치(130)와 사용자 등록, 인증 및 탈퇴에 필요한 프로토콜을 수행한다.
먼저, 등록 프로토콜에 따른 등록 절차에 대해 설명한다. FIDO 인증장치(130)는 사용자 인증 수단으로 지문 인증을 채택한다고 가정한다.
사용자가 응용 앱(110)에서 인증 수단을 지문 인증으로 채택한 경우, 응용 앱(110)은 FIDO 등록 요청 메시지를 FIDO 서버(220)에 요청한다.
FIDO 서버(220)는 인증정책이 포함된 FIDO 등록 요청 메시지를 생성하여 FIDO 클라이언트(120)에 전달한다. 인증정책은 특정 제조사, 특정 모델, 특정 인증 수단 등으로 사용되는 인증장치를 제한할 수 있다.
FIDO 클라이언트(120)는 FIDO 서버(220)의 인증정책에 부합하는 지문 인증을 수행하는 FIDO 인증장치(130)를 호출한다.
사용자가 지문을 입력하여 사용자 인증을 성공하면, FIDO 인증장치(130)의 FIDO 인증모듈(132)은 사용자 공개키쌍을 생성한다. 이때 FIDO 인증모듈(132)에서 사용자 공개키쌍 생성의 정당성을 확인하기 위해 보장 개인키(Attestation Private Key)가 사용되는데, 동일한 인증 모델의 FIDO 인증장치(130)는 동일한 보장 개인키를 사용할 수 있다. 이때 FIDO 인증장치(130)가 소프트웨어 인증장치의 경우, 보장 개인키는 FIDO 인증장치(130)의 최초 호출 또는 최초 실행 시에 발급 받거나 FIDO 인증장치(130)의 설치 프로그램과 함께 배포된 정보로부터 추출하여 저장되고 사용된다.
FIDO 인증모듈(132)은 사용자 개인키를 암호화하기 위한 암호키(Wrap Key)를 생성하고, 사용자 개인키를 암호키로 암호화하여 저장 관리한다. 그리고 FIDO 인증모듈(132)은 생성된 사용자 공개키와 사용자 공개키의 입증 정보가 포함된 FIDO 등록 응답 메시지를 FIDO 서버(220)에 전달한다. 사용자 공개키의 입증 정보는 사용자 공개키 값과 공개키 생성 관련 정보를 포함하고 있으며, 이들 정보를 보장 개인키로 서명한 값으로 구성된다.
FIDO 서버(220)는 보장 개인키의 쌍인 보장 공개키를 이용하여 사용자 공개키의 입증 정보를 서명한 후, 해당 사용자 공개키를 FIDO 서버(220)에 저장한다.
다음, 인증 프로토콜에 따른 인증 절차에 대해 설명한다.
응용 앱(110)은 사용자 로그인, 결제 승인, 거래 내역 확인 등과 같은 서비스를 위해 사용자 인증을 요청한다. 예를 들어, 간편결제 서비스를 이용하기 위해 지문 인증을 요청한다.
응용 앱(110)은 응용 서버(210)에 FIDO 인증을 요청하면 응용 서버(210)는 FIDO 서버(220)에 FIDO 인증 요청 메시지를 요청한다.
FIDO 서버(220)는 FIDO 인증 요청 메시지를 생성하여 FIDO 클라이언트(120)에 전달한다. FIDO 클라이언트(120)는 FIDO 인증 요청 메시지에 포함된 정보로 FIDO 인증장치(130)를 호출하고, 사용자가 지문을 입력하여 사용자 인증을 성공하면, FIDO 인증장치(130)는 등록 프로토콜을 수행할 당시에 생성된 사용자 개인키를 이용해 전자서명을 생성한다.
FIDO 인증장치(130)는 전자서명이 포함된 FIDO 인증 응답 메시지를 FIDO 서버(220)에 전달한다.
FIDO 서버(220)는 등록 프로토콜을 수행할 당시에 저장된 사용자 공개키를 이용하여 전자서명을 확인하고 인증 결과를 전달한다.
이러한 FIDO 인증장치(130)는 다양한 형태로 구현될 수 있다. 하드웨어 또는 소프트웨어 방식의 인증장치, 사용자 기기(100)에 물리적으로 연결된 또는 분리된 인증장치, 지문, 얼굴, 홍채, 카드 터치, 기타 인증을 제공하는 인증장치, 별도의 디스플레이를 보유한 인증장치, TEE(Trusted Execution Environment)나 NFC(Near Field Communication)를 활용한 인증장치 등이 FIDO 인증장치(130)로 사용될 수 있다. 앞에서 설명한 바와 같이, FIDO 소프트웨어 인증장치의 경우, 보장 개인키는 FIDO 인증장치(130)의 최초 호출 또는 최초 실행 시에 발급 받거나 FIDO 인증장치(130)의 설치 프로그램과 함께 배포된 정보로부터 추출하여 저장 및 관리된다. 따라서, FIDO 소프트웨어 인증장치의 경우 보장 개인키가 외부로 노출될 수 있는 가능성이 매우 크다. 본 발명의 실시 예에서는 보장 개인키가 외부에 노출되는 위험성을 최소화할 수 있는 방법을 제공한다.
도 2는 본 발명의 실시 예에 따른 FIDO 소프트웨어 인증장치의 보장 개인키 획득 방법을 개략적으로 나타낸 도면이다.
도 2를 참고하면, 인증장치 소프트웨어가 사용자 기기(100)에 설치되면, FIDO 소프트웨어 인증장치(130)는 인증장치 소프트웨어에 따른 사용자 인증을 수행할 수 있게 된다. FIDO 소프트웨어 인증장치(130)는 소프트웨어로 동작하는 FIDO 인증장치(130)를 의미하며, 동일한 도면 부호를 사용한다.
FIDO 소프트웨어 인증장치(130)는 인증장치 소프트웨어가 설치되면, 보장 개인키와 보장 공개키의 키쌍을 생성하고, 보장 개인키를 안전하게 저장한 후, 보장 공개키에 대한 인증서를 CA(certification authority) 서버(300)로부터 발급 받아 저장 및 관리한다.
CA 서버(300)는 FIDO 소프트웨어 인증장치(130)의 보장 공개키에 대한 인증서를 발급하고, 인증서를 FIDO 소프트웨어 인증장치(130)로 전송한다.
도 3은 본 발명의 실시 예에 따른 FIDO 소프트웨어 인증장치를 개략적으로 나타낸 도면이다.
도 3을 참고하면, FIDO 소프트웨어 인증장치(130)는 사용자 확인 모듈(133), 디스플레이 모듈(134), 보장키 관리 모듈(135), 인증키 관리 모듈(136), 인증서 관리 모듈(137) 및 통신 인터페이스(138)를 포함한다. 사용자 확인 모듈(133), 디스플레이 모듈(134), 보장키 관리 모듈(135), 인증키 관리 모듈(136), 인증서 관리 모듈(137) 및 통신 인터페이스(138)는 FIDO 인증모듈(132) 내에 구현될 수 있다. FIDO 소프트웨어 인증장치(130)는 적어도 하나의 프로세서에 의해 사용자 확인 모듈(133), 디스플레이 모듈(134), 보장키 관리 모듈(135), 인증키 관리 모듈(136), 인증서 관리 모듈(137) 및 통신 인터페이스(138)의 기능을 수행할 수 있다. 프로세서는 중앙 처리 장치(central processing unit, CPU), 그래픽 처리 장치(graphics processing unit, GPU), 또는 본 발명의 실시 예들에 따른 방법이 수행되는 전용의 프로세서를 의미할 수 있다.
사용자 확인 모듈(133)은 사용자 인증을 수행한다. 사용자 확인 모듈(133)은 인증 프로그램에 따른 생체 인증을 수행한다.
디스플레이 모듈(134)은 사용자 기기(100)의 화면 상에 인증 과정들을 사용자에게 표시한다.
보장키 관리 모듈(135)은 인증장치 소프트웨어의 최초 호출 또는 실행 시, 보장 개인키와 보장 공개키의 키쌍을 생성하고, 보장 공개키를 CA 서버(300)로 전달하고 CA 서버(300)로부터 인증서를 발급 받는 일련의 과정을 수행한다. 이때 보장 개인키와 보장 공개키의 키쌍에 대해 발급 받은 인증서에 의해, 인증서에 포함된 보장 공개키가 구별될 수 있다.
인증키 관리 모듈(136)은 사용자 개인키와 사용자 공개키의 키쌍을 생성하고, 사용자 개인키를 암호화하는 데 사용하는 암호키를 생성한다. 인증키 관리 모듈(136)은 사용자 개인키를 암호키로 암호화하여 저장 관리한다. 사용자 개인키와 사용자 공개키의 키쌍은 응용 서비스별로 생성되어 사용된다.
인증키 관리 모듈(136)은 보장 개인키를 이용하여 사용자 공개키의 입증 정보를 생성하고, 사용자 공개키와 사용자 공개키의 입증 정보 및 인증서를 FIDO 서버(220)에 전달함으로써, FIDO 소프트웨어 인증장치(130)의 등록을 수행한다. FIDO 서버(220)는 FIDO 소프트웨어 인증장치(130)에 의해 보장 개인키로 서명한 값을 검증하기 위해 인증서를 사용한다.
인증서 관리 모듈(137)은 CA 서버(300)로부터 발급 받은 인증서를 저장, 삭제 및 반출하는 기능을 제공한다.
통신 인터페이스(138)은 CA 서버(300) 및 ASM(131)과 인터페이스를 제공한다.
이때, 보장 개인키, 사용자 개인키, 암호키 및 인증서는 별도의 안전한 저장 장치에 저장될 수도 있다. 저장 장치로는 사용자 기기(100) 내에 단말기 내 안전한 저장소인 USIM(Universal Subscriber Identity Module) 또는 TEE(Trusted Execution Environment)나, 스마트 카드(Smart Card) 등이 사용될 수 있다.
도 4는 본 발명의 실시 예에 따른 인증서 발급 방법을 설명하는 도면이다.
먼저, 사용자는 사전에 CA 서버(300)에 인증서를 발급받기 위해 필요 정보를 등록한다.
등록이 완료되면 CA 서버(300)는 사용자에게 인증서 발급에 필요한 참조번호와 인가코드를 발급해준다. 이 경우 인가코드는 인증서를 발급받을 보장 공개키를 암호화하는데 사용하는 EK(Endorsement Key)로 사용된다.
사용자는 사용하고자 하는 인증장치 소프트웨어를 사용자 기기(100)에 설치함으로써, 사용자 기기(100)내 FIDO 소프트웨어 인증장치(130)가 생성된다.
도 4를 참고하면, FIDO 소프트웨어 인증장치(130)는 보장 개인키와 보장 공개키의 키쌍을 생성하고(S410), 보장 개인키를 안전하게 저장한 후(S420), 보장 공개키를 CA 서버(300)에 전송함으로써, 인증서 발급을 요청한다(S430). 이때 FIDO 소트웨어 인증장치(130)는 인가코드를 이용하여 보장 공개키를 암호화하여 CA 서버(300)에 전송할 수 있다.
CA 서버(300)는 인증서 발급 요청을 수신하면, 사용자 확인을 수행한 후, 보장 공개키에 대한 인증서를 발급하고(S440), 발급된 인증서를 FIDO 소프트웨어 인증장치(130)로 전송한다(S450).
다음, FIDO 소프트웨어 인증장치(130)는 CA 서버(300)로부터 발급 받은 인증서를 안전하게 저장하고 관리한다(S460).
본 발명의 실시 예는 이상에서 설명한 장치 및/또는 방법을 통해서만 구현되는 것은 아니며, 본 발명의 실시 예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시 예의 기재로부터 본 발명이 속하는 기술 분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시 예에 대하여 상세하게 설명하였지만 본 발명의 권리 범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리 범위에 속하는 것이다.

Claims (9)

  1. 사용자 기기에 탑재된 FIDO(Fast IDentity Online) 소프트웨어 인증장치에서의 키 관리 방법으로서,
    인증장치 소프트웨어의 최초 호출 또는 실행 시, 보장 개인키(attestation private key)와 보장 공개키의 키쌍을 생성하는 단계,
    상기 보장 개인키를 저장하는 단계, 그리고
    상기 보장 공개키에 대한 인증서를 CA(certification authority) 서버로부터 발급 받아 저장하는 단계
    를 포함하며,
    상기 보장 개인키는 응용 서비스별로 상기 FIDO 소프트웨어 인증장치에서 생성하는 사용자 공개키쌍의 정당성을 확인하는데 사용되는 키 관리 방법.
  2. 제1항에서,
    상기 인증서를 저장하는 단계는
    상기 보장 공개키를 포함한 인증서 발급 요청을 상기 CA 서버로 전송하는 단계, 그리고
    상기 CA 서버로부터 상기 보장 공개키에 인증서를 수신하는 단계를 포함하는 키 관리 방법.
  3. 제1항에서,
    상기 보장 개인키 및 상기 인증서는 사용자 기기 내 저장소에 저장되고,
    상기 저장소는 USIM(Universal Subscriber Identity Module), TEE(Trusted Execution Environment) 및 스마트 카드(Smart Card) 중 적어도 하나를 포함하는 키 관리 방법.
  4. 제1항에서,
    상기 사용자 공개키쌍을 생성하는 단계,
    상기 사용자 공개키쌍 중 사용자 개인키를 저장하는 단계,
    상기 보장 개인키를 이용하여 상기 사용자 공개키의 입증 정보를 생성하는 단계, 그리고
    상기 사용자 공개키와 상기 사용자 공개키의 입증 정보 및 상기 인증서를 서비스 기관의 FIDO 서버로 전달하여, 상기 FIDO 소프트웨어 인증장치를 등록하는 단계
    를 더 포함하는 키 관리 방법.
  5. 사용자 기기에 탑재된 FIDO(Fast IDentity Online) 소프트웨어 인증장치로서,
    인증장치 소프트웨어의 최초 호출 또는 실행 시, 보장 개인키(attestation private key)와 보장 공개키의 키쌍을 생성하고, 보장 공개키에 대한 인증서를 CA(certification authority) 서버로부터 발급 받아 관리하는 보장키 관리 모듈, 그리고
    응용 서비스에 따라 사용자 개인키와 사용자 공개키의 키쌍을 생성하고, 상기 보장 개인키를 이용하여 상기 사용자 공개키의 입증 정보를 생성한 후, 상기 사용자 공개키와 상기 사용자 공개키의 입증 정보를 상기 응용 서비스를 제공하는 서비스 기관의 FIDO 서버로 전송하여, 상기 응용 서비스의 인증 정책을 등록하는 인증키 관리 모듈
    을 포함하는 FIDO 소프트웨어 인증장치.
  6. 제5항에서,
    상기 보장키 관리 모듈은 상기 보장 공개키를 암호화하여 상기 CA 서버로 전송하여 인증서 발급을 요청하고, 상기 CA 서버로부터 상기 보장 공개키에 대한 인증서를 수신하는 FIDO 소프트웨어 인증장치.
  7. 제5항에서,
    상기 보장 개인키, 상기 사용자 개인키 및 사용자 개인키를 저장하는 저장소
    를 더 포함하는 FIDO 소프트웨어 인증장치.
  8. 제7항에서,
    상기 저장소는 USIM(Universal Subscriber Identity Module), TEE(Trusted Execution Environment) 및 스마트 카드(Smart Card) 중 적어도 하나를 포함하는 FIDO 소프트웨어 인증장치.
  9. 제7항에서,
    상기 인증키 관리 모듈은 상기 인증서를 상기 FIDO 서버로 전송하며,
    상기 FIDO 서버는 상기 FIDO 소프트웨어 인증장치에 의해 상기 보장 개인키로 서명한 값을 검증하기 위해 상기 인증서를 사용하는 FIDO 소프트웨어 인증장치.
KR1020170011291A 2017-01-24 2017-01-24 키 관리 방법 및 fido 소프트웨어 인증장치 KR102012262B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170011291A KR102012262B1 (ko) 2017-01-24 2017-01-24 키 관리 방법 및 fido 소프트웨어 인증장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170011291A KR102012262B1 (ko) 2017-01-24 2017-01-24 키 관리 방법 및 fido 소프트웨어 인증장치

Publications (2)

Publication Number Publication Date
KR20180087543A true KR20180087543A (ko) 2018-08-02
KR102012262B1 KR102012262B1 (ko) 2019-10-22

Family

ID=63251711

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170011291A KR102012262B1 (ko) 2017-01-24 2017-01-24 키 관리 방법 및 fido 소프트웨어 인증장치

Country Status (1)

Country Link
KR (1) KR102012262B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200054571A (ko) * 2018-11-12 2020-05-20 한국전자통신연구원 바이오 인증서를 이용하여 비대면으로 본인 확인을 수행하는 장치 및 방법
CN112752244A (zh) * 2019-10-29 2021-05-04 三星电子株式会社 使用nfc的用户设备、认证系统及其操作方法
KR20210060282A (ko) * 2019-11-18 2021-05-26 주식회사 시옷 하드웨어 보안 모듈을 이용한 클라우드를 통한 IoT(Internet of Thing) 디바이스 인증 시스템 및 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102288445B1 (ko) * 2020-09-11 2021-08-11 스티븐 상근 오 단체용 인증모듈의 온보딩 방법, 장치 및 프로그램
KR102288444B1 (ko) * 2020-09-18 2021-08-11 스티븐 상근 오 인증모듈의 펌웨어 업데이트 방법, 장치 및 프로그램

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100012439A (ko) * 2008-07-29 2010-02-08 주식회사 케이티 스마트 카드 인증서 관리 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100012439A (ko) * 2008-07-29 2010-02-08 주식회사 케이티 스마트 카드 인증서 관리 장치 및 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200054571A (ko) * 2018-11-12 2020-05-20 한국전자통신연구원 바이오 인증서를 이용하여 비대면으로 본인 확인을 수행하는 장치 및 방법
CN112752244A (zh) * 2019-10-29 2021-05-04 三星电子株式会社 使用nfc的用户设备、认证系统及其操作方法
KR20210060282A (ko) * 2019-11-18 2021-05-26 주식회사 시옷 하드웨어 보안 모듈을 이용한 클라우드를 통한 IoT(Internet of Thing) 디바이스 인증 시스템 및 방법

Also Published As

Publication number Publication date
KR102012262B1 (ko) 2019-10-22

Similar Documents

Publication Publication Date Title
WO2022206349A1 (zh) 一种信息验证的方法、相关装置、设备以及存储介质
KR102678262B1 (ko) 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴
EP2999189B1 (en) Network authentication method for secure electronic transactions
US9838205B2 (en) Network authentication method for secure electronic transactions
US20180082050A1 (en) Method and a system for secure login to a computer, computer network, and computer website using biometrics and a mobile computing wireless electronic communication device
US8112787B2 (en) System and method for securing a credential via user and server verification
US9185096B2 (en) Identity verification
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
US8953805B2 (en) Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method
US11909889B2 (en) Secure digital signing
CN112425114A (zh) 受公钥-私钥对保护的密码管理器
KR102012262B1 (ko) 키 관리 방법 및 fido 소프트웨어 인증장치
US10686771B2 (en) User sign-in and authentication without passwords
CN106936588A (zh) 一种硬件控制锁的托管方法、装置及系统
KR101659847B1 (ko) 모바일 단말을 이용한 2채널 사용자 인증 방법
TW202207667A (zh) 通訊系統中改善安全性之認證及驗證方法
KR101570773B1 (ko) 모바일 기기를 사용한 인터넷 서비스의 클라우드 인증 방법
CN114760070A (zh) 数字证书颁发方法、数字证书颁发中心和可读存储介质
KR102252731B1 (ko) 소프트웨어 인증장치를 위한 키 관리 방법 및 장치
CN113486320B (zh) 企业电子签章管控方法、装置、存储介质和终端设备
US20240283664A1 (en) Authentication with Cloud-Based Secure Enclave
TWI746504B (zh) 實現會話標識同步的方法及裝置
Nosouhi et al. Towards Availability of Strong Authentication in Remote and Disruption-Prone Operational Technology Environments
CN115987598A (zh) 一种基于WebAuthn协议的国密算法身份认证系统、方法和装置
KR20220169021A (ko) 오픈 api 기반의 금융 인증 서비스 제공 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant